Von Zeit zu Zeit stellen Leserinnen und Leser fragen zu Themen, die sie unmittelbar betreffen oder einfach nur interessieren. Ein Thema wurde beispielsweise von einem Twitter-User an uns herangetragen. Er fragte: „Gibt es Beiträge in denen diskutiert wird, in wie weit Smartphones in Bankfilialen eine Gefahr darstellen?“

Wir finden die Fragestellung recht interessant. Außerdem kann sie praktisch auf jedes Unternehmen ausgeweitet werden, da sie nicht nur Banken betrifft. In diesem Artikel wollen wir die Frage des Twitter-Users beantworten.

WLAN im Unternehmen

Betrachten wir das vom Twitter-User spezielle vorgeschlagene Szenario, ergibt sich eine Taktik, die Angreifer verwenden könnten, um in das interne Netzwerk der Bank zu gelangen.

Versetzen wir uns in die Lage des Angreifers – dieser könnte beispielsweise wie die Hauptfigur in Mr. Robot auftreten – Als erstes würden wir versuchen, uns mit irgendeinem in Reichweite befindlichen WLAN der Bank zu verbinden.

Nicht selten werden wir viele verschiedene Netzwerke in unserer Reichweite finden. Mindestens eines davon gehört zur Bank oder schafft den Mitarbeitern exklusiven Zugang ins interne Netzwerk.

Was wir in diesen Zeiten allerdings weniger finden werden sind WLANs, die ungesichert sind oder eine nur schwache WEP-Verschlüsselung besitzen. Das Jahr 2010 liegt lange zurück und so sind mittlerweile WPA2-verschlüsselte Netzwerke – oder besser – an der Tagesordnung.

Unter diesen Umständen ist es kaum möglich, mit dem Smartphone in das unternehmensinterne Netzwerk einzudringen. Es mag allerdings die Möglichkeit bestehen, dass der Angreifer ein nicht richtig konfiguriertes Gast-WLAN vorfindet. Gast-Netzwerke ermöglichen den temporären Zugang für den Zeitraum des Besuchs der Bank oder des Unternehmens.

Je nachdem wie das Gast-Netzwerk aufgesetzt und wie ordnungsgemäß es abgekapselt ist, kann ein Angreifer Erfolg haben oder muss sich nach anderen Alternativen umsehen.

Ist ein Gast-Netzwerk nicht – wie es eigentlich sollte – isoliert, können Angreifer in kritische Unternehmensinfrastrukturen vordringen und ausspähen, ob die Bank robuste Sicherheitsmaßnahmen einsetzt oder ihm vollkommen ausgeliefert ist und er seine böswilligen Aktivitäten ohne Widerstand durchführen kann.

Ob eine Attacke mit Smartphone, welches mit dem WLAN der Bank verbunden ist, durchgeführt werden kann, hängt maßgeblich von den implementierten Sicherheitsmaßnahmen vor Ort ab.

Aus persönlichen Erfahrungen weiß ich, dass die WLAN Zugangspunkte von Banken in der Regel sehr stark geschützt sind. Wie wir gleich zeigen werden, gibt es aber auch andere Mittel und Wege, einen Angriff zu starten.

A smartphone used to access the information linked to an ATM

Einholen von Informationen über die Umgebung

Hat der Angreifer bereits festgestellt, dass die WiFi-Netzwerke zu stark gesichert sind, wird das Smartphone für andere Zwecke eingesetzt. Der simpelste und nützlichste Weg der Informationserlangung ist das Benutzen der Kamera. Der Angreifer kann Bilder und Videos von allen Dingen von Interesse aufnehmen und speichern.

Aufnahmen können beispielsweise zeigen, welche Software oder Ports die Angestellten benutzen, welche Netzwerk-Steckdosen zugänglich oder welche Kennzeichnungsschilder vorhanden sind. Filmen erlaubt das genaue Festhalten des Wechsels des Security Personals. Diese Informationen können für spätere Cyberangriffe nützlich erscheinen.

Besitzt das Smartphone außerdem NFC, kann der Angreifer möglicherweise Daten eines Mitarbeiterausweises kopieren. Der Magnetstreifen verschafft ihnen Zutritt zu geschützten Bereichen. Das ist allerdings ein riskantes Unterfangen, bedeutet aber nicht, dass noch niemand so etwas schon einmal versucht hätte.

Blicken wir nun auf speziellere Hardware. Eine ist unter dem Namen „WiFi Pineapple“ bekannt. Mit diesem Werkzeug kann ein Angreifer einen gefälschten Access Point erzeugen und beobachten, ob sich ein Mitarbeiter darin einzuloggen versucht. Wenn jemand in die Falle tappt, werden alle seine Verbindungen überwacht und der Angreifer versucht an Passwörter zu gelangen – in unserem Fall beispielsweise an eines, das ihm Zugang zum internen Bankensystem gewährt.

Anderenfalls kann der Angreifer sich auch als interessierter Kunde ausgeben. Er verwickelt einen Kundenberater in ein Gespräch und passt einen Augenblick seiner Unaufmerksamkeit ab, um den „Rubber Ducky“ USB-Stick in einen freien USB-Port zu stecken. Die Hardware versucht daraufhin so viele Informationen vom PC des Mitarbeiters wie nötig zu stehlen.

Der Angreifer kann außerdem versuchen an einen Mitarbeiter-PC zu gelangen, um speziellen Schadcode auf diesen Computer zu spielen. Das gelingt durch vorgefertigten Payload oder Malware, die selbstgeschrieben wurde.

Ferngesteuerte Angriffe

Alle obengenannten Szenarien bergen eine große Hürde – die Angreifer müssten persönlich in der Bank erscheinen, um ihre Attacken durchzuführen. Die Sicherheitskameras könnten sie enttarnen, nachdem ein Angriff bemerkt wurde. Aus diesem Grund vollführen Angreifer ihre Kompromittierungen gegen Banken und andere Unternehmen von der Ferne aus.

Als Beispiel ziehen wir hier einen Fall heran, der sich in Russlands Bankenwesen zugetragen hat. Alles begann mit einer E-Mail. Die Mail war nur schwer als Fake zu erkennen und an Bankmitarbeiter gewandt. Das unschuldig wirkende Word-Dokument im Anhang beinhaltete ein schädliches Makro, welches eine Verbindung zu einem externen Server aufbaute, der von den Angreifern kontrolliert wurde. Die Computer luden sofort zusätzliche Module vom Server. Diese benutzten die Angreifer, um die Kontrolle über die Rechner zu erlangen und um das interne Netzwerk auszuspähen.

Ein komplizierterer Fall betraf mehr als zwanzig polnische Banken. Aus einer Gelegenheit heraus, brachten es Cyberkriminellen fertig, die offizielle Webseite der polnischen Finanzaufsichtsbehörde zu kapern. Diese wird häufig von Angestellten polnischer Banken besucht. Unwissentlich wurden ihre Computer mit Malware beeinträchtigt.

Schlussfolgerung

Dem Twitter-User, der die Frage zum Thema stellte, können wir antworten, dass das Risiko von den implementierten Unternehmensrichtlinien sowie der Netzwerksicherheit und der Netzwerksegmentierung abhängt.

Wir können natürlich nicht ausschließen, dass Angreifer Smartphones benutzen, um in interne (Banken-)Netzwerke einzudringen. Allerdings operieren sie jedoch lieber geheim von außerhalb, damit sie nicht auf Überwachungskameras auftauchen. Wir glauben auch nicht, dass sich dieser Trend ändern wird.