Was in den Hacker-Shops zu haben ist
Foto: Check Point
Sowohl Zero-Days als auch ältere Angriffstechniken finden ihren Weg nicht selten in und über Angriffstoolkits, die in Web-Foren bereits ab 40 Dollar zu haben sind - High-End-Versionen spülen mehrere tausend Dollar in die Kassen. Diese 'Werkzeugkästen" bauen typischerweise auf die simple Tatsache, dass die meisten Anwender nicht regelmäßig auf die jüngsten Softwareversionen aktualisieren, und nutzen - im Gegensatz zu Zero-Days - längst bekannte Schwachstellen. In einigen Fällen kompromittieren die Angreifer seriöse Webseiten und versuchen dann den Anwender - unter Bedienung des Angriffstools - auf schadhafte Seiten umzuleiten. Der Erfolg dieser Angriffsformen ist enorm.
Doch ganz gleichgültig, ob alte Techniken oder modernste Angriffsmechanismen zum Einsatz kommen - die Objekte der Begierde sind immer brauchbare Daten. Dass diese zu haben sind, beweist ein Blick in die "Regale" der virtuellen Hacker-Shops: Dort liegen nebst Kreditkartendaten heutzutage auch Facebook-Login- oder E-Mail-Zugangsdaten zum Kauf bereit. Nicht zuletzt deshalb, weil viele Banken inzwischen für die Verifikation von Online-Transaktionen verschiedene Authentifizierungen verlangen, so dass Angreifer also mehrere Informationen brauchen, um einen Account kompromittieren zu können.
Daher erweitern Cyber-Kriminelle ihr Betätigungsfeld und haben. eine Malware entwickelt, die zum Beispiel die Internationale Mobile Equipment Identity (IMEI)-Nummer auf Mobiltelefonen abgreift. Mit dieser Nummer in Händen kann der Angreifer den Service Provider der betroffenen Person kontaktieren und zum Beispiel um das Zusenden einer neuen SIM-Karte (Subscriber Identity Module) bitten. Diese setzt der Hacker nun ein, um die Kommunikation zwischen der Bank und dem Kunden abzufangen, die ihm letztlich den ersehnten Zugang zu dem Konto des Opfers verschafft.
Je mehr Informationen dem Angreifer zu seinem Ziel zur Verfügung stehen, umso passgenauer ist die Attacke - und umso höher ist die Wahrscheinlichkeit eines Erfolgs. So wird eine Person Namens Stefan Müller einer Email, die an ihn persönlich gerichtet ist, mehr Aufmerksamkeit schenken, als einer allgemein gehaltenen Nachricht, die mit "Sehr geehrter Herr" titelt. Diese Technik ist als "Spear Fishing" ("mit dem Speer fischen") bekannt und kam in jüngster Zeit bei einigen der schwerwiegendsten Angriffe auf Geschäftsdaten zum Zug, etwa bei der sehr publik gewordenen Attacke gegen EMCs Security Division RSA.
Worauf Ihre Kunden achten müssen
Spear Fishing und andere Formen des Social Engineering machen deutlich, dass der Kampf gegen die Internetkriminalität nur gemeinsam mit denjenigen gewonnen werden kann, die mehr und mehr im Visier von unerwünschten Netzwerkeindringlingen stehen: den Mitarbeitern. Deren Aufklärung und Sensibilisierung für erkennbare Warnzeichen, verdächtige Emails, ungewöhnliche Informationsanfragen und Reizworte, die dazu verleiten sollen, einen schadhaften Dateianhang zu öffnen, ist unerlässlich für den Schutz der sensitiven Unternehmensdaten vor Malware, Botnets und anderen Gefahren.
Hacker sind auf wertvolle Geschäftsdaten fokussiert. Die Unternehmen müssen das Gleiche tun. Sie müssen ihre erfolgskritischen Daten identifizieren und mit den richtigen Schutzmaßnahmen umgeben - von Firewalls über Verschlüsselung bis hin zur Aktivierung von Überwachungstechnologien. Denn, so konstatierte schon um 500 v. Chr. der berühmte, chinesische Militärstratege Sun Tzu: "Wenn du weder dich selbst kennst, noch deinen Feind, dann wirst du immer dich selbst gefährden." (rw)