Longlining

Bei Longlining imitieren massenhaft angepasste Phishing-Nachrichten, die in der Regel so aussehen, als werden sie nur in geringen Mengen gesendet, zielgerichtete Angriffe. Die Angreifer nutzen die Methoden von Massenwerbungskampagnen, um Millionen unähnlicher Nachrichten zu erzeugen. Dies geschieht mithilfe von E-Mail-erzeugendem Code und Infrastrukturen, die E-Mail-Inhalt, Betreffzeilen, Absender-IP-Adressen, Absender-E-Mail-Konten und URLs austauschen können. Das bedeutet, dass für jede Organisation nicht mehr als 10 - 50 E-Mails ähnlich aussehen, wodurch schädliche E-Mails dem Radar aller Spam- und Inhaltsscanner-Systeme entgehen können. In der Regel sind keine Anhänge vorhanden, wodurch die Wahrscheinlichkeit einer Erkennung durch Virenschutzprogramme oder andere signaturbasierter Lösungen minimiert wird. Außerdem sind die mehrfachen IP-Adressen, E-Mail-Konten des Absenders und URLs der Kampagne gewöhnlich legitim, aber infiziert.

Das bietet grundsätzlich „gute“ Reputationseigenschaften der E-Mails, wodurch sie einer reputationsbasierenden Erkennungsmethode entgehen können. Um die Zeitspanne bis zur Erkennung des Angriffs zu verlängern, stellen Angreifer sicher, dass die infizierte Website „polymorphe“ Malware an die Computer der Benutzer weiterleitet. Jeder Benutzer erhält eine einzigartige Version der Malware, wodurch im Grunde der Wert neuer Signaturen umgangen wird, die bei der erstmaligen Erkennung des Angriffs erstellt werden könnten.

Aufgrund des raffinierten Inhalts und der infizierten Infrastruktur, die in Longlining-Angriffen für gewöhnlich beobachtet werden, ist für die Bekämpfung dieser Angriffe eine Big Data-gesteuerte Sicherheitslösung am effektivsten. Eine solche Lösung sollte sich in der Regel nicht nur auf Signaturen und Reputationskontrollen stützen. Das Ziel der Lösung sollte sein, im historischen Verlauf nach Mustern zu suchen, neuen Traffic in Echtzeit zu untersuchen und Prognosen zu treffen, was mithilfe eines fortschrittlichen cloudbasierten Malware-Erkennungsservice analysiert werden sollte.

Suchen Sie nach einer Anti-Phishing-Lösung, die angepasste Massenkampagnen erkennen kann, die gleichzeitig auf mehrere Unternehmen zielen, und die die einzigartigen gemeinsamen Eigenschaften herausfiltert, um ein Muster zu identitifizieren, wodurch sie diese Angriffe präventiv isolieren kann, indem sie das Muster als schädlich definiert, wodurch die Erkennung leichter erfolgen kann. Außerdem muss die Sicherheitslösung eine Methode zur Verwaltung der Nachrichten haben, die durch den Spam-Filter kommen. Da bei Longlining-Angriffen gewöhnlich mehr als 800.000 Nachrichten pro Minute möglich sind, können viele davon die Benutzer erreichen. Die Sicherheitslösung sollte in der Lage sein, die verschiedenen URLs in diesen Nachrichten neu zu schreiben, sowie verdächtige URLs präventiv zu isolieren, damit Empfänger das schädliche Ziel nicht erreichen können, nachdem fortschrittliche Malware-Erkennung die Ziel-Websites als schädlich bestätigt hat. Dies hilft für gewöhnlich schon dabei, den Aufwand von Bereinigungen und Abhilfemaßnahmen zu minimieren.