Proofpoint warnt vor neuer Phishing-Methode

Spear Phishing + Massenversand = Longlining

| Redakteur: Stephan Augsten

Mithilfe von Big-Data-Analysen hat Proofpoint das Phänomen „Longline Phishing“ untersucht.
Mithilfe von Big-Data-Analysen hat Proofpoint das Phänomen „Longline Phishing“ untersucht. (Bild: Proofpoint)

Die Sicherheitsforscher von Proofpoint haben Phishing-Angriffe identifiziert, die sie aufgrund ihrer Besonderheiten einer neuen Kategorie zuordnen, dem sogenannten Longline Phishing. Dabei wird die Taktik des gezielten Spear Phishings mit der des Massenversands kombiniert.

Beim Longlining versenden Angreifer in Sekunden abertausende mit Malware versehene Phishing-Nachrichten. Im Unterschied zum Massen-Phishing sind die versendeten E-Mails aber so variabel gestaltet, dass signatur- und reputationsbasierte Sicherheitssysteme sie nur schwer als schädlich identifizieren, so Proofpoint.

Die versendeten Nachrichten variieren nicht nur hinsichtlich der Betreffzeilen und ihres Inhalts, sie stammen Proofpoint zufolge auch von verschiedenen IP-Adressen. Der E-Mail-Text enthalte außerdem mehrere variable Links, die in der Regel zu manipulierten Webseiten mit positiver Reputation führen.

Die kompromittierten Websites werden vor, während oder sogar erst nach Beginn des Angriffs mit versteckter Malware infiziert. Der E-Mail-Empfänger muss die Webseite letztlich nur besuchen, um seinen Rechner beispielsweise mit einem Rootkit zu infizieren (Drive-by-Download).

Longlining: selten, aber auch selten effektiv

Sechs Monate lang hat Proofpoint den E-Mail-Traffic seiner Kunden untersucht. Dabei die Proofpoint-Lösung Targeted Attack Protection zum Einsatz, die Big Data-Analysen verwendet. Im Rahmen der Studie wurden über eine Milliarde E-Mails geprüft, darunter fanden sich dutzende Longlining-Wellen.

Am 3. Oktober 2012 startete beispielsweise ein Angriff in Russland, bei dem innerhalb von drei Stunden mehr als 135.000 E-Mails an über 80 Unternehmen gesendet wurden. Um den gemeinsamen Ausgangspunkt zu verschleiern, verwendeten die Angreifer rund 28.000 unterschiedliche IP-Adressen sowie 35.000 unterschiedliche Aliase. Zwanzig legitime Websites wurden mit Zero-Day-Malware infiziert, um diese per Drive-by-Download zu verteilen.

Der dynamischen Anpassung geschuldet erhielt kein Unternehmen mehr als drei E-Mails mit denselben Merkmalen, so Proofpoint. Letztlich lag ihr Anteil am gesamten Mail-Aufkommen der betroffenen Unternehmen bei weniger als 0,06 Prozent.

Zehn Prozent der Longlining-Nachrichten wurden von den Empfängern geöffnet, im Vergleich zu klassischen Phishing- und Spam-Nachrichten eine hohe Öffnungsrate. Fast jeder fünfte Klick (19 Prozent) auf eine infizierte URL erfolgte im Übrigen von außerhalb des Netzwerks, also unter anderem über mobile Geräte.

Weitere Informationen zu den analysierten Angriffen finden sich im englischsprachigen Proofpoint-Whitepaper zum Longline-Phishing.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 38589730 / DDoS und Spam)