Nach dem massiven Tumblr-Leck ist es Zeit, über Phishing zu sprechen
Ach je. Nicht das schon wieder. 68 Millionen Tumblr-Konten wurden ins dunkle Netz gespritzt und werden für den spärlichen Preis von 0,452 Bitcoins verkauft. Zum Zeitpunkt des Schreibens sind das etwa 240 Dollar.
Auf den ersten Blick können Sie eine Parallele zwischen diesem Datenleck und dem LinkedIn-Leck von vor zwei Wochen ziehen. Was Sie über den massiven LinkedIn-Konten-Leak wissen sollten Was Sie über den massiven LinkedIn-Konten-Leak wissen müssen Ein Hacker verkauft 117 Millionen gehackt LinkedIn-Anmeldeinformationen im Dark Web für rund 2.200 US-Dollar in Bitcoin. Kevin Shabazi, CEO und Gründer von LogMeOnce, hilft uns zu verstehen, was gefährdet ist. Weiterlesen . Erstens sind beide Datensätze wirklich alt; Der LinkedIn-Verstoß stammt aus dem Jahr 2012 und der Tumblr-Verstoß stammt aus dem Jahr 2013. Beide Datensätze sind enorm, und beide wurden von derselben Person im Dark Web aufgeführt - Seelenfrieden.
Aber hier enden die Ähnlichkeiten, denn obwohl LinkedIn seine Passwörter nicht richtig gesichert hat, wurden die Tumblr-Codes mit (relativ) starker SHA-1-Verschlüsselung geschützt. Dies bedeutet, dass ein Angreifer kaum in sein Tumblr-Konto eindringen oder die Login-Kombinationen für andere Dienste wie Facebook, PayPal oder Twitter wiederverwenden kann.
Es gibt jedoch einen Nachteil. Ein Angreifer, der jetzt den Dump kauft, verfügt über eine Liste von 68 Millionen aktiven, verifizierten E-Mail-Konten. Dies bedeutet, dass jeder Benutzer, der sich darin verfängt, ein höheres Risiko für Phishing- und E-Mail-basierte Angriffe hat.
Also, wie sieht Phishing im Jahr 2016 aus und welche Schritte können Sie unternehmen, um sich zu schützen?
Phishing ist nicht passé
Wenn Sie nicht auf den Bericht von Vice's Motherboard gestoßen wären, könnte Ihnen der Gedanke vergeben werden, Phishing sei ein verstaubtes Relikt der 1990er und frühen 2000er Jahre, das auf die Anfänge des Internets im Internet zurückzuführen ist, und niemand wusste wirklich, wie die Dinge funktionieren. Sie argumentieren sicherlich, dass niemand mehr in Phishing-E-Mails verfällt.
Die Statistiken würden nicht zustimmen. Erstens werden Phishing-E-Mails immer noch in unwahrscheinlich großer Anzahl verschickt. Laut der von Kaspersky gehaltenen SecureList machten Phishing- und Spam-E-Mails im dritten Quartal 2015 54,2% aller E-Mails aus. Dies war ein leichter Rückgang gegenüber dem Vorquartal, aber immer noch eine bemerkenswerte Anzahl von Nachrichten.
In Q3 2015 betrug der Anteil von #spam im E-Mail-Verkehr 54,2% #KLreport #infosec https://t.co/nKGjX6CH3N pic.twitter.com/Sxs0wM7my7
- Kaspersky Lab (@kaspersky) 12. November 2015
Die größte Quelle für Phishing-E-Mails sind die Vereinigten Staaten, dicht gefolgt von Vietnam, China und Russland. Interessanterweise ist Brasilien mit den meisten von Phishing betroffenen Nutzern Brasilien, gefolgt von Japan, China und Vietnam. Weder die Vereinigten Staaten - noch irgendein anderes entwickeltes westliches Land - gehören zu den Top-Ten.
Während die Rate der bösartigen und Spam-Mails insgesamt leicht gesunken ist, ist die Anzahl der Phishing-E-Mails gestiegen. Laut Symantec ist der Anteil der Phishing-E-Mails im Januar 2015 von 1: 1517 E-Mails auf 1: 1004 gestiegen.
Anti-Spam wird intelligenter, aber auch Phishing-E-Mails
In den 1990er und 2000er Jahren war Anti-Spam-Software unkompliziert und kaum zu gebrauchen. Viele Programme haben außer der Suche nach Schlüsselwörtern - wie "viagra" - wenig getan und alle E-Mails, die sie enthalten, in den Papierkorb verschoben. Spammer und Phisher haben sie umgangen, indem sie die Wörter, die auf der Keyword-Liste standen, absichtlich falsch geschrieben haben. Aus 'Viagra' wurde 'v1agra', aus dem dann 'v1agr4' und dann 'v1a8r4' wurde. Du hast die Idee.
Einige wurden noch kreativer und versteckten die Wörter zwischen Bildern und speziell farbigen Tabellen.
Das Endergebnis war, dass die Benutzer buchstäblich waren überflutet mit Spam- und Phishing-Angriffen. Das änderte sich jedoch gegen Ende der 2000er Jahre, als Anti-Spam endlich schlau wurde. Schnellere Computer bedeuteten, dass Online-E-Mail-Dienste - wie Google Mail und Outlook - komplizierte Berechnungen in Echtzeit durchführen konnten. Dabei wurde festgelegt, ob eine E-Mail an den Posteingang des Benutzers oder an den Spamordner gesendet wird.
Anstatt nur nach Schlüsselwörtern zu suchen, begannen Spam-Filter nach Dingen wie dem Ursprung der E-Mail-Nachricht und dem Verhalten anderer Benutzer in E-Mails ähnlicher Art zu suchen.
Die Spammer haben nicht aufgegeben. In der Tat laut Securelist, Sie werden noch schlauer, und es wird immer schwieriger, eine Phishing-E-Mail zu erkennen. So erkennen Sie eine Phishing-E-Mail. Wie Sie eine Phishing-E-Mail erkennen? Das Erfassen einer Phishing-E-Mail ist schwierig! Betrüger posieren als PayPal oder Amazon und versuchen, Ihr Passwort und Ihre Kreditkartendaten zu stehlen. Ihre Täuschung ist nahezu perfekt. Wir zeigen Ihnen, wie Sie den Betrug erkennen können. Weiterlesen .
Securelist bemerkte in seinem Bericht unter anderem, dass sich Spammer bei Spam und Phishing oft saisonal verhalten. Während des Sommers wurde festgestellt, dass die Anzahl der Phishing-E-Mails mit einem Reisethema anstieg.
“Im Juli versuchten Betrüger, Benutzer zu täuschen, indem sie gefälschte Benachrichtigungen im Namen von Hotels sendeten. Die Nachricht dankte den Empfängern für den Aufenthalt in ihrem Hotel und bat sie, die beigefügte Rechnung einzusehen. Das angehängte Archiv enthielt tatsächlich Trojan-Downloader.Win32.Upatre.dhwi, das wiederum Trojan-Banker.Win32.Dyre (angezeigt als 98. ***. **. 39 / cv17.rar) durch Anklicken der Links heruntergeladen und ausgeführt hat in den Körper des Downloaders geschrieben.”
Eine Taktik, um Anti-Spam-Programme zu umgehen, besteht darin, alles in eine PDF-Datei zu packen, die der Benutzer dann öffnen würde. Dies ist effektiv, da es erstaunlich schwierig ist, eine PDF-Datei programmgesteuert zu "lesen".
Phishing-PDF
hXXp: //dgreenwell.chytrak.cz/Label.html pic.twitter.com/eJl2RmImcJ- JaromirHorejsi (@JaromirHorejsi) 18. Januar 2016
Als die Anti-Spam-Filter an diesen Trick gewöhnt waren, begannen die Spammer, Mediabox-Objekte in angehängten PDF-Dateien zu verwenden, Elemente in PDF-Dokumenten, die per Mausklick geöffnet werden. Sie können verwendet werden, um den Benutzer auf Phishing-Websites umzuleiten.
Ein Phishing-Trampolin - Einbetten von Weiterleitungen in PDF-Dokumente http://t.co/E7lPSiB4q5 pic.twitter.com/BU97TpD1TK
- Mohtashim Nomani (@ mohtashim712) 18. September 2015
Dieses Katz-und-Maus-Spiel zeigt kein Ende, mit einem klaren Sieger. In der Tat könnte sich der Krieg verschärfen.
Legitime Services passen ihre E-Mails an, aber auch Angreifer
Um ihre Benutzer vor Phishing-E-Mails zu schützen, haben Online-Dienste - insbesondere Online-Banking-Dienste - ihre E-Mails mit einem kleinen "Token" angepasst, der für den Benutzer einzigartig ist. Eine der von mir verwendeten Banken enthält die letzten drei Ziffern meiner Kontonummer für alle elektronischen Korrespondenz. Bei einem anderen werden die ersten drei Zeichen meiner Postleitzahl oben in allen E-Mails angezeigt.
Darauf sollten Sie immer achten.
Interessanterweise haben Angreifer auch damit begonnen, ihre E-Mails zu personalisieren, um effektiver zu sein. Eines ist mir aufgefallen, dass einige Phishing-E-Mails angefangen haben, den ersten Teil einer E-Mail-Adresse (alles vor dem "@") zu übernehmen und in die Anrede zu stellen. Meine Arbeits-E-Mail lautet '[email protected]', daher beginnen diese E-Mails mit 'Dear mhughes'..
SMS - Die nächste Grenze des Phishing
Zunehmend werden die von uns genutzten Online-Dienste mit unseren mobilen Geräten verknüpft. Bei einigen Diensten wird nach Ihrer Telefonnummer gefragt, um die Zwei-Faktor-Authentifizierung einzurichten. Was ist Zwei-Faktor-Authentifizierung und warum sollten Sie sie verwenden? Was ist Zwei-Faktor-Authentifizierung und warum sollten Sie Zwei-Faktor-Authentifizierung (2FA) verwenden? Eine Sicherheitsmethode, die zwei verschiedene Methoden zum Nachweis Ihrer Identität erfordert. Es wird häufig im Alltag verwendet. Zum Beispiel erfordert das Bezahlen mit einer Kreditkarte nicht nur die Karte, sondern auch… Lesen Sie mehr. Andere fragen danach, um Informationen mit Ihnen zu teilen.
Websites schützen Handynummern nicht wie Kennwörter. Der Grund dafür ist, wenn Sie ein Passwort hash und salzen Jede sichere Website dies mit Ihrem Passwort tut Jede sichere Website dies mit Ihrem Passwort tut Haben Sie sich jemals gefragt, wie Websites Ihr Passwort vor Datenverletzungen schützen? Lesen Sie mehr, es wird unmöglich zu lesen. Damit Websites Nachrichten senden oder eine Nummer anrufen können, müssen sie diese ungeschützt halten.
Diese Tatsache, gepaart mit extrem billigen (völlig legitimen) Textnachrichtendiensten wie Twilio, Nexmo und Plivo (von denen die Leute weniger misstrauisch sind), bedeutet, dass sich Angreifer zunehmend auf SMS als Angriffsvektor stützen.
Diese Art von Angriff hat einen Namen: Smishing, während Phishing als Phishing bezeichnet wird. Neue Phishing-Techniken, die zu beachten sind: Vishing und Smishing Neue Phishing-Techniken: Vishing und Smishing Vishing und Smishing sind gefährliche neue Phishing-Varianten. Worauf sollten Sie achten? Woher wissen Sie einen Versuch oder einen Versuch, wenn er ankommt? Und bist du wahrscheinlich ein Ziel? Weiterlesen .
Verdächtige bekommen
Wenn Sie nicht wissen, ob Sie sich im Tumblr-Dump befinden, können Sie dies herausfinden, wenn Sie zu Troy Hunt's Have I Been Pwned gehen.
In diesem Fall sollten Sie Ihre Kennwörter zurücksetzen und für alle Ihre Konten die Zwei-Faktor-Authentifizierung einrichten. Aber noch wichtiger, Sie sollten Ihren Verdachtsmesser auf elf stellen. Ich habe keinen Zweifel, dass betroffene Benutzer in den kommenden Wochen eine Zunahme der Spam- und Phishing-E-Mails sehen werden. Sie werden überzeugend aussehen. Um auf der sicheren Seite zu sein, müssen Tumblr-Benutzer anfangen, eingehende E-Mails mit einer gesunden Dosis Skepsis zu behandeln.
Warst du im Leck gefangen? Verdächtige E-Mails erhalten? Lass es mich in den Kommentaren wissen.
Bildnachweise: HTML Table Bitmap (Niels Heidenreich)
Erfahren Sie mehr über: Hacking, Phishing, Tumblr.