Suchen

Proofpoint warnt vor neuer Phishing-Methode Spear Phishing + Massenversand = Longlining

Redakteur: Stephan Augsten

Die Sicherheitsforscher von Proofpoint haben Phishing-Angriffe identifiziert, die sie aufgrund ihrer Besonderheiten einer neuen Kategorie zuordnen, dem sogenannten Longline Phishing. Dabei wird die Taktik des gezielten Spear Phishings mit der des Massenversands kombiniert.

Firmen zum Thema

Mithilfe von Big-Data-Analysen hat Proofpoint das Phänomen „Longline Phishing“ untersucht.
Mithilfe von Big-Data-Analysen hat Proofpoint das Phänomen „Longline Phishing“ untersucht.
(Bild: Proofpoint)

Beim Longlining versenden Angreifer in Sekunden abertausende mit Malware versehene Phishing-Nachrichten. Im Unterschied zum Massen-Phishing sind die versendeten E-Mails aber so variabel gestaltet, dass signatur- und reputationsbasierte Sicherheitssysteme sie nur schwer als schädlich identifizieren, so Proofpoint.

Die versendeten Nachrichten variieren nicht nur hinsichtlich der Betreffzeilen und ihres Inhalts, sie stammen Proofpoint zufolge auch von verschiedenen IP-Adressen. Der E-Mail-Text enthalte außerdem mehrere variable Links, die in der Regel zu manipulierten Webseiten mit positiver Reputation führen.

Die kompromittierten Websites werden vor, während oder sogar erst nach Beginn des Angriffs mit versteckter Malware infiziert. Der E-Mail-Empfänger muss die Webseite letztlich nur besuchen, um seinen Rechner beispielsweise mit einem Rootkit zu infizieren (Drive-by-Download).

Longlining: selten, aber auch selten effektiv

Sechs Monate lang hat Proofpoint den E-Mail-Traffic seiner Kunden untersucht. Dabei die Proofpoint-Lösung Targeted Attack Protection zum Einsatz, die Big Data-Analysen verwendet. Im Rahmen der Studie wurden über eine Milliarde E-Mails geprüft, darunter fanden sich dutzende Longlining-Wellen.

Am 3. Oktober 2012 startete beispielsweise ein Angriff in Russland, bei dem innerhalb von drei Stunden mehr als 135.000 E-Mails an über 80 Unternehmen gesendet wurden. Um den gemeinsamen Ausgangspunkt zu verschleiern, verwendeten die Angreifer rund 28.000 unterschiedliche IP-Adressen sowie 35.000 unterschiedliche Aliase. Zwanzig legitime Websites wurden mit Zero-Day-Malware infiziert, um diese per Drive-by-Download zu verteilen.

Der dynamischen Anpassung geschuldet erhielt kein Unternehmen mehr als drei E-Mails mit denselben Merkmalen, so Proofpoint. Letztlich lag ihr Anteil am gesamten Mail-Aufkommen der betroffenen Unternehmen bei weniger als 0,06 Prozent.

Zehn Prozent der Longlining-Nachrichten wurden von den Empfängern geöffnet, im Vergleich zu klassischen Phishing- und Spam-Nachrichten eine hohe Öffnungsrate. Fast jeder fünfte Klick (19 Prozent) auf eine infizierte URL erfolgte im Übrigen von außerhalb des Netzwerks, also unter anderem über mobile Geräte.

Weitere Informationen zu den analysierten Angriffen finden sich im englischsprachigen Proofpoint-Whitepaper zum Longline-Phishing.

(ID:38589730)