Wie sieht ein Angriff eigentlich vom Hacker her aus?

Darum erhält der Hacker Zugriff

| Andreas Nievergelt

Zack, und schon ist er drin. Ein falscher Klick und die Türen zum Firmennetzwerk stehen offen, oder zum privaten PC. Der Hacker tummelt sich nun – quasi hochoffiziell – auf unserer internen Festplatte. Doch wie genau kam er eigentlich rein?

Es heisst immer wieder, keine fake-Mails öffnen, keine mitgeschickten Dateien anklicken, keine Links ausprobieren, sondern die hinterhältigen Mails sofort löschen. Doch weshalb gewähren wir denn einem Hacker Zutritt zu unserem Computer(-Netzwerk), wenn wir aus Gwunder oder weil wir zu wenig aufmerksam sind, doch mal drauf drücken?

Die versteckten Makros

Die geöffneten Word- oder Excel-Dateien sehen aufs Erste ganz unspektakulär aus. Ein Text, eine Grafik, eine Statistik oder was auch immer. ABER: die Krucks sitzt versteckt in den Makros. In Makros kann der Hacker versteckte (schadhafte) Befehle speichern, die beim Öffnen der Datei automatisch ausgeführt werden. Früher funktionierte es auch noch bei anderen Datei-Typen, doch wurden die Systeme mittlerweile «gehärtet».

Hacker «kennt» das Opfer oft

Doch wie sieht das eigentlich auf der Seite des Hackers aus? Der Hacker möchte eine Person oder eine Firma knacken. Meist informiert er sich vorgängig über das Opfer. Webseiten geben meist gute Angaben über Personen und Firmen. Google ist auch ein super Tool, um ein bisschen im Privaten zu stöbern. Dann schreibt der Hacker ein nettes Mail, idealerweise mit einem Thema, das den Mail-Empfänger sogleich interessiert. Eine Excel-Abrechnung für den Finanzchef, ein Mail über Spielzeug für den jungen Vater, ein Bewerbungsdossier für die HR-Mitarbeiterin, der Möglichkeiten sind viele.

Makro wird ausgeführt

Im Makro im Hintergrund befindet sich dann ein Befehl, extern auf einem C2C-Server die Download.exe-Datei herunterzuladen. Das Opfer öffnet das Dokument, die vom PC generierte Warnung klickt er routinemässig weg, der hinterlegte Befehl wird ausgeführt. Der Server sendet danach einen reverse-shell-Befehl und schon poppt beim Hacker ein Befehlsfenster auf (cmd) und er ist drin. So einfach geht das.

Erpressung und Abwehr

«Normalerweise braucht es in der Regel weniger als drei Tage, bis ein Hacker das gesamte Firmennetzwerk übernommen hat», weiss der Bülacher Sven Fassbender aus Erfahrung. Er ist Mitgründer der Firma ZFT.COMPANY, eine Firma die Kunden in allen Belangen der Informationssicherheit berät. Nun gibt’s zwei Möglichkeiten:

 

1. Der Hacker verschlüsselt die Daten der Firma oder Privatperson und schickt ein nettes Mail oder SMS mit der Bitte um Überweisung eines grösseren Betrages. Einmal gezahlt, werden die Daten wieder entschlüsselt und das Opfer kann wieder normal arbeiten.

 

2. Der Hacker kopiert zuerst alle sensiblen Daten auf seinen Rechner, verschlüsselt das Opfer-System und schreibt wiederum ein Mail. Einfach noch mit dem Zusatz, dass die Daten veröffentlicht würden, sollte der «Kunde» nicht zahlen.

 

Was kann man dagegen tun? Sven Fassbender: «Einerseits natürlich die Mitarbeiter gut schulen. Anderseits ist ein regelmässiges Backup der Daten der beste Schutz gegen Cyber-Kriminalität. Wichtig ist auch, niemals zu zahlen, sonst ist man ein ‘guter Kunde’ bei dem der Hacker immer mal wieder vorbeischaut.» Mit dem Backup kann man sein System wieder mit den Daten füttern. Aber aufgepasst: Die offene «Tür» muss vorgängig geschlossen werden, sonst ist man gleich wieder Opfer. Das funktioniert aber nur bei der Variante 1. Bei Variante 2 dürfte man wohl zahlen müssen.

Viele weitere Möglichkeiten

Der hier beschriebene Weg ist nur einer von mehreren Möglichkeiten, wohl aber die häufigste Angriffstaktik. Es gibt auch noch Varianten über «Hintertüren in der Software», geklaute Login-Daten schlicht «rohe Gewalt» und vieles mehr. Und es gibt auch noch Angriffe auf Handys, facebook-Accounts usw. Doch im Endeffekt läuft es häufig auf das gleiche hinaus: Das Opfer wird erpresst und soll zahlen.

Zurück