Cybersecurity Deep Dive: Was ist ein Baiting-Angriff?
Ein Baiting-Angriff ist eine Art von Phishing-Angriff, der soziale Manipulation einsetzt, um dich auszutricksen. Diese Angriffe appellieren oft an deine Gier oder Neugier, um dich dazu zu bringen, dein Gerät mit Malware zu infizieren.
Diese Angriffe kommen oft in drei Formen:
- Physische Medien – Bösewichte lassen oft infizierte USB-Sticks in Arbeitsbereichen, Parkplätzen oder Bürogängen liegen, in der Hoffnung, dass jemand sie findet und in ein Gerät steckt
- Online-Downloads – Der Hacker kann dir eine Direktnachricht in sozialen Medien oder per E-Mail senden und versuchen, dich dazu zu bringen, auf einen Link zuzugreifen. Diese Nachrichten enthalten Links zu schädlichen Dateien, die Malware auf deinem Gerät installieren, sobald sie geöffnet werden. Es gibt auch Websites, die kostenlose Materialien versprechen, die zu Baiting-Angriffen werden können
- Verlockende Angebote – E-Mail-Angebote, die dir etwas kostenlos oder stark vergünstigt versprechen, wenn du auf einen Link klickst. Diese Links sind infiziert und installieren Malware auf deinem Gerät
Einer der berüchtigtsten Baiting-Angriffe in der Geschichte war der Angriff auf das US-Verteidigungsministerium im Jahr 2008.
Er wurde als der „schlimmste Einbruch in die Computernetzwerke des US-Militärs in der Geschichte“ bezeichnet und führte zur Gründung des Cyberkommandos des Verteidigungsministeriums.
Operation Buckshot Yankee, wie sie bekannt wurde, betraf einen infizierten USB-Stick, der auf einem Parkplatz einer DoD-Einrichtung im Nahen Osten liegengelassen wurde.
Ein Agent steckte den infizierten USB-Stick in einen Laptop und installierte versehentlich bösartigen Code, der dazu gedacht war, Informationen von den Computern der Basis zu stehlen.
Die Malware selbst war ein sich selbst replizierender Wurm, der sich automatisch im Netzwerk des DoD ausbreitete. Es dauerte 14 Monate, bis das Pentagon den Wurm vollständig aus seinen Systemen entfernen konnte.
Und das war eine klassische Baiting-Taktik, die die Neugier des Opfers ansprach. Sie hätte fast zu einer nationalen Krise ungeahnten Ausmaßes geführt.
Sowohl Einzelpersonen als auch Organisationen sind von Baiting-Angriffen bedroht. Aber Organisationen sollten besonders vorsichtig sein. Schließlich sind die Einsätze höher und die Folgen viel schwerwiegender.
Ein einziger Mitarbeiter, der Opfer eines Baiting-Angriffs wird, kann eine Kettenreaktion von Datenverletzungen, Reputationsschäden, finanziellen Verlusten und mehr auslösen.
Im Folgenden werde ich dir einen tiefen Einblick in Baiting-Angriffe geben. Ich zeige dir, was sie sind, spezifische Prinzipien, die verwendet werden, häufige Szenarien und Techniken, Fallstudien und Warnzeichen.
Lass uns beginnen!
Wie unterscheidet sich Baiting von herkömmlichem Phishing?
Ein Baiting-Angriff ist eine Unterform der allgemeinen Phishing-Angriffe. Im Kern ist Baiting eine Art von Phishing.
Ein Baiting-Angriff weist jedoch einige spezifische Elemente auf:
- Die Emotionen, die angesprochen werden
- Die üblichen Szenarien, die verwendet werden
Lass uns beide Punkte genauer betrachten und sehen, wie Baiting-Angriffe funktionieren:
1. Psychologie der Baiting-Angriffe
Die überwiegende Mehrheit der Baiting-Angriffe zielt auf zwei grundlegende Emotionen ab – Gier und Neugier.
Bezüglich Gier versuchen Hacker oft, dich mit Versprechungen von Reichtum, Rabatten, exklusiven Angeboten und Dingen, die zu schön klingen, um wahr zu sein, zu überzeugen.
Die Aussicht auf finanziellen Vorteil blendet oft Opfer, sodass sie impulsiv handeln, ohne nachzudenken.
Das bringt sie dazu, Risiken einzugehen, die sie sonst nicht eingehen würden. Durch Gier manipulieren Baiting-Angriffe ihre Opfer dazu, ihre eigene Sicherheit zu kompromittieren.
Das kann bedeuten, eine schädliche Software herunterzuladen oder einen Link zu öffnen, der einen hohen Rabatt auf ein Produkt verspricht.
Bei Neugier sieht die Geschichte etwas anders aus. Hacker verwenden am häufigsten physische Medien, um Aufmerksamkeit zu erregen und die Neugier ihrer Opfer zu spielen.
Die Idee ist, durch diesen Angriff ein Gefühl von Geheimnis und Intrige zu erzeugen. Opfer fühlen sich gezwungen zu sehen, was auf dem zufälligen USB-Stick ist, den sie gefunden haben, oder den geheimnisvollen Link zu öffnen, den sie erhalten haben.
Bösewichte beschriften diese physischen USB-Sticks oft mit „Vertraulich“ oder „Geheim“, um die Neugier ihrer Opfer noch mehr zu wecken.
Online können diese von Neugier getriebenen Baiting-Angriffe vertrauliche Informationen oder Geheimnisse versprechen, auf die man sonst nicht zugreifen könnte.
Indem du verstehst, wie Baiting-Angriffe diese beiden Emotionen nutzen, um dich zu impulsiven Handlungen zu verleiten, kannst du dein Bewusstsein schärfen und dich verteidigen.
Das gilt sowohl für Einzelpersonen als auch für Organisationen. Mitarbeiter sollten ebenfalls eine grundlegende Schulung zu Baiting-Angriffen erhalten, um nicht Opfer dieser Angriffe zu werden.
2. Häufige Angriffsszenarien
Baiting-Angriffe weisen oft spezifische Szenarien auf, die im Vergleich zu grundlegenden Phishing-Angriffen häufiger sind.
Lass uns einige davon durchgehen:
- Hohe Rabatte
Du könntest eine Nachricht oder E-Mail erhalten, die von einem sehr hohen (zu schön, um wahr zu sein) Rabatt auf ein Produkt oder eine Dienstleistung spricht, nach der du gesucht hast.
- Kostenlose Produkte/Dienstleistungen
Manchmal ist das Produkt/Dienstleistung, das in einem Baiting-Angriff versprochen wird, kostenlos. Der Hacker möchte deine Gier so weit wie möglich ausnutzen.
Und wer kann schon kostenlos widerstehen?
- Gewinnen eines großen Preises
Ein weiteres häufiges Szenario ist der Gewinn einer großen Geldsumme. Das könnte eine Lotterie sein, in die du automatisch eingetragen wurdest (laut dem Hacker) oder ein Erbe.
Ich habe in der Vergangenheit viele solcher Lotterie-E-Mails erhalten, und sie alle fordern deine persönlichen Informationen, um dir das Geld zu überweisen.
Lass dich nicht täuschen – es ist ein Betrug!
- Unerwarteter Preis
Der Hacker könnte einen Einkaufsdienst, den du zuvor genutzt hast, imitieren und dich mit einem unerwarteten Preis überraschen.
Sie könnten verschiedene Gründe nennen, wie ein Treueprogramm, das Kunden belohnt.
Natürlich sind sowohl die Links als auch die Telefonnummern, die vom Hacker bereitgestellt werden, gefälscht. Fall nicht darauf herein!
- Falsche Lieferung
Ein weiteres Baiting-Szenario ist, wenn der Bedrohungsakteur dir einen Türanhänger hinterlässt, der sagt, dass du eine Lieferung verpasst hast. Dieses Mal haben wir es mit einem physischen Angriff zu tun, und die Tatsache, dass der Hacker weiß, wo du wohnst, ist extrem gefährlich.
Der Anhänger könnte eine Telefonnummer oder eine andere Kontaktmethode enthalten – benutze sie nicht. Lass deine Neugier sterben, denn es ist ein Betrug.
Aber wie konstruieren Angreifer ihre Baiting-Angriffe und wie stellen sie deren Wirksamkeit sicher? Lass es uns unten sehen!
Anatomie eines Baiting-Angriffs
Bedrohungsakteure verwenden bestimmte Techniken, um die Effizienz ihres Baiting-Angriffs zu gewährleisten. Lass uns sehen, welche Techniken das sind:
- Die Tarnung
Bei Baiting-Angriffen, die schädliche Dateien beinhalten, sorgen Hacker dafür, dass diese Dateien als harmlos aussehende Formate getarnt werden.
Sie verwenden harmlose Erweiterungen, seriös klingende Namen und unauffällige Symbole, die keine roten Flaggen hissen.
Das ist alles ein Trick, um dich dazu zu bringen, sie zu öffnen. Es soll den Anschein von Unschuld erwecken und die Gefahr verbergen.
Das funktioniert auch bei bösartigen Links, die der Hacker zu tarnen versucht, indem er ihre URLs bearbeitet, um sie harmlos erscheinen zu lassen.
- Die Vertrauensbeziehung
Baiting-Angriffe stützen sich fast vollständig auf den ersten Eindruck. Hacker wissen, dass sie nur wenige Sekunden Zeit haben, um dich zu überzeugen, etwas Dummes zu tun.
Deshalb müssen sie dein Vertrauen gewinnen, gerade genug, um einen Link anzuklicken oder eine schädliche Software herunterzuladen.
Sie geben oft vor, legitime Unternehmen zu vertreten, mit denen du bereits Geschäfte gemacht hast. Das alles dient dazu, dein Vertrauen zu gewinnen und deine Verteidigung zu senken.
Der Hacker könnte auch eine Autorität in einem bestimmten Bereich vortäuschen – wie ein Marketingexperte oder Sekretär – um dein Vertrauen zu gewinnen.
- Die emotionale Verstärkung
Alle Baiting-Angriffe nutzen Emotionen, um dich Dinge tun zu lassen, die du sonst nicht tun würdest. Aber warum funktionieren sie?
Das liegt an der emotionalen Verstärkung. Diese Angriffe funktionieren, indem sie bestimmte Emotionen wie Gier, Neugier, Knappheit und Dringlichkeit verstärken.
Das erhöht die Wahrscheinlichkeit, dass du in die Falle tappst, weil deine Emotionen die Oberhand gewinnen werden.
Wenn wir der Neugier, Gier oder Dringlichkeit nachgeben, treten unsere rationalen Denkprozesse in den Hintergrund und machen Platz für impulsive Entscheidungsfindung.
Darauf setzen die Hacker – dass du durch die Verstärkung dieser Emotionen unüberlegte Entscheidungen triffst.
Fallstudien
Um zu verstehen, wie Baiting-Angriffe in der realen Welt funktionieren und um die potenziellen Konsequenzen zu verdeutlichen, habe ich 5 reale Fallstudien zu Baiting-Angriffen vorbereitet.
Deren Analyse wird beleuchten, wie diese Angriffe funktionieren. Also, lass uns beginnen!
1. Stuxnet-Wurm (2010)
Stuxnet ist vielleicht der berüchtigtste Baiting-Angriff in der Geschichte, einer, der zu schwerwiegenden geopolitischen Folgen führte.
Hier sind die Details zu Stuxnet oder Operation Olympic Games, wie es bekannt wurde:
- Stuxnet war ein Wurm (eine sich selbst replizierende Malware), der auf einem physischen USB-Stick gespeichert war und das iranische Atomprogramm in der Anlage Natanz infizierte
- Sein Zweck war es, PCLs (programmierbare Logikcontroller), die von Siemens hergestellt wurden, auf einem Gerät zu finden und deren Programmierung zu ändern
- Durch die Änderung der Programmierung der PCLs wurden die Drehgeschwindigkeiten der Nuklearzentrifugen beeinflusst, entweder beschädigt oder komplett zerstört
- Gleichzeitig übermittelten die PCLs (fälschlicherweise) dem Steuerungscomputer, dass alles in Ordnung sei
Die Nuklearanlage Natanz galt damals als infiltrationsgeschützt, da ihre Systeme zu keinem Zeitpunkt mit dem Internet verbunden waren.
Der einzige Weg, jemanden in die Anlage einzuschleusen, war physisch. Und genau so gelangte Stuxnet ins Innere – ein Natanz-Mitarbeiter steckte den USB-Stick in ein Arbeitsgerät.
Sobald der Wurm freigesetzt wurde, verbreitete er sich wahllos von Gerät zu Gerät im internen Netzwerk von Natanz und fand alle Siemens-PCLs.
Interessanterweise nutzte Stuxnet fünf Zero-Day-Schwachstellen und eine Hintertür, um sich durch die Windows-PCs in der Anlage Natanz auszubreiten:
- Einen Bug mit dem Druckspooler
- Einen Windows-Verknüpfungsfehler
- Zwei Schwachstellen zur Rechteerhöhung
- Einen Fehler mit den Siemens-PCLs
- Eine Hintertür, die im Conficker-Angriff verwendet wurde
Wenn du dich mit Cybersicherheit auskennst, dann weißt du, dass die Ausnutzung so vieler Schwachstellen gleichzeitig extrem ungewöhnlich ist.
Das liegt daran, dass Hacker nicht alle ihre Karten auf einmal aufdecken wollen. Typischerweise wird, sobald eine Zero-Day-Schwachstelle bekannt wird, ein Sicherheitsunternehmen einen Patch entwickeln und den Zugang des Hackers abschneiden.
Stuxnet war jedoch ein kompromissloser Cyberangriff, der nur eine Gelegenheit brauchte, um die Anlage Natanz zu infiltrieren und ihr Atomprogramm zu ruinieren.
Der Wurm war auch in mehreren Programmiersprachen geschrieben, einschließlich C, C++ und anderen objektorientierten Sprachen.
Bis heute bleibt er eines der komplexesten Stücke Malware, die jemals geschrieben wurden. Experten analysieren ihn noch heute, um daraus zu lernen.
War Stuxnet erfolgreich? Mit einem Wort, ja. Es gelang ihm, etwa 2.000 Zentrifugen innerhalb eines Jahres stillzulegen, während die typische Anzahl stillgelegter Zentrifugen bei etwa 800 lag.
Gerüchten zufolge hat Stuxnet das iranische Atomprogramm um mindestens zwei Jahre zurückgeworfen. Der einzige Grund, warum es überhaupt entdeckt wurde, war, dass ein Natanz-Mitarbeiter es auf einem Arbeitsgerät mitnahm.
Sicherheitsforscher fanden es schließlich und entschlüsselten es größtenteils. Es bestand aus über 15.000 Codezeilen, was weit über dem liegt, was andere Malware umfasst.
Und alles begann mit einem einzigen USB-Stick, den ein Natanz-Mitarbeiter zufällig fand und in ein Arbeitsgerät steckte.
Ein Baiting-Angriff durch und durch!
2. Operation Aurora (2009)
Haftungsausschluss – Operation Aurora beinhaltete nur Elemente des Baiting (Spear-Phishing-Taktiken), war aber kein typischer Baiting-Angriff. Stattdessen lag der Fokus auf der Ausnutzung von Zero-Day-Schwachstellen und Hintertüren.
Operation Aurora war einer der umfangreichsten Cyberangriffe in der Geschichte, durchgeführt von der Elderwood-Gruppe (mit Verbindungen zu China) gegen mehrere hochkarätige amerikanische Unternehmen.
Bestätigte Ziele beinhalten:
- Adobe Systems
- Akamai Technologies
- Juniper Networks
- Rackspace
Laut verschiedenen Berichten wurden Symantec, Yahoo, Dow Chemical, Northrop Grumman und Morgan Stanley ebenfalls von Operation Aurora ins Visier genommen.
Das Hauptziel des Angriffs war es, Geschäftsgeheimnisse des amerikanischen Privatsektors zu stehlen – ihre Quellcode-Repositorys.
Hier ist der Ablauf der Ereignisse:
I. Der Angriff beginnt
Die Anatomie von Operation Aurora ist faszinierend wegen ihrer Raffinesse. Laut McAfee nutzten die Angreifer mehrere Zero-Day-Schwachstellen in der Internet Explorer Browser-App und der Perforce-Revision-Software.
Die Hacker schickten effektiv Baiting-E-Mails an Mitarbeiter dieser Unternehmen, indem sie versuchten, sich als Kollegen oder vertrauenswürdige Quellen auszugeben. Sie lockten die Opfer dazu, auf bösartige Links zu klicken, die die infizierte Malware auf Unternehmensgeräten installierten.
Durch Spear-Phishing-Taktiken und die Ausnutzung von Zero-Day-Schwachstellen erlangten die Angreifer den erhöhten Zugriff, den sie benötigten, um auf die Computersysteme der Unternehmen zuzugreifen.
Sie nutzten auch Hintertür-Verbindungen zu Gmail-Konten, um Zugang zu den Computersystemen zu erhalten.
II. Google verkündet den Angriff
Am 12. Januar 2010 kündigte Google in seinem Blog an, dass es Mitte Dezember einen Cyberangriff aus China erlitten hatte.
Sie behaupteten auch, dass im gleichen Zeitraum über 20 Unternehmen von derselben Gruppe angegriffen wurden.
Aus diesem Grund erklärte Google, dass es in Erwägung ziehen würde, seine Geschäftsbeziehungen in China zu beenden. Am selben Tag wurden mehrere andere politische Erklärungen von verschiedenen Parteien veröffentlicht.
Die chinesische Regierung gab keine formelle Antwort auf diese Vorwürfe.
III. Symantec beginnt mit der Untersuchung der Angriffe
Die Cybersicherheitsfirmen Symantec und McAfee boten an, den Angriff im Auftrag von Google und allen anderen betroffenen Unternehmen zu untersuchen.
Nach Durchsicht der Beweise (Domainnamen, Malware-Signaturen, IP-Adressen usw.) stellten sie fest, dass die Elderwood-Gruppe für Operation Aurora verantwortlich war.
Die Hackergruppe ist auch als „Beijing-Gruppe“ bekannt, und sie erlangten Zugriff auf einen Teil von Googles Quellcode und Informationen über mehrere chinesische Aktivisten.
Dmitri Alperovitch, VP für Bedrohungsforschung bei McAfee, identifizierte den Angriff als „Operation Aurora“, weil „Aurora“ ein Dateipfad war, der in zwei der bei den Angriffen verwendeten Malwares enthalten war.
IV. Nachwirkungen
Nachdem die Angriffe öffentlich bekannt wurden, stellten viele Länder vorübergehend die Nutzung von Internet Explorer ein, aufgrund der darin eingebetteten Zero-Day-Schwachstellen.
Google zog sich auch aus China zurück und betreibt nur noch eine lokale Version der Suchmaschine aus Hongkong.
Operation Aurora erwies sich für China als schädlicher als für die USA, da erstere in der Folge des Angriffs mehr verloren haben.
Erkennen und Verhindern von Baiting-Angriffen
Baiting-Angriffe sind meistens leicht zu erkennen. Glücklicherweise wird das Ergreifen einiger Vorsichtsmaßnahmen und das Bewusstsein darüber, wie Baiting-Angriffe dich täuschen, dich weitgehend schützen.
Zuerst zeige ich dir die häufigsten Warnsignale für Baiting-Angriffe!
1. Warnsignale
- Dringende E-Mail-Betreffzeile
Gleich zu Beginn, wenn du eine alarmierende E-Mail-Betreffzeile siehst, sollte dein Betrugs-Radar bereits piepen.
Solche Betreffzeilen könnten lauten „Ändere jetzt dein Passwort“ oder „Nutze diesen Rabatt, solange er noch da ist“.
Wenn die andere Partei ein Gefühl der Dringlichkeit erzeugt und versucht, deine Emotionen anzusprechen und dich zu impulsiven Entscheidungen zu verleiten, solltest du ihre Absichten hinterfragen.
Es ist entweder eine legitime (?) Marketing-E-Mail oder ein Baiting-Angriff, der dich täuschen will. In vielen Fällen sind die beiden nicht so eindeutig zu unterscheiden, wie wir es uns wünschen würden.
- Nach persönlichen/sensiblen Informationen fragen
Wenn die andere Partei nach persönlichen oder sensiblen Informationen wie deiner Kreditkartennummer fragt, gib sie NICHT heraus.
Kein seriöses Unternehmen wird jemals sensible Informationen per E-Mail oder Direktnachrichten anfordern. Denn sensible Informationen sind genau das – sensibel für deine Identität, und nur du solltest sie kennen.
99,99 % aller E-Mails, die nach solchen Informationen fragen, sind Baiting-Angriffe. Die restlichen 0,01 % sind entweder unprofessionelle Unternehmen oder Unternehmen, die mit besonders schwerwiegenden Sicherheitsproblemen zu kämpfen haben.
- Die Absenderadresse oder Domain sind gefälscht
Wenn du eine seltsame E-Mail von jemandem erhältst, den du kennst (sogar deinem Vorgesetzten), schau dir ihre E-Mail-Adresse oder Domain an.
Vergleiche sie dann mit dem tatsächlichen Ding aus deiner Kontaktliste. Sind sie gleich? Oder ist die in der E-Mail verwendete ein wenig anders?
Vielleicht hat sie einen zusätzlichen Buchstaben, verwendet Großbuchstaben oder ein Buchstabe ist doppelt. Das ist eine Phishing-E-Mail-Adresse, die sorgfältig (oder nicht) erstellt wurde, um dich zu täuschen.
2. Bildungsmaßnahmen & Technologische Sicherheitsvorkehrungen
Da Baiting-Angriffe eine Untergruppe von Phishing-Angriffen sind, verweise ich dich auf meinen Leitfaden zu Phishing-Angriffen.
Die Präventionsmethoden und Warnsignale sind für beide genau gleich:
- Grammatikfehler
- Das Vorhandensein unerwarteter Anhänge
- Das Vorhandensein von Großbuchstaben an ungewöhnlichen Stellen
- Der dringende Ton
Ein Premium-Antimalware-Dienstanbieter hilft dir, Infektionen zu verhindern, falls du versehentlich auf einen Baiting-Angriff hereinfällst und eine Malware herunterlädst.
Du möchtest vielleicht auch einen privateren und sichereren E-Mail-Anbieter wie Proton wählen. Deren E-Mail-Filter sind besser geeignet, um potenziellen Spam und Phishing-Angriffe zu identifizieren (die E-Mails werden automatisch in den Spam-Ordner verschoben).
Das gibt dir eine bessere Vorstellung davon, was dich bei diesen E-Mails erwartet. Aber sei vorsichtig – nicht alle E-Mails in deinem Spam-Ordner sind Phishing-E-Mails.
E-Mail-Filter sind nicht immer zu 100 % genau, daher können sie Fehler machen.
Fazit
Baiting-Angriffe sind die häufigste Form von Phishing-Angriffen. Sie nutzen Psychologie, um dich dazu zu verleiten, einen infizierten Link anzuklicken oder einen bösartigen Anhang herunterzuladen.
Aber sie gehören auch zu den Angriffen, gegen die man sich am leichtesten verteidigen kann. Es braucht nur zwei Dinge, um einen Baiting-Angriff nutzlos zu machen:
- Cyber-Bewusstsein – Wenn du weißt, dass ein Baiting-Angriff ein Baiting-Angriff ist, wirst du nicht darauf hereinfallen
- Selbstkontrolle – Werde nicht impulsiv, bevor du realisierst, womit du es zu tun hast. Baiting-E-Mails erzeugen künstliche Dringlichkeit, um dich zu impulsiven Handlungen zu verleiten
Im Ernst, alles, was du brauchst, sind diese beiden Dinge, um nie wieder auf einen Baiting-Angriff hereinzufallen.
Einen Baiting-Angriff zu identifizieren, ist jedoch nicht immer einfach. Lass dich also von diesem Leitfaden (und dem anderen über Phishing im Allgemeinen) leiten, um zu lernen, wie man es macht!
Quellen
CRN – Pentagon bestätigt Cyberangriff gegen US-Militär von 2008
CSO Online – Stuxnet erklärt: Die erste bekannte Cyberwaffe
Gizmodo – Die Insider-Geschichte, wie Stuxnet entdeckt wurde
JPost – „Stuxnet-Virus setzte iranisches Atomprogramm um 2 Jahre zurück“
CS Monitor – Diebstahl US-amerikanischer Geschäftsgeheimnisse: Experten identifizieren zwei riesige Cyber-„Gangs“ in China
Google Blog – Ein neuer Ansatz für China
Privacy Affairs – Warum ist Phishing so verbreitet & Wie kann man sich dagegen schützen?