Digitaler Sherlock Holmes

Silvana Rößler, Head of IT-Forensics der Allgeier Core

Was machen Sie heute als Erstes, wenn Sie im Hotelzimmer ankommen? Wahrscheinlich verbinden Sie Ihr Smartphone mit dem WLAN. Der Name ist „Gast“, und Sie können sich problemlos ohne Passwort einloggen. Jetzt auch noch schnell den Firmenlaptop connecten und vor dem Abendessen die E-Mails checken. Doch während Sie beim Essen sind, greift ein Hacker bereits die ersten privaten und geschäftskritischen Daten von Ihren Geräten ab.

Ein Hacker muss inzwischen keine komplizierte Schadsoftware mehr entwickeln. Stattdessen setzt er sich in ein Hotelzimmer, schließt eine WLAN-Antenne an seinen Laptop an und kann nun nicht nur WLAN empfangen, sondern auch senden. Bei der sogenannten Man-in-the-Middle-Attacke spannt der Cyberkriminelle so sein eigenes „Gast“-Netzwerk auf, damit sich seine Opfer ahnungslos damit verbinden.

IT-Forensiker untersuchen Fall „Jeff Bezos“

Dass es jeden treffen kann, zeigt der kürzlich offengelegte Hackerangriff auf Amazon-Chef Jeff Bezos. Auch hier wurden Forensiker beauftragt, den Fall unter die Lupe zu nehmen.
IT-Forensiker suchen nach Auffälligkeiten in IT-Systemen, zum Beispiel wenn Daten verschlüsselt wurden oder abhandengekommen sind. Was ist passiert, wie ist es passiert, und wie kann dem Opfer des Cyberangriffs geholfen werden, die Daten zurückzubekommen? Da jeder Zugriff auf Informationen auf IT-Ressourcen eine Spur hinterlässt, gilt es, diese Spuren zeitnah aufzuspüren, bevor sie im System überschrieben werden. Das können Zeitstempel sein, Hinterlassenschaften von Hackern wie Code-Schnipsel oder auch Log-Files. Doch je mehr Zeit nach einem Angriff vergeht, umso komplizierter ist es, diese Spuren nachzuvollziehen.

Laut forensischer Analyse hatte Jeff Bezos 2018 eine Schadsoftware auf seinem Smartphone. Auch wenn es nicht mehr eindeutig nachweisbar ist, wird vermutet, dass es sich um den Trojaner Pegasus handelte. Pegasus ist einer der wenigen Trojaner für iPhones, der zudem für rund 25.000 Dollar käuflich erworben werden kann. Auch bei dieser Schadsoftware werden die betroffenen Personen unter Druck gesetzt und mit Informationen erpresst.
Wie häufig wurde der Angriff nur bemerkt, da das abfließende Datenvolumen stieg. Für IT-Forensiker bedeutet dies: Es ist ein Schadprogramm vorhanden, das Daten abfließen lässt. Ist das verbrauchte Datenvolumen trotz üblichem Surfverhalten plötzlich deutlich höher, sollte man sich die Frage stellen: Welche App hört mit?
Im Fall „Jeff Bezos“ wurde das Endgerät wahrscheinlich über Whatsapp infiziert. Da stellen sich viele Nutzer natürlich die Frage: Wie sicher ist Whatsapp? Dies lässt sich jedoch nicht pauschal beantworten, denn generell ist eine App nur so sicher, wie man mit ihr umgeht. Lädt man sich also ein Video herunter – egal ob aus einer App oder auch aus einer E-Mail – und dieses Video hat einen Drive-by-Downloader dabei, so wird gleichzeitig auch ein Schadprogramm heruntergeladen.

Kann ich mich vor solchen Angriffen schützen?

Vor zielgerichteten Cyberattacken kann man sich nur schwer schützen. Für die breite Masse gilt jedoch generell: Nicht jeder Link ist zum Anklicken da. So sind aktuell SMS im Umlauf, laut denen ein Paket des Empfängers im Zoll festhängt – wird der Link geklickt, wird unwissentlich ein Abo abgeschlossen.
Auch bei der Installation eines Programms sollte man darauf achten, dass es aus einer seriösen Quelle stammt. Außerdem gilt: Kommt einem User der Absender oder auch der Inhalt oder Aufbau einer E-Mail seltsam vor, sollte diese am besten direkt gelöscht werden. Ist man der Meinung, dass es sich um einen zielgerichteten Angriff handelt, sollte sich der Betroffene an die zuständigen Strafverfolgungsbehörden wenden.

#AllgeierCore

  Allgeier CoreCISOCybercrimeCyberdefenseCybersecurityForensikHackerInfoseciPhoneIT-ForensikIT-SicherheitITSECMan-in-the-Middle-AttackeSmartphone-HackTrojaner