7 Cyberangriffe kurz erklärt

Wir schreiben das Jahr 1989, Smartphones waren noch nicht erfunden und auch Computer waren meist nur in der Industrie, in Laboren und Forschungseinrichtungen zu finden. Der Biologe Joseph Popp Jr. spielte eine Software auf 20.000 5 1/2" Disketten und versendete diese an Forscher außerhalb der USA, die zur AIDS-Erkrankung forschten.

Auf etwa 1000 Computern wurde die Installation durchgeführt. Zum 90. Neustart eines Rechners wurden die Benutzerdateien auf der Platte C: verschlüsselt und vor dem Benutzer versteckt. Nach dem nächsten Neustart wurde eine Meldung angezeigt, dass man eine Lizenz erneuern müsse, um den Computer weiter zu verwenden. Gleichzeitig druckte ein angeschlossener Drucker eine Zahlungsaufforderung von 189 Dollar aus, die als Verrechnungscheck an ein Postfach in Panama geschickt werden sollte. Im Gegenzug sollte man Anweisungen zur Wiederherstellung der Dateien erhalten - AIDS - der Erpressungstrojaner war geboren.

Heute 32 Jahre später hat sich nicht nur die Informationstechnologie stark weiterentwickelt, auch die Erpressungstrojaner sind professioneller geworden. Anstatt Disketten werden Mails versendet oder Schwachstellen in Software ausgenutzt, als Zahlungsmethode verwendet man Bitcoins und auch der Preis ist um ein vielfaches gestiegen.

7 vielfach verwendeten Cyberangriffe möchte ich euch heute kurz erklären:

Schadprogramme

Schadprogramme werden auch als Malware bezeichnet. Es sind Programme, die auf dem System des Opfers unbefugte Aktionen durch zumeist bösartiger Software ausführen. Schadprogramme können in drei Klassen unterteilt werden:

1. Computerviren
   Ein Computervirus ist eine Befehlsfolge, die sich selbständig verbreiten kann, indem er Dateien infiziert, die als Wirtsprogramm verwendet werden. Unterklassen dieser Viren sind unter anderem: Dateiviren, Kernelviren oder Makroviren.
2. Computerwürmer
   Ein Computerwurm ist eine eigenständiges Programm, die sich selbständig verbreiten kann. In den Medien oft wird es oft fälschlicherweise als Computervirus bezeichnet. Die Unterteilung erfolgt hier nach der Art ihrer Verbreitung, beispielsweise: Netzwerkwürmer, E-Mailwürmer oder Bluetooth Würmer.
3. Trojanische Pferde
   Ein trojanisches Pferd ist ein eigenständiges Programm, welches eine vertrauensvolle Funktionalität vortäuscht, aber durch eine Schadfunktion ergänzt wird.
   Eine spezielle Klasse eines Trojanischen Pferdes ist die Ransomware, auch als Verschlüsselungstrojaner bekannt. Wie in der Einführung bereits beschrieben, werden mittels Verschlüsselung die Daten des Opfers verschlüsselt oder der Zugriff auf diese verhindert.

Phishing-Mails

Das Ziel von Phishing-Mails ist es, sensible Daten wie Anmelde- oder Kreditkarteninformationen zu stehlen oder Malware auf dem Rechner oder Smartphone zu installieren. Hierzu wird eine Mitteilung verschickt, die einer seriösen Quelle zum verwechseln ähnlich sieht. Zum Beispiel eine E-Mail von einem Online Versandhändler. Zunehmend werden auch SMS oder Messanger Nachrichten verschickt.

Whale-phishing-Mails

Ist eine spezielle Form von Phishing Angriffen, bei denen gezielt Führungskräfte oder hochrangige Endnutzer angeschrieben werden, um mittels Social-Engineering-Taktiken dazu zu bringen finanzielle Transaktionen einzuleiten oder sensible Informationen preiszugeben. Social-Engineering-Taktiken dienen zum ausspionieren des persönlichen Umfeldes des Opfers. Hierbei werden Identitäten vorgetäuscht oder Verhaltensweisen ausgenutzt, um an geheime Informationen oder unbezahlte Dienstleistungen zu gelangen.

Spear-phishing-Mails

Während bei einem "einfachen" Phishing Angriff E-Mails an beliebige Personen geschickt werden, werden Spear-phishing-Mails gezielt an eine Personengruppen einer Organisation versendet.

Denial-of-Service (DoS)

Eine weitere Angriffsmethode ist der Denial-of-Service (Dos). Bei einem DoS Angriff wird ein Internetdienst (meist eine Webseite) mit Anfragen regelrecht überflutet. Dies führt dazu, dass dieser Dienst die Anfragen nicht mehr verarbeiten kann und nicht mehr zur Verfügung steht. Im Falle einer Webseite, ist diese nicht mehr aufrufbar. Kommen die Anfragen von vielen verschiedenen Computern spricht man von einem Distributed-Denial-of-Service (DDoS) Angriff. Aufgrund der Vielzahl der Angreifer ist es nicht mehr möglich, einzelne Angreifer zu blockieren.

Eine besondere Form des DDoS Angriffes ist ein Distributed-Reflected-Denial-of-Service (DRDoS) Angriff. In diesem Falle wird das Opfer indirekt angegriffen, indem der eigentliche Angreifer einen Internetdienst angreift, als Absender jedoch die IP-Adresse des Opfers einträgt. Hier stellen dann die Antworten des Internetdienstes den eigentlichen Angriff auf das Opfer da.

DNS Spoofing

DNS steht für Domain Name System. Jedes System (z.B. eine Webseite) im Internet hat eine zugehörige IP-Adresse unter der es erreichbar ist. Da wir Menschen uns Namen besser merken können als Nummern, geben wir auch dem Systemen im Netz einen Namen. Das DNS übersetzt nun den Namen eines Systems in die zugehörigen IP-Adresse. Beim DNS-Spoofing wird nun der Zwischenspeicher des DNS so manipuliert, dass man auf einen falschen Server weitergeleitet wird. Beispielsweise eine nachgebaute Webseite eines Onlineshops oder eines Downloadportals. Hier könnte jetzt ein Man-in-the-middle Angriff vorgenommen oder Schadprogramme verbreitet werden.

Man-in-the-middle Angriff

Hier hat es der Angreifer geschafft sich in eine Kommunikation zwischen zwei Partner zu schalten. Er kann den Informationsaustausch mitlesen und die Nachrichten manipulieren. So kann er den Kommunikationspartnern vortäuschen der jeweilig andere zu sein. Im Falle des Onlineshops könnten beispielsweise die Anmeldedaten geklaut werden und der Täter ändert anschließend das Passwort und führt Bestellungen aus. Das Opfer würde dies erst merken, wenn es sich wieder auf der Originalseite anmeldet oder beim Blick in die Kontoauszüge.

SQL Injection Angriff

SQL Injection Angriff
Hierbei werden Programmierfehler bei der Anbindung von Datenbanken ausgenutzt. Enthält eine Webseite zum Beispiel eine Suchmaske, können nicht nur Suchbegriffe eingegeben werden, sondern auch SQL-Befehle. Wenn dies nicht erkannt wird, können so Daten aus der Datenbank ausgelesen, geändert oder sogar gelöscht werden.

Brute-Force Angriff

Bei einem einfachen Brute-Force Angriff versuchen Hacker die Anmeldedaten logisch mit Hilfe von Software-Tools zu ermitteln. So können sehr einfache Passwörter oder PINs geknackt werden. Möglich wird dies durch einen Wörterbuchangriff. Nehmen wir an einem Angreifer ist es gelungen, aus einer Datenbank Usernamen und verschlüsselte Passwörter abzugreifen. Verschlüsselte Passwörter werden in sogenannten Hashwerten abgespeichert. Nun verschlüsselt er alle Wörter eines Wörterbuches und vergleicht die beiden Hashwerte miteinander. Gleichen sie sich, hat er das Passwort geknackt und kann sich nun mit dem zugehörigen Usernamen an dem System anmelden.

Zum Schluss ein paar Tipps für Privatanwender, um sicher im Netz unterwegs zu sein:

• Updates: Haltet eure Systeme aktuell und spielt Patches so schnell wie möglich ein.
• Antivirus: Installiert einen Antivirus Client von einem bekannten Hersteller, direkt von der Webseite.
• Softwareinstallationen: Ladet die Software stets von der Herstellerseite runter, nicht von Drittseiten.
• Vorsicht bei offenen W-LANs (z.B. bei Flughäfen, Bahnhöfen) surfen ja, aber keine wichtigen oder geheimen Informationen übertragen (z.B. Online Banking)
• Zwei-Faktor-Login aktivieren
• Passwörter:
  • Anfangsbuchstaben eines Satzes / Gedichtes / Zitate / Liedtext
  • Zahlen, die nicht auf die eigene Person zurückzuführen sind
  • Mind. 12 Zeichen
  • Sonderzeichen, die auf der englischen und deutschen Tastatur gleich sind (! " % # , .)
  • Keine Umlaute
  • Für jeden Account ein eigenes Passwort nutzen

Wenn ihr prüfen wollt, ob eure Logindaten abgefangen und veröffentlicht wurden, empfehle ich zwei Dienste:

• HPI Identity Leak Checker: https://sec.hpi.uni-potsdam.de/ilc/
  Betreiber ist das Hasso-Plattner-Institut der Uni Potsdam
• Have I been pwned: https://haveibeenpwned.com
  Betreiber ist Troy Hunt, Internetsicherheitsexperte und Blogger

Wenn eure Daten veröffentlicht wurden, solltet ihr folgende Dinge tun:

• Das Passwort des betroffenen Accounts sofort ändern
• Alle anderen Accounts mit demselben Passwort ändern
• Wenn möglich: Zwei-Faktor-Login aktivieren.

Wenn Du die Risiken für Dein Unternehmen besser einschätzen möchtest, nimm gerne Kontakt mit mir auf.