Gefahr durch das Coronavirus auch im Netz

Mit Beginn der Berichterstattung rund um COVID-19 kam es schnell zu den ersten Phishing-Attacken zum selben Thema, so F-Secures Report. Dabei erkannten die Sicherheitsexperten von F-Secure einen aufsteigenden Trend im Bereich der manuell installierten Malware, also bei den Schadprogrammen, die vor allem durch den Nutzer selbst auf den Rechner geladen werden (Anstieg von 24% im Jahr 2019 auf 35% im 1. Halbjahr 2020). Das Wachstum dieser Methode könnte darauf zurückzuführen sein, dass Tausende Fake-Domains registriert wurden, die beispielsweise „Zoom“-Downloads imitieren. Sie spekulieren darauf, dass Büroangestellte, die nun im Home-Office arbeiten, Software für Videokonferenzen installieren wollen. Der Angreifer erhält dadurch Zugriff auf den Rechner des Opfers und installiert Ransomware, um finanziellen Profit daraus zu schlagen.

„Cyber-Kriminelle haben kaum operative Einschränkungen, so dass sie schnell auf aktuelle Ereignisse reagieren und in ihre Kampagnen einbeziehen können. Die ersten Tage des COVID-19-Ausbruchs haben viele Menschen verwirrt und beunruhigt, und die Angreifer haben versucht, diese Ängste auszunutzen“, sagt Calvin Gan, ein Manager der taktischen Verteidigungseinheit von F-Secure.

Keine Spur von Corona-Krise unter Cyberkriminellen

Die Betrugsversuche haben sich inhaltlich stark auf Themen rund um das Coronavirus verlagert. Obwohl die allgemeine Wirtschaftsleistung dramatisch eingebrochen ist, war von einer Corona-Krise unter Cyberkriminellen nichts zu spüren. So wurde im März, April und Anfang Mai 2020 eine Flut von Spam-Mails mit Pandemie-Bezug registriert. Bei einer Kampagne wurden zum Beispiel E-Mails verschickt, in denen Gesichtsmasken zum Kauf angeboten wurden, die zu dem Zeitpunkt stark nachgefragt waren. Auf den zugehörigen Shopping-Websites infizierten sich die arglosen Kaufinteressenten dann mit Infostealern.

Wer hat es auf wen abgesehen

Eine mittlerweile beliebte Kategorie im „Attack Landscape“-Report ist der „Who’s after who?“, bei dem die Sicherheitsexperten von F-Secure auswerten, von welchen Ländern die meisten Angriffe ausgehen und welche Länder Ziel solcher Attacken sind. Die Daten beruhen dabei auf anfälligen Servern, die von F-Secure wie Köder („Honeypots“) ins Netz gestellt werden und Angriffe provozieren, die dann dokumentiert werden. Der Traffic auf den Honeypots fiel ähnlich hoch aus wie in den Halbjahren von 2019 (1. Halbjahr 2019: 2,9 Mrd.; 1. Halbjahr 2020: 2.8 Mrd.), was Beweis dafür wäre: Ob Pandemie oder nicht, die Angreifer setzen ihre Aktivitäten weiter fort.

Allerdings muss man die Daten mit etwas Vorsicht genießen. Oft verwenden Angreifer Proxies, damit das tatsächliche Ursprungsland nicht ermittelt werden kann. Bei der Auswahl der Quellländer entscheidet oft, wie streng die lokalen Gesetze gegen Cyberkriminalität sind. Die Länder, über deren IP-Adressen die meisten Angriffe erfolgten, sind China, die USA und Irland. Deutschland befindet sich auf Platz acht der weltweiten Angriffs-Quellländer.

Während aus dem chinesischen IP-Raum die meisten Angriffe ausgingen, war auch China mit einem wesentlichen Anteil des Traffics selbst Ziel der Angriffe. Unter den meistbetroffenen Ländern befinden sich aber auch einige europäische Länder: Norwegen, Bulgarien, Niederlande, Dänemark, Österreich, Tschechien und Ungarn sind alle in den Top zehn Zielländern.

Einige weitere Ergebnisse des Berichts sind:

• Einen weiteren Anstieg an Traffic gab es im Juni zum Beginn der Black-Lives-Matter-Bewegung.
• Facebook liegt beim Phishing auf Platz eins der meistimitierten Plattformen, gefolgt von Unternehmen aus dem Finanzsektor (beispielsweise PayPal).
• Die Anzahl der Angriffe auf Cloud-Dienste und E-Mail-Provider wie zum Beispiel Microsoft 365 erlebte ebenfalls einen Aufwärtstrend.
• Telnet und SSH sind die Ports mit dem meisten Traffic.

Der vollständige „Attack Landscape“-Report für das erste Halbjahr 2020 ist auf dem Blog von F-Secure abrufbar.