SPOC-Web Icon, semantic Knowledge Management

How to... get Things done

Beispiele für Angriffe über den Computer

In diesem Abschnitt werden eine Reihe von Angriffstechniken beschrieben, die mit Hilfe von Computern möglich sind. Daneben gibt es aber weiterhin alle alten Tricks, vom Haustürgeschäft bis zu Einbruch und Erpressung.

Angriffe aus allen Richtungen

Experten nennen dies auch "Angriffs-Vektoren". Es gibt unter Anderem folgende Möglichkeiten, Sie zu übervorteilen oder an ihre Daten zu kommen:

  • Fragen: erstaunlich viele Leute antworten Fremden auf der Straße, sogar wenn sie nach ihrer Adresse oder PIN gefragt werden!
  • Haustürgeschäfte und über Telefon abgeschlossene Geschäfte: die Überrumpelung und der Wunsch, den Vertreter loszuwerden oder ihm einen Gefallen zu tun, erleichtert Vertragsabschlüsse ungemein. Kunden haben in solchen Fällen aber stets ein 14-tägiges Rücktrittsrecht ohne Angabe von Gründen!
    Das gilt natürlich ebenso bei der Ansprache von Passanten in der Fußgängerzone.
  • Fischen ("Phishing"): Emails sind ein extrem billiges Mittel, um in kurzer Zeit viele Leute "abzuchecken". Es lohnt sich schon, wenn nur wenige darauf hereinfallen.
  • Gefälschte Webseiten: Oft leiten Links in Phishing Emails auf Kopien von Bank-Webseiten, die nicht vom Original zu unterscheiden sind. Deshalb sollten Sie niemals auf Links aus Emails klicken, sondern die Web-Adresse (URL) immer selbst eingeben oder durch Web-Suche ermitteln. Suchdienste wie Google, Duck Duck Go oder Bing filtern diese Fälschungen heraus oder geben ihnen ein sehr schlechtes Ranking.
  • Identitäts-Diebstahl: wenn Hacker Ihr Passwort kennen, können sie in Ihrem Namen operieren. Sie können Überweisungen tätigen oder weitere Dienste kompromittieren, indem sie entweder ausnutzen, dass für viele Konten dasselbe Passwort verwendet wird, oder die "Passwort vergessen"-Funktion benutzen, um das Passwort für sich zu ändern.
    • Während letzteres zumindest vom Benutzer erkannt werden kann, ist die unbemerkte Weiterverwendung eines geknackten Passworts katastrophal. Eine der wichtigsten Regeln ist also, für jeden Dienst ein anderes Passwort zu verwenden, was wiederum die Verwendung eines Passwort-Managers nahelegt.

Verschenken von Trojanern

Das trojanische Pferd war als Geschenk getarnt, ein schon vor 2500 Jahren beliebter Trick, um Zugriff zu erhalten. Heutzutage sind USB-Sticks ein beliebtes Geschenk, weil sie billig und leicht mit Werbung zu versehen sind. Sie werden aber auch gern von Hackern verwendet, weil sie einem Computer jedes Ein- oder Ausgabegerät vorgaukeln können. Damit können sie z.B. als Tastatur oder Maus unerwünschte Programme starten. Sie können sich auch als Netzwerkkarte ausgeben. Dann hängen sie sich zwischen den Browser und die Webseite und hören den gesamten Verkehr ab, inklusive Passwörtern.

Dieser Trick wurde u.a. bei der spektakulären Verhaftung von Ross Ulbricht im Oktober 2013 eingesetzt. Als streitendes Liebespaar getarnte FBI-Beamte haben ihn kurz abgelenkt und einen USB-Stick in sein Laptop eingeführt, um die Sperrung zu verhindern. Dies genügte dann, um auch die Lösch-Software, die Ulbricht vorsichtshalber installiert hatte, zu behindern und so vollen Zugriff auf den beschlagnamten Computer zu erhalten.

Es ist zwar traurig, aber gerade bei kostenlosen oder gefundenen Wertsachen sollte man misstrauisch sein und nach möglichen Motiven suchen.

Kostenlose Lock-Angebote, Viren inklusive

Mit Gier, Geiz oder Angst motiviert man Menschen am einfachsten.

In diesem Fall führt die Suche nach kostenlosen Videos oder Musik oft auf virenverseuchte Webseiten. Auf keinen Fall sollte man heruntergeladene Programme oder Scripte starten. Seit Windows 7 muss der Admin-Modus separat bestätigt werden, was den Benutzer nochmals warnt, aber immer noch werden noch viel zu leichtfertig Programme installiert.

Weiterhin treten trotz Firewalls und aktuellen Browser-Updates immer wieder Lücken auf, die den Rechner nachhaltig kompromittieren können.

Im besten Fall muss man dann den Rechner neu aufsetzen, aber schlimmstenfalls werden alle Dateien verschlüsselt und als 'Geiseln' genommen (sogenannte 'Ransomware') wie z.B. Wannacry im Mai 2017, obwohl letzterer sich hauptsächlich über EMail und LAN ausbreitet.

Tatsächlich benötigen die meisten Programme überhaupt keine Installation. Keine der hier erhältlichen Spoc-Apps wird von Ihnen Administrator-Zugriff verlangen, was Ihnen die Sicherheit bietet, dass die Programme keine schwerwiegenden Änderungen an ihrem Computer vornehmen. Entpacken oder Kopieren eines Verzeichnisses reichen völlig aus.

Angriffe über EMail

Wie schon beschrieben erhalten EMails aufgrund der vermeintlichen Personalisierung eine erhöhte Aufmerksamkeit, obwohl sie praktisch nichts kosten.

Dadurch werden verschiedene Angriffe möglich, von denen einige nachfolgend beschrieben sind.

EMails zum 'Abchecken' von potenziellen Opfern

Die Verunsicherung vor allem älterer Mitbürger beim Umgang mit elektronischen Medien kann durch Massen-EMails sehr effizient ausgenutzt werden.

Wie schon bei Telefonanrufen werden leichtgläubige Menschen auch durch EMails verunsichert und zu verschiedenen unüberlegten Aktionen motiviert.

Gleichzeitig wird dabei oft ein vermeintlich leichter Ausweg durch Zahlung einer kleine "Verwaltungsgebühr" angeboten.

Zahlt man diese, hat man sich leider als erpressbare Person qualifiziert und wird meist Opfer noch drastischerer Forderungen. Dieses Muster ist leider besonders hinterhältig, und kann nur durch eine kompetente und selbstbewusste Haltung seitens des Opfers durchbrochen werden.

Es ist erheiternd und befreiend, zu sehen, dass man sich aus diesem Schema befreien kann, wie dieser TED-Talk zeigt, in dem James Veitch sich zum Schein über EMail auf dubiose Geschäfte einlässt.

 

Phishing EMails mit Links auf gefälschte Webseiten

Eine andere Art Menschen zu verunsichern besteht darin, sie auf ein vermeintliches Problem (Überziehung, Konto-Sperrung, Sicherheitsprobleme etc.) anzusprechen und zum Login auf einer gefälschten Webseite aufzufordern. Dazu werden auch gleich die passenden Links in der EMail angeboten.

Es ist extrem leicht, eine bestehende Webseite zu kopieren und die gesamte Kommunikation über die eigene Seite zu leiten. Dies ist als sogenannter "Man in the Middle" Angriff bekannt. Auf diese Weise können beispielsweise Benutzernamen und Passworte in Erfahrung gebracht werden.

Sowohl der EMail Absender als auch die URL können sehr leicht verfälscht werden und echt wirken. Man sollte Links aus EMails nie zum Login verwenden!

Statistisch attraktive EMail-Angebote

Für diesen Angriff benötigt man nur eine ausreichend große Menge von EMail-Adressen. Die EMail-Adressen kann man im Internet günstig erwerben und mit ihnen in drei Schritten Angebote konstruieren, die für Einzelpersonen sehr attraktiv erscheinen. In diesem Fall wird das Opfer durch Gier statt durch Furcht motiviert. 

  1. Die Adressen teilt man zunächst in 2 Gruppen ein und schickt ihnen eine Vorhersage, dass z.B. eine Aktie steigen oder fallen wird, zusammen mit dem Angebot, ein Aktienportfolio für sie zu managen. In jedem Fall wird sich diese Aussage für eine Hälfte der Adressaten bewahrheiten.
    Dies wird für die meisten Leser noch kein Grund sein, diesen Managern ihr Geld anzuvertrauen.
  2. Aber man kann das Schema wiederholen, indem man die EMail Adress-Liste noch einmal halbiert und eine Vorhersage für eine andere Aktie macht. Auch dieses Mal liegt man bei einer Hälfte richtig und die Empfänger beginnen sich zu wundern.
  3. Spätestens beim dritten Mal scheint der Absender über ein untrügliches Gespür für den Aktienmarkt zu verfügen, da er (zumindest bei Ihnen) dreimal bei völlig unbekannten Aktien richtig lag, und Sie beginnen zu überlegen, ob es nicht eine gute Idee wäre, bei diese Firma ein Aktien-Depot anlegen zu lassen.

Natürlich trifft dies nur bei einem Achtel (der Hälfte der Hälfte der Hälfte) der EMail-Empfänger zu, aber wenn von diesen auch nur ein Bruchteil anbeisst, hat sich der Aufwand schon gelohnt, insbesondere wenn der Absender nach ein paar Wochen mit gefälschten Gewinn-Reports ohnehin die Absicht hat, das Geld zu veruntreuen.