News 09.08.2016, 09:09 Uhr

Warum es keine schlaue Idee ist, einen gefundenen USB-Stick auszulesen

Menschen sind von Natur aus neugierig. Einem gefundenen USB-Stick mit der Aufschrift «Aktuelle Gehaltslisten 2016» kann nur jeder Zweite widerstehen.
Der Trick, mit Malware infizierte USB-Sticks neben der Kaffeemaschine liegen zu lassen, um sich Zugang zur Unternehmens-IT zu verschaffen, ist nicht neu. Trotzdem fällt immer noch jeder Zweite darauf herein. Zu verführerisch sind anscheinend Labels wie «Aktuelle Gehaltsliste 2016». Die meisten können der Versuchung nicht widerstehen, hat der Sicherheitsspezialist Eli Bursztein in einem Experiment nachgewiesen.
Eli Bursztein vom «Anti Abuse»-Team bei Google: Jeder Zweite fällt auf infizierte USB-Sticks herein
Bursztein, der das «Anti Abuse»-Team bei Google leitet, liess 297 infizierte USB-Sticks auf dem Campus der Universität von Illinois liegen. Mit dem Ergebnis: So gut wie alle Sticks wurden mitgenommen. 45 Prozent der Finder klickten auf eine der HTML-Dateien auf dem Stick. Fast die Hälfte machte das sofort nach dem Mitnehmen. Besonders erfolgreich waren die USB-Sticks, welche die Studenten auf dem Parkplatz gefunden hatten. Also einem unverfänglichen Ort, wo man unabsichtlich schon einmal etwas verliert. 53 Prozent klickten auf Dateien der Parkplatz-Sticks. Die Erfolgsrate der Sticks, die Bursztein im Treppenhaus des Universitätsgebäudes oder im Klassenraum platziert hatte, war nicht ganz so hoch (41 resp. 43 Prozent).
Nicht jeden der Finder trieb die reine Neugier an. Einige wollten lediglich die Identität des Besitzers ermitteln, um den USB-Stick zurückgeben zu können. Trotzdem hätte die Malware das Device des ehrlichen Finders infiziert.
Parkplätze gelten am unverfänglichsten. Auf die dort gefundenen USB-Sticks klickten die Finder am häufigsten
Bursztein diskutiert in seinem Blog drei unterschiedliche Arten von USB-Stick-Attacken. Die Erfolgsquoten und die Kosten der Kriminellen für die Herstellung der Sticks variieren:
Social Engineering: Der infizierte Stick enthält HTML-Dateien, auf die der User explizit klicken muss. Diese typische Phishing-Attacke wird gerne dazu benutzt, Login-Daten und Passwörter auszuspionieren. Die Herstellung der Sticks ist preiswert, die Erfolgsquote beträgt, wie Burszteins Experiment belegt, immerhin um die 50 Prozent.
HID (Human Interface Device) Spoofing: Der kontaminierte Stick spielt – sobald angeschlossen – dem Device des Finders vor, es handle sich um eine Tastatur. Der Stick schmuggelt per vorgetäuschter Tastatureingaben Kommandos auf das Device des Opfers, die das Gerät kompromittieren. Eine direkte Interaktion des Opfers – wie der Klick auf eine Datei – ist nicht erforderlich. Die Erfolgsquoten sind höher, aber auch die Herstellungskosten.
Zero-Day: USB-Sticks, die Zero-Day-Angriffsvektoren ausnutzen, sind am gefährlichsten und spielen sich so gut wie immer unter dem Sichtbarkeitsradar des Opfers ab. Die Opfer merken oft nicht, dass ihr Gerät infiziert wurde. Zero-Day-Schwachstellen sind aber in der Regel auf ein bestimmtes Betriebssystem oder auf eine bestimmte Software-Version beschränkt. Opfer mit anderen Versionen oder Betriebssystemen sind nicht gefährdet.
Drei Typen von USB-Angriffsvektoren: Zero-Day-Sticks sind am aufwendigsten herzustellen, aber auch am erfolgreichsten
Bursztein präsentierte die Ergebnisse seines Experiments auf der Black-Hat-Konferenz, die vor einigen Tagen in Las Vegas zu Ende ging. Experten äussern sich skeptisch, die Gefahr, die von infizierten USB-Sticks ausgeht, dauerhaft einzudämmen. Menschen sind von Natur aus neugierig. Sie finden immer gute Gründe, eine risikoreiche Aktion wider besseres Wissen auszuführen.

Michael Kurzidim
Autor(in) Michael Kurzidim


Kommentare

Avatar
TheCrake
15.08.2016
In der heutigen Zeit kann ich nicht verstehen wie jemand einen gefundenen USB-Stick an seinen PC anschliesst. Bei den ganzen Daten die einem dadurch zerstört oder geklaut werden können ist es einfach unverständlich. Gebt den gefundenen USB-Stick doch einfach beim Fundbüro ab wenn da wirklich wichtige Daten drauf sind wird der, der ihn verloren hat da mit sicherheit auch nachfragen ob er abgegeben worde.

Avatar
PC-John
15.08.2016
Einfach im Fundbüro abgeben, in welchem denn? Warten an einem fremden Ort, bis die Gemeindeverwaltung wieder geöffnet hat? Oder einfach dort in den Briefkasten werfen, und nach mir die Sinthflut? Soll sich das Fundbüro mit dem vermeintlichen Eigentümer herumschlagen. Und weiss man denn auch sofort, wo man gerade den Stick verloren hat? Und wenn so ein Stick ganz gezielt "verloren" ging? Die Ausführung von TheDrake greifen meiner Ansicht nach viel zu kurz, die Realität sieht anders aus. Was vor 30 Jahren vielleicht noch praktiziert wurde, ist heute möglicherweise völlig überholt. Pardon, PC-John