Woche 38

Was Sicherheitsexperten derzeit den Schlaf raubt

Uhr
von Coen Kaat

DDoS aus der Cloud, Mega-Hack bei Yahoo und Betrüger betrügen Betrüger. Die Redaktion hat die Neuigkeiten zu Cybercrime und Cybersecurity der Woche zusammengefasst.

(Quelle: Pixabay/DasWortgewand/CC0 Public Domain)
(Quelle: Pixabay/DasWortgewand/CC0 Public Domain)

Seit Anfang Woche macht das Gerücht die Runde, Yahoo sei gehackt worden. Nun hat das Unternehmen diese Meldungen bestätigt. Insgesamt sind die Daten von mindestens einer halben Milliarde Benutzerkonten betroffen, wie Yahoo in einem Blogeintrag schreibt. Die Hacker sollen bereits Ende 2014 eingedrungen sein.

Die Datendiebe machten sich davon mit den Namen der Benutzer, ihren E-Mail-Adressen, Geburtsdaten, gehashten Passwörtern und zum Teil auch mit den Geheimfragen und -antworten zur Passwortwiederherstellung. Sie hätten jedoch keine Kreditkarteninformationen oder unverschlüsselte Passwörter gestohlen, schreibt das Unternehmen.

Yahoo informierte gemäss der Mitteilung alle potenziell betroffenen Benutzer. Das Unternehmen forderte sie dazu auf, ihre Passwörter umgehend zu ändern und die Wiederherstellungsoptionen zu ändern. Ferner sollten sie ihre Konten auf verdächtiges Verhalten überprüfen.

Das Unternehmen arbeitet gemäss dem Blogeintrag mit den Strafverfolgungsbehörden zusammen, um den Fall so rasch wie möglich aufzuklären. Yahoo vermutet, dass die Attacke durch einen Staat unterstützt wurde.

Der kluge Hacker mietet seine Bots

Fast jede Dritte DDoS-Attacke, die im Juli 2016 auf den DACH-Raum abzielte, erfolgte über Cloud-Server. Bei 32,3 Prozent der von Link-11 abgewehrten Attacken konnte das Unternehmen den Einsatz von Cloud-Servern nachweisen, wie es mitteilt.

Im Vergleich zum Jahresanfang sei das ein drastischer Anstieg. Im Januar lag der Wert noch bei 2,1 Prozent. Somit legten die DDoS-Angriffe aus der Cloud um den Faktor 16 zu. Die Rechenleistung aus der Cloud holen sich die Cyberkriminellen bei Amazon Web Services (AWS) und Google.

Früher hackten die Kriminellen noch unzählige Privatrechner und Firmenserver und schlossen diese zu Botnetzen für ihre DDoS-Attacken zusammen. Nun stellt Link-11 jedoch einen Strategiewechsel fest: Die Hacker mieten die benötigte Rechenleistung zunehmend bei Cloud-Anbietern.

Ganz so ehrlich und gesetzestreu werden sie aber trotzdem nicht. Denn sie mieten die Serverkapazität unter falschem Namen und mit gestohlen Kreditkartendaten, wie Link-11 schreibt. Teilweise verwenden sie auch kostenlose Test-Accounts bei Hostern. Wie Link-11 schreibt, sei dies zwar ausdrücklich untersagt in den AGBs. Das halte aber niemanden davon ab.

Bei AWS kann ein Hacker gemäss Mitteilung rasch 200 Server pro Account mieten. Mit diesen 200 Cloud-Servern könnten die Cyberkriminellen Angriffsbandbreiten von mehr als 100 Gigabit pro Sekunde erreichen. Akamai klassifiziert Angriffe ab diesem Schwellenwert bereits als "Mega-Attacken".

Benutzerfreundliche Ransomware sorgt für Boom

Laut den Sicherheitsexperten von Check Point sind die Ransomware-Attacken im vergangenen Monat um 30 Prozent gestiegen. Die Anzahl der aktiven Ransomware-Familien wuchs derweil um 12 Prozent, wie Check Point mitteilt.

Der Anstieg lässt sich mit der Benutzerfreundlichkeit der Malware erklären. Wie Check Point schreibt, lasse sich die Malware leicht anpassen, sofern der Schadcode einmal vorhanden sei. So könne Malware etwa schnell modifiziert werden, um Sicherheitsmechanismen zu umgehen.

Besonders gefährdet sind mobile Geräte. Neben bekannten Schädlingen wie Hummingbad und Ztorg beschreibt Check Point in seiner Mitteilung auch eine neue Bedrohung. Die Backdoor-Malware Triada. Diese öffne eine Hintertür im Gerät des Benutzers, erschleiche sich weitere Zugriffsrechte und installiere so weiteren Schadcode.

Für Unternehmen präsentiere Ransomware eine paradoxe Situation. "Wenn sie das Lösegeld nicht zahlen, sind die Chancen auf eine Wiederherstellung der Daten nach einer erfolgreichen Attacke sehr begrenzt", sagt Nathan Shuchami, Head of Threat Prevention bei Check Point. "Zahlen sie, ermutigt das die Cyber-Kriminellen nur zu weiteren Attacken." Daher sei es wichtig, fortschrittliche Abwehrmechanismen zu implementieren.

Und ein Scammer versucht mit falschem Scam andere Scammer zu scammen

Das Ende der Armut. Das hat ein Facebook-Nutzer den Sicherheitsexperten von Malwarebytes versprochen, wie diese mitteilen. Der Verfasser des Eintrags behauptet, eine Blankokarte für Geldautomaten entwickelt zu haben. Damit könne er jeden Tag 50'000 US-Dollar abziehen. "Jackpotting" nennt sich diese Form von Betrug.

Die Karte funktioniere überall auf der Welt und bei Maschinen aller Hersteller. Der Nutzer wolle die Karte nicht einfach so verteilen. Aber man könne über die aufgeführte Gmail-Adresse eine Blankokarte bei ihm bestellen. Denn er wolle nicht alleine davon geniessen.

Die Sicherheitsexperten stellten sich darauf die Frage, ob das stimmen könnte. Die Antwort folgt sogleich in der Mitteilung: Nein. Es komme zwar vor, dass Hacker einzelne Maschinen einzelner Hersteller knackten. Eine Blankokarte für sämtliche Firmen sei aber quasi ausgeschlossen.

Wieso verfasste der Kriminelle dann den Eintrag? Malwarebytes geht davon aus, dass der Verfasser Geld für seine Dienste verlangen würde. Und dann entweder keine Karte verschickt oder eine, die nicht funktioniert. Letzteres sei besonders hart, da Geldautomaten in der Regel mit Kameras bestückt sind. Der betrogene Betrüger in spe würde also wohl fröhlich grinsend erwischt werden.

Diese Art von Betrugsversuchen seien nicht neu. Aber, wie Malwarebytes schreibt: "Weil irgend so ein Genie das auf unserer Facebook-Seite veröffentlichte, wollen wir trotzdem davor warnen." Der Eintrag auf Facebook wurde mittlerweile gelöscht.

Webcode
DPF8_6133