Top-Techniken, mit denen Cyberkriminelle Sie hacken (und wie Sie sich schützen können)

Fang den Bösen auf frischer Tat!

Ich bin ein "ethischer Hacker", auch bekannt als "White Hat Hacker" oder "Penetration Tester", was im Grunde bedeutet, dass ich von verschiedenen Organisationen dafür bezahlt werde, in ihre Computersysteme einzudringen. Sobald es mir gelingt, anstatt ihren Ruf zu ruinieren, ihre Infrastruktur zu zerstören oder ihr Geld und Vermögen zu stehlen, informiere ich sie über ihre Sicherheitslücken und helfe, sie zu beheben, bevor sie von einem böswilligen Hacker gefunden werden.

Wenn Sie mit der Idee des ethischen Hackings nicht vertraut sind, sollten Sie wissen, dass es sich um eine legitime Karriere handelt. Täglich werden ethische Hacker von Banken, Universitäten, großen Unternehmen und sogar kleinen Unternehmen engagiert. Ethisches Hacken und der gesamte Sektor der Informationssicherheit werden immer wichtiger, da Cyberkriminalität in unserer Gesellschaft immer häufiger vorkommt.

Nun, bevor wir anfangen - lassen Sie mich ganz klar sein. Ich habe und werde kein Cyber-Verbrechen begehen und kann es auch niemandem empfehlen. Es ist illegal, unethisch und könnte Sie ins Gefängnis bringen. Trotzdem brauche ich für meine Arbeit ein tiefes Verständnis der Techniken, mit denen die Bösen Chaos anrichten (und Geld verdienen). In diesem Artikel werde ich einen Einblick in diese Techniken geben.

Unter den durchschnittlichen Internetnutzern gibt es eine sehr verbreitete Einstellung, die ich regelmäßig höre: „Ich habe nichts Geheimnisvolles im Internet. Wen kümmert es also, wenn ich gehackt werde?“ Aber Sie werden vielleicht nicht bemerken, dass Sie viele Dinge haben, die extrem sind für einen Hacker wertvoll. Bankkonten, persönliche Daten, Kreditkarten, Ausweisdokumente, Social-Media-Konten und gehackte Computer bringen ein kleines Vermögen im dunklen Internet ein!

Falls Sie nicht wissen, wie groß der Cyber-Tatort ist, sind hier einige Fakten, die Sie umhauen können:

  • Die Kosten für Cyber-Kriminalität werden bis 2021 voraussichtlich 6 Billionen (!) Dollar pro Jahr betragen. 2015 war es die Hälfte davon. [Quelle]
  • Cyber-Kriminalität war 2016 die zweithäufigste gemeldete Art von Kriminalität weltweit. [Quelle]
  • Wie viel Geld wurde 2017 für Informationssicherheit ausgegeben? 86,4 Milliarden US-Dollar. Bis 2021 werden es voraussichtlich 1 Billion US-Dollar sein. Um die Sache noch interessanter zu machen, gibt es weltweit einen riesigen Mangel an ethischen Hackern, die zur Sicherung legitimer Unternehmen und Unternehmen beitragen. [Quelle]
  • Cyberkriminalität macht etwa 50% aller Kriminalität in Großbritannien aus. [Quelle]
  • Cyberkriminalität ist heute ein weitaus größerer globaler Markt als der Drogenhandel.

In diesem Artikel möchte ich einen nicht ganz technischen Überblick über die gebräuchlichsten Techniken geben, mit denen Hacker ihr zwielichtiges Geschäft betreiben. Ich werde Ihnen auch die besten Methoden nennen, um sich selbst zu schützen.

Phishing

Haben Sie jemals eine E-Mail von einem nigerianischen Prinzen oder einem nicht existierenden entfernten Verwandten erhalten, der Ihnen einen absurden Geldbetrag anbietet? Es war ein Phishing-Betrug, wenn auch ein äußerst unkomplizierter. Diese anspruchslosen Phishing-E-Mails werden in der Regel an eine große Anzahl von Personen gesendet, zehntausende oder sogar Millionen. Das Versenden so vieler E-Mails ist angesichts der richtigen Ressourcen nicht sehr aufwändig. Wenn nur 0,01% der Menschen auf diesen Phishing-Betrug mit 1000 US-Dollar pro Opfer und einer Million E-Mails hereinfallen, haben Sie gerade 100.000 US-Dollar aufgeräumt. Nicht schlecht für ein Wochenende!

Phishing-Angriffe richten sich nicht nur an nigerianische Betrüger, sie sind auch die häufigste Methode, mit der böswillige Hacker Zugriff auf Unternehmensnetzwerke erhalten. Die ausgefeilteren Phishing-Angriffe sind sehr zielgerichtet und glaubwürdig. Ein motivierter Hacker könnte Monate damit verbringen, sein Ziel aufzulisten, bevor er zuschlägt. Lassen Sie uns ein einfaches Beispiel geben, wie dies funktionieren könnte.

Angenommen, ich entscheide, dass ich ein super böser Hacker bin, der wirklich die volle Kontrolle über das Netzwerk der ABC Bank haben möchte. Fred Jones ist die Empfangsdame der ABC Bank. Wie die meisten Menschen hat er einen LinkedIn- und einen Facebook-Account. Ich weiß, dass Fred dort als Rezeptionist arbeitet, weil ich es auf seinem LinkedIn-Profil sehen kann. Ich weiß auch, dass er einen Jahresurlaub beantragt hat, weil er über eine bevorstehende Reise nach Hawaii mit seiner Frau und zwei Kindern berichtet. Name seines Chefs? Kein Problem… Sein Chef hat auch LinkedIn.

Nach 5 Minuten Googeln sind wir mit den folgenden Informationen über die ABC Bank bewaffnet:

  • Fred Jones ist der Rezeptionist
  • Bobby Gertrude ist Freds Chef
  • Fred hat einen Jahresurlaub für eine Reise nach Hawaii beantragt

Mit dieser geringen Menge an Wissen konnte ich einen ziemlich glaubwürdigen Phish zusammenstellen. Zuerst erstelle ich ein Google Mail-Konto, bobby.gertrude@gmail.com, und schreibe eine E-Mail, die ungefähr so ​​aussieht:

Von: bobby.gertrude@gmail.com
Hallo Fred,
Meine Unternehmens-E-Mail-Adresse funktioniert anscheinend nicht auf meinem Telefon, daher sende ich diese von meiner persönlichen E-Mail-Adresse aus. Ihr Jahresurlaub sollte genehmigt werden, aber wir brauchen nur ein paar zusätzliche Details von Ihnen. Hast du etwas dagegen, dieses Formular für mich auszufüllen?
www.leave-request.abcbank.staff-organiser.com
Wir sehen uns Montag,
Bobby Gretrude

Schauen Sie sich diesen Link genau an. Der erste Teil sieht ziemlich unschuldig aus, "www.leaverequest.abcbank", aber der nächste Teil ist das, worauf es wirklich ankommt. "Staff-organiser.com". Sie sehen, wenn ich die Domain „staff-organiser.com“ kaufe, kann ich auch alles davor hinzufügen. Ich könnte "google.staff-organiser.com" oder "apple.staff-organiser.com" erstellen. Aber in diesem Fall habe ich mich für „www.leaverequest.abcbank.staff-organiser.com“ entschieden, weil ich denke, dass Fred darauf hereinfallen könnte.

Ich erstelle eine Anmeldeseite, die ein Klon des Mitarbeiterportals der ABC-Bank ist. Mein Klon hat einen wichtigen Unterschied: Anstatt die Benutzernamen und Passwörter zur Validierung an die Bank zu senden, werden sie an mich gesendet! Sobald Fred auf diesen Link (meine geklonte Seite) klickt und versucht, sich anzumelden, um seinen Jahresurlaub zu regeln, erhalte ich seinen Benutzernamen und sein Passwort, mit denen ich Freds E-Mails lesen und mich im Mitarbeiterportal anmelden kann. Vielen Dank, Fred.

Um die Sache noch glaubwürdiger zu machen, hätte ich den Link in der E-Mail maskieren können. Eine Sache, die viele Menschen nicht bemerken, ist, dass der in einem Hyperlink angezeigte Text nicht unbedingt die Position des Links ist. Wenn Sie zum Beispiel auf den folgenden Link klicken, werden Sie nicht wie erwartet zu Google weitergeleitet, sondern zu meinem mittleren Profil:

http://www.google.com/

Bewegen Sie den Mauszeiger über den Link, um die tatsächliche Position der URL zu überprüfen.

Das Phishing nach Anmeldeinformationen ist ziemlich effektiv, aber diese E-Mail könnte noch einige andere unangenehme Dinge bewirken:

  • Verbunden mit einem Java-Applet, mit dem ich Freds Arbeitscomputer steuern kann.
  • Anbei ein Makro-fähiges Microsoft Word-Dokument, mit dem ich Freds Arbeitscomputer steuern kann.
  • Anbei ein böswilliges Microsoft Word-Dokument mit einem "SubDoc", mit dem ich eine verschlüsselte Version seines Kennworts erhalten kann, die später entschlüsselt werden kann.

Viele Unternehmensumgebungen verfügen über eine VPN-Einrichtung, mit der ihre Mitarbeiter von zu Hause aus arbeiten können. Mit Freds Passwort könnte ich mich wahrscheinlich bei diesem VPN anmelden und das Bankennetzwerk erkunden. Andernfalls könnte ich einen der oben beschriebenen bösen Phishing-Angriffe verwenden, um die Kontrolle über Freds Computer zu erlangen, der bereits mit dem internen Netzwerk der Bank verbunden ist.

Sobald der Zugriff auf das interne Netzwerk erfolgt ist, kann ein erfahrener Hacker problemlos Kennwörter anderer Benutzer, vertrauliche Dokumente, E-Mails und mehr herausfiltern. Aber das ist für einen anderen Blog-Post.

Schützen Sie sich vor Phishing-Angriffen

  • Überlegen Sie, bevor Sie klicken. Wenn die E-Mail nach Phishing riecht, ist dies wahrscheinlich der Fall. Lösche es!
  • Niemand wird Ihnen per E-Mail zufällig Geld, Geschenkkarten, iPhones, Welpen usw. anbieten, es sei denn, er versucht, Sie zu betrügen.
  • Wenn eine E-Mail von "jemandem, den Sie kennen" von einer E-Mail-Adresse stammt, die Sie zuvor noch nicht gesehen haben, rufen Sie diese an, um zu überprüfen, ob sie legitim ist.
  • Bewegen Sie den Mauszeiger über Hyperlinks, bevor Sie darauf klicken, um das wahre Ziel zu überprüfen.
  • Senden Sie niemals Ihre Passwörter oder persönlichen Daten per E-Mail an Dritte.
  • Wenn Sie sich auf einer Website befinden, können Sie überprüfen, ob diese legitim ist, indem Sie das grüne Schloss und den Organisationsnamen neben der URL überprüfen. Wenn dies nicht vorhanden ist oder der Name der Organisation nicht Ihren Erwartungen entspricht, verwenden Sie die Website nicht. Es sieht je nach verwendetem Browser etwas anders aus:
FeuerfuchsInternet ExplorerGoogle Chrome

Phishing-Angriffe sind nur eine Hacking-Methode. Sehen wir uns eine andere an. Passwortwiederverwendung und schwache Passwörter!

Passwortwiederverwendung und schwache Passwörter

Bildquelle: http://www.securedatamgt.com

Wenn Sie wie die meisten Menschen sind, verwenden Sie wahrscheinlich dasselbe Kennwort für mehrere Dienste, damit Sie sich leicht daran erinnern können. Hier zeige ich Ihnen, warum das gefährlich ist und wie Sie für jeden Dienst ein anderes Passwort verwenden können, ohne sich daran erinnern zu müssen. Märchenstunde!

Xavier ist ein böser Hacker mit schwarzen Hüten, der seine Dienste dem Höchstbietenden im dunklen Internet anbietet. Er wurde angeheuert, um Zugang zum E-Mail-Posteingang des CEO von BigCorp, Boris McGee, zu erhalten. Er muss besondere Vorkehrungen treffen, um sicherzustellen, dass er nicht ertappt wird, sodass ein Phishing-Angriff möglicherweise etwas zu laut ist.

Die erste Phase eines Hacking-Vorgangs ist die Aufzählung, bei der so viele Informationen wie möglich über das Ziel gesammelt werden, indem Google, Social Media-Websites und Online-Archive durchsucht werden. Xavier stolpert über einige von Boris 'persönlichen Social-Media-Profilen und wirft einen Blick darauf. Es stellt sich heraus, dass Boris ein leidenschaftlicher Sammler antiker Münzen ist und ein begeistertes Plakat auf cointraderforums.net. Sein Profil auf cointraderforums.net enthüllt seine persönliche E-Mail-Adresse boris.mcgee@yahoo.com. Es ist nicht seine Arbeits-E-Mail, die das ultimative Ziel von Xavier ist, aber es ist etwas.

Wenn große Unternehmen Hackern zum Opfer fallen, sehen wir manchmal eine Datenverletzung, die für die ganze Welt im Internet angezeigt wird. Diese Verstöße enthalten häufig personenbezogene Daten, einschließlich E-Mail-Adressen und Kennwörter. Einige dieser Verstöße stammen von großen Unternehmen, die Sie möglicherweise in der Vergangenheit genutzt haben. LinkedIn, Dropbox und Adobe, um nur einige zu nennen. Ein böswilliger Hacker hat häufig eine Kopie dieser Daten-Dumps auf seinem Computer gespeichert. Wenn sie auf ein Konto stoßen, auf das sie zugreifen möchten, können Sie leicht prüfen, ob die E-Mail-Adresse und das Kennwort des Kontos in einem dieser Speicherauszüge vorhanden sind.

Pech für Boris, er nutzt Dropbox, um Fotos seiner Münzen mit seinen Sammlerkollegen zu teilen. Sein Dropbox-Passwort wurde 2012 verletzt. Xavier hat eine Kopie der Dropbox-Verletzung auf seinem Laptop, sodass er sehen kann, dass Boris 'Dropbox-Passwort 2012 "c01ns4Lyf2012!" Lautete. Er hat es inzwischen geändert, sodass wir uns mit diesem nicht mehr bei seiner Dropbox anmelden können, aber wir können sein aktuelles Passwort ziemlich genau erraten: "c01ns4Lyf2018!". Xavier versucht, sich mit Boris 'persönlicher E-Mail-Adresse und dem Passwort "c01ns4Lyf2018!" Bei cointraderforums.net anzumelden. Anmeldung erfolgreich.

Derzeit sieht es für Boris ziemlich rau aus. In seinem Konto auf cointraderforums.net ist ein Schwarzhut-Hacker eingeloggt, der private Nachrichten über seine Münzsammlung und seine Katzen anzeigt. Aber es wird noch viel schlimmer. Boris verwendet für alles das gleiche Passwort.

Jetzt muss Xavier nur noch die Unternehmens-E-Mail von Boris finden. Er sucht bei Google nach "intext: @ bigcorp.com", die 3 E-Mail-Adressen enthüllt:

  1. bob.stone@bigcorp.com
  2. jane.kelly@bigcorp.com
  3. tim.green@bigcorp.com

Wie bei den meisten Unternehmen scheint Bigcorp für alle E-Mails seiner Mitarbeiter dieselbe Syntax zu verwenden, um die Einheitlichkeit zu gewährleisten. Vorname.Nachname@bigcorp.com. Deshalb versucht Xavier, sich in die E-Mail-Adresse der Mitarbeiter von BigCorp einzuloggen, indem er "boris.mcgee@bigcorp.com" als E-Mail-Adresse und "c01ns4Lyf2018!" Als Passwort verwendet.

Natürlich funktioniert es aufgrund der schlechten Passwort-Wiederverwendungspraxis von Boris. Xavier sendet eine Kopie der vertraulichen Unternehmens-E-Mails von Boris an seinen Kunden im dunklen Internet und erhält eine ordnungsgemäße Zahlung für seine "Dienste", die er jedoch noch nicht ausgeführt hat. Xavier ist ein erfahrener Krimineller und weiß, wie man das Spiel spielt.

Xavier loggt sich dann auf Boris 'Bankkonto ein und sendet eine großzügige Spende an ein Offshore-Bankkonto, das er letzte Woche gehackt hat. Er geht zum Geldautomaten, der keine Sicherheitskameras hat, und zieht den vollen Betrag in bar ab. Das sollte seine Einkäufe für die nächsten Jahrzehnte bezahlen.

Schutz vor Wiederverwendung von Passwörtern und schwachen Passwörtern

Verwenden Sie für jeden Dienst sichere, eindeutige Kennwörter

Um vor Angriffen durch Kennwortwiederverwendung geschützt zu sein, müssen Sie für jeden Dienst ein eindeutiges Kennwort verwenden. Das Problem ist, dass heutzutage die meisten von uns eine große Anzahl von Diensten nutzen, was bedeutet, dass Ihre Passwörter extrem schwer zu merken sind. Passwort-Manager eintragen!

Kennwortmanager sind im Grunde ein Tresor für alle Ihre sicheren Anmeldedaten. Je nachdem, welchen Kennwortmanager Sie auswählen, kann dieser Tresor auf Ihrem Computer oder in der Cloud gespeichert werden. Sie müssen sich nur ein einziges Passwort merken, das Ihren Tresor entsperrt. Sobald Ihr Tresor entsperrt ist, können Sie die restlichen Kennwörter anzeigen, die sicher in Ihrem Tresor gespeichert sind. Einige Passwort-Manager können Anmeldeformulare in Webbrowsern auch automatisch ausfüllen, ähnlich wie Sie es von Ihrem Webbrowser gewohnt sind, Formulare automatisch auszufüllen.

Aus Sicherheitsgründen lohnt es sich, einen Passwort-Manager zu installieren und dann ein oder zwei Stunden damit zu verbringen, alle Ihre Passwörter für jeden von Ihnen verwendeten Dienst zufällig und eindeutig zu ändern und Ihre neuen Passwörter unterwegs im Tresor zu speichern. Wenn einer Ihrer Services gehackt wird, bleiben die restlichen Services sicher.

Einige beliebte Passwort-Manager sind "LastPass", "Dashlane", "1Password" und "KeePass". Sie alle haben ihre Vor- und Nachteile. Meine persönliche Wahl ist LastPass, aber nur, weil ich es gewohnt bin.

Als allgemeine Faustregel empfehle ich, dass alle Passwörter eine zufällig generierte Zeichenfolge mit mindestens 12 Zeichen sind, die Kleinbuchstaben, Großbuchstaben, Zahlen und Symbole enthält. Das Passwort sollte auch nicht leicht zu erraten sein oder sich auf etwas beziehen, das über Sie bekannt ist, z. B. Ihren Namen oder Ihr Geburtsdatum.

Verwenden Sie die Multi-Faktor-Authentifizierung

Die meisten großen Online-Websites haben jetzt die Option, mindestens 2-Faktor-Authentifizierung (2FA) zu aktivieren. Dies bedeutet im Grunde, dass, wenn jemand versucht, sich in Ihrem Konto anzumelden, er Ihnen einen Text sendet oder eine Benachrichtigung auf Ihrem Telefon anzeigt, in der Sie gefragt werden, ob es sich um einen legitimen Anmeldeversuch handelt.

Wenn ein Angreifer Ihr Google Mail-Passwort finden konnte, Sie jedoch 2FA aktiviert haben, bleiben Sie dennoch geschützt!

HINWEIS: Wenn ein Cyberkrimineller bereits Ihr Passwort hat, zum Beispiel Ihre Bank, aber Ihr Konto durch 2FA geschützt ist, besteht eine übliche Technik, mit der er versucht, den Schutz zu umgehen, darin, Sie anzurufen und vorzutäuschen, die Bank zu sein! Sie sagen etwas wie "Ich werde Ihnen nur einen Code senden, um Ihre Identität zu überprüfen". Sie melden sich dann mit Ihrem Benutzernamen und Passwort bei der Bank an, ein 2FA-Text wird an Sie gesendet, Sie lesen ihn dem Angreifer vor und der Angreifer verwendet den Code, um auf Ihr Bankkonto zuzugreifen. Zu einfach! Wisse nur, dass die Bank dich niemals aus heiterem Himmel anrufen und nach deiner Identität fragen wird. Wenn Sie sich nicht hundertprozentig sicher sind, dass ein Anruf echt ist, legen Sie auf und rufen Sie die Organisation unter ihrer offiziellen Nummer zurück.

Wenn Sie einen Anruf tätigen, können Sie sicher sein, wen Sie anrufen. Wenn Sie einen Anruf erhalten, können Sie nicht sicher sein, mit wem Sie sprechen.

Ransomware

Wenn Sie so weit gelesen haben, hätten Sie inzwischen erkannt, dass Cyberkriminalität kein Scherzspiel mehr ist. Cyberkriminelle sind für ihr Geld begeistert, und gibt es eine bessere Möglichkeit, Geld zu verdienen, als das gesamte digitale Leben einer Person als Lösegeld zu nutzen?

Atme tief ein, Zeit für eine andere Geschichte. Diesmal ist es eine echte.

Anfang 2017 hackte die geheimnisvolle Black-Hat-Hacking-Gruppe Shadow Brokers in die NSA und veröffentlichte ihr gesamtes Arsenal an Hacking-Tools und Exploits. Ja. Bald darauf verwendete jemand (wahrscheinlich Nordkorea) eines der durchgesickerten Tools, um Ransomware zu erstellen, die sich auf etwa 230.000 Computer in 150 Ländern ausbreitete. Diese Ransomware wurde „Wannacry“ genannt.

Als ein Computer mit Wannacry infiziert wurde, wurden alle Dateien verschlüsselt, sodass der Benutzer nicht mehr auf sie zugreifen kann. Die einzige Möglichkeit, Dateien wiederherzustellen, besteht darin, dem Cyberkriminellen 300 US-Dollar zu zahlen. Selbst dann gab es keine Garantie.

Offensichtlich gab es viele verärgerte Benutzer. Die Menschen verloren ihre Familienfotos und wichtigen Dokumente, Krankenhäuser wurden vorübergehend geschlossen, Fluggesellschaften und Automobilhersteller waren betroffen. Es war totales Chaos. Jeder, der infiziert war, würde mit diesem beängstigend aussehenden Bildschirm konfrontiert werden:

Aaahhhhh…

Die dafür verantwortlichen Cyberkriminellen wurden nicht gefasst und werden es wahrscheinlich auch nie sein. Sie gingen mit über 200.000 US-Dollar davon, aber das ist im Vergleich zu den Kosten der Zerstörung, die es verursachte, eine lose Veränderung.

Schützen Sie sich vor Ransomware (und anderen bösen Viren)

Aktualisieren, aktualisieren, aktualisieren!

Kennen Sie die nervigen Popups auf Ihrem PC / Mac, die Sie jetzt zum Aktualisieren / Neustarten auffordern? Sie sind nicht nur eine eingebaute Funktion, die Ihr Leben unangenehm machen soll. Sie sind wirklich ein langer Weg, um dich zu beschützen. Jeder Computer, der mit WannaCry betroffen war, war mindestens 1 Monat veraltet. Wären sie aktualisiert worden, wären sie geschützt worden.

Anti-Virus

Ich werde hier keine bestimmten AV-Lösungen empfehlen, aber ich werde sagen, dass sie zusätzlichen Schutz bieten. Sie sind nicht kugelsicher, bieten aber eine zusätzliche Hürde für die Bösen.

Denken Sie über Ihre Eingaben nach

Jede Methode zum Speichern von Daten in Ihrem Computer ist auch ein potenzieller Angriffsvektor für die bösen Jungs. Sie können Vorkehrungen treffen, um diese Angriffsmethoden zu reduzieren: Schließen Sie keine zufälligen USB-Laufwerke an, lassen Sie andere Personen nicht Ihren Computer berühren, laden Sie keine zufälligen E-Mail-Anhänge herunter, besuchen Sie keine zweifelhaften Websites.

Physischer Zugang

Grundsätzlich ist das Spiel vorbei, wenn ein Cyberkrimineller physischen Zugriff auf Ihre Geräte hat. Selbst wenn Sie ein großartiges Kennwort, den besten Virenschutz und religiöse Updates haben, macht dies keinen großen Unterschied. Der physische Zugriff auf ein Gerät übertrifft alle.

Aus diesem Grund halten Unternehmen ihre wichtigsten Geräte in der Regel in einem Käfig. Die sichereren Unternehmen lassen ihre Mitarbeiter ihre Geräte auch jede Nacht in Schließfächern oder Aktenschränken unterbringen. Sie könnten ein Blatt aus diesem Buch herausnehmen! Dieses Mal erzähle ich eine persönliche Geschichte von der Nacht, in die mein Auto eingebrochen wurde. Eine andere wahre Geschichte.

Bevor ich ein ethischer Hacker war, war ich Musiker. Ich war auf einer kurzen Tour an der Ostküste Australiens und übernachtete in einem kleinen Motel irgendwo an der Central Coast. Dieser Teil der Welt ist absolut wunderschön, aber dieses Motel war ein Knaller mitten in einer sehr skizzenhaften Gegend. Mein Auto wurde über Nacht auf dem Motelparkplatz geparkt, und (dummerweise) mein iPad wurde darin gelassen. Es war nicht sichtbar, aber es war da.

Ich wachte morgens auf und griff nach meinem Telefon, um die Uhrzeit zu überprüfen. Es wurde ein ungewöhnlicher gesperrter Bildschirm angezeigt, auf dem nach einem vierstelligen Code gefragt wurde. Wenn der Code falsch eingegeben wurde, wurden alle Daten auf dem Telefon gelöscht. Ich habe meinen üblichen PIN-Code ohne Erfolg ausprobiert. Ich habe jeden anderen Code ausprobiert, von dem ich dachte, dass ich ihn eingestellt habe. Immer noch nichts. Ich hatte keine andere Wahl, als mein Telefon abzuwischen und von vorne zu beginnen.

Keine große Sache ... Zum Glück habe ich diesmal meinen Laptop auf Tour gebracht. Ich könnte dies verwenden, um mein Telefon zurückzusetzen. Ich musste mein Telefon zum Laufen bringen, bevor der Tag anfing, ständige Telefonate mit Veranstaltungsorten, Unterkünften und anderen Bandmitgliedern zu führen. Ich zog meinen Laptop auf und mein Herz sank. Mein Laptop zeigte auch einen ungewohnten Bildschirm an, auf dem nach einem 4-stelligen PIN-Code gefragt wurde, der nicht von mir festgelegt worden war.

Mein Gehirn drehte sich mit Möglichkeiten. War das Ransomware? Habe ich den falschen Laptop mitgenommen? Was geht hier vor sich? Ich beschloss, zu meinem Auto zu fahren und mein letztes Gerät zu überprüfen - das iPad. Noch bevor ich am Auto ankam, sah ich das Problem. In mein Auto war eingebrochen worden.

Alles begann sich in meinem Kopf zusammenzusetzen. Jemand hatte mein iPad gestohlen, die App „Find my iPhone“ geöffnet, mein iPhone und meinen Laptop (zusammen mit all meinen Dateien) gelöscht und dann einen PIN-Code festgelegt, damit ich nicht darauf zugreifen konnte. Aber das ist nicht das Schlimmste! Mein iPad verwendete die E-Mail-App. Das bedeutet, dass ein Cyberkrimineller nur die E-Mail-App öffnen muss, um auf alle meine E-Mails zuzugreifen.

Von hier aus können sie alle von mir verwendeten Dienste aufrufen (Facebook, Twitter, Bankkonten, Abrechnungs-Apps usw.) und auf "Passwort zurücksetzen" klicken. Die App schickte mir eine E-Mail mit einem Link zum Zurücksetzen des Passworts. Da sie Zugriff auf meine E-Mails haben, konnten sie einfach auf den Link klicken, mein Passwort zurücksetzen und sich als ich anmelden. Die anderen Möglichkeiten überlasse ich Ihrer Fantasie.

Das Timing war von entscheidender Bedeutung. Ich musste wieder auf meine Konten zugreifen und alle meine Passwörter zurücksetzen, bevor ein Schaden verursacht wurde. Aber wie? Ich hatte keinen Zugriff auf meinen eigenen Computer oder ein anderes internetfähiges Gerät, da alle gelöscht und gesperrt wurden. Keine Probleme, ich gehe zum nächsten Apple Store und setze eines ihrer Computer zum Zurücksetzen meiner Passwörter ein. Außer, ich befinde mich in einem unbekannten Bereich ohne Internetzugang. Ich weiß nicht einmal, wo die nächste Stadt ist, geschweige denn ein Apple Store.

Ich wache von meinen Bandkollegen auf und bitte, sein Telefon zu benutzen. Ich finde den nächstgelegenen Computerladen und rufe unterwegs Apple an. Als ich dort ankam, war ich von allen Diensten ausgeschlossen, die ich benutze. Alle meine Passwörter wurden mit einer Ausnahme geändert. Meine Bankkonten - Gott sei Dank für die Zwei-Faktor-Authentifizierung.

Zu diesem Zeitpunkt sah es ziemlich trostlos aus, aber meine Möglichkeiten waren noch nicht ausgeschöpft. Ich versuche, mein E-Mail-Passwort zurückzusetzen. Eine der Optionen ist das Zurücksetzen durch Beantworten geheimer Fragen. Bingo! Der Angreifer hat es versäumt, diese zu ändern. Ich habe mich in meinem Konto angemeldet und mein Passwort in etwas Neues geändert. Von hier aus konnte ich Passwörter für alle meine Dienste zurücksetzen und den Angreifer effektiv aussperren. Die Kontaktdaten in meinem Apple-Konto wurden mit den Angreiferdaten aktualisiert, sodass ich sie der Polizei melden konnte. Davon habe ich noch nie etwas gehört, und ich habe mein iPad nie zurückbekommen, aber ich hoffe, sie wurden erwischt.

Der Zugang zu meinem Laptop war etwas schwieriger. Zu diesem Zeitpunkt war es ein Papiergewicht von 2000 US-Dollar. Glücklicherweise hatten die älteren MacBook Pros eine Sicherheitslücke, die es Ihnen ermöglichte, das Schloss „Find my iPhone“ zu umgehen, indem Sie den Laptop abschrauben und den Arbeitsspeicher austauschen. Ich habe es geschafft, meinen Weg zurück in meinen eigenen Computer zu hacken, aber das wäre mit heutigen Computern nicht möglich, da diese Sicherheitslücke behoben wurde.

Ich hatte Glück. Mein Angreifer war ein gewöhnlicher Krimineller mit ein wenig technischem Know-how, kein hartgesottener Cyber-Krimineller oder ein finanzstarker nationalstaatlicher Bedrohungsschauspieler. Wenn dies der Fall wäre, hätte ich nie wieder Zugang zu meinen Konten erhalten. Meine Online-Identität würde für immer der Laune einer anderen Person entsprechen.

Schutz vor physischen Angriffen

Sie können sich größtenteils schützen, indem Sie diese goldene Regel befolgen:

Behandeln Sie Ihre elektronischen Geräte wie eine Brieftasche voller Bargeld, denn für Cyberkriminelle sind sie genau das, was sie sind.

Einige andere praktische Tipps:

  • Bewahren Sie Ihre Geräte unter Verschluss auf.
  • Behalten Sie auf Reisen Geräte in Ihrer Hand.
  • Bewahren Sie Ihre Geräte während des Fluges im Handgepäck auf.
  • Lassen Sie Ihre Geräte während Ihres Hotelaufenthalts nicht im Hotelzimmer.
  • Erwägen Sie die Verwendung eines physischen 2FA-Kontos wie eines YubiKey.

Betrugsanrufe

Wie bei Phishing-E-Mails unterscheiden sich auch Betrugsanrufe erheblich in der Komplexität. Ich erzähle Ihnen die Geschichte von jemandem, den ich gut kenne und der Opfer eines Betrugs wurde. Die einzigen Dinge, die in der Geschichte geändert wurden, sind der Name der Person und der Name der Bank.

Rob Greene ist ein intelligenter Typ. Er ist ungefähr 35 Jahre alt und besitzt ein erfolgreiches serviceorientiertes Unternehmen. Er hat ein durchschnittliches Wissen über Computer und ist stolz darauf, mit seinen Passwörtern und PIN-Nummern vorsichtig umzugehen.

Eines Tages bei der Arbeit erhält er einen gefürchteten Anruf von seiner Bank.

„Hallo Herr Greene, wir haben Grund zu der Annahme, dass Ihr Bankkonto kompromittiert und betrügerische Transaktionen getätigt wurden. Können Sie bitte bestätigen, dass Sie kürzlich in einem Autohaus in Indien einen Kauf über 50.000 US-Dollar getätigt haben? “.

Robs Herz beginnt zu schlagen. Wo ist er falsch gelaufen? Wie hat jemand Zugang zu seinem Bankkonto bekommen? Würde er sein Geld zurückbekommen können?

Das Telefonat wird fortgesetzt. "Wenn wir schnell handeln, können wir diese Gelder möglicherweise wieder einfordern. Könnten Sie bitte Ihre Kundennummer bestätigen?", Antwortet Rob auf die Anfrage. "Vielen Dank, Sir, und zum Schluss, können Sie bitte Ihr Passwort bestätigen?" Normalerweise hätten Alarmglocken geläutet, aber Rob war gestresst. Er war auf der Arbeit, Kunden warteten auf ihn, er glaubte, ihm seien 50.000 Dollar gestohlen worden, die Dinge waren verwirrend. Er kommt der Aufforderung nach und teilt dem Anrufer sein Passwort mit.

Es schien alles so legitim. Der Anrufer klang nicht wie ein Cyberkrimineller, sondern wie ein freundlicher Bankangestellter. Aber das waren sie nicht. Wie sich herausstellte, war Rob nichts gestohlen worden, und sein Konto wurde nicht kompromittiert. Aber jetzt ist es soweit! Insgesamt wurden über 100.000 USD bei einer Reihe großer Transaktionen auf verschiedene Offshore-Bankkonten gestohlen. Einige davon konnten wiederhergestellt werden, andere nicht. Die Bank hatte tatsächlich keine Verpflichtung, etwas davon zurückzugeben, da Rob sein Passwort technisch an Dritte weitergab, was gegen die Geschäftsbedingungen der Bank verstößt. Zum Glück waren sie eine große seriöse Bank, die hart gearbeitet hat, um das Geld zurückzubekommen (und ihren eigenen Ruf zu bewahren), aber es dauerte Monate. In der Zwischenzeit steckte Rob ohne Geld fest. Er musste bei Freunden und Verwandten Kredite aufnehmen, um Lebensmittel und Stromrechnungen bezahlen zu können.

Das andere, was dies schwierig machte, war, dass er nach der Anzeige des Diebstahls bei der Bank nicht mehr feststellen konnte, ob die Folgeanrufe legitim waren oder nur ein weiterer Betrugsanruf. Jedes Mal, wenn er einen Anruf erhielt, musste er auflegen und zu einer physischen Bankfiliale gehen, wo er mit Zuversicht darüber kommunizieren konnte, mit wem er sprach.

Wie erging es dem Angreifer? Es ist schwierig zu wissen, ob sie gefangen wurden oder nicht, aber wahrscheinlich nicht. Wahrscheinlicher ist, dass sie extrem reich sind und irgendwo im Ausland mit gestohlenem Geld das Überleben führen.

Schützen Sie sich vor Betrug

  • Teilen Sie niemals jemandem Ihr Passwort über das Telefon mit. Ein seriöses Unternehmen wird Sie niemals nach Ihrem Passwort fragen.
  • Wenn eine Organisation Sie anruft und Sie auffordert, Ihre Identität zu überprüfen. Legen Sie auf und rufen Sie sie unter ihrer offiziellen Nummer zurück, um sich zu vergewissern, dass dies legitim ist.
  • Auflegen, anhalten und nachdenken. Betrüger sind schnell sprechende Betrüger. Sie wissen genau, was sie sagen sollen, um Ihr Gehirn von der Erkenntnis abzuhalten, dass Sie betrogen werden. Viele dieser Betrügereien können durch eine kurze Unterbrechung des Anrufs verhindert werden. Wenn sich etwas nicht richtig anfühlt, fühlen Sie sich nicht schlecht, wenn Sie auflegen. Nehmen Sie Platz und überlegen Sie es sich mit klarem Kopf. Könnte es ein Betrug sein?

Soziale Entwicklung

Social Engineering ist die Verwendung von Täuschung, um Personen zur Weitergabe vertraulicher oder persönlicher Informationen zu manipulieren, die für betrügerische Zwecke verwendet werden können. Zumindest ist das die langweilige Definition. Einfacher ist es, Menschen zu betrügen. Ich habe oben einige Beispiele für Social Engineering aufgeführt - Phishing-E-Mails sind eine Form des Social Engineering, ebenso wie Betrugsanrufe.

Ein ausgebildeter Sozialingenieur hat nicht allzu viel Mühe, sich in die Unternehmenszentralen von Finanzinstituten, hinter die Kulissen von Konzerten und an andere Orte zu begeben, die er eigentlich nicht sein sollte. Sie würden auch nicht allzu viel Mühe haben, Ihre Versorgungsunternehmen dazu zu bringen, Informationen über Sie preiszugeben.

Was steckt in einem Social Engineer-Toolkit?

  • Eine professionelle, charmante Natur
  • Warnweste und Zwischenablage (oder Tablet) von fluro
  • Ein Anzug
  • Eine Auswahl an Lanyards in verschiedenen Farben
  • Eine gefälschte E-Mail vom CEO, die Ihnen die Erlaubnis gibt, dort zu sein

Mit diesen fünf Dingen passen sie praktisch überall hinein. Wenn ein Zufall die Straße in die ABC Bank verlässt und der Empfangsdame sagt: „Hallo, kann ich mich in Ihrem Büro umsehen?“, Lehnt die Empfangsdame ab. Wenn dieselbe Person in Anzug und Warnweste mit einem Klemmbrett von der Straße geht und sagt: „Hallo, ich bin wegen des jährlichen Brandschutzaudits hier. Ich muss mir nur die FCU im Obergeschoss ansehen Nehmen Sie sich nur eine Minute Zeit “, wird die Rezeptionistin Sie wahrscheinlich verpflichten. Sie könnten sogar einen Besucherausweis bereitstellen!

Social Engineering ist tief in psychologischen Merkmalen des Menschen verwurzelt, die ausgenutzt werden können. Ein Typ namens Robert Cialdini erkundete diese Eigenschaften und nannte sie die „6 Prinzipien des Einflusses“. Diese Prinzipien lauten wie folgt (Quelle).

  1. Reziprozität: Menschen neigen dazu, einen Gefallen zu erwidern, was die Verbreitung von kostenlosen Proben im Marketing betrifft. Die Good Cop / Bad Cop-Strategie basiert ebenfalls auf diesem Prinzip.
  2. Verpflichtung und Konsequenz: Wenn sich Menschen mündlich oder schriftlich zu einer Idee oder einem Ziel verpflichten, wird diese Verpflichtung mit größerer Wahrscheinlichkeit eingehalten, da diese Idee oder dieses Ziel mit ihrem Selbstverständnis übereinstimmt.
  3. Sozialer Beweis: Menschen werden Dinge tun, die sie von anderen Menschen sehen.
  4. Autorität: Personen tendieren dazu, Autoritätspersonen zu gehorchen, selbst wenn sie aufgefordert werden, anstößige Handlungen vorzunehmen.
  5. Mögen: Leute lassen sich leicht von anderen Leuten überzeugen, die sie mögen.
  6. Knappheit: Wahrgenommene Knappheit wird Nachfrage erzeugen. Zum Beispiel fördert die Aussage, dass Angebote nur für eine begrenzte Zeit verfügbar sind, den Verkauf.

So schützen Sie sich vor Social Engineering

Hier ist die Sache mit Social Engineering. Diese Schwächen sind buchstäblich in unsere menschliche Psyche eingebaut und wir sind alle verwundbar!

Eine Möglichkeit, das Risiko der Ausbeutung zu verringern, besteht darin, unsere Entscheidungsfindung an Computer weiterzugeben. Ein gutes Beispiel hierfür ist in einigen Support-Callcentern. Um die persönlichen Daten eines Kunden anzuzeigen, muss der Kundendienstmitarbeiter einen Überprüfungsbildschirm durchlaufen, in dem er den Kunden auffordert, sich selbst zu überprüfen. Selbst der Kundendienstmitarbeiter kann die Kundendaten nicht sehen, bis die Identität identifiziert wurde. Dies ist auch dann möglich, wenn die Person am Telefon ein erfahrener Sozialingenieur ist, der versucht, den Kundendienstmitarbeiter zur Weitergabe von Informationen zu zwingen, ohne die erforderliche Überprüfung vorzunehmen nicht. Die Entscheidung liegt beim Computer, nicht beim Menschen.

Die einzige andere Möglichkeit, die Ausbeutung durch einen Social Engineer zu vermeiden, ist das Training. Sie müssen sich (und Ihre Mitarbeiter) über die Risiken von Social Engineers informieren und sie darin schulen, Informationen als wertvoll und geheim anzusehen. Ob Informationen weitergegeben werden sollen oder nicht, muss eine kalte, emotionslose Entscheidung sein und strikt den Sicherheitsprotokollen entsprechen - egal wie charmant und überzeugend die Person ist!

Man-in-the-Middle-Angriffe (MiTM)

Diagramm eines klassischen MiTM-Angriffs

Jedes Mal, wenn Sie etwas im Internet tun, werden die von Ihnen gesendeten Daten durch eine Reihe verschiedener Computer geleitet, bevor sie tatsächlich an Ihrem Ziel ankommen. Wenn ein Angreifer alles sehen möchte, was Sie im Internet tun, muss er sich nur zwischen Sie und das Internet stellen. Dies wird als "Mann in der Mitte" -Angriff bezeichnet. Lassen Sie mich Ihnen zeigen, wie das funktionieren könnte. Zeit für eine rein fiktive Geschichte.

Joe ist IT-Administrator in einer streng geheimen Nuklearforschungseinrichtung. Diese nukleare Forschungseinrichtung hat die Aufmerksamkeit eines feindlichen Staates auf sich gezogen, der Hahn (einen ihrer Hacker) zur Untersuchung geschickt hat. Diese Forschungseinrichtung befindet sich in einer kleinen ländlichen Stadt, die größtenteils mit Ackerland bepflanzt ist. In der Nähe der Einrichtung befindet sich jedoch eine großartige Kaffeestube.

Hahn ist seit einigen Tagen in der Stadt unterwegs, und er hat einen Mann bemerkt, der jeden Tag zum Mittagessen mit einem RFID-Etikett an einem Schlüsselband um den Hals in das Café kommt, einen doppelten Espresso bestellt, am selben Tisch sitzt und nutzt das kostenlose WiFi auf seinem Laptop für ungefähr eine Stunde, bevor er mit seinem neuen Mercedes losfährt. Dieser Mann ist Joe. Diese Art von Verhalten wäre in einer Stadt ganz normal, aber wir sind in einer ländlichen Stadt. Hahn wird neugierig.

Am nächsten Tag wartet Hahn im Café mit seinem Laptop und einer großen Sammlung von Hacking-Tools. Der zweite Joe setzt sich, Hahn nutzt sein Hacking-Wissen, um den gesamten Internetverkehr von Joe über seinen eigenen Laptop umzuleiten. Hahn kann jetzt alles sehen, was Joe tut, er beobachtet die besuchten URLs und achtet besonders darauf, Informationen zu finden, die für sein Endziel relevant sind. Zugang zur technischen Infrastruktur der kerntechnischen Anlage erhalten.

Joe verbringt die meiste Zeit damit, durch Reddit zu scrollen, aber dann klingelt sein Telefon. Verärgert antwortet er. Es ist ein Kollege von der Arbeit, der nicht auf das Wiki der Einrichtung zugreifen kann. Joe navigiert zum Wiki und meldet sich zum Testen an. "Es funktioniert einwandfrei, wahrscheinlich nur ein Benutzerfehler.", Murmelt er und geht glücklich zum Surfen im Internet zurück.

Denken Sie daran: Der gesamte Internetverkehr von Joe wird von Hahn überwacht. Das heißt, er hat Hahn nur den Ort des Wikis der Nuklearanlage und auch seine Zugangsdaten mitgeteilt.

Hahn greift auf diese Referenzen zurück, um im Netzwerk der Nuklearanlage Fuß zu fassen, und unternimmt dann alle möglichen üblen Dinge.

Schützen Sie sich vor Man-in-the-Middle-Angriffen

Wenn Sie ein öffentliches Internet nutzen, z. B. in einem Café, Hotel oder Flughafen. Verwenden Sie am besten ein sogenanntes VPN (virtuelles privates Netzwerk). Sie sind sehr einfach einzurichten und kosten einen Kaffee pro Monat. Auf diese Weise wird effektiv ein sicherer, verschlüsselter Tunnel zwischen Ihnen und den von Ihnen besuchten Standorten erstellt. Wenn Sie mit einem VPN verbunden sind, werden die angezeigten Daten verschlüsselt und Sie sind sicher, auch wenn jemand einen Mann im mittleren Angriffsmodus ausführt.

Wenn in Ihrem Browser eine Warnung angezeigt wird, die der folgenden ähnelt, insbesondere, wenn Sie ein Netzwerk mit anderen Personen verwenden, fahren Sie nicht mit der Website fort! Es besteht die Möglichkeit, dass Sie angegriffen werden.

Dies ist ein klassisches Zeichen dafür, dass jemand einen MiTM-Angriff auf Sie durchführt.

Einpacken

Dieser Artikel war viel länger als beabsichtigt und kratzt immer noch nur an der Oberfläche der gängigen Angriffsmethoden. Die Umsetzung der Empfehlungen in diesem Artikel führt jedoch zu einer weitaus geringeren Wahrscheinlichkeit, dass Sie einem Cyberkriminellen zum Opfer fallen.

Auch wenn Sie sich nicht an meine Empfehlungen halten, ich hoffe, Ihnen hat der Artikel wegen des Unterhaltungsfaktors gefallen. Wenn ja, lass es mich wissen! Ich neige dazu, mich von den meisten Social-Media-Plattformen fernzuhalten, aber eine Ausnahme ist Twitter. Fühlen Sie sich frei, eine Antwort hier zu hinterlassen oder sich über Twitter in Verbindung zu setzen.

Bleib dort draußen in Sicherheit, das Internet ist ein einziger verrückter Dschungel!