Malware-Trends: Diese Mail-Attacken kommen in 2021 auf uns zu

Die Mail-Security-Experten von NoSpamProxy veröffentlichen eine Prognose zu den wichtigsten Malware-Trends und Angriffsmethoden auf Mail-Kommunikation in 2021 und fordern zu mehr Kooperation auf.

Net at Work GmbH, der Hersteller der modularen Secure-Mail-Gateway-Lösung NoSpamProxy aus Paderborn, veröffentlicht eine Prognose zu fünf bedeutenden Methoden für E-Mail-Angriffe in 2021. Mit einem besonderen Fokus auf den deutschsprachigen Raum und seine spezifischen Gegebenheiten werden dafür vom NoSpamProxy-Team regelmäßig umfangreiche Datenquellen ausgewertet und die aktuelle Bedrohungslage kontinuierlich analysiert.

Anzeige

Mit dem Projekt Heimdall steht seit mehr als einem Jahr auch ein durch Schwarmintelligenz und Big Data getriebener Ansatz zur Analyse zur Verfügung. Heimdall wertet mit modernsten Big-Data-Analysen kundenübergreifend die Metadaten und Links von Millionen von E-Mails und Anhängen aus. Innerhalb von Minuten kann Heimdall so auf neu auftretende Angriffsmuster reagieren und die angeschlossenen Kunden aktiv schützen. Die parallel kontinuierlich wachsende Datenbasis bietet neuartige Chancen für verbesserte Analysen und Prognosen.

Malware Trends 2021 Quelle Net at Work GmbH 1000

Quelle: Net at Work GmbH

Nach Auswertung der Daten aus 2020 über Angriffsmethoden und -formen zum Jahresende erwarten die Security-Experten vor allem folgende fünf Trends für 2021:

1. Bekannte Plattformen wie Google Forms als Sprungbrett

Schon seit langem versuchen Angreifer durch das Erstellen oder Kapern von Postfächern als legitim bekannter E-Mail-Dienste wie Microsoft oder Google, sich die gute Reputation dieser Plattformen zunutze zu machen. Gleichzeitig bemühen sich die Diensteanbieter, durch neue Technologien und Methoden den Versand von Spam und Malware zu verhindern. Aktuell beobachten die Security-Experten in diesem Hase-und-Igel-Spiel ein Ausweichen auf Nebenschauplätze. So maskieren Angreifer E-Mails zum Beispiel als Unzustellbarkeitsbericht oder als Termineinladung und bauen darauf, dass diese Nachrichten von einigen Security-Lösungen weniger strikt behandelt werden.

Auch der Dienst Google Forms wird seit einigen Wochen massiv für den Versand von Spam und Malware missbraucht. Der Gestaltungsspielraum, den Google für den Versand von E-Mails bei Google Forms zulässt, ist unverständlich: Es können beliebige Absenderinformationen eingegeben werden, die Betreffzeilen sind zu 100% anpassbar und die Inhalte werden von Google ganz offensichtlich nicht geprüft.

Für die Hersteller von E-Mail-Security-Lösungen bedeutet dies, dass neue Wege beschritten werden müssen: Die Abwehr solcher Attacken kann nur durch eine Kombination aus Absenderreputation und aktueller Bewertung der konkreten Links erfolgen. Aus der Absenderreputation lassen sich positive Merkmale ermitteln. So ist beispielsweise für E-Mails aus dem Ticketsystem der Deutschen Bahn mittels Prüfung der SPF-, DKIM- oder DMARC-Angaben automatisiert ermittelbar, ob sie aus einem validen System kommen. Für die Bewertung der konkreten Links und Anhänge haben sich zentrale – sprich instanz- und organisationsübergreifende – Reputationsdienste als besonders wirksam erwiesen. Durch die breite Sichtung von Prüfungsergebnissen zu Metadaten von E-Mails, Links und Anhängen in Echtzeit können diese Systeme sehr zeitnah schädliche Links und Anhänge erkennen. Die Kombination von lokalen Prüfungen und zentralen Mitteln bietet damit Geschwindigkeits- und Skalenvorteile. So kann die Indizienkette zur Bewertung einer eingehenden E-Mail schnell, zuverlässig und vor allem umfangreich aufgebaut und überprüft werden.

2. Emotet wird wiederkommen

Zwar konnte das Bundeskriminalamt in der vergangenen Woche verkünden, dass die Emotet-Infrastruktur zerschlagen wurde, aber es ist davon auszugehen, dass die Angreifer ihre Ansätze und Tools weiter verbessern, um dann – in etwas anderer Form – wieder zuzuschlagen. Mit hoher Wahrscheinlichkeit werden URLs, die auf ungesicherte und gekaperte WordPress-Seiten zeigen, wieder eine zentrale Rolle spielen. Klassische URL-Reputationsmechanismen versagen an dieser Stelle, weil die Domänen überwiegend für legitime Webseiten genutzt werden. E-Mail-Sicherheitslösungen müssen in der Lage sein, mit Hilfe eines Webcrawlers den aktuellen Zustand einer zu prüfenden URL untersuchen zu können und die Information, was sich hinter der URL verbirgt, in die Entscheidung einfließen zu lassen.

Verbirgt sich hinter dem Link beispielsweise keine gewöhnliche HTML-Seite, sondern Dateien oder anderweitig aktiver Inhalt, muss der E-Mail mit Skepsis begegnet werden. Findet sich hinter dem zu prüfenden Link eine DOC-Datei, ist dies auf einer Wordpress-Seite dabei negativer zu bewerten, als wenn dieselbe Datei auf einer etablierten File-Sharing-Plattform wie OneDrive oder Google Drive liegt.

In beiden Fällen ist es wichtig, dass ein zentraler Reputationsdienst gefragt werden kann, ob die Datei bereits bekannt ist. Die Indizienkette zur Bewertung der E-Mail ist damit vollständiger und das Ergebnis der Prüfung zuverlässiger.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

3. Missbrauch von URL-Shortenern

Zum Ende des vergangenen Jahres haben die Security-Experten bei ihrer kontinuierlichen Analyse des Mailverkehrs viel Spam beobachtet, für den herkömmliche HTTP-Forwarder oder URL-Shortener genutzt wurden, um die eigentlichen Links zu verschleiern. Die URLs der Shortener-Dienste werden von gewöhnlichen Klassifizierungsdiensten in der Regel als neutral eingestuft und nicht weiterverfolgt. Das ist eine deutliche Lücke bei der Erkennung schadhafter E-Mails – insbesondere, da teilweise regelrechte Kaskaden an Weiterleitungen genutzt werden, was diese E-Mails noch verdächtiger macht. Auch hier muss die E-Mail-Security-Lösung Crawler einsetzen, um URL-Weiterleitungen sicher nachverfolgen zu können.

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.