Gefährliche Sticks
Weniger als zwei Wochen sind seit unserem Awareness-Test mit den gefakten E-Mails vergangen und schon folgt der nächste „Angriff“:
In der vergangenen Woche verteilten wir insgesamt 20 speziell präparierte USB-Sticks an unseren Unternehmensstandorten. Manche Sticks liessen wir in den Küchen, andere neben Kopierern oder einfach, ganz plump, auf dem Boden liegen. Die Datenträger enthielten auf den ersten Blick eine Sammlung aus sowohl privaten (Urlaubsbilder, Kontoauszüge..) als auch geschäftlichen Daten (PDF Dateien, Excel Dokumente..), in Wahrheit aber waren sämtliche Dateien auf dem Stick auf die eine oder anderen Weise manipuliert, enthielten Schadcode / Viren / Malware und aktive Inhalte, welche bei einem echten Angriff innerhalb kürzester Zeit dazu geführt hätten, dass der PC, an welchem der Stick angesteckt wurde, inifiziert, gelöscht oder verschlüsselt worden wäre. Des Weiteren wäre es ohne weiteres möglich gewesen, eine sog. „Remote-Shell“ zu starten, mit welcher ein Angreifer sämtliche Kennwörter und Dateien von dem PC hätte kopieren und verändern können. Zusätzlich hätte jeder einzelne Tastendruck auf der Tastatur mitgeschnitten werden können. Eine Ausbreitung des Schadcodes auf weitere PCs im Netzwerk wäre ebenso theoretisch möglich gewesen.
Erneut: Methoden der Hacker verwenden
Das Angriffs-Szenario, welches man in Fachkreisen als „USB-Drop-Attack“ bezeichnet, ist gar nicht so utopisch, wie man vielleicht vermuten würde. Eine Studie aus dem vergangenen Jahr belegt, dass 46% aller gefundenen USB-Sticks vom Finder angeschlossen werden, sei es aus Neugier, Hilfsbereitschaft oder einfach, weil man den „neuen“ Stick für sich selbst verwenden möchte. Genau auf dieses typisch menschliche Verhalten zielen Hacker und Angreifer, denn auch diese kennen die Statistik.
Der prominente Google-Mitarbeiter Elie Bursztein hat sich diesen Angriff auf einer Konferenz im vergangenen Jahr ebenfalls zum Thema erkoren – mit erschreckendem Ergebniss:
https://www.elie.net/blog/security/what-are-malicious-usb-keys-and-how-to-create-a-realistic-one
Anlass für den Versuch von Elie war eine Szene aus der bekannten Hacker-TV-Serie „Mr. Robot“ (Amazon, Season 01, Episode 06), in welcher es dem Hauptdarsteller durch einen einfachen USB Stick, welcher auf dem Parkplatz eines Unternehmens deponiert wurde, gelang, ein komplettes Unternehmen zu übernehmen und nahezu komplett nicht nur vom Netz, sondern auch aus dem Markt zu nehmen. Verteilt wurde 297 Sticks auf dem Campus einer großen Universität in den USA, von welchen insgesamt 45% erfolgreich für einen Angriff verwendet werden konnten. 98% aller Sticks wurden gefunden und mitgenommen, 20% davon bereits in der ersten Stunde, 50% in den ersten 5 Stunden. Elie lieferte somit den Beweiss dafür, dass die Macher von „Mr. Robot“ durchaus nicht übertrieben haben: USB-Drop-Angriffe existieren und funktionieren!
Auswertung
Natürlich waren wir sehr neugierig, wie erfolgreich unser Angriff verlaufen ist, denn Sinn und Zweck dieses Angriffs war es erneut, das Sicherheitsbewusstsein unserer Anwender zu überprüfen und zu erfahren, inwiefern wir noch besser zu aktuellen Phishing-Methoden, Angriffen etc. informieren müssen. Und auch dieses mal ist der Ergebniss leider ernüchternd:
-X von 20 Sticks wurden angeschlossen
-In den meisten Fällen fielen die Anwender auf die manipulierten Bild-Dateien herein
-in zwei Fällen wurden jedoch auf die gezippten „Kontoauszüge“ geöffnet
Somit wären X Anwender bei einem echten Angriff Opfer von verstecktem Schadcode geworden, das entspricht einer Erfolgsquote von X%. Wäre der Angriff echt gewesen, dann wäre das Unternehmen im schlimmsten Fall wahrscheinlich spätestens 1-2 Stunden nach anschliessen des Sticks offline gewesen, der Schaden wäre bis heute noch nicht behoben.
Korrektes Verhalten
Wie schon bei der E-Mail-Thematik erwähnt, empfiehlt sich beim Umgang mit fremden und / oder gefundenen USB-Sticks die Grundregel „mißtrauisch bleiben“. Wird ein USB-Stick gefunden, dessen Besitzer nicht ermittelt (Kollegen fragen, Rundmail schreiben etc) werden kann, dann bitte NIEMALS einfach anstecken, sondern wegwerfen!
Sollte der Stick schon angeschlossen worden sein, dann bitte auch beim kleinsten Verdacht SOFORT Meldung an die IT Abteilung machen und zusätzlich per Rundmail darauf aufmerksam machen, dass ein infizierter Datenträger gefunden wurde – möglicherweise liegen ja noch mehr davon herum.
Nächste Schritte
Die Statistik bedeutet für uns, dass wir weiterhin zum einen noch besser und regelmäßiger über aktuelle Bedrohungen und korrektes bzw. sicherheitsbewussstes Verhalten informieren müssen, zum anderen, dass wir einen größeren Fokus auf weitere Selbst-Tests legen müssen.
Falls ihr allgemein mehr über IT-Sicherheit, richtiges Verhalten am PC-Arbeitsplatz oder die Vermeidung von Datenverlust, Identitäts-Diebstahl und den Methoden der Hacker wissen möchtet, dann schreibt uns einfach eine kurze Mail an security@XYZ.de. Wir werden jede Anfrage prüfen und uns Gedanken machen, inwiefern wir die Themen am besten aufbereiten und präsentieren können.