Mobilität und Vernetzung nehmen weiter zu, immer mehr Gebrauchsgüter wie TV-Geräte oder Automobile gehen online, kurz: das Internet der Dinge nimmt Gestalt an. Doch manchmal sind es die unerwarteten Stellen, an denen die Cyberkriminellen zuerst aktiv werden. Während die Welt vor allem - und natürlich zu Recht - über Schädlinge auf Smartphones oder Angriffe auf Bremsanlagen eines Autos diskutiert, greifen die Online-Gangster Kreditkartendaten an den Bezahlterminals im Supermarkt ab. Und auch sonst lassen sie sich überraschende neue Taktiken einfallen, wie der aktuelle Sicherheitsbericht von Trend Micro zum ersten Quartal 2014 zeigt.
"In den ersten drei Monaten dieses Jahres haben Cyberkriminelle ihre Angriffsmethoden nicht nur in Richtung einer effektiveren Tarnung weiterentwickelt. Vielmehr proben sie auch für die neue Welt des Internets der Dinge", erklärt Udo Schneider, Sicherheitsexperte und Pressesprecher von Trend Micro. "Das Muster ist klar: Überall da, wo sich Plattformen oder Applikationen durchsetzen, schlagen die Online-Gangster zu, denn sie haben vorher schon experimentiert und wissen, welche Angriffstaktik funktioniert. Das war bei Android so und ist auch an eher unvermuteter Stelle zu beobachten: Schadsoftware für Bezahlterminals in Supermärkten sehen wir seit 2010. Spektakuläre Fälle wie der Diebstahl von bis zu 70 Millionen Kundendaten beim US-Einzelhändler Target wurden jedoch erst im vergangenen Quartal bekannt."
Kasse machen
Freilich handelt es sich dabei um gezielte Angriffe, schließlich befolgt der Einzelhandel die strengen Vorschriften des PCISCC-Standards, die Bezahlvorgänge mittels Kredit- und Debit-Karten vor kriminellem Zugriff schützen sollen. Der Aufwand für die Online-Hacker ist entsprechend groß, doch er lohnt sich. In der Regel läuft der Angriff nach einem bekannten Verfahren ab. Mittels Social-Engineering-Methoden wird ein Mitarbeiter dazu überredet, einen Anhang zu öffnen oder eine Website zu besuchen, und schon beginnt die Infektionskette, ohne dass der Mitarbeiter etwas davon merkt. Vom befallenen Rechner aus bewegen sich die Kriminellen im Netzwerk bis zu den Kontrollsystemen der PoS-Systeme vor und greifen von dort die Kreditkarten- und Bankdaten der Konsumenten ab, oftmals über Anonymisierungsmittel wie TOR.
Untertunneln
Überhaupt TOR: Tarnung durch Anonymisierung wird generell bei den Cybergangstern beliebter. Offenbar verfehlt das härtere Durchgreifen von Ermittlungsbehörden weltweit seine Wirkung nicht. So ist eine Variante des Bankentrojaners ZeuS oder ZBOT im Umlauf, der die Kommunikation zwischen infizierten Rechnern und den Kontroll- und Steuerungsservern mittels TOR zu tarnen versucht. Mittlerweile nutzen die Kriminellen das TOR-Netzwerk auch bei Android-Schädlingen, um ihre Datenspuren zu verwischen. Beispiel hierfür ist die Spionagesoftware ANDROIDOS_TORBOT.A, der erste mobile Schädling mit TOR-Tarnkappe. Und auch die Anonymisierungswerkzeuge selbst, die bei den Anwendern wegen der Spionageaffären und der Datensammelwut der Internetgiganten immer höher im Kurs stehen, werden Opfer der Gangster, wie das Beispiel Snapchat beweist: Statt anonym Informationen auszutauschen, verloren 4,6 Millionen Anwender dieser App persönliche Daten.
Insgesamt bleibt festzuhalten: Was Angriffstaktiken und -techniken angeht, werden die Unterschiede zwischen der Welt der Windows-PCs und MAC-Rechner auf der einen und der mobilen Plattformen auf der anderen Seite immer unbedeutender. So werden zum Beispiel immer häufiger Schwachstellen nicht nur bei Windows - und die Nutzer, die an Windows XP festhalten oder aus guten Gründen festhalten müssen, werden immer stärker ins Visier der Angreifer geraten -, sondern auch bei Android und iOS entdeckt und für kriminelle Zwecke missbraucht.
Schürfen und erpressen
Letztlich geht es bei der Online-Kriminalität immer ums Geld. Wer Sicherheitslücken auf jeder Plattform ausnutzen kann, muss die Schädlinge nur einmal entwickeln. Und wer Bitcoin-Börsen wie Mt. Gox oder Flexcoin infiltriert, muss keine eigenen Bitcoins herstellen, sondern stiehlt einfach die vorhandenen. Die digitale Währung scheint aber in der Tat so interessant, dass manche Cyberkriminelle sogar Videorekorder von öffentlichen Überwachungskameras kapern, um damit Bitcoins zu schürfen, auch wenn es wegen der geringeren Rechenleistung etwas länger dauert. Und noch einen Vorteil bietet das digitale Geld: Bezahlvorgänge lassen sich besser tarnen. So fordern die Hintermänner von Erpressersoftware, so genannter "Ransomware" wie zum Beispiel Cryptolocker, immer häufiger Bitcoins statt US-Dollar, und auch untereinander akzeptieren die Online-Gangster die digitalen Münzen, etwa für Kauf und Verkauf der Schadsoftware BlackOS auf Untergrundforen.
Internet der Dinge: Noch ist es nicht zu spät
Trend Micro registriert vermehrt Testangriffe auf neue Ziele wie softwaregesteuerte Beleuchtungsanlagen, die Steuerungssysteme von Elektroautos oder smarte TV-Geräte. Dabei muss aber betont werden, dass die Hersteller dieser Produkte es den Cyberkriminellen allzu oft leicht machen. Denn die Lücken, die Angriffe erlauben, befinden sich oftmals nicht im Code der zugrundeliegenden Betriebssysteme oder Schnittstellen, sondern in einem mangelhaften Design der Steuerungssoftware oder unzureichenden Sicherheitsprozessen und -praktiken. Dadurch kommt es immer wieder vor, dass Geräte bereits infiziert ausgeliefert werden.
"Die Bedrohungslandschaft ist in Bewegung. Die aus der PC-Welt bekannte Entwicklung wiederholt sich gerade bei mobilen Plattformen, insbesondere bei Android, wo wir mittlerweile weit über zwei Millionen Schädlinge zählen. Während hier das Ende der Fahnenstange noch nicht abzusehen ist, bereiten die Online-Kriminellen und -Spione schon die Angriffswellen der Zukunft vor", beschreibt Udo Schneider die Situation. "Noch haben die Hersteller hinter dem Internet der Dinge die Chance, schon am Beginn der Marktentwicklung stärker auf die Sicherheit zu achten. Sie sollten diese Chance nutzen, um ihre Netze und Produkte so wenig angreifbar wie möglich zu machen. Einfache Schutzmaßnahmen reichen hier nicht aus. Vielmehr ist ein ganzes Bündel von Maßnahmen und Techniken zur Bedrohungs- und Spionageabwehr erforderlich."
Weitere Informationen
Weitere Informationen zum Stand der Bedrohungslandschaft im ersten Quartal 2014 enthält der Bericht "TrendLabs Q1 2014 Security Roundup". Eine Analyse zu den Gefahren an Bezahlterminals (PoS-Systemen) ist ebenfalls online sowie auf dem deutschsprachigen Trend Micro-Blog abrufbar.
"In den ersten drei Monaten dieses Jahres haben Cyberkriminelle ihre Angriffsmethoden nicht nur in Richtung einer effektiveren Tarnung weiterentwickelt. Vielmehr proben sie auch für die neue Welt des Internets der Dinge", erklärt Udo Schneider, Sicherheitsexperte und Pressesprecher von Trend Micro. "Das Muster ist klar: Überall da, wo sich Plattformen oder Applikationen durchsetzen, schlagen die Online-Gangster zu, denn sie haben vorher schon experimentiert und wissen, welche Angriffstaktik funktioniert. Das war bei Android so und ist auch an eher unvermuteter Stelle zu beobachten: Schadsoftware für Bezahlterminals in Supermärkten sehen wir seit 2010. Spektakuläre Fälle wie der Diebstahl von bis zu 70 Millionen Kundendaten beim US-Einzelhändler Target wurden jedoch erst im vergangenen Quartal bekannt."
Kasse machen
Freilich handelt es sich dabei um gezielte Angriffe, schließlich befolgt der Einzelhandel die strengen Vorschriften des PCISCC-Standards, die Bezahlvorgänge mittels Kredit- und Debit-Karten vor kriminellem Zugriff schützen sollen. Der Aufwand für die Online-Hacker ist entsprechend groß, doch er lohnt sich. In der Regel läuft der Angriff nach einem bekannten Verfahren ab. Mittels Social-Engineering-Methoden wird ein Mitarbeiter dazu überredet, einen Anhang zu öffnen oder eine Website zu besuchen, und schon beginnt die Infektionskette, ohne dass der Mitarbeiter etwas davon merkt. Vom befallenen Rechner aus bewegen sich die Kriminellen im Netzwerk bis zu den Kontrollsystemen der PoS-Systeme vor und greifen von dort die Kreditkarten- und Bankdaten der Konsumenten ab, oftmals über Anonymisierungsmittel wie TOR.
Untertunneln
Überhaupt TOR: Tarnung durch Anonymisierung wird generell bei den Cybergangstern beliebter. Offenbar verfehlt das härtere Durchgreifen von Ermittlungsbehörden weltweit seine Wirkung nicht. So ist eine Variante des Bankentrojaners ZeuS oder ZBOT im Umlauf, der die Kommunikation zwischen infizierten Rechnern und den Kontroll- und Steuerungsservern mittels TOR zu tarnen versucht. Mittlerweile nutzen die Kriminellen das TOR-Netzwerk auch bei Android-Schädlingen, um ihre Datenspuren zu verwischen. Beispiel hierfür ist die Spionagesoftware ANDROIDOS_TORBOT.A, der erste mobile Schädling mit TOR-Tarnkappe. Und auch die Anonymisierungswerkzeuge selbst, die bei den Anwendern wegen der Spionageaffären und der Datensammelwut der Internetgiganten immer höher im Kurs stehen, werden Opfer der Gangster, wie das Beispiel Snapchat beweist: Statt anonym Informationen auszutauschen, verloren 4,6 Millionen Anwender dieser App persönliche Daten.
Insgesamt bleibt festzuhalten: Was Angriffstaktiken und -techniken angeht, werden die Unterschiede zwischen der Welt der Windows-PCs und MAC-Rechner auf der einen und der mobilen Plattformen auf der anderen Seite immer unbedeutender. So werden zum Beispiel immer häufiger Schwachstellen nicht nur bei Windows - und die Nutzer, die an Windows XP festhalten oder aus guten Gründen festhalten müssen, werden immer stärker ins Visier der Angreifer geraten -, sondern auch bei Android und iOS entdeckt und für kriminelle Zwecke missbraucht.
Schürfen und erpressen
Letztlich geht es bei der Online-Kriminalität immer ums Geld. Wer Sicherheitslücken auf jeder Plattform ausnutzen kann, muss die Schädlinge nur einmal entwickeln. Und wer Bitcoin-Börsen wie Mt. Gox oder Flexcoin infiltriert, muss keine eigenen Bitcoins herstellen, sondern stiehlt einfach die vorhandenen. Die digitale Währung scheint aber in der Tat so interessant, dass manche Cyberkriminelle sogar Videorekorder von öffentlichen Überwachungskameras kapern, um damit Bitcoins zu schürfen, auch wenn es wegen der geringeren Rechenleistung etwas länger dauert. Und noch einen Vorteil bietet das digitale Geld: Bezahlvorgänge lassen sich besser tarnen. So fordern die Hintermänner von Erpressersoftware, so genannter "Ransomware" wie zum Beispiel Cryptolocker, immer häufiger Bitcoins statt US-Dollar, und auch untereinander akzeptieren die Online-Gangster die digitalen Münzen, etwa für Kauf und Verkauf der Schadsoftware BlackOS auf Untergrundforen.
Internet der Dinge: Noch ist es nicht zu spät
Trend Micro registriert vermehrt Testangriffe auf neue Ziele wie softwaregesteuerte Beleuchtungsanlagen, die Steuerungssysteme von Elektroautos oder smarte TV-Geräte. Dabei muss aber betont werden, dass die Hersteller dieser Produkte es den Cyberkriminellen allzu oft leicht machen. Denn die Lücken, die Angriffe erlauben, befinden sich oftmals nicht im Code der zugrundeliegenden Betriebssysteme oder Schnittstellen, sondern in einem mangelhaften Design der Steuerungssoftware oder unzureichenden Sicherheitsprozessen und -praktiken. Dadurch kommt es immer wieder vor, dass Geräte bereits infiziert ausgeliefert werden.
"Die Bedrohungslandschaft ist in Bewegung. Die aus der PC-Welt bekannte Entwicklung wiederholt sich gerade bei mobilen Plattformen, insbesondere bei Android, wo wir mittlerweile weit über zwei Millionen Schädlinge zählen. Während hier das Ende der Fahnenstange noch nicht abzusehen ist, bereiten die Online-Kriminellen und -Spione schon die Angriffswellen der Zukunft vor", beschreibt Udo Schneider die Situation. "Noch haben die Hersteller hinter dem Internet der Dinge die Chance, schon am Beginn der Marktentwicklung stärker auf die Sicherheit zu achten. Sie sollten diese Chance nutzen, um ihre Netze und Produkte so wenig angreifbar wie möglich zu machen. Einfache Schutzmaßnahmen reichen hier nicht aus. Vielmehr ist ein ganzes Bündel von Maßnahmen und Techniken zur Bedrohungs- und Spionageabwehr erforderlich."
Weitere Informationen
Weitere Informationen zum Stand der Bedrohungslandschaft im ersten Quartal 2014 enthält der Bericht "TrendLabs Q1 2014 Security Roundup". Eine Analyse zu den Gefahren an Bezahlterminals (PoS-Systemen) ist ebenfalls online sowie auf dem deutschsprachigen Trend Micro-Blog abrufbar.
