USB-Wechseldatenträger gibt es seit fast zwei Jahrzehnten, ebenso wie Bedenken darüber, wie Cyberkriminelle diese kleinen, kostengünstigen Geräte nutzen können, um Malware zu verbreiten und heimlich Daten aus geschützten Netzwerken zu stehlen. Inzwischen könnte man meinen, der Durchschnittsbürger wüsste es besser, als ein fremdes USB-Laufwerk zu nehmen und an seinen Computer anzuschließen, aber das stimmt nicht unbedingt. Trotz Warnungen von Infosec-Fachleuten und den Medien macht die natürliche Neugierde Endbenutzer immer noch anfällig für USB-basiertes Social Engineering.
Wechsellaufwerke sind nur eines von vielen USB-Peripheriegeräten, mit denen ein Computer kompromittiert werden kann, von drahtlosen Tastaturen und externen Webcams bis hin zu neuen billigen Spielereien. USB-Verbindungen sind auch bei IoT-Geräten (Internet of Things) üblich. Sogar ein USB-Kabel oder ein Handy-Ladegerät – das so harmlos wie ein elektrisches Verlängerungskabel erscheinen mag – kann als Waffe benutzt werden. Tatsächlich haben Forscher der Ben-Gurion-Universität des Negev in Israel kürzlich 29 Möglichkeiten identifiziert, wie Angreifer USB-Geräte nutzen können, um einen Computer zu kompromittieren.
JA, USB-ANGRIFFE FUNKTIONIEREN
In welcher Form auch immer: Bei einem USB-Angriff muss eine ahnungslose Person das schädliche Gerät an einen Computer anschließen. Häufig positionieren Angreifer mit Malware beladene USB-Laufwerke in der Nähe ihrer Opfer, z. B. auf Parkplätzen oder in öffentlichen Bereichen, und warten einfach darauf, dass eine neugierige Person die scheinbar verlorenen Laufwerke aufhebt und an einen Computer anschließt. Diese Strategie mag weit hergeholt erscheinen, aber die Kombination aus Technologie und Social Engineering ist bemerkenswert effektiv.
Tatsächlich ergab eine 2016 durchgeführte Forschungsstudie eine geschätzte Erfolgsquote von 45-98% bei diesem Ansatz. In einem kontrollierten Experiment ließen Forscher fast 300 USB-Laufwerke auf dem Campus der University of Illinois in Urbana-Champaign zurück. Die Laufwerke waren mit HTML-Dateien geladen, die beim Öffnen Benachrichtigungen erzeugten.
Die Ergebnisse waren ernüchternd: Die Menschen nahmen 98% der Laufwerke in die Hand und öffneten bei 45% der Laufwerke eine oder mehrere Dateien. Mit anderen Worten: Fast die Hälfte der simulierten Angriffe waren eindeutig erfolgreich. Es ist möglich, dass die Menschen die anderen gefundenen Laufwerke ebenfalls in Computer einsteckten, aber die Dateien nicht öffneten, was auch ein ernstes Sicherheitsrisiko darstellen würde.
Nehmen wir also an, ein Angreifer positioniert 10 USB-Laufwerke in der Nähe Ihres Bürogebäudes. Wie viele Mitarbeiter würden Ihrer Meinung nach ein USB-Laufwerk an ihren Arbeitscomputer anschließen? Würden sie die Dateien auf vier oder fünf davon öffnen, wie die Studie vermuten lässt?
ALTRUISMUS UND INTERESSE AUSNUTZEN
Es ist verlockend anzunehmen, dass die Studenten und Mitarbeiter, die die USB-Laufwerke in Computer einsteckten, Sicherheitsanalphabeten waren, aber das ist nicht der Fall. Ihre Antworten auf Fragen der Security Behavior Intentions Scale (SeBIS) ergaben keinen signifikanten Unterschied zu Antworten der allgemeinen Bevölkerung. Folglich kamen die Forscher zu dem Schluss, dass ein USB-Angriff „gegen die meisten Benutzer wirksam wäre und dass die durchschnittliche Person die Gefahr des Anschließens eines unbekannten Peripheriegeräts an ihren Computer nicht versteht“.
Der Studie zufolge wurden die Menschen zunächst durch altruistische Absichten dazu getrieben, die USB-Laufwerke anzuschließen: Sie wollten das Laufwerk an seinen Besitzer zurückzugeben. Aber nachdem die Laufwerke einmal angeschlossen waren, wurde fast die Hälfte der Menschen „von Neugierde übermannt und öffnete faszinierende Dateien (wie Urlaubsfotos), bevor sie versuchten, den Besitzer des Laufwerks zu finden“. Angreifer verwenden Dateinamen, die darauf abzielen, die Neugier auf ein schädliches USB-Laufwerk zu wecken – eine mächtige Social-Engineering-Technik.
Die Forscher kamen zu der Schlussfolgerung, dass „diese Beweise die Sicherheitsgemeinschaft daran erinnern, dass weniger technische Angriffe eine reale Bedrohung bleiben und dass wir noch nicht verstanden haben, wie wir uns erfolgreich gegen sie verteidigen können. Wir müssen die Dynamik von Social-Engineering-Angriffen besser verstehen, eine bessere technische Verteidigung gegen diese Angriffe entwickeln und lernen, wie wir Endbenutzer effektiv über diese Risiken aufklären können.“
EIN PROAKTIVER ANSATZ ZUM USB-RISIKO
Was können Sie also tun, um das Risiko von USB-Angriffen in Ihrem Unternehmen zu verringern? Wir empfehlen einen proaktiven Ansatz: Bewerten Sie die Anfälligkeit der Benutzer für diese Angriffe, machen Sie ihnen bewusst, dass bösartige USB-Geräte Systeminfektionen und Datenverluste verursachen können, und bringen Sie ihnen bei, wie sie diese Bedrohungen vermeiden können. Mit unseren ThreatSim® USB Simulationen können Sie Endbenutzer identifizieren, die unbekannte USB-Laufwerke aufheben und benutzen würden, und verwertbare Daten über die Anfälligkeit Ihres Unternehmens für einen USB-Angriff erhalten. Nachdem Sie USB-Laufwerke in der Nähe Ihres Bürogebäudes positioniert haben, können Sie über unsere Sicherheits-Bildungsplattform verfolgen, welche Laufwerke geöffnet werden.
Simulierte USB-Angriffe sind eine hervorragende Möglichkeit, um das Bewusstsein für die Bedrohung schnell zu schärfen und die Mitarbeiter empfänglicher für eine anschließende gründliche Schulung über Social-Engineering-Angriffe und Datenschutz zu machen. Unser spezifisches Schulungsmodul „USB Device Safety“ kann zur Schulung von Endbenutzern eingesetzt werden, die auf einen simulierten Angriff hereinfallen.
Wir haben kürzlich unser USB-Simulationsprodukt erweitert, um Ihnen Selbstbedienungsfunktionen und eine größere Flexibilität zu bieten. Kunden können nun ihre eigenen USB-Geräte aufladen und damit jederzeit und in beliebiger Anzahl Kampagnen starten. Zudem bieten wir jetzt auch eine unbegrenzte Nutzung an: Es gibt keine Beschränkungen hinsichtlich der Anzahl der USB-Geräte, die Sie verteilen, oder der Anzahl der Kampagnen, die Sie durchführen können.
Angesichts der anhaltenden Beliebtheit von USB-Laufwerken – und der Ausweitung von IoT und der angeschlossenen Geräte – ist es für die Cybersicherheit jedes Unternehmens wichtig, das Risiko von USB-Angriffen zu reduzieren. Testen Sie die Proofpoint-Schulung zur Stärkung des Sicherheitsbewusstseins und sehen Sie, wie wir für Ihr Unternehmen Ergebnisse liefern können, so wie wir es auch für Tausende anderer Kunden getan haben.