Doch wenn es um den bescheidene USB-Stick geht, wissen Hacker, dass unsere Neugier der sicherste Weg ist, um Kapital zu schlagen.
Neugierig auf Neugierde
Dem Astrophysiker und Schriftsteller Mario Livio zufolge gibt es zwei grundlegende Arten von Neugier: die Wahrnehmungsneugier, bei der es darum geht, dass Sie etwas Überraschendes (und oft Unangenehmes) erfahren, das eine Art Juckreiz verursacht, der Sie zum Kratzen verleitet, und die epistemische Neugier, bei der es darum geht, dass Sie etwas Neues in Erfahrung bringen möchten, da Sie glauben, dass es einen angenehmen Effekt haben wird, und Sie eine Belohnung erwarten. Beide Arten der Neugier haben in unserer biologischen – und technologischen – Evolution eine entscheidende Rolle gespielt.
Wenn Sie also eine furchterregende Schlagzeile über die jüngste Naturkatastrophe auf einer Nachrichtenseite lesen, kann dies also Ihre Wahrnehmungsneugier wecken. Es mag Sie nicht „glücklich“ machen, doch Sie wissen, es würde Sie den ganzen Tag nicht loslassen, wenn Sie nicht weiter nachforschen würden. Andererseits würde wohl Ihre epistemische Neugier geweckt werden, wenn Sie eine E-Mail von einem Freund bzw. einer Freundin erhalten würden, dem ein Dokument mit dem Namen „LIEBESBRIEF-FÜR-DICH“ angehängt wäre – insbesondere wenn dieser Freund bzw. diese Freundin süß aussieht.
Das ist genau das, was zur Verbreitung des ILOVEYOU-Virus im Jahr 2000 geführt hat, der weltweit einen geschätzten Schaden in Höhe von 5,5 - 8,7 Milliarden US-Dollar verursacht hat.
Und dabei handelt es sich keineswegs um einen Einzelfall. Hacker machen sich schon seit der Einführung von E-Mails die epistemische Neugier zu Nutze um Menschen dazu zu bringen, auf Links zu klicken und Dateien herunterzuladen, indem Sie bei Ihnen Pop-ups einblenden, laut denen sie bei einem Online-Gewinnspiel gewonnen haben, oder indem sie auf sozialen Medien vorgeben, sie seien alte Freunde aus der Mittelstufe. Tatsächlich besteht eine der erfolgreichsten Methoden der Virenübertragung darin, dass E-Mails ohne Text und lediglich mit einem Link oder einer Datei versendet werden, denn die Menschen sind derart neugierig, dass sie solche Dateien einfach direkt herunterladen, was dem Hacker die Arbeit unheimlich erleichtert.
Hacker sind so gut darin, die Neugier der Menschen zu instrumentalisieren, dass es ihnen sogar gelungen ist, sie bei einigen der größten Hacks des Jahrzehnts auszunutzen.
Das bringt uns zurück zum Thema USB-Sticks.
USB – die Ultimative Sicherheits-Bedrohung
Was würden Sie tun, wenn Sie einen USB-Stick – eigentlich steht USB für Universal Serial Bus und wird manchmal auch Speicherstick genannt – auf dem Boden finden würden?
Wenn Sie wie die meisten Menschen sind, wären Sie wahrscheinlich neugierig – insbesondere, wenn der Stick mit einem besonders verlockenden Aufkleber versehen ist, wie etwa „vertraulich“ oder „Porno“ oder „nicht öffnen“. In diesem Fall würden Sie ihn wohl in den nächsten PC stecken, den Sie finden (sei es auf der Arbeit oder zu Hause, je nach Aufkleber). Eventuell würden Sie es gar völlig uneigennützig und in der Hoffnung tun, dass Ihnen die auf dem Stick enthaltenen Informationen bei der Auffindung seines Besitzers helfen könnten – oder aber Sie sind voyeuristisch motiviert und wollen einfach nur wissen, was sich darauf befindet. Doch im äußerst wahrscheinlichen Falle, dass der USB-Stick absichtlich von einem Hacker an jenem Ort hinterlassen wurde, spielt Ihre Motivation keinerlei Rolle: Der Hacker ist auf dem besten Wege, Ihr Gerät zu infizieren.
Ein USB-Gerät kann auf zwei Arten seine Nutzdaten übertragen. Beim ersten Weg wird darauf gesetzt, dass Sie mit seinen Inhalten wie mit E-Mails umgehen: Auf dem Stick ist eine infizierte Datei abgelegt, und es liegt an Ihnen auf die Datei zu klicken und sie auszuführen, sodass sich die Infektion auf Ihrem PC ausbreiten kann. In diesem Fall könnten sie das Gerät in Ihren PC oder Mac einstecken und es auf Viren untersuchen, bevor Sie irgendwelche darauf befindlichen Inhalte öffnen. Das wäre die zweitvorsichtigste Vorgehensweise Ihrerseits... Gleich nach der Möglichkeit, das Gerät gar nicht erst einzustecken.
Doch das Problem mit USB-Geräten besteht darin, dass die Hersteller dieser Geräte meistens ihre Firmware nicht schützen – was zur Folge hat, dass intelligente Hacker die Firmware umprogrammieren können, um die Geräte effizienter und gefährlicher zu machen. Die gebräuchlichste Methode, um das zu erzielen besteht im Umprogrammieren des USB-Sticks, sodass dieses die Malware nach dem Einstecken in ein beliebiges Gerät automatisch hochlädt, noch bevor Sie irgendetwas darauf öffnen. In diesem Fall sind Sie gefährdet, sobald Sie das Gerät einstecken.
„Ich bin drin“
Falls Sie jedoch geglaubt haben, dass Hacker USB-Geräte ausschließlich zur Verbreitung von Malware nutzen, haben Sie sich leider getäuscht. Diese Technik-Gurus haben nach neusten Zählungen bis zu 29 verschiedene Möglichkeiten entwickelt, USB-Laufwerke zu nutzen, um verschiedene Dinge mit Ihrem Gerät und Ihren Daten zu tun.
Ein USB-Angriff könnte beispielsweise:
-
Ihre Tastatur übernehmen und vorbestimmte Tastenanschläge eingeben, um Ihren PC zur Durchführung von unerwünschten Aktionen zu zwingen
-
Ihre Tastenanschläge protokollieren und diese Daten an Remote-Server senden
-
Hardware, wie z. B. einen Funkempfänger, einschleusen
-
Ihre Dateien ändern oder modifizieren
-
Ihre Webcam infiltrieren und Aufzeichnungen von Ihnen besorgen
-
Ihre Aktivitäten über öffentlich zugängliche Radiowellen übertragen
-
Ihr Gerät mit einer starken Überspannung dauerhaft zerstören
Und das sind nur ein Paar Beispiele aus einer immer länger werdenden Liste, die im Zuge der weiteren Entwicklung von USB-Geräten und Software zunehmend eindrucksvoll – und beängstigend – wirkt. Doch möglicherweise denken sie jetzt: nur weil es möglich ist, heißt das noch nicht, dass es wahrscheinlich ist, oder? Gibt es da draußen wirklich einen Hacker der wie ein krimineller Osterhase USB-Geräte in der Gegend versteckt?
Sie würden sich wundern.
Gefahr beim Aufladen
Wir schreiben das Jahr 2019, Sie sind gerade auf dem Los Angeles International Airport gelandet und Sie sind erschöpft. Sie haben Durst, Ihre Beine tun weh, und noch schlimmer: Der Akku Ihres Smartphones ist fast leer. Zum Glück gibt es an diesem Flughafen kostenlose Ladestationen für Smartphones, sodass Sie das Ladekabel Ihres Geräts einfach an eine solche Station anschließen können, um vor der letzten Etappe Ihrer Reise noch den dringend benötigten Saft für Ihren Akku zu bekommen.
Und wenn Sie Ihr Smartphone schließlich einschalten um Ihr Smartphone zu checken – Ups! – die USB-Ladestation war gehackt, und Ihr Smartphone ist nun infiziert.
Ein weiteres Beispiel: Sie gehen eines Tages in die Arbeit, Sie sitzen unterwegs auf einer Bank und Ihnen fällt dabei ein USB-Gerät auf. Sie heben es auf und denken sich dabei vielleicht, dass es einem Kollegen gehört, doch sobald sie es einstecken, sehen Sie auf Ihrem Bildschirm eine große, fette Nachricht, die besagt, dass Sie soeben bei einem Cybersicherheitstest durchgefallen sind – was in dieser Situation eventuell noch das beste Szenario ist.
Denn diese Dinge passieren nicht nur, sie funktionieren auch wirklich gut, wenn es zu einer solchen Situation kommt. Obwohl es keine zuverlässigen Schätzungen gibt, wie viele Angriffe über hinterlassene USB-Geräte jährlich durchgeführt werden, hat eine Studie aus dem Jahr 2016 offenbart, dass von 297 infizierten USB-Geräten, die auf dem Campus einer Universität hinterlassen wurden, 98 % gefunden und 45 % in einen PC eingesteckt wurden. Das entspricht einer Erfolgsrate von fast 50 % – verglichen mit den geschätzten 0,5 % der Menschen, die auf Phishing-E-Mails (den heutzutage beliebtesten Angriffsvektor) hereinfallen. Diese Zahl ist riesig.
Während also die Wahrscheinlichkeit, dass ein Hacker ein USB-Gerät in Ihrer Einfahrt hinterlässt, ziemlich gering sein mag, sollten Sie dennoch auf der Hut sein, wenn Sie für ein großes Unternehmen oder die Regierung arbeiten: Die Wahrscheinlichkeit, dass Sie auf ein unbekanntes auf dem Boden liegendes USB-Gerät stoßen, ist bei Ihnen deutlich höher als beim Rest der Bevölkerung.
Nicht einstecken und auf der sicheren Seite bleiben
Das wirft also folgende Frage auf: Wie kann man sich vor infizierten USB-Geräten schützen?
Nun, das ist ganz einfach – stecken Sie keine USB-Geräte ein, die willkürlich irgendwo herumliegen. Wenn Sie eines in Ihrem Unternehmen finden, bringen Sie es zur IT-Abteilung oder informieren Sie Ihren Vorgesetzten darüber. Die Wahrscheinlichkeit ist hoch, dass es mehr als nur ein solches Gerät gibt und nicht all Ihre Kollegen sind möglicherweise so computererfahren wie Sie. Wenn Sie ein solches Gerät an einem öffentlichen Ort finden, tun Sie der Welt einen Gefallen und werfen Sie es weg, sei es um sich selbst und Fremde vor Malware zu schützen, oder um sicherzugehen, dass die Rechte hinsichtlich des Schutzes der persönlichen Daten jener Person, die es verloren hat, nicht durch einen Unbekannten verletzt werden. Und wenn Sie Ihr Smartphone an einem öffentlichen Ort aufladen müssen, dann verwenden Sie Ihr Netzteil an einer gewöhnlichen Steckdose – alles andere ist potenziell gefährlich.
Unsere Neugier kann zur Entdeckung von erstaunlichen Dingen führen – doch lassen Sie nicht zu, dass sie Ihnen in Sachen Cybersicherheit zu Ihrem größten Verhängnis wird!