Aus dem Unterricht des CAS Digital Risk Management mit Dr. Serge Droz berichtet Daniela Daeniker:

Unterschiedliche Motivationen und Täterschaften treiben im Cyberspace ihr Unwesen. Einige ihrer Vorgehensweisen sind hier beschrieben. – Achtung Betrüger!

Webseiten Verunstaltung

Vandalen, die einzelne oder mehrere Hompages verunstalten («defacement» und «mass defacement»), sind heute aus dem Fokus geraten. Eine Ausnahme bildet (politisch) motivierte Propaganda durch sogenannte «Hacktivisten».

Die Angreifer kommen dank Sicherheitslücken in die Webseite und verändern deren Inhalt und das Design. Die Seite zone-h.org sammelt Beispiele.

Je nachdem, wie wichtig die Homepage für die Geschäftstätigkeit eines Unternehmens ist, reichen die Folgen solcher Angriffe von Imageschaden bis zu erheblichen finanziellen Verlusten.

Webseiten müssen durch Einspielen aller Updates geschützt werden. Dies umfasst sowohl die Serversoftware als auch die darauf befindlichen Content Management Systeme (CMS) und deren Einstellungen.

Social Engineering

Beim „Social Engineering“ wird die Schwachstelle Mensch ausgenutzt: Trickbetrüger überreden Mitarbeitende eines Unternehmens dazu, die üblichen Sicherheitsvorkehrungen zu umgehen und sensible Informationen preiszugeben. Oder die Opfer werden so lange verunsichert, bis sie sich zu bestimmten Aktionen bewegen lassen.

Unsere Abhängigkeit von Informationen nimmt immer mehr zu. Daher ist Social Engineering die größte Gefahr für jedes Sicherheitssystem. Diese Methoden werden auch oft zur Ausbreitung von Viren oder Trojanischen Pferden mittels E-Mail-Anhängen eingesetzt. Auch Phishing ist eine Ausgestaltungsform von Social Engineering Angriffen.

Als Gegenmassnahme könnten Mitarbeitende zur Vorgehensweise von Social Engineers geschult werden. Unternehmen sollten auf dem Internet und am Telefon so wenig Details wie möglich Mitarbeitenden herausgeben.

Schadsoftware in E-Mail

Cyber-Kriminelle verbreiten Schadsoftware (Malware) noch immer am häufigsten via E-Mail. Empfänger sollen einen Anhang öffnen oder auf einen Link klicken, durch den Schadsoftware auf ihrem Computer installiert wird.

Schadsoftware kann Daten auf dem Computer zerstören oder ihn für Spamversand missbrauchen. Betrüger stehlen persönliche Dateien und Daten und missbrauchen sie beispielsweise für E-Banking Betrug.

Schadsoftware auf Webseiten

Anwender reagieren inzwischen sensibler und klicken nicht mehr auf jeden zugestellten Link resp. öffnen Anhänge weniger. Angriffe von Internetbetrügern verlagern sich daher vermehrt zu Webseiteninfektionen.

Allein durch den Besuch einer Webseite kann sich ein Computer mit Schadsoftware infizieren (Drive-by Infektion). Seriöse, vielbesuchte Seiten werden vorgängig kompromittiert, oft  zur Verteilung von Malware. Die Infektion erfolgt meist durch das Ausnützen von noch nicht geschlossenen Sicherheitslücken von Dritt-Software oder Betriebssystemen der Seitenbesucher.

Für die Herstellung von sogenannten Exploits für bisher unbekannte Schwachstellen («Zero-Days») sind Experten nötig und ihre Preise sind im Untergrund hoch. Ein älteres Beispiel ist der inzwischen infhaftierte Blackhole Exploit Author Dmitri Fedotov. Ältere Exploits sind günstiger oder gar kostenlos erhältlich. Selbst Nicht-Experen können die Exploit-Kits dank ihrer grafischen Benutzeroberfläche bedienen.

Benutzer können sich durch regelmässige Updates von Betriebssystem und Anwendungen schützen. Die Registrierungsstelle in der Schweiz informiert betroffene Internetseiten-Halter konsequent und nimmt die betroffenen Domains gegebenfalls vom Netz.

Phishing

Das Wort Phishing setzt sich zusammen aus «Password», «Harvesting» und «Fishing». Betrüger versuchen, an Zugangsdaten von ahnungslosen Internet-Benutzern zu gelangen, z.B. Mail Konten, Online-Auktionsanbietern oder E-Banking. Mit gefälschten Absender-Adressen senden die Betrüger E-Mails an die Opfer. Darin behaupten sie, dass ihre Kontoinformationen und Zugangsdaten nicht mehr sicher oder aktuell seien. Sie sollen unter dem im E-Mail aufgeführten Link geändert werden. Dieser Link führt allerdings auf eine vom Betrüger identisch aufgesetzte Webseite.

Mit den erschlichenen Daten können Betrüger im Namen der Opfer Banküberweisungen tätigen, Kreditkarten missbrauchen oder Angebote bei Online-Versteigerungen platzieren. Mit erschlichenen Zugangsdaten erhalten Betrüger Zugriff auf E-Mail-Kontos und können im Namen der Opfer betrügerische E-Mails an deren Kontakte senden.

E-Mails, die eine Aktion verlangen, da sonst Konsequenzen wie Geldverlust, Strafanzeige, Sperrung etc. drohen, sind verdächtig. Vertrauenswürdige Firmen werden gerne als gefälschte Absender-Adressen missbraucht. User dürfen in verdächtigen E-Mails keine Anhänge öffnen und keine Links verfolgen. Auch aufgrund der erhöhten Websicherheit versenden Betrüger heute wieder vermehrt Malware resp. Links zu Malware per E-Mail.

In sämtlichen Dateien, selbst in PDF können ausführbare Programme enthalten, die Ransomware herunterladen. Damit hat der Angreifer Zugriff auf das System und kann seine Tools installieren. Dies sind heute eher Software Frameworks, die mit Plugins, sogenannten Injects ausgestattet sind, welche die gewünschte Funktionalität zur Verfügung stellen. Auch für Malware und Injects besteht ein Markt sowie Softwarelizenzen, deren Einhaltung sogenannte Bullet Proof Hoster überprüfen. Nun können die Betrüger illegale Geschäfte machen, wie das Stehlen von Kreditkarten, Konten, Mules etc.

Distributed Denial of Service (DDoS-Attacken)

DDoS (= Verweigerung des Dienstes) ist ein Angriff von vielen verteilten Rechnern auf Computer-Systeme zur Störung ihrer Verfügbarkeit. Der Angriff erfolgt auf Netzwerkebene, auf Anwendungsebene oder einer Kombination davon. Die Angreifer steuern in der Regel eine riesige Anzahl «gekaperter» Systeme (sogenannte Bot-Netze) oder schlecht konfigurierte Drittsysteme (z. B. Open DNS Resolver). Durch manipulierte Anfragen senden diese grosse Datenvolumen an das Zielsystems (Amplification-Angriffe). Da hingegen Firewalls und IPS (Intrusion Prevention Systeme) nur bedingt helfen, kann eine einzelne Organisation solche Volumina ohne fremde Hilfe in der Regel nicht mehr bewältigen.

Die Motivation hinter DDoS-Attacken ist meistens politischer oder religiöser Aktivismus, Erpressung oder Schädigung eines Konkurrenten. Den Angegriffenen droht aufgrund ihrer ausgefallenen Webseite ein Reputations- sowie allenfalls Gewinnverlust.

Erpressung ist momentan eine der bevorzugten Methoden von Cyberkriminellen, um schnell an Geld zu kommen. Für die Opfer geht es darum, durchzuhalten und zu signalisieren, dass die Angreifenden ihr Ziel nicht erreichen. Die Internet Service Provider haben dafür die besten Abwehrmöglichkeiten.

Gefälschte Supportanrufe

Anrufe von Betrügern, die sich als Mitarbeitende von Microsoft oder anderen IT-Firmen ausgeben häufen sich in letzter Zeit. Die Anrufer weisen oft auf angeblich vom Computer übermittelte Fehlermeldungen hin. Sie präsentieren eine glaubwürdige Kulisse, um den Opfern Angst zu machen. Die Betrüger wollen die angerufene Person dazu bringen, ein Programms herunter zu laden. Dies erlaubt ihnen einen Fern-Zugriff auf den Computer. Danach kann der Anrufer den Computer jederzeit direkt manipulieren, wie wenn er selbst direkt davorsitzen würde.

Betrüger bieten auch den Abschluss eines Support-Abonnements oder einer Garantie an. Dafür verlangen sie Kreditkartendetails oder andere Formen von Bezahlung. Demgegenüber tätigen Softwarefiremen wie Microsoft nie unangemeldete oder unaufgefordert Support-Anrufe, um Computerprobleme zu beheben.

Mehr zu Cybercrime und Betrüger im Netz:

Cybercrime – Taschendiebe vs. Internet-Pinkpanther