Mashup-Attacken im Zeitalter von Web 2.0

Mashup-Attacken im Zeitalter von Web 2.0

20. Februar 2009 - Online-Kriminelle kombinieren vermehrt einzelne Angriffsmethoden und verschicken sie via mehrere Kommunikationswege. Eine Herausforderung für Benutzer und Sicherheitsunternehmen.
Artikel erschienen in IT Magazine 2009/03

Derzeit lässt sich eine neue Form der Konvergenz beobachten, die vor allem für Service-Provider und deren Kunden von Interesse ist. Bisher dachten diese bei dem Begriff in erster Linie wohl an die Verschmelzung von Festnetz, Mobilfunk und Internet aus einer Hand. Mittlerweile sollten sie die Konvergenz aber auch im Bereich der Online-Sicherheit berücksichtigen. Ähnlich einer gezielten Marketing-Kampagne, bei der die Informationen über unterschiedliche Wege an den Kunden übermittelt werden, stellen aktuell auch Cyber-Kriminelle ihre unerwünschten Nachrichten zu. Immer häufiger setzen sie auf neue und konvergente Angriffsformen und stellen damit die Sicherheitsstrategie der Service-Provider auf den Prüfstand. Mittlerweile lassen sich Angriffsszenarien beobachten, bei denen Bedrohungen über verschiedene Medien verbreitet und verschiedene Techniken kombiniert werden.




Spam-Phishing-Malware-Angriffe

Die Bedrohungsarten sind vielfältig, doch in der Regel bekannt. Service-Provider und Sicherheitsunternehmen stehen bekanntermassen vor der Herausforderung, ihre Kunden möglichst wirkungsvoll vor Viren, Spam, Phishing und anderer Schadsoftware zu schützen. Bisher erfolgte dieser Schutz, indem für jede dieser Bedrohungen eine entsprechende Lösung entwickelt und eingesetzt wurde. Anhänge und externe Datenträger wurden von Anti-Viren-Lösungen gescannt und E-Mails von Spam-Filtern durchleuchtet. Doch mit dem Aufkommen neuer Kommunikationsformen, wie etwa sozialen Netzwerken oder Micro-Blogging-Tools wie «Twitter», wurde der Schutz herkömmlicher Lösungen löcherig. Sie sind kaum noch in der Lage, einen ausreichenden Schutz vor Gefahren zu bieten, die aus neuen Medien generiert werden. Der Trend der Cyber-Kriminellen geht heute dahin, dass sie in sogenannten «Mashups» die Eigenschaften von Spam, Phishing und Malware kombinieren und die Angriffe parallel über E-Mail, soziale Netzwerke und auch Mobiltelefone hinweg geführt werden. Diese Mashups bewirken häufig Abgrenzungsprobleme bei der Frage, wann es sich konkret um Spam oder Viren handelt und welche der entsprechenden Lösungen für die Abwehr verantwortlich ist.



So werden E-Mail-Viren heute oftmals mit Hilfe von Spam-Techniken verbreitet, indem der Anwender eine E-Mail erhält, in der sich ein Link zu einer Webseite befindet, auf welcher der Virus plaziert wurde. So geschehen im letzten Herbst zur Präsidentenwahl in den USA. Kurz nach Veröffentlichung der ersten Ergebnisse wurde ein Angriff gestartet, der Empfänger per Link auf eine mit Trojanern verseuchte Webseite führen sollte. Diese Technik überrumpelte herkömmliche Anti-Viren-Programme, da sie keine entsprechenden Abwehrmassnahmen parat hatten. Es stellt sich daher die Frage, ob der Angriff als Spam oder Malware zu klassifizieren ist und wer die Verbreitung hätte verhindern müssen. Da es sich bei solchen Nachrichten um unerwünschte Mailings handelt, erscheint zunächst die Bezeichnung Spam zutreffend. Doch bei dieser Art von Angriffen wird in keiner Weise versucht, den Empfängern etwas zu verkaufen. Stattdessen ist das Ziel, ein Programm zu verbreiten, das Computer ohne ausdrückliche Zustimmung des Anwenders infiziert, was auf die Definition von Malware zutrifft.



Ein ähnlicher Angriff ereignete sich zu Beginn des Jahres. Der populäre Kurznachrichtendienst «Twitter» wurde Anfang 2009 von einem kombinierten Hacker- und Phishing-Angriff heimgesucht, bei dem zunächst schwache Passwörter und interne Supportwerkzeuge des Anbieters ausgenutzt wurden, um diverse Konten unter Kontrolle zu bringen. Von dort aus verschickten die Angreifer sogenannte «Direktnachrichten» an weitere Twitter-Kontakte und verwiesen darin mit einem Link auf eine angeblich interessante Blog-Webseite. Diese stellte in Wirklichkeit einen Phishing-Angriff dar, bei dem nutzerspezifische Informationen ausgespäht werden sollten.


 
Seite 1 von 3

Neuen Kommentar erfassen

Anti-Spam-Frage Wieviele Fliegen erledigte das tapfere Schneiderlein auf einen Streich?
Antwort
Name
E-Mail
SPONSOREN & PARTNER