2010 – Dreistere Angriffe, raffiniertere Methoden

Wie im richtigen Leben passen die kriminellen Vertreter der Cyber-Schattenwirtschaft ihre „Verdienstmöglichkeiten“ den sich ändernden Gegebenheiten an, und Malware-Entwickler, Anbieter von Anti-Detection-Software oder Botnet-Betreiber verbessern ihre Kompetenz. Zu diesem Ergebnis kommt der neue Gefahren-Report 2010 von Trend Micro. Wie auch in der realen Wirtschaft stellen ein harter Konkurrenzkampf sowie infolgedessen sinkende Gewinnmargen die Hauptantriebsfaktoren für die kriminellen Aktivitäten dar. Hinzu kommt, dass die Finanzinstitute strengere Sicherheitsmaßnahmen (etwa Multi-Faktor-Authentifizierung) getroffen haben, um dem Datenklau einen Riegel vorzuschieben.
Deshalb werden die Cyberkriminellen bessere und schnellere Wege finden, um Informationen zu stehlen und diese in Bares umzuwandeln. Bereits im letzten Jahr entdeckten die Forscher mit dem BEBLOH-Angriff eine Cyber-Taschendiebstahl genannte Methode, bei der die Malware nicht nur Kreditkarteninformationen stahl, sondern auch Geld vom Konto des Opfers auf ein anderes überwies. Diese Attacken werden sich 2010 häufen. Mehr noch, die Cyberkriminellen werden sich neue, dreistere und direktere Methoden ausdenken, um an Geld zu kommen – beispielsweise nach dem Muster der bereits bekannten gefälschten Antivirussoftware, die „Lösegeld“-Komponenten umfasst. Der Nutzer muss zahlen, sonst kommt er an wichtige Dateien oder die Internetverbindung nicht mehr heran.
Um ein breiteres Publikum mit Webangriffen zu treffen, nutzen die Kriminellen vermehrt Data Mining-Techniken und Top-Suchanfragen in Google. Damit lassen sich Trends erkennen und die Nutzer, die nach diesen beliebten Themen suchen, mit bösartigen Webseiten überlisten, deren Links in den entsprechenden Search Strings eingebettet sind. Des weiteren nennen die Fachleute verseuchte Anzeigen (Malvertisment) und Drive-by-Downloads als weitere Angriffsmethoden im Web.
Soziale Netzwerke spielen bei der Verbreitung von Online-Gefahren weiterhin eine große Rolle. Die Qualität und Quantität der veröffentlichten Daten der Benutzerprofile und die Möglichkeit, Interaktionen nachzuverfolgen, laden Cyberkriminelle geradezu ein, die Identität des Nutzers zu stehlen und für weitere Social Engineering-Angriffe zu missbrauchen. 2010 wird sich die Situation zuspitzen, vor allem weil auch viele Unternehmen dazu übergehen, Facebook und Twitter und andere Kontaktdienste für die Kommunikation mit Kunden zu nutzen.
Die Entwicklungen im Markt der mobilen Betriebssysteme und Geräte, mit riesigen Speicherkapazitäten, zahlreichen Anwendungen und der Möglichkeit, sensible Daten vorzuhalten, werden das iPhone und Googles Android-Plattform zu beliebten Angriffszielen für die „Bad Guys“ – umso mehr, da zum ersten Mal eine Art von Handset-Monokultur entstanden ist, die ein enormes Potenzial für Attacken bietet.
Botnetze bleiben natürlich weiterhin als Angriffsmittel in Betrieb. Auch hier werden sich die erfolgreichsten durchsetzen, und das sind Trend Micro zufolge die auf einer Peer-to-Peer-Architektur beruhenden, weil diese am schwierigsten zu zerschlagen sind. HTTP wird zum beliebtesten Kommunikationsprotokoll, weil die meisten Firewalls diesen Verkehr durchlassen.
Nicht nur Anwender fangen an, sich mit dem Internet Protocol v.6 (IPv6) auseinanderzusetzen, auch Cyberkriminelle sind aktiv. Man kann erwarten, dass erste Proof-of-Concept-Elemente in IPv6 in diesem Jahr sichtbar werden. Mögliche Zugänge für einen Missbrauch enthalten Covert Channels (parasitärer Kommunikationskanal, welcher Bandweite von einem legitimierten Kommunikationskanal benutzt) oder Command & Control-Mechanismen.
Last but not least, entstehen durch die weitere Verbreitung des Konzepts des Cloud Computings auch neue Angriffspunkte. Trend Micro geht davon aus, dass Cyberkriminelle dabei entweder die Anbindung zur Wolke anvisieren oder aber das Cloud-Datenzentrum selbst. Provider sichern ihre vielen Systeme auf dieselbe Weise und somit werden diese zu einem attraktiven Ziel für die Angriffe der Kriminellen. Infiltrierte Websites können als Sprungbrett für Angriffe auf weitere Server innerhalb desselben Datencenters dienen, warnen die Fachleute. Beispielsweise könnten Angreifer gefälschte DHCP-Server oder Router installieren. Auch die öffentlichen APIs von Virtualisierungsanbietern wie Amazon Web Services könnten zu interessanten Zielen für die Kriminellen werden.