Scareware: Panik-Mache mit Fake-Alerts

Der ein oder andere Internetnutzer hat es bestimmt schon einmal erlebt: Während des Surfens öffnen sich plötzlich Pop-up-Fenster oder Meldungen, die für Systemmeldungen gehalten werden. Doch Vorsicht: Bei genauerem Hinsehen entpuppen diese sich als Meldungen, die über die aufgerufene Website abgegeben werden. »Bei solchen Meldungen handelt es sich möglicherweise um Scareware – eine Form der Malware, die mit der Angst von Nutzern vor Malware arbeitet, die dann im nächsten Schritt tatsächlich auch installiert wird«, warnt Patrycja Schrenk, Geschäftsführerin der PSW GROUP (www.psw-group.de).

 

Die IT-Sicherheitsexpertin erklärt: »Solche Fake Alerts deuten auf schwere Ausnahmefehler oder Angriffe hin. Dem Nutzer wird empfohlen, mit konkreten Produkten wie Antispysoftware oder Cleaner dagegen vorzugehen. Klicken Nutzer nun auf diese vermeintlichen Lösungen, wird zeitgleich Schadsoftware heruntergeladen und der Rechner ist infiziert.« Diese Schadsoftware kann jede erdenkliche Malware sein, auch Ransomware, die dann für die Verschlüsselung von Daten sorgt. Das, was dem Nutzer also eigentlich helfen soll – nämlich heruntergeladene Tools, die angeblich dafür sorgen, dass die im Fake Alert genannten Fehler nicht auftreten – ist genau die Gefahr, die Nutzer vermeiden möchten.

 

Bereits Ende letzten Jahres hat der Sicherheitsanbieter Sophos über Angriffsmethoden berichtet, nach denen Angreifer vorgefertigte Bausätze nutzen, damit eine Panik-Mache mit Fake-Alerts auch auf deutschen Websites zu finden ist. Laut der Sicherheitsforscher von Sophos seien Werbenetzwerke ideale Tathelfer für die Cyberkriminellen. Zudem ist ein steigender Missbrauch in Bezug auf Scareware auch in App-Stores zu verzeichnen.

 

Wer sicherheitsrelevante Meldungen an seinem Rechner erhält, sollte Ruhe bewahren. Statt in Panik oder Aktionismus zu verfallen, lohnt ein genauerer Blick auf die Sicherheitsmeldung. »Grundsätzlich rate ich, sich nie auf angebliche Sicherheitsmeldungen über Viren oder Systemfehler von Websites zu verlassen. Im Falle einer vermeintlichen Fehler- oder Sicherheitsmeldung sollten zuerst die Virenscanner-Meldungen, also die Meldungen, die der eigene Virenscanner ausgibt, geprüft werden. Diese sind im Falle eines echten Alarms in aller Regel gleich mit Handlungsoptionen verbunden. Auf keinen Fall auf den Website-Alert klicken oder einer Handlungsaufforderung nachkommen, sondern die Website schließen«, so Patrycja Schrenk.

 

Ist das Kind bereits in den Brunnen gefallen, weil auf die Fake-Meldung gehört wurde, ist die Entfernung der installierten Programme die erste Maßnahme. Empfehlenswert ist eine anschließende Prüfung des Rechners mit dem eigenen Virenprogramm, um eine weitere Infektion mit nachgeladener Schadsoftware zu vermeiden.

 

Weitere Informationen unter: https://www.psw-group.de/blog/scareware-fake-alarm-weckt-panik/7968

 

Wie Sie echte Warnungen in einer Flut an Fehlalarmen aufspüren

Illustration: Absmeier, Juralmin

Unternehmen von heute sehen sich mit immer komplexer werdenden Cyberbedrohungen konfrontiert. Hacker können sich zunehmend den Präventions- und Detektivmaßnahmen neuer und alter Sicherheitsinfrastrukturen entziehen und sind für Sicherheitsteams leider bittere Realität geworden. Die Herausforderung besteht darin, eine echte Warnung in einer Flut an Fehlalarmen aufzuspüren, also das Gleichgewicht zwischen Risiko und Häufigkeit zu finden. IT-Experten sehen dies als eine ihrer größten Herausforderungen an, so die Studie »Security, Operations, Challenges, Priorities and Strategies« von ESG Research.

 

Neue Technologien mit Elementen der künstlichen Intelligenz (KI) und Machine Learning (ML) unterstützen bei der Erkennung von echten Bedrohungen und optimieren Geschwindigkeit und Genauigkeit der Sicherheitszentrale. Dabei sollte die Software folgendes beinhalten:

  1. Eine ganzheitliche Bedrohungsanalyse

Zu viele unterschiedliche Sicherheitstechnologien, die nicht zusammenarbeiten, stehen sich gegenseitig im Weg. Die Folge: IT-Experten werden von einer Informationsflut überwältigt und echte Angriffe können überhört werden. Wichtig ist daher ein einheitliches Sicherheitssystem mit einer ganzheitlichen Bedrohungsanalyse und einheitlichen Prozessen, das mit Hilfe von künstlicher Intelligenz, Cyberattacken rechtzeitig aufspüren, klassifizieren und vereinfacht darstellen kann, wo diese wann und warum entstehen. Untersucht werden dabei Endpunkt, Server, Anwendung, Gerät und Benutzer.

  1. Eine transparente Plattform

Die Technologie sollte es Unternehmen schließlich ermöglichen, sowohl bekannte als auch unbekannte Cyberbedrohungen über die gesamte Angriffsfläche hinweg zu erkennen. Auf einer Plattform müssen daher Daten gesammelt, modelliert sowie angereichert und auf deren Basis ausgefeilte Szenarioanalysen (Taktiken, Techniken, Verfahren) erstellt werden. Das Sicherheitssystem muss dabei durchgängig transparent bleiben, um IT-Experten weitere tiefgreifende Verhaltensanalysen zu ermöglichen. Nur so werden subtile Verhaltensänderungen erkannt, die auf eine potenzielle oder aktuelle Bedrohung hindeuten.

 

  1. Optimierung der Relation von Fehlalarmen zu echten Alarmen

Eine neue Technologie muss es letztendlich möglich machen, dass sich das Verhältnis zwischen Fehlalarmen und echten Warnungen im Vergleich zu vorher optimiert. Risiko und Häufigkeit müssen mit Hilfe von KI-gestützter Analytik abgewogen und letztendlich echte von falschen Warnungen unterschieden werden – so werden Fehlalarme reduziert, jedoch nicht die Anzahl der entdeckten Angriffe. Sicherheitsanbieter müssen ihren Kunden fortschrittliche und pragmatische Ansätze bieten, mit dem Ziel Sicherheitsexperten zu entlasten und die Kosten zu verringern, ohne dabei an Qualität einzubüßen.

Ross Brewer, Managing Director und Vice President EMEA, LogRhythm

 

 

 

 


 

25 Prozent Fehlalarme nerven Security-Teams

Infografik und Studie zu Endpoint Detection and Response (EDR).

Eine neue Infografik von Bitdefender zeigt die Herausforderung und Belastung von IT-Sicherheitsverantwortlichen beim Umgang mit Sicherheitsvorfällen. Die Zahlen basieren auf einer aktuellen, im Februar und März 2018 durchgeführten Umfrage. Sie geht der Frage nach, wie sich der Einsatz von EDR-Systemen (Endpoint Detection and Response) in der Praxis bewährt. Organisationen setzen EDR ein, weil sie wissen, dass sie nicht jeden Angriff abwehren können, und die Folgen im Falle eines erfolgreichen Hacks eindämmen müssen. 60 Prozent der 154 deutschen Befragten sagen, dass mindestens ein Viertel aller Alerts ihrer EDR-Systemen Fehlalarme seien. Zwei Drittel (65 Prozent) finden die Verwaltung der Systeme hinsichtlich des Personal- und Zeitaufwands schwierig.

EDR untersucht und bereinigt Sicherheitsvorfälle

Vorsicht ist besser als Nachsicht. Doch das allein reicht in der IT nicht mehr aus, weil sich die Erkenntnis durchgesetzt hat, dass eine hundertprozentige Abwehr von Angriffen auf IT-Umgebungen nicht möglich ist. Deshalb haben Unternehmen begonnen, ihre vorhandenen Sicherheitsplattformen (Endpoint-Protection Platforms, EPP) zu erweitern. Lösungen für Endpoint Detection and Response (EDR) dienen der Untersuchung und Bereinigung von Sicherheitsvorfällen. Zwar können Unternehmen so Sicherheitsvorfälle schneller identifizieren und sofort darauf reagieren, sie müssen im Gegenzug jedoch mit einem größeren Aufwand bei der Analyse zahlreicher Fehlalarme rechnen. Im Extremfall kann die Untersuchung eines einzigen Alerts Tage oder Wochen in Anspruch nehmen.

»Privatjet ohne Pilot und Crew«

Liviu Arsene, Global Cybersecurity Analyst bei Bitdefender, sagt: »Unternehmen und Organisationen, die über leistungsfähige und ressourcenintensive EDR-Tools verfügen, aber kein internes Spezialistenteam oder Security Operation Center haben, verschenken Geld, ohne das Potenzial dieser Sicherheitstools zu erschließen. Es ist, als ob man einen Privatjet besitzt, aber keinen qualifizierten Piloten oder keine Crew hat, um ihn zu fliegen.«

Die in der Infografik verwendeten Zahlen basieren auf einer im Februar und März 2018 von Censuswide für Bitdefender durchgeführte Umfrage. Diese umfasste insgesamt 1.050 für die Anschaffung von Sicherheitslösungen verantwortliche IT-Profis aus großen Unternehmen mit mehr als 1.000 PCs und Rechenzentren in den USA und Europa. 250 Befragte stammen aus den USA, 154 aus Deutschland, je 150 aus Großbritannien, Frankreich und Italien, 101 aus Dänemark und 100 aus Schweden. Rund 69 % aller Befragten sind männlich, mehr als ein Drittel ist zwischen 35 und 44 Jahre alt. Die Infografik basiert auf den Aussagen der 154 deutschen Befragten.

Ein ausführliches Whitepaper zu den internationalen Studienergebnissen steht zur Verfügung unter https://download.bitdefender.com/resources/files/News/CaseStudies/study/195/Bitdefender-Business-2018-WhitePaper-EDR.pdf.