Aktuelle Bedrohungen im Internet - raiffeisen.at · Ing. Michael Müller Gruppenleiter Security Competence Center Leiter R-IT CERT Phone: +43 1 99 3 99-2525 Mobile: +43 664 88772525

Aktuelle Bedrohungen im Internet

09.10.2017

Ing. Michael Müller

Gruppenleiter Security Competence Center

Leiter R-IT CERT

Phone: +43 1 99 3 99-2525

Mobile: +43 664 88772525

E-Mail: [email protected]

Web: www.r-it.at Schwerpunkte:

• „Legales Hacken“, Penetration Tests

• Schulungen, Workshops

• Bearbeitung von Sicherheitsvorfällen

(CERT)

RAIFFEISEN INFORMATIK

|

Motive der Angreifer

Hacktivismus

Legen Daten offen, um Botschaften zu verbreiten

Cyber Kriminalität

Mehr als 300 Milliarden Euro Schaden jährlich in der EU1)

Spionage

Spionage von Geheimdiensten und Wirtschaftsspionage Shadow Brokers veröffentlicht Werkzeuge der NSA

09.10.2017 Aktuelle Bedrohungen im Internet | nicht eingeschränkt 3

1) Quelle: https://media.arbeiterkammer.at/noe/pdfs/Treffpunkt_0114_web.pdf


|

Inhalt

Passwörter

WLAN

Sicherheit im Internet

Crypto Ransomware / Erpressungstrojaner

CEO Fraud / Betrug mit Chef-Masche


|

Passwörter



|

Passwörter – Ein paar Zahlen

ca. 35.000 "wahrscheinliche" Geburtsdaten

ca. 300 Millionen einfache 6-stellige Passwörter (Kleinbuchstaben)

ca. 53 Trillionen komplexe 10-stellige Passwörter (Groß, klein, Ziffern, Sonderzeichen)


35.000

300.000.000

53.000.000.000.000.000.000

Kommerzielle Produkte:

tw. mehr als 5 Milliarden Passwörter pro Sekunde


|

Passwort knacken



|

Passwörter – Gefahren


"Passwort Recycling" "Eines für Alle"

Wörterbuchangriff "wo rohe Kräfte sinnlos

walten"

"Erinnerungshilfen"


|

Passwort schon einmal geknackt?

https://haveibeenpwned.com/Passwords 4.778.372.805 gehackte Accounts

Vorsicht, geben sie nicht Ihre Passwörter bekannt!


https://haveibeenpwned.com/




|

Wie merke ich mir alle Passwörter?

Verwendung eines Passwort Safes! z.B. KeePass Passwort Safe

Passwörter werden verschlüsselt gespeichert


Anmeldung mit Passwort,

Schlüsseldatei oder beides Passwörter können temporär in Zwischenablage kopiert werden


|

Wie merke ich mir alle Passwörter?

Apps für Mobile Geräte sind verfügbar

Passwort Phrasen Lange Sätze als Passwörter verwenden

2-Faktor Authentifizierung Haben und Wissen


Android Keepass2Android

Apple IOS iKeePass

Apple IOS PassDrop 2


|

Passwörter – Checkliste


Ist das Passwort hinreichend komplex?

mehr als 10 Zeichen

Groß- und Kleinschreibung, Ziffern, Sonderzeichen

Kein Geburtsdatum

kein Wörterbucheintrag

Verwenden Sie dieselben Passwörter auch für unterschiedliche

Bereiche (E-Mail, Soziale Netze, Internet-Foren, Beruf)?

Wie oft wechseln Sie Ihr Passwort?

Verwendung eines Passwort Safes

|

Wie sicher ist ihr WLAN zuhause oder öffentliche WLANs?



|

WLAN Sicherheit

Was sind die Gefahren, wenn jemand in mein WLAN eindringt?

Angreifer ist in ihrem Netzwerk

weitere Angriffe wesentlich leichter

"Mitlauschen"

über Ihr Netzwerk surfen



|

WLAN Sicherheit

Aber die Standardeinstellungen sind doch sicher, oder?


http://www.nickkusters.com/Services/Thomson-SpeedTouch





|

WLAN Sicherheit – Verschlüsselung


Verschlüsselungsart Sicher?

WEP Sehr unsicher;

innerhalb weniger Minuten geknackt

WPA2-AES Je nach Passwort (und SSID);

mehr als 20 Stellen, hinreichend

komplex: sicher

WPA2 Enterprise Gilt als sicher –

für Privatbereich i.d.R. zu kompliziert

WPS ist sehr unsicher, daher unbedingt deaktivieren

"SSID" – Service Set Identifier = Name des WLAN


|

Vorsicht bei Gratis WLANs


WLAN

WLAN

Router

Internet

www.orf.at

www.gmx.at

banking.raiffeisen.at

Angreifer

Benutzer


|

Vorsicht bei Gratis WLANs – HTTPS / SSL


WLAN

WLAN

Router

Internet

www.orf.at

www.gmx.at


Angreifer

Benutzer


|



WLAN

WLAN

Router

Internet

www.orf.at

www.gmx.at


Angreifer

Benutzer


|



WLAN

WLAN

Router

Internet

www.orf.at

www.gmx.at


Angreifer

Benutzer


|

WLAN Sicherheit – Checkliste

Ist WLAN notwendig?

Sicheres WLAN-Passwort gewählt

"SSID" geändert?

Verschlüsselung eingestellt?

"WPS" deaktiviert?

Administrator Kennwort geändert?


|

Sicherheit im Internet



|

Sicherheit im Internet – Warnungen



|

Sicherheit im Internet – Phishing


Raiffeisen wird Ihnen nie eine E-Mail

schicken, in der Sie aufgefordert werden,

geheime Bankdaten bekanntzugeben bzw. zu

aktualisieren!


|

Sicherheit im Internet – Mein Account gehackt?

https://haveibeenpwned.com/ 4.778.372.805 gehackte Accounts



|

Sicherheit im Internet – Checkliste

Hohe Sicherheitseinstellungen

Keine Passwörter im Browser speichern

Halten Sie Ihren Browser und Plugins aktuell

Warnungen lesen und beherzen

vor allem bei Java, Flash und "Zertifikaten"

Nicht einfach "abklicken"

Überlegen Sie sich, was Sie von sich preisgeben


|

Crypto Ransomware / Erpressungstrojaner



|

Erpressungstrojaner verschlüsseln Daten


Quelle: http://wien.orf.at/news/stories/2794230/

https://www.heise.de/thema/Ransomware

http://arstechnica.com/security/2013/10/youre-infected-if-you-want-to-see-your-data-again-pay-us-300-in-bitcoins/

http://wien.orf.at/news/stories/2794230/

http://wien.orf.at/news/stories/2794230/



































|

Crypto Ransomware

CryptoLocker, TorrentLocker, Cryptowall Locky, TeslaCrypt oder Cerber

Kriminelle infizieren den PC des Opfers, verschlüsseln alle Dateien und verlangen Lösegeld für Entschlüsselung

Kriminelle nutzen moderne Verschlüsselungsverfahren, die nicht entschlüsselt werden können



|

Geschäftsmodell

Hoher Leidensdruck beim Opfer

Kinderfotos oder Diplomarbeit verloren

Alle Kontakte weg

Unternehmensdaten nicht mehr verfügbar

Aufwand der Wiederherstellung größer als die Erpressersumme

Zahlungen mit Ist anonym und muss nicht „gewaschen“ werden

Kurios: Ransomware fordert Spiele Highscore



|

Infektionswege

Versenden von Spam E-Mails getarnt als Rechnung, Nachricht vom Paketdienst, Anwaltsbriefe / Drohungen

mit Anhängen, die ausführbare Dateien enthalten

Links (URLs) um Schadsoftware herunter zu laden

Besuch einer kompromittierten Webseite

Ausnutzung von Sicherheitslücken im Web Browser oder der Browser Plug-ins (Drive-By-Infektionen)

Ungeschützte Fernwartungszugänge



|

Maßnahmen im Vorfeld umsetzen!

Aktuelles, funktionierendes Backup

Backup auf eigener Hardware und offline vom PC

Funktion des Backups überprüfen

Keine Schreibrechte auf Archiv

Application Whitelisting

Es dürfen nur bekannte Applikationen ausgeführt werden Crypto Ransomware kann nicht starten

Organisatorischer Aufwand um benötigte Applikationen zu erheben

Advanced Persistent Threat (APT) Protection

Datei Download wird in einer „Sandbox“ analysiert und ggf. geblockt



|

Maßnahmen im Vorfeld umsetzen!

Blocken von ausführbaren Dateien

Applikationen: .exe, .pif, .application, .gadget, .msi, .msp, .com, .scr, .hta, .cpl, .msc, .jar

Potentiell gefährliche Dateien: .pdf, .doc, .rtf, .ppt, .xls, .odt

Office Makros: .docm, .dotm, .xlsm, .xltm, .xlam, .pptm, .potm, .ppam, .ppsm, .sldm

Containerformate: .zip, .rar, .tar, .7z, .z, .iso…

Skripte: .bat, .cmd, .vb, .vbs, .vbe, .js, .jse, .ws, .wsf, .wsc, .wsh, .ps1, .ps1xml, .ps2, .ps2xml, .psc1, .psc2, .msh, .msh1, .msh2, .mshxml, .msh1xml, .msh2xml

Verknüpfungen und andere: .scf, .lnk, .inf, .reg, .dll



|

Verhalten bei Infektion

Netzwerkkabel vom PC trennen und WLAN abschalten

Für forensischer Analyse ist „Memory Dump“ des Arbeitsspeichers und Sicherung der Festplatte notwendig

Kopie der verschlüsselten Festplatte aufheben, um vielleicht später die Dateien wiederherzustellen z.B. TeslaCrypt

Neuinstallation

Betriebssystems von „sauberem“ Datenträger

Überprüfung des Backups nach Schadprogrammen

Rückspielen des Backups



|

Verhalten bei Infektion

Wiederherstellung in seltenen Fällen möglich z.B. gelöschte Dateien, schwacher Verschlüsselung oder Fehler in Ransomware

Decrypter verwenden https://id-ransomware.malwarehunterteam.com/ https://www.varonis.com/ransomware-identifier/ https://www.nomoreransom.org/de/index.html


https://id-ransomware.malwarehunterteam.com/





https://www.varonis.com/ransomware-identifier/




https://www.nomoreransom.org/de/index.html

https://www.nomoreransom.org/de/index.html


|

Lösegeld zahlen?

Es gibt kein Entschlüsselungsprogramm, kein funktionierendes Backup und die Daten werden dringend benötigt?

Ca. 20% bekommen keinen Schlüssel!

Kriminelle nicht kontaktieren

Kein Lösegeld zahlen

Anzeige erstatten



|

Crypto Ransomware / Erpressungstrojaner – Checkliste

Aktuelles, funktionierendes Backup (keine Schreibrechte auf Archiv)

Laufende Softwareupdates

Anti Virus und Anti Spam

Getrennte Konten für jeden Nutzer und eigenes Admin Konto

Backup auf eigener Hardware und nicht dauerhaft mit PC verbinden

Awareness der User

Für Firmen:

Application Whitelisting

Blocken von speziellen Dateiendungen

Hardening der Systeme

Advanced Persistent Threat (APT) Protection


|




|



Quelle: http://www.wallstreet-online.de/nachricht/8862132-ceo-fraud-enkeltrick-groesser-chef-masche-deutsche-unternehmen-110-millionen-euro-erleichtert

http://www.wallstreet-online.de/nachricht/8862132-ceo-fraud-enkeltrick-groesser-chef-masche-deutsche-unternehmen-110-millionen-euro-erleichtert






























|

Seitenquelltext im Lotus Notes


[email protected]


|

E-Mails im Detail: Quelltext

Received: from xlspam01-internal.wien.rbgat.net ([10.14.36.18]) by mx01.mdcs.at (Lotus Domino Release 8.5.3FP6) with ESMTP id 2015090822122811-231477 ; Tue, 8 Sep 2015 22:12:28 +0200 Received-SPF: None (xlspam01.mdcs.at: no sender authenticity information available from domain of [email protected]) identity=helo; client-ip=195.3.96.112; receiver=xlspam01.mdcs.at; envelope-from="[email protected]"; x-sender="[email protected]"; x-conformance=sidf_compatible.downgrade_pra X-IronPort-Anti-Spam-Filtered: true X-IronPort-Anti-Spam-Result: A0EJDgAEQO9VnHBgA8NdGQEBBgEBhBepOQIJBoQal2IBgT08EAEBAQEBAQEDDgEBAQEBBg0JCSEuQQECAoR7AQKJYgGnY6QwhiyCTweIFoMBgRQFkjKDHAeBSIFFhR6fRoFwCwEBAQGCKYNsVIR4AQEB X-IPAS-Result: A0EJDgAEQO9VnHBgA8NdGQEBBgEBhBepOQIJBoQal2IBgT08EAEBAQEBAQEDDgEBAQEBBg0JCSEuQQECAoR7AQKJYgGnY6QwhiyCTweIFoMBgRQFkjKDHAeBSIFFhR6fRoFwCwEBAQGCKYNsVIR4AQEB X-IronPort-AV: E=Sophos;i="5.17,492,1437429600"; d="scan'208,217";a="272481695" Received: from smtpout.aon.at ([195.3.96.112]) by xlspam01.mdcs.at with ESMTP/TLS/DHE-RSA-AES256-SHA; 08 Sep 2015 22:12:27 +0200 Received: (qmail 28981 invoked from network); 8 Sep 2015 20:12:27 -0000 X-Spam-Checker-Version: SpamAssassin 3.4.0 (2014-02-07) on WARSBL507.highway.telekom.at X-Spam-Level: Received: from 178-190-254-83.adsl.highway.telekom.at (HELO [10.0.0.2]) ([178.190.254.83]) (envelope-sender <[email protected]>) by smarthub82.res.a1.net (qmail-ldap-1.03) with AES128-SHA encrypted SMTP for <[email protected]>; 8 Sep 2015 20:12:26 -0000 X-A1Mail-Track-Id: 1441743143:28755:smarthub82:178.190.254.83:1


Start

Ziel

1. „Received-Header“:

IP-Adresse

des Absenders

„Zwischenstationen“

inklusive IP-Adressen


|

E-Mails im Detail: Quelltext

From: [email protected] Subject: Herzliche Gratulation! To: [email protected] Mime-Version: 1.0 (Mac OS X Mail 7.3 \(1878.6\)) X-Mailer: Apple Mail (2.1878.6) X-TNEFEvaluated: 1 Message-ID: <[email protected]> Date: Tue, 8 Sep 2015 22:12:22 +0200 X-MIMETrack: Serialize by Notes Client on Wilhelm RAIFFEISEN/R-IT/RAIVIE/AT(Release 8.5.3FP6 SHF416|February 28, 2015) at 10.09.2015 15:47:20, Serialize complete at 10.09.2015 15:47:20 Content-Type: multipart/alternative; boundary="Apple-Mail=_2EAAD322-AEEC-4CA4-B750-483B526F6D14" --Apple-Mail=_2EAAD322-AEEC-4CA4-B750-483B526F6D14 Content-Transfer-Encoding: quoted-printable Content-Type: text/plain; charset=iso-8859-1 Sie haben gewonnen! Klicken Sie hier um Ihren Gewinn zu best=E4tigen. Mit freundlichen Gr=FC=DFen MisterX.= --Apple-Mail=_2EAAD322-AEEC-4CA4-B750-483B526F6D14 Content-Transfer-Encoding: quoted-printable Content-Type: text/html; …


Diese Angaben können

vom Absender beliebig erfasst werden

und geben nicht unbedingt Auskunft

über den wirklichen Absender bzw.

das tatsächliche Sendedatum.

Auch Informationen über verwendete

Technologien und E-Mail-Programme

finden sich im Quelltext.

Hier beginnt der eigentliche Inhalt

der E-Mail bzw. die Nachricht.

Alles davor sind „Header“ bzw.

„Informationen am Briefumschlag“


|

Wem gehört diese IP-Adresse?

https://apps.db.ripe.net/search/query.html





|

Wird über diese IP-Adresse Spam verschickt?

http://www.senderbase.org/





|

Analyse von Dateianhängen

https://www.virustotal.com/de/






|

CEO Fraud / Betrug mit Chef-Masche – Checkliste

Prozess bei der Freigabe von Rechnungen (4-Augen Prinzip)

Nachfragen beim Vorgesetzten muss erlaubt sein!

Awareness der User

„Fake-Check“ (Anti Spoofing)

E-Mails mit internem Absender von Extern müssen abgelehnt werden

Hardening der E-Mail Infrastruktur mit technischen

Maßnahmen wie SPF, DMARC und DKIM

Anti Spam



|

Datensicherung

Anti Virus

Software Updates

Starke Passwörter

Vorsicht vor Betrügern!

5 einfache Schritte!


Raiffeisen Informatik GmbH

Lilienbrunngasse 7-9

1020 Wien

T +43 1 99 3 99 0

E [email protected]

W www.r-it.at

Documents

Aktuelle Bedrohungen im Internet - raiffeisen.at · Ing. Michael Müller Gruppenleiter Security Competence Center Leiter R-IT CERT Phone: +43 1 99 3 99-2525 Mobile: +43 664 88772525