Cyber-Kriminalität
USB-Sticks als Werkzeug von Kriminellen
Man sollte annehmen, dass USB-Sticks als Übertragungsmedium der Vergangenheit angehört. Doch nein, in Zusammenhang mit einer „guten Geschichte“ könnte der Stick wieder aktuell werden. Die gute Geschichte lieferte in der Praxis eine Bank.
Save to Folio
Kürzlich verschickte die Sparkasse Bremen ihre geänderten Geschäftsbedingungen per USB-Stick an Geschäftskunden. „Gut gemeint, aber etwas problematisch“, war meine spontane Reaktion auf die Frage eines Journalisten des „Spiegel“, was denn von der Idee zu halten sei. Die Bank wollte offenbar eine große Datenmenge möglichst kostengünstig an ihre Kunden zu verteilen. Für sich allein betrachtet stellt die Aktion ein überschaubares Risiko dar. Doch der Langzeiteffekt, den solche Praktiken haben können, ist nicht zu unterschätzen – gerade für Privatanwender.
Der besondere Charme von USB-Sticks für Cyberkriminelle liegt nämlich darin, dass eine Infektion häufig schon durch simples Einstecken des Sticks erfolgen kann. Aber selbst wenn diese Autoinstallation technisch unterbunden wird, ist die Wahrscheinlichkeit hoch, dass ein Nutzer Programme auf einem einmal eingesteckten Stick auch ausführt. Allerdings sind sie, wenngleich inzwischen sehr billig, immer noch teurer als alternative Infektionswege, wie etwa E-Mails oder Websites. Sie werden deshalb als Angriffswerkzeug sehr selten und praktisch ausschließlich in zielgerichteten Attacken verwendet.
Um ihre Ziele zu erreichen, benötigen Täter zwei Dinge: Erstens ein Werkzeug, das sich als Übertragungsmedium eignet, etwa eine E-Mail oder eben einen USB-Stick. Zweitens eine gute „Geschichte“, die ein Opfer dazu verleitet, das Werkzeug zu verwenden.
Die einmalige Aktion der Bank erzählt eine Geschichte, die für Kriminelle hochinteressant sein kann. Eben diese Geschichte ist es, über die wir beispielsweise Phishing oder Betrug am einfachsten erkennen. Ein kurzes Hinterfragen reicht oft schon. Zum Beispiel: Wenn jemand wirklich wüsste, wie man aus zehn Euro durch geschickte Geldanlage Millionen macht, warum braucht er mich, um ihm diese zehn Euro zu geben?
Erfolgreiche Angreifer schaffen es hingegen, glaubwürdige Geschichten zu erzählen. Genau das macht das Vorgehen der Sparkasse potenziell gefährlich. Denn die Verteilung von USB-Sticks zum Zwecke der Kommunikation zwischen Banken und ihren Kunden ist eine sehr einfach zu missbrauchende Story. Halten Menschen dieses Vorgehen für „normal“, öffnet dies Kriminellen Tür und Tor.
Fälschungssicher
In ihren Erklärungen gibt die Bank an, dass die USB-Sticks als authentisch identifizierbar gewesen seien und damit eine Verwechslung ausgeschlossen. Eine typische Fehleinschätzung: Fälschungssicherheit existiert nur dann, wenn ein Opfer a) weiß, dass es einer hohen Gefährdung ausgesetzt ist und b) die entsprechenden unverwechselbaren Zeichen kennt. Doch gerade im Zusammenhang mit Banken haben Kunden ein Vertrauensverhältnis, das einfach ausnutzbar ist. Wann haben Sie beispielsweise zuletzt die Echtheit eines 50-Euro-Scheins geprüft, den Sie aus einem Bankautomaten gezogen haben? Natürlich nie. Wir können uns schließlich darauf verlassen, dass die Bank keine Fälschungen verbreitet.
Aber ist dies mit dem USB-Stick anders? Jein. Kommt er wirklich von der Bank, höchstwahrscheinlich nicht. Aber wie stellt man fest, ob er wirklich von der Bank stammt, und was sind dann eigentlich die unverwechselbaren Erkennungsmerkmale? Und woher kenne ich diese? Wie gesagt: Das Problem ist nicht die einmalige Aktion, sondern dass diese nun bekannt ist und als Vorlage für Angriffe dienen kann.
Angriffe per USB-Stick:
- USB-Sticks werden von Cyberakteuren verwendet. Nutzen Sie sie möglichst gar nicht. Gerade weil USB-Speichermedien durch Cloud-Dienste zunehmend aus der Mode gekommen sind, übersieht man sie oft als Gefahrenquelle.
- Hinterfragen Sie die Motivation, warum jemand Ihnen einen USB-Stick anbietet. Natürlich gibt es legitime Gründe, und nicht jeder Mensch ist automatisch ein Verbrecher. Seien Sie aber gerade bei Unbekannten auf der Hut.
- USB-Sticks, die Sie auf einem Parkplatz oder andernorts finden, sollten Sie keinesfalls in einen Rechner einstecken, um sie zu untersuchen. Dies gilt auch bzw. gerade, wenn die Kennzeichnung vielversprechend ist und unabhängig davon, ob auf dem Computer eine Sicherheitssoftware läuft.
- Unternehmen sollten auf die Kommunikation mittels USB-Speichermedien verzichten. Es gibt deutlich sicherere Wege.
Dieser Beitrag (wie auch schon frühere) ist zuerst im connect professional Security Awareness Newsletter erschienen. Interessenten können sich hier kostenlos für den Newsletter anmelden.