Security Awareness für MitarbeiterVorsicht bei Geschäftsreisen: Smartphone fungiert als Einfallstor
5. Februar 2020Was machen Geschäftsreisende heutzutage als Erstes, wenn sie im Hotelzimmer ankommen? Wahrscheinlich verbinden sie ihr Smartphone mit dem WLAN. Der Name des Netzwerks lautet oftmals „Gast“, und man kann sich problemlos ohne Passwort einloggen. Jetzt noch schnell den Firmen-Laptop über „WiFi“ verbinden und vor dem Abendessen noch die E-Mails herunterladen. Doch während der Mitarbeiter beim Essen ist, greift ein Hacker bereits die ersten privaten und geschäftskritischen Daten von den Geräten ab.
Ein Hacker braucht keine komplizierte Schadsoftware mehr entwickeln. Es reicht, wenn er sich in ein Hotelzimmer begibt, dort eine WLAN-Antenne an seinen Laptop anschließt und nun nicht nur WLAN empfangen, sondern auch ein eigenes „anbieten“ kann. Bei einer sogenannten Man-in-the-Middle-Attacke eröffnet der Cyber-Kriminelle sein eigenes „Gast“-Netzwerk, damit sich seine Opfer ahnungslos damit verbinden.
Man-in-the-Middle-Attacke einfach umgesetzt
IT-Forensiker suchen nach Auffälligkeiten in IT-Systemen, zum Beispiel wenn Daten verschlüsselt wurden oder abhandengekommen sind. Was ist passiert, wie ist es passiert, und wie kann dem Opfer des Cyber-Angriffs geholfen werden, die Daten zurückzubekommen? Da jeder Zugriff auf Informationen auf IT-Ressourcen eine Spur hinterlässt, gilt es, diese Spuren zeitnah aufzuspüren, bevor sie im System überschrieben werden. Das können Zeitstempel sein, Hinterlassenschaften von Hackern wie Code-Schnipsel oder auch Log-Files. Doch je mehr Zeit nach einem Angriff vergeht, umso komplizierter ist es, diese Spuren nachzuvollziehen.
Laut forensischer Analyse hatte zum Beispiel Jeff Bezos 2018 eine Schadsoftware auf seinem Smartphone. Auch wenn es nicht mehr eindeutig nachweisbar ist, wird vermutet, dass es sich um den Trojaner Pegasus handelte. Pegasus ist einer der wenigen Trojaner für iPhones, der zudem für rund 25.000 Dollar käuflich zu erwerben ist. Auch bei dieser Schadsoftware werden die betroffenen Personen unter Druck gesetzt und mit Informationen erpresst.
Wie häufig wurde der Angriff nur bemerkt, da das abfließende Datenvolumen stieg. Für IT-Forensiker bedeutet dies: Es ist ein Schadprogramm vorhanden, das Daten abfließen lässt. Ist das verbrauchte Datenvolumen trotz üblichem Surfverhalten plötzlich deutlich höher, sollte man sich die Frage stellen: Welche App hört mit?
Im Fall „Jeff Bezos“ wurde das Endgerät wahrscheinlich über WhatsApp infiziert. Da stellen sich viele Nutzer natürlich die Frage: Wie sicher ist WhatsApp? Dies lässt sich jedoch nicht pauschal beantworten, denn generell ist eine App nur so sicher, wie man mit ihr umgeht. Lädt man sich also ein Video herunter – egal ob aus einer App oder auch aus einer E-Mail – und dieses Video hat einen Drive-by-Downloader dabei, so wird gleichzeitig auch ein Schadprogramm heruntergeladen.
Kann ich mich vor solchen Angriffen schützen?
Vor zielgerichteten Cyber-Attacken kann man sich nur schwer schützen. Für die breite Masse gilt jedoch generell: Nicht jeder Link ist zum Anklicken da. So sind aktuell SMS im Umlauf, laut denen ein Paket des Empfängers im Zoll festhängt – wird der Link geklickt, wird unwissentlich ein Abo abgeschlossen.
Auch bei der Installation eines Programms sollte man darauf achten, dass es aus einer seriösen Quelle stammt. Außerdem gilt: Kommt einem User der Absender oder auch der Inhalt oder Aufbau einer E-Mail seltsam vor, sollte diese am besten direkt gelöscht werden. Ist man der Meinung, dass es sich um einen zielgerichteten Angriff handelt, sollte sich der Betroffene an die zuständigen Strafverfolgungsbehörden wenden.
Silvana Rößler ist Head of IT-Forensics bei Allgeier CORE.