Apps für Smartphone und Tablet steigern die Produktivität, ermöglichen Mitarbeiter flexible Arbeitsweisen und verbessern den Kundenservice. Die neue Mobilität hat aber auch einen Preis: Fake-Apps und Malware bieten Hackern zahlreiche Möglichkeiten Schaden zu verursachen.
Ob Pokemon-Go, Whatsapp oder Staumelder – mobile Apps haben sich in den letzten Jahren zum Milliardengeschäft entwickelt. Nach einer Analyse des App-Analyse-Unternehmen App Annie installierten allein im Mai 2017 über 65 Prozent der globalen Nutzer mindestens eine App auf ihrem Smartphone. Bis 2021 sollen die Downloads weltweit auf insgesamt 352 Milliarden steigen und einen Umsatz von 139 Milliarden Dollar erreichen.
Drei Trends der mobilen Bedrohungen
Damit steigt auch das Risiko von Hackerangriffen. Erst im letzten Jahr warnte die US-Handelskommission (FTC) angesichts der wachsenden Zahl an Online-Einkäufen über Apps vor einer Zunahme von Betrugsversuchen. Bei den mobilen Bedrohungen sind drei Trends zu beobachten:
Malware:
Malware macht auch vor Smartphones und Tablets nicht halt. Vor allem in inoffiziellen App-Stores ist Vorsicht geboten. Oft werden die dort gelisteten Anwendungen nur unzureichend verwaltet und auf Schwachstellen oder schädliche Malware überprüft. Um hier Apps herunterzuladen, müssen Anwender zudem die vom Hersteller festgelegten Nutzungsbeschränkungen auf ihrem Smartphones entfernen. Im Serienzustand verhindern sie zum Beispiel die Installation firmenfremder App-Stores. Das nicht-autorisiterte Entfernen solcher Beschränkungen – Jailbreak für Apple-Geräte und Rooten für Anroid-Geräte – macht die Geräte jedoch angreifbarer.
Die Mehrheit der Smartphone-Nutzer besucht daher offizielle App-Stores wie Apple und Google-Play. Doch auch hier bleibt ein Restrisiko: In der Vergangenheit gab es immer wieder Fälle von mit Malware infizierten Apps, die es schafften die Sicherheitshürden der Stores zu umgehen. Im Januar 2017 wurde im Googel-Play-Store die Batteriespar-App “Charger“ heruntergeladen angeboten, bei der es sich in Wirklichkeit um einen Ransomware-Variante handelt, die mit einem sogenannten „Information Stealer“ verknüpft war. Nach Herunterladen der App, wurden Adressbuch und SMS-Nachrichten ausspioniert. Gewährten die Nutzer der App Administratoren-Rechte, wurde das Smartphone verschlüsselt, bis ein Lösegeld von 2 Bitcoins (180 Dollar) gezahlt wurde.
“There’s an (fake) app for that”:
Malware versteckt sich auch in den sogenannten Fake-Apps, die im Namen großer Handelsketten und Unternehmen, versuchen das Vertrauen von Anwendern zu gewinnen. Die falschen Apps imitieren Markennamen und Logos oft täuschend echt, und bewegen Nutzer mit vielversprechenden Angeboten, Bonus-Features und Vorteilen zum Download. Einmal auf dem Smartphone installiert, verschaffen sich die Hacker Zugriff auf Nutzerdaten und Adressbücher. Über versteckte Funktionen der App werden Online-Käufe im Internet getätigt oder teure 0900-Nummern gewählt.
Im Februar 2017 wurde beispielsweise ein Trojaner-Downloader entdeckt, der sich als App des Adobe-Flash-Player ausgab und es auf Android-Betriebssysteme abgesehehen hatte. Die darin enthaltene E-Banking-Malware verschaffte sich Zugriff auf die Logindaten von Kunden, um illegal Transaktionen auszuführen.
SMS-phishing /SMishing – Fauler Fisch:
Auch Phishing-SMS versuchen Malware auf dem Smartphone zu installieren und Daten auszulesen. Nutzer erhalten von unbekannter Nummer eine SMS, in der sie auffgefordert werden einem Link zu folgen, um wichtige Kundenfunktionen freizuschalten oder den vermeintlichen Preis eines Gewinnspiel zu erhalten. Stattdessen aktivieren sie den Download einer Malware oder werden auf eine bösartige Website umgeleitet.
Eine Vielzahl von Bankkunden und Online-Shoppern ist bereits Opfer von SMishing-Angriffe geworden. Kunden von Barclay, Apple und PayPal wurden vor “verdächtigen Aktivitäten” auf ihren Konten gewarnt und gebeten ihren Account zu verifizieren und die Logindaten zu bestätigten. Bei Eingabe der Daten, wurden diese abgefangen und dann für Transkationen missbraucht.
Überblick schaffen
Die Unternehmen sind sich des Risikos durchaus bewusst: Nach einer Studie von IBM & Arxan befürchten mehr als die Hälfte der befragten Unternehmen Hackerangriffe über mobile und IoT-Apps. Trotzdem werden in den seltensten Fällen gezielte Sicherheitsmaßnahmen ergriffen. Oft fehlt ganz einfach das Wissen darüber, welche Apps über das Unternehmensnetzwerk von Mitarbeitern genutzt werden. Überprüfungen durch die IT lassen sich so nur bedingt – wenn überhaupt – durchführen.
Auch wenn Unternehmen klare Richtlinien für Mitarbeiter etablieren oder sogar auf mobile Apps oder SMS-Dienste komplett verzichten, sehen sie sich Risiken ausgesetzt. Denn die Angriffe können auch über Applikationen von Kunden, über Drittapplikationen oder Fake-Apps gestartet werden. Monitoring ist daher entscheidend, um sowohl Unternehmens-IT als auch Kunden zu schützen und Reputationsschäden sowie Datenverlust zu verhindern.
Zudem gilt es, Mitarbeiter über die potentiellen Risiken der mobile Geräte aufzuklären. Eine effiziente Verwaltung von Apps – sowohl im eigenen App-Stores als auch über offizielle Kanäle – stellt sicher, dass keine Sicherheitslücken entstehen. Dazu zählt neben den Blockieren älteren Versionen, nicht zulässigen oder veränderten Apps, und dem Zurücksetzen von Passwörtern auch das regelmäßige Updates der Betriebssysteme. So kann verhindert werden, dass Vulnerabilities von Hackern ausgenutzt werden.
Generell sollten Unternehmen fünf App-Bedrohungen genauer beobachten:
- Unternehmenseigene Apps, die von Kunden oder Mitarbeitern genutzt werden, und auffälliges Verhalten der App selbst oder des Codes aufweisen. Dazu zählen zum Beispiel Malware aber auch selbst-signierte SSL-Zertifikate, die nicht von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurden, sondern vom Anbieter der App selbst.
- Manipulierte Apps, die durch Dritte modififiziert wurden. Häufig handelt es sich dabei um beliebte Apps wie Spieleklassiker, Spam-Filter und Virenschutz. Im Gegensatz zu den kostenpflichtigen Original-Apps werden sie unentgeltlich in einer werbefinanzierten Version angeboten. Mit den Anzeigen verdienen die Drittanbieter nicht nur Geld, sondern erhalten auch Zugang zu sensiblen Daten auf dem Smartphone.
- Kopien von Apps im App-Store, die nicht von offizieller Seite verwaltet werden. Befinden sich unternehmenseigene Apps auf offiziellen Apps Stores muss auch hier eine regelmäßige Versions- und Bestandskontrolle durchgeführt werden.
- Fake Apps, die Markennamen und Logos nachahmen oder schlichtweg fälschen.
- Affiliate-Links, die Nutzer täuschen und irreführen. Über Affiliate-Links lässt sich durch einen eingebetteten Code identifizieren, über welche Seite ein Nutzer auf eine Website weitergeleitet wurde. Sie können aber auch zu kriminellen Zwecken genutzt werden, um z. B. Anwender auf falsche oder nachgebaute Websites zu lotsen.
Die digitalen Helfer auf Smartphone und Tablet sind gekommen, um zu bleiben. Höhere Geschwindigkeit und Leistungsfähigkeit sowie größere Speicherkapazitäten werden die Nutzung von mobilen Geräten weiter vorantreiben und Desktop-PCs immer stärker ablösen. Diesem Trend folgen natürlich auch Cyberkriminelle und nutzen die „Mobilmachung“ für ihre eigenen Zwecke. Grund genug für Unternehmen und IT-Manager ein wachsames Auge auf die neuen digitalen Risiko zu werfen.
Von Rick Holland, Vice President of Strategy, Digital Shadows
#Netzpalaver #DigitalShadows