Mashup-Attacken im Zeitalter von Web 2.0
Artikel erschienen in Swiss IT Magazine 2009/03
Derzeit lässt sich eine neue Form der Konvergenz beobachten, die vor allem für Service-Provider und deren Kunden von Interesse ist. Bisher dachten diese bei dem Begriff in erster Linie wohl an die Verschmelzung von Festnetz, Mobilfunk und Internet aus einer Hand. Mittlerweile sollten sie die Konvergenz aber auch im Bereich der Online-Sicherheit berücksichtigen. Ähnlich einer gezielten Marketing-Kampagne, bei der die Informationen über unterschiedliche Wege an den Kunden übermittelt werden, stellen aktuell auch Cyber-Kriminelle ihre unerwünschten Nachrichten zu. Immer häufiger setzen sie auf neue und konvergente Angriffsformen und stellen damit die Sicherheitsstrategie der Service-Provider auf den Prüfstand. Mittlerweile lassen sich Angriffsszenarien beobachten, bei denen Bedrohungen über verschiedene Medien verbreitet und verschiedene Techniken kombiniert werden.
Die Bedrohungsarten sind vielfältig, doch in der Regel bekannt. Service-Provider und Sicherheitsunternehmen stehen bekanntermassen vor der Herausforderung, ihre Kunden möglichst wirkungsvoll vor Viren, Spam, Phishing und anderer Schadsoftware zu schützen. Bisher erfolgte dieser Schutz, indem für jede dieser Bedrohungen eine entsprechende Lösung entwickelt und eingesetzt wurde. Anhänge und externe Datenträger wurden von Anti-Viren-Lösungen gescannt und E-Mails von Spam-Filtern durchleuchtet. Doch mit dem Aufkommen neuer Kommunikationsformen, wie etwa sozialen Netzwerken oder Micro-Blogging-Tools wie «Twitter», wurde der Schutz herkömmlicher Lösungen löcherig. Sie sind kaum noch in der Lage, einen ausreichenden Schutz vor Gefahren zu bieten, die aus neuen Medien generiert werden. Der Trend der Cyber-Kriminellen geht heute dahin, dass sie in sogenannten «Mashups» die Eigenschaften von Spam, Phishing und Malware kombinieren und die Angriffe parallel über E-Mail, soziale Netzwerke und auch Mobiltelefone hinweg geführt werden. Diese Mashups bewirken häufig Abgrenzungsprobleme bei der Frage, wann es sich konkret um Spam oder Viren handelt und welche der entsprechenden Lösungen für die Abwehr verantwortlich ist.
So werden E-Mail-Viren heute oftmals mit Hilfe von Spam-Techniken verbreitet, indem der Anwender eine E-Mail erhält, in der sich ein Link zu einer Webseite befindet, auf welcher der Virus plaziert wurde. So geschehen im letzten Herbst zur Präsidentenwahl in den USA. Kurz nach Veröffentlichung der ersten Ergebnisse wurde ein Angriff gestartet, der Empfänger per Link auf eine mit Trojanern verseuchte Webseite führen sollte. Diese Technik überrumpelte herkömmliche Anti-Viren-Programme, da sie keine entsprechenden Abwehrmassnahmen parat hatten. Es stellt sich daher die Frage, ob der Angriff als Spam oder Malware zu klassifizieren ist und wer die Verbreitung hätte verhindern müssen. Da es sich bei solchen Nachrichten um unerwünschte Mailings handelt, erscheint zunächst die Bezeichnung Spam zutreffend. Doch bei dieser Art von Angriffen wird in keiner Weise versucht, den Empfängern etwas zu verkaufen. Stattdessen ist das Ziel, ein Programm zu verbreiten, das Computer ohne ausdrückliche Zustimmung des Anwenders infiziert, was auf die Definition von Malware zutrifft.
Ein ähnlicher Angriff ereignete sich zu Beginn des Jahres. Der populäre Kurznachrichtendienst «Twitter» wurde Anfang 2009 von einem kombinierten Hacker- und Phishing-Angriff heimgesucht, bei dem zunächst schwache Passwörter und interne Supportwerkzeuge des Anbieters ausgenutzt wurden, um diverse Konten unter Kontrolle zu bringen. Von dort aus verschickten die Angreifer sogenannte «Direktnachrichten» an weitere Twitter-Kontakte und verwiesen darin mit einem Link auf eine angeblich interessante Blog-Webseite. Diese stellte in Wirklichkeit einen Phishing-Angriff dar, bei dem nutzerspezifische Informationen ausgespäht werden sollten.
Solche Mashup-Attacken kombinieren jedoch nicht nur die Methoden von Spam und Phishing miteinander. Zur Erfolgsoptimierung ihrer Aktivitäten setzen die Kriminellen auf kampagnenartig ausgeführte Angriffe, die über unterschiedliche Medien hinweg verbreitet werden. Auf diese Weise erhöhen sich ihre Chancen erheblich, da Anwender in der Regel für jedes Medium ein unterschiedliches Sicherheitsbewusstsein entwickelt haben. So rechnen viele Menschen nicht damit, dass sie auch durch die Nutzung von Mobiltelefonen und sozialen Netzwerken zu potentiellen Opfern dieser Bedrohungen werden. Beispielsweise wurde 2008 eine Kurznachricht per Mobiltelefon verbreitet, welche den Text «Someone has a crush on you!» mit einem dazugehörigen Link enthielt. Die Nutzer sollten sich auf einer Webseite anmelden, um zu erfahren, wer ihnen diese «Liebesbotschaft» übermittelt hat. Dabei registrierten sie sich jedoch unwissentlich für einen teuren SMS-Dienst durch ihren Mobilfunkbetreiber.
Die Besonderheit des Angriffes war, dass, nachdem er im Mobilfunkbereich in Form von Handyspam erfolgte, daraufhin auch in sozialen Netzwerken und im E-Mail-Bereich zu beobachten war. Zudem wurden zur Verbreitung der Nachrichten durch Viren erstellte Botnetze und kompromittierte Webmail-Konten genutzt, an die man durch Phishing gelangt war.
Wie aufgezeigt, werden moderne Angriffe über unterschiedliche Kommunikationskanäle lanciert und setzen dabei verschiedenste Techniken ein. Folglich ist Konvergenz ein Thema, das für Security-Verantwortliche verstärkt an Bedeutung gewinnt. Man sollte deshalb nach Sicherheitsplattformen Ausschau halten, die unabhängig von der jeweiligen Angriffsart funktionieren und über unterschiedliche Medien hinweg arbeiten. Nur so können sie diesen modernen Bedrohungen begegnen und ihre Kunden wirkungsvoll davor schützen.
Effektive Sicherheitslösungen sollten darauf ausgelegt sein, alle Formen von Bedrohungen stoppen zu können, egal ob Spam, Phishing, Viren oder «konvergente» Attacken. Zudem sollte sich der Schutz über E-Mail, Mobile Messaging und die Kommunikation in sozialen Netzwerken hinweg erstrecken. Nicht zuletzt müssen aber auch die Endanwender ein verstärktes Sicherheitsbewusstsein entwickeln und schon heute sowie in Zukunft damit rechnen, dass sich Kriminelle immer neue Wege erschliessen, um an ihre Ziele zu gelangen.
· Vermehrt werden in «Mashups» Eigenschaften von Spam, Phishing und Malware kombiniert.
· Angriffe erfolgen zunehmend parallel über mehrere Kommunikationskanäle hinweg.
· Sicherheitsplattformen, die unabhängig von der jeweiligen Angriffsart funktionieren und über unterschiedliche Medien hinweg arbeiten, sind gefragt.