Mobiltelefone werden zur unternehmensweiten Bedrohung

Originalartikel von Marco Balduzzi, Senior Threat Researcher

Seit letztem Jahr gibt es mehr Mobiltelefone auf der Welt als Menschen. In Ländern wie den USA hat die Zahl der Mobilfunkverträge die der Festnetzanschlüsse überrundet, und die Hälfte der Amerikaner nutzt mittlerweile ausschließlich mobile Kommunikation. In modernen smarten Städten werden die Gebäude mit Funkverbindungen statt Festnetz zum Standard für Wohnungen, Fabriken und Organisationen. Festnetztelefone werden eher früher als später verschwinden. So wie Mail-Geschäftskonten über Spear Phishing angegriffen werden, nehmen nun Cyberkriminelle die Telefone über Social-Engineering-Angriffe ins Visier.

Beispielsweise geben Nutzer unbeabsichtigt ihre geschäftlichen Telefonnummern preis (etwa auf sozialen Medien-Sites) und fallen so Betrügern zum Opfer, die diese Nummern sammeln. Dieselben Angreifer führen über Social Engineering Attacken aus, indem sie damit die normalen Schutzmechanismen für den Netzwerkverkehr und Mail umgehen.

Auf Telefone ausgerichtete Denial-of-Service-Angriffe und so genannte Robocalls (automatische Werbeanrufe) sind bekannt und gelten als lästig. Das Forward-Looking Threat Research (FTR) Team von Trend Micro hat raffiniertere Angriffe über Mobiltelefone untersucht, vor allem solche, die per Hand oder Social Engineering ausgeführt wurden. Dafür haben die Sicherheitsforscher in Zusammenarbeit mit der New York Universität, Singapore Management Universität und dem Georgia Institute of Technology kürzlich einen Mobiltelefon-Honeypot (mobipot) eingerichtet, um die Bedrohungen über Funk und das cyberkriminelle Ökosystem zu untersuchen. Es ging nicht allein darum zu recherchieren, wie diese Angriffe über Funk funktionieren, sondern auch darum zu sehen, wie die Cyberkriminellen organisiert sind.

Mobipot war mit Honeycards (von den Forschern kontrollierte SIM-Karten) ausgerüstet, die Angriffe in Form von Anrufen und Nachrichten aufzeichneten. Die Nummern dieser Honeycards wurden über verschiedene Techniken an potenzielle Übeltäter gestreut, einschließlich mobiler Schadsoftware, die die Nummer aus einer Kontaktliste eines Testtelefons ausliest. Bild 1 zeigt die Architektur von Mobipot und Bild 2 das Hardware-Setup.

Bild 1. Mobipot-Architektur


Bild 2. Mobipot Hardware

Während eines Zeitraums von sieben Monaten sammelten die Forscher 1.021 Nachrichten von 215 Absendern und 634 Anrufe von 413 Anrufern. Mehr als 80% waren nicht angefordert und umfassten Bedrohungen wie Scam, Betrug, Voice Phishing und gezielte Angriffe. Die meisten dieser Anrufe und Nachrichten kamen während der Geschäftszeiten. Das zeigt, dass die Cyberkriminellen sich in den normalen Telefonverkehr mischen, um legitim zu erscheinen. Betrüger nutzten auch GSM-Proxies und VoIP-Technik, um ihre ursprünglichen Nummern zu maskieren und zu spoofen. Deshalb waren traditionelle Erkennungstechniken auf Basis von Blacklists weniger effektiv. Neue Techniken sind gefragt, die auch kontextuelle Informationen berücksichtigen.

Scams und Spam

Scams und Spam in Form von automatischen Anrufen und Nachrichten stellten 65% des nicht angeforderten Verkehrs dar. Mobipot wurde mit Nachrichten überschüttet, die Klingeltöne, Online-Dienste und –Spiele sowie andere Arten von Werbung beinhalteten. Einige interessante Beispiele:

  • Privatdetektive mit Angeboten für Beschattungsdienste,
  • Hacking-Dienstleistung wie Zugang zu persönlichen Mails und Ausspionieren von Nutzern,
  • Handel mit illegalen Waren wie gestohlenen Kreditkarten, gekaperten Bezahlkonten, PayPal mit verifiziertem Kontostand und Rechnungen über verschiedene Beträge und in unterschiedlichen Formaten,
  • Politische Propaganda: “I wish you a New Year of health and peace. I called to tell you that the Chinese disasters continued. How we will be able to not spend money? […] Love to the Chinese Communist Party. In our program, we want to reform the land […]”

Betrug

Betrug wurde zumeist per Hand angestoßen, wobei die Betrüger Social Engineering-Techniken nutzten, um ihre Opfer dazu zu bringen, Geldüberweisungen zu tätigen. Es handelte sich auch häufig um mehrstufige Angriffe, bei denen die Akteure wiederholt dasselbe Opfer kontaktierten, zuerst über einen Anruf, dann über Textnachrichten. Dabei erkundigten sich die Angreifer als vorgebliche Bank, Wohltätigkeitsorganisation oder Freund beim potenziellen Opfer immer wieder nach dem Status einer Zahlung.

So gaben einige Betrüger vor, die Provider der Honeycards zu sein. Sie „informierten“ die Forscher darüber, dass der Vertrag wegen nicht eingegangener Zahlungen gesperrt werde – die Zahlungsinformationen wurden noch am selben Tag zugeschickt. In einem anderen Fall gaben sich die Betrüger als Postdienst eines Unternehmens aus und forderten eine Gebühr, um für ein Päckchen Zoll zu zahlen. Es gab auch einen Betrüger, der private Informationen von einem Nutzer verlangte, so etwa die Schreibweise des Namens, das Passwort für ein bestimmtes Konto oder seine persönliche IM-Nummer und Konto.

Das folgende Diagramm zeigt die Verbindungen zwischen den Honeycards und einigen der Nummern, die bei den Angriffen verwendet wurden. Die Rechtecke stellen die Honeycards (mit der jeweils verwendeten Methode) dar. Jeder Kreis stellt einen separaten Angriff dar, wobei die Zahl die Menge der verwendeten Nummern darstellt. In manchen Fällen wurden mehrere Kampagnen von demselben Angreifer durchgeführt (Verbindungen zwischen den kleinen Kreisen). Die meisten Honeycards wurden über verschiedene Angriffe anvisiert.

Bild 3. Verbindungen zwischen Kampagnen und Honeycards

Mögliche Lösungen

Zur Lösung des Problems gehören sowohl menschliche als auch auf technische Aspekte.

Die Forschung hat gezeigt, dass es riskant ist, eine Telefonnummer öffentlich zugänglich zu machen. Vor allem Mitarbeiter in verantwortungsvollen Positionen müssen sich dieses Risikos bewusst werden. Für einige Mitarbeiter mag es sogar nützlich sein, die persönlichen Geräte von den geschäftlichen völlig zu trennen – einschließlich der genutzten Nummern.

Unabhängig davon, ob die offizielle Telefonnummer eines Mitarbeiters bekannt gemacht wird oder nicht, sollte klar sein, wie man mit nicht gewünschten Anrufen umgeht. Auch muss eine heutige Sicherheitsschulung den Umgang mit nicht angeforderten Mails umfassen (z.B. sollte die Identität des Absenders klar sein sowie alle Anweisungen in der Mail geprüft werden). Diese Best Practices sind auch bereits Teil des Schutzes vor Business Email Compromise (BEC)-Taktiken, und dieselbe Logik kann auf Anrufe und Textnachrichten übertragen werden. Falls nötig, können diese Entscheidungen auch Teil der Policies sein und entsprechend durchgesetzt werden.

Es gibt aber auch technische Lösungen. Ankommende Anrufe lassen sich von Sicherheitsprodukten wie Trend Micro Mobile Security für Android filtern. Damit erhält der Nutzer ein weiteres Tool an die Hand, um die Anrufe auf dem eigenen Gerät zu verwalten.

Fazit

Die Forschung von Trend Micro zeigt zum wiederholten Mal, wie schnell sich die Cyberkriminalität an die sich ändernde Welt anpasst. Betrüger haben erkannt, dass Mobiltelefone eine wichtige Rolle im Alltagsleben von Millionen spielen und finden unterschiedliche Wege, dies auszunützen und effiziente Social Engineering-Angriffe durchzuführen. Mit steigender Zahl der gezielten Angriffe werden die mobilen Geräte der Mitarbeiter zu einer Bedrohung für ihre Unternehmen.

Die Sicherheitsforscher von Trend Micro veröffentlichten die Ergebnisse ihrer Arbeit zuerst auf der 11. ACM Asia Conference on Computer and Communications Security in China. Details dazu liefert das WhitepaperMobiPot: Understanding Mobile Telephony Threats with Honeycards.

Zusätzliche Analysen von Lion Gu

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*