Anzeige

USB

Der aktuelle Sicherheitsvorfall mit einem USB-Stick gestattet einen Blick daraufzu werfen, wie Unternehmen zu leichtsinnigen Opfern werden könnten. Eine der ältesten Formen des modernen Social Engineerings ist der „Abwurf des mit Malware beladenen USB-Sticks auf dem Firmen-Parkplatz“. 

In diesem Monat haben Sicherheitsforscher von Trustwave die Welt auf einen versuchten Betrugsversuch mit einem USB-Stick an einem ihrer Klienten aufmerksam gemacht, welcher nicht genannt werden möchte. Das gefährliche Speichermedium wird auch als BadUSB-Gerät bezeichnet. Der Begriff tauchte in Deutschland erstmals 2014 auf, als ein Forscherteam um Karsten Nohl auf der damaligen Black Hat einen manipulierten USB-Stick vorstellten und die Gefahren aufzeigten, die davon ausgehen.

Beim aktuellen Beispiel ist der Ablauf recht simpel: Der Kunde erhielt per Post eine BestBuy-Geschenkkarte, einen Brief mit BestBuy-Briefkopf, in dem er sich für sein Geschäft bedankte. Ebenfalls enthalten war ein USB-Stick, der wie der Brief angab, eine Liste der Gegenstände enthielt, für die die Geschenkkarte benutzt werden könne.

Anstatt auf den Betrug hereinzufallen, wurde Trustwave schließlich zu einer Untersuchung hinzugezogen. Nach dem Anschließen des BadUSB-Geräts an eine Testarbeitsstation wurde ein PowerShell-Skript gestartet, welches ein zweites PowerShell-Skript und einen Jskript-basierten Malware-Bot herunterlud. Die Malware wurde installiert und sogar ein gefälschtes Popup-feld erschien, um mit dem Opfer zu erklären, warum es keine Liste der mit dem Geschenkgutschein zu erwerbenden Artikel gebe. Die Malware sammelt eine Vielzahl von Informationen über den infizierten Computer und sendet diese an den Command & Control (C2)-Server zurück. Dann springt er in eine Schleife, um auf Anweisungen des C2-Servers zu warten.

Dieser Betrug ist ein wunderbares Beispiel dafür, wie einfaches Social Engineering, ein gestohlener leerer Best Buy-Geschenkgutschein und ein preiswertes BadUSB-Gerät (das nur etwa 7 US-Dollar kostet) dazu verwendet werden können, ein Unternehmen mit Malware zu infizieren. Die Folgen sind klar: Kosten und/oder Datenverluste.

Doch Mitarbeiter würde niemals einen fremden USB-Stick in ihren PC stecken, oder doch?

Ein kontinuierliches Security Awareness Training kann helfen, dieses Risiko zu vermeiden, indem sie über Social Engineering, die verschiedenen Formen des Betrugs und darüber informiert werden, wie sie vermeiden können, Opfer eines solchen Betrugs zu werden.

Kostenloser USB-Sicherheitstest

Den Erfahrungen KnowBe4s nach, werden Im Durchschnitt 45 Prozent der Mitarbeiter einen gefundenen oder zugeschickten USB-Stick anschließen. Mit dem kostenlosen USB-Sicherheitstest kann ermittelt werden, wie viele es exakt sind. Die dabei enthaltene spezielle „beaconized“-Datei kann auf ein beliebiges USB-Laufwerk heruntergeladen werden. Das Laufwerk sollte dann mit etwas Verlockendem beschriftet werden und an einem stark frequentierten Ort fallengelassen werden. Wenn ein Mitarbeiter es aufhebt, an seinem Arbeitsplatz einsteckt und die Datei öffnet, meldet diese das „Fehlgeschlagen“ an die Konsole. Bei den enthaltenen Office-Dokumenten werden zusätzliche Daten verfolgt und analysiert, wenn der Benutzer darüber hinaus auch die Makros aktiviert.

Jelle Wieringa, Security Awareness Advocat
Jelle Wieringa
Security Awareness Advocat, KnowBe4

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Cyberattacke

Weitere Verdopplung der Cyberattacken im dritten Quartal

Im dritten Quartal des Jahres mussten die Cyber-Defense-Spezialisten aus Bochum fast doppelt so viele Cyber-Angriffe wie im zweiten Quartal 2020 abwehren. Mit großen Kampagnen attackieren Angreifer sowohl private Rechner, als auch Firmennetzwerke. Besonders…

Digitale Sicherheit in der Vorweihnachtszeit

Mitte 2020 hat das Cybereason Research Team eine aktive Malware-Kampagne entdeckt, die brasilianische Kunden von MercadoLivre, einem der größten Online-Markplätze Lateinamerikas, ins Visier genommen hat.
Datendiebstahl

86 Prozent der Verbraucher Opfer von Identitätsdiebstahl & Co.

86 Prozent der Verbraucher sind in diesem Jahr Opfer von Identitätsdiebstahl, Kredit-/Debitkartenbetrug oder einer Datenschutzverletzung geworden. Das ergab eine aktuelle Studie von OpSec Security. 2019 lag dieser Anteil noch bei 80 Prozent. Das jährliche…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!