Mobile Security Die Welt ist mobil - Cyberbedrohungen auch!

Autor / Redakteur: Sascha Spangenberg / Peter Schmitz

Cyberangriffe richten sich meist gegen Desktop-Computer und Server in Unternehmens­netzwerken. Inzwischen haben sich aber große Teile des Online-Lebens in die Cloud und auf Smartphones und Tablets verlagert, privat wie beruflich. Cyberkriminelle haben ihren Schwerpunkt gleichermaßen auf die Cloud und mobile Geräte verlagert.

Firmen zum Thema

Mobiltelefone sind unser wichtigstes Kommunikationsmittel, dienen der Unterhaltung dem Shopping und Online-Banking. So werden sie auch zu einem unwiderstehlichen Ziel für Hacker.
Mobiltelefone sind unser wichtigstes Kommunikationsmittel, dienen der Unterhaltung dem Shopping und Online-Banking. So werden sie auch zu einem unwiderstehlichen Ziel für Hacker.
(Bild: gemeinfrei / Pixabay )

Mobile Endgeräte greifen auf so gut wie alle Cloud-Daten zu. Viele Dienste haben auf ein Mobile-First- oder sogar Mobile-Only-Modell umgestellt. Branchenuntersuchungen gehen davon aus, dass wir heute bereits bei über 5 Milliarden Handynutzer haben. Aus Sicht eines Cyberkriminellen sind das über 5 Milliarden potenzielle Opfer. Die Kombination aus Ubiquität und dem Wert der Daten macht mobile Geräte zu einem Hauptziel von Cyberattacken.

Das Spektrum mobiler Angriffsvektoren

Böswillige Akteure nutzen eine Vielzahl von Methoden. Je nach Endziel lassen sich Angriffe so eng fassen, dass sie sich gezielt gegen einzelne Personen und spezielle Assets richten. Auf der anderen Seite stehen groß angelegte Kampagnen, die eine maximale Anzahl von Opfern ins Visier nehmen.

Die häufigsten Bedrohungen für die Benutzer von Mobilgeräten gehen von bösartigen Apps aus. Diese Apps stammen selten aus offiziellen Apps-Stores wie dem Google Play Store oder dem Apple App Store. Meistens kommen sie aus Stores von Drittanbietern und sind nur unzureichend geprüft. Andere Infektionswege sind böswillige Webseiten, E-Mail-Anhänge oder sogar Apps, die als Dateiübertragung in Chat-Apps gesendet werden. In der Regel werden die Opfer mit falschen Versprechungen, wie z.B. kostenlosen Diensten oder Zusatzfunktionen geködert. Social-Engineering-Taktiken nach dem Muster „zu schön, um wahr zu sein“ sind weit verbreitet und noch immer lukrativ für Cyberkriminelle. Böswillige Apps stellen beispielsweise auch legitime Funktionen bereit, um ihre Identität zu verschleiern. Solche „Trojaner"-Apps verfolgen ihren eigentlichen Zweck unerkannt im Hintergrund.

Es kommt sogar vor, dass ein Angreifer versucht, physisch auf ein entsperrtes Gerät zuzugreifen. Dies ist am häufigsten bei Überwachungstools der Fall. Etwa, wenn jemand Spionage-Apps auf dem Gerät des Partners installiert, um ihn oder sie zu verfolgen. Auch Strafverfolgungsbehörden und Geheimdienste setzen solche Tools ein.

Darüber hinaus entwickeln oder erwerben raffinierte, kapitalkräftige Angreifer Malware, die Sicherheitslücken in Apps und/oder dem Betriebssystem ausnutzt. Ziel ist es, vollständig die Kontrolle über das betreffende Gerät zu übernehmen. Das geschieht in vielen Fällen, ohne dass seitens des Opfers überhaupt eine Kooperation nötig ist. Dazu wird zum Beispiel eine Text-, E-Mail- oder Chat-Nachricht an das Zielgerät gesendet. Je nachdem wie der Angriff strukturiert ist, erfolgt der Exploit, sobald das Opfer die Nachricht erhält oder auf einen böswilligen Link in der Nachricht klickt. Ausgefeilte Varianten kommen ganz ohne Benutzerinteraktion aus, das sind die sogenannten "Zero-Click-Angriffe".

Eine inzwischen allseits bekannte und verbreitete Angriffsmethode ist mobile Phishing. Phishing ist schon lange ein ernsthaftes Problem, jetzt aber sind Mobilgeräte in den Fokus der Angreifer gerückt. Sie erstellen dazu zusätzlich mobile Sites oder richten ganze Kampagnen nur auf mobile Geräte aus. Die (erwünschte) User Experience auf mobilen Endgeräten verbirgt viele der verräterischen Anzeichen, die wir kennen - wie z.B. die vollständige URL einer Webseite. Ein Tribut an die Bildschirmgröße. Hier ist es selbst für versierte Benutzer schwieriger, Phishing-Angriffe zu erkennen. Gleichzeitig wird nicht mehr länger nur per E-Mail geködert, wo die Angreifer es mit zunehmend erfolgreichen Spam-Filtern zu tun bekommen, sondern vielfach über Textnachrichten, soziale Medien und Chat-Apps.

Was macht Angriffe auf mobile Endgeräte so attraktiv?

Um besser zu verstehen, warum Mobiltelefone zu einem bevorzugten Ziel von Hackern geworden sind, unterteilt man die Angriffe am besten in zwei Kategorien: finanziell motivierte und datenmotivierte Angriffe. Die überwiegende Mehrzahl der mobilen Angriffe ist finanziell motiviert. Cyberkriminelle sind hauptsächlich daran interessiert, schnell und einfach Geld zu machen. Finanzieller Gewinn ist die treibende Kraft für einen modernen Cyberangreifer. Schätzungen zufolge streichen Cyberkriminelle jährlich 1,5 Billionen Dollar ein.

Am unteren Ende der Komplexitätsskala finanziell motivierter Bedrohungen stehen Angriffe im Zusammenhang mit Werbung. Dazu zählen Scams wie Adware und Click-Fraud (Klickbetrug). Adware nervt (zumindest) und Click-Fraud sorgt dafür, dass Gebühren wegen der Überschreitung des Datenvolumens steigen. Trotzdem sind die eigentlichen Opfer die Werbetreibenden, denn sie zahlen pro "Impression" oder "Klick" auf ihre Anzeige. Cyberkriminelle schöpfen einen Teil der Einnahmen aus gefälschten Klicks oder Impressions ab, die über die betreffende Malware generiert werden. Cryptomining oder Proxy-Malware betrifft den Nutzer hingegen direkter. Letztere ermöglicht es Dritten, die Internetverbindung des Geräts für ihre Zwecke zu nutzen, wodurch sich der Datenverbrauch erhöht. Cyberkriminelle nutzen diesen Datenstrom, um ihre Aktivitäten zu verbergen. Je nachdem, welche Daten und Aktivitäten über das Gerät geleitet werden, kann das ahnungslose Opfer sogar ins Fadenkreuz einer strafrechtlichen Untersuchung geraten. Chargeware kostet den Benutzer ebenfalls direkt. Die Malware verursacht am häufigsten hohe Handygebühren, z. B. durch Premium-SMS-Nachrichten oder WAP Billing, meist ohne eine Gegenleistung.

Am oberen Ende der Skala finanziell motivierter mobiler Malware stehen Banking-Trojaner und Skimming-Apps für Anmeldeinformationen. Genau wie die auf Phishing basierenden Vertreter, versuchen diese Apps, einen Benutzer zu verleiten, Anmeldeinformationen für Online-Banking, E-Mail oder soziale Medien in eine gefälschte Anmeldemaske einzugeben. Es gibt eine darauf spezialisierte Branche im Dark Web, die genau solche Angriffe unterstützt. Eine Gruppe entwickelt z. B. eine Malware, die sich anpassen lässt, und verkauft sie an mehrere Akteure. Jeder von ihnen justiert die Malware dann für bestimmte Ziele (z.B. eine Reihe von Banken in einem bestimmten Land) und setzt sie genau dort ein. Die so abgeschöpften Anmeldeinformationen werden wiederum über das Dark Web verkauft, bevor sie schließlich dazu verwendet werden, Geld von Bankkonten zu stehlen, Spam-Nachrichten zu versenden oder sich selbst als das Opfer auszugeben.

Ransomware hat gerade in letzter Zeit viel Aufmerksamkeit erregt, meist als Folge von Angriffen auf Einrichtungen des Gesundheitswesens und der öffentlichen Verwaltung. In mobilen Ökosystemen ist sie hingegen viel weniger erfolgreich. Im Vergleich zu Desktop-Computern trennen mobile Betriebssysteme die Apps viel stärker voneinander. Dadurch ist der Schaden begrenzt, den eine solche Malware ohne vollständige Systemkompromittierung anrichten kann. Zudem nutzen mobile Benutzer häufig Cloud-Backups, und können so ihr Gerät mit einem vergleichsweise geringen Datenverlust auf die Werkseinstellungen zurücksetzen.

Im Gegensatz zu finanziell motivierten Angriffen besteht das Ziel datenmotivierter Angriffe darin, sensible Daten abzuziehen, die auf einem Smartphone gespeichert oder auf die sich über ein Smartphone zugreifen lässt. Malware dieser Art bezeichnet man üblicherweise als Spyware oder genauer als Surveillanceware. In letzter Zeit hat Malware, die zum Ausspionieren aktueller oder ehemaliger Partner eingesetzt wird, ein eigenes Etikett bekommen: "Stalkerware". Allein schon, um die Öffentlichkeit auf dieses schwerwiegende Problem aufmerksam zu machen. Aus technischer Sicht umfasst das Spektrum solcher Apps auch „Hacking for Hire“ und staatliche Akteure wie Strafverfolgungsbehörden und Geheimdienste. Die meisten nichtstaatlichen Angreifer verfügen weder über die Expertise noch über die Ressourcen, um eigene Überwachungsoperationen durchzuführen. Daher wenden sie sich an Surveillance-as-a-Service-Betreiber oder kaufen Software von Billiganbietern. Während einige nationalstaatliche Akteure ihre eigenen, maßgeschneiderten mobilen Überwachungstools entwickeln, scheinen nicht wenige auch auf Produkte von Drittanbietern zurückzugreifen, oftmals von inländischen Software- oder Verteidigungsunternehmen.

Mobile Geräte im Fokus

Mobiltelefone bereichern unser Leben. Nicht zuletzt, weil sie immer mehr Funktionen bieten. Sie sind unser wichtigstes Kommunikationsmittel, dienen der Unterhaltung und über sie interagieren wir mit Banken und Online-Shops. Da viele von uns weiterhin oder wieder von zu Hause arbeiten, sind sie zudem ein professioneller Produktivitätsfaktor. Wenn sich so viel Aufmerksamkeit und so vielfältige Aktivitäten auf einem Gerät konzentrieren, wird es fast zwangsläufig zu einem unwiderstehlichen Ziel für Hacker.

Dies gilt umso mehr für Angriffe, die sich auf Daten konzentrieren. Einige unserer sensibelsten personenbezogenen Daten sind über mobile Geräte zugänglich: Kontaktdaten, Kalender, E-Mails, Nachrichten, Fotos und Videos. Für die meisten von uns ist unser Mobiltelefon das letzte Gerät, das wir vor dem Schlafengehen bedienen, und morgens das erste. Ob es sich um ein geschäftliches Treffen oder ein geselliges Beisammensein handelt, Mobiltelefone sind immer dabei. Wenn man bedenkt, dass sie über mehrere Kameras, Mikrofone und einen GPS-Empfänger verfügen, ganz zu schweigen von der Fähigkeit, Daten in Echtzeit über das Internet zu senden, ist ein Smartphone mit Surveillanceware das perfekte Medium, um seinen Besitzer auszuspionieren.

Wer gegen wen?

Die Opfer mobiler Bedrohungen sind so verschieden wie die Motivation und Methoden böswilliger Akteure. Die meisten finanziell motivierten Bedrohungen, wie Adware, Chargeware, Banking-Trojaner und ein Großteil der Phishing-Angriffe, richten sich weitgehend gegen Personen und Organisationen. Bei datenmotivierten Angriffen, bei denen eine Surveillanceware zum Einsatz kommt, zielen die Bedrohungsakteure in der Regel auf eine einzelne Person oder kleine Gruppe ab, um an bestimmte Informationen zu kommen. Politiker, Dissidenten, Journalisten und wichtige Entscheidungsträger sind mit Sicherheit einem höheren Risiko ausgesetzt als der Durchschnittsbürger. Allein die Lizenzkosten für diese spezielle Malware belaufen sich auf Zehntausende Dollar pro Zielgerät. Nur wenige hochwertige Ziele rechtfertigen da die Kosten. Surveillanceware der unteren Leistungsklassen ist in allen gesellschaftlichen Bereichen weit verbreitet. Aber in Anbetracht dessen, was sie in der Lage ist zu tun, wird auch sie eingesetzt, um bestimmte Personen anzugreifen.

Wie schützt man sich am besten vor mobilen Bedrohungen?

Der Schutz von Mobilgeräten vor Malware und anderen Online-Bedrohungen ist ebenso wichtig wie bei Desktop-Computern. Benutzer sollten nur Apps aus offiziellen App Stores wie Google Play Store oder Apple App Store installieren. Apps, die dort angeboten werden, wurden eingehend geprüft. Obwohl es nicht ungewöhnlich ist, dass eine Malware-App durchs Netz schlüpft, ist der Anteil von Malware-Apps im Vergleich zu den meisten Stores von Drittanbietern sehr gering. Benutzer sollten besonders wachsam sein, wenn sie Links folgen, die sie über E-Mails, Text- oder Chat-Nachrichten oder über weniger vertrauenswürdige Webseiten erhalten haben. Es ist aufwendiger, einen Link auf einem mobilen Geräte genauso intensiv zu überprüfen wie auf einem Desktop-Rechner. Darin besteht aber möglicherweise der Unterschied zwischen sicher sein und betrogen werden

Selbst geschulte Benutzer mit den besten Absichten brauchen ein Sicherheitsnetz, wenn sie an eine besonders gezielte Phishing-Nachricht geraten oder einen Moment abgelenkt sind und versehentlich auf einen Link klicken. Dies gilt insbesondere dann, wenn Geräte sensible Unternehmensdaten vorhalten. Wir akzeptieren seit langem, dass mit dem Internet verbundene Desktop-Computer und Laptops aktuelle Antiviren-Software brauchen. Die meisten mobilen Geräte sind dennoch vielfach unzureichend geschützt. Gleichzeitig bekommen sie mehr und mehr Funktionen und greifen auf immer mehr personenbezogene Daten zu. Unsere Abhängigkeit von diesen Geräten nimmt also eher zu als ab. Ihre Anziehungskraft auf Hacker und andere bösartige Akteure, unabhängig von der jeweiligen Motivation, wächst im Gleichschritt mit dem technischen Fortschritt. Wir haben einen kritischen Punkt in der Entwicklung erreicht. Die Sicherheitsanforderungen für mobile Endgeräte lassen sich nicht mehr länger ignorieren.

Über den Autor: Sascha Spangenberg ist Consulting Sales Engineer bei Lookout.

(ID:47304778)