Was sind Infostealer?
Ein Infostealer ist eine bösartige Software (Malware), die versucht, Ihre Informationen zu stehlen. Komplexere Malware wie Banking-Trojaner (z.B. TrickBot) und Stalkerware enthalten in der Regel Infostealer-Komponenten.
In den meisten Fällen bedeutet dies, Informationen zu stehlen, mit denen Cyberkriminelle Geld verdienen können.
Hier sind einige Dinge, die Kriminelle stehlen und in Geld verwandeln können:
- Ihre Bankkarteninformationen können direkt verwendet oder an andere weiterverkauft werden, die Einkäufe mit Ihrer Karte tätigen,
- Ihre Kontoanmeldungen können dann verwendet werden, um Ihre früheren Einkäufe zu stehlen (z. B. Ihre Fortnite- oder Animal Crossing-Einkäufe im Spiel), die weiterverkauft werden können,
- Ihre Kontoanmeldungen können neue Dinge kaufen, wenn Sie Ihre Bankkarte gespeichert haben,
- Ihre Kontoanmeldungen können verkaufte sich:
- Konten werden häufig in großen Mengen an andere Cyberkriminalitätsspezialisten verkauft, um zu versuchen, sie zu monetarisieren,
- Einige Konten sind individuell wertvoll, z. B. Instagram- oder Snapchat-Konten mit begehrten Handles
- potenziell können Fotos und Dokumente für Erpressung verwendet oder auf andere Weise monetarisiert werden:
- Unternehmen, die von Ransomware betroffen sind, stehen zunehmend vor der Aussicht, dass ihre internen Daten und ihr geistiges Eigentum online veröffentlicht werden, wenn sie nicht bezahlen
- Im Jahr 2014 hatte eine große Anzahl berühmter Frauen extrem private Fotos von ihren iCloud-Konten gestohlen und veröffentlicht, was bestimmten Inhabern unethischer Foren und Pornografie-Websites erheblich zugute kam.
Kriminelle sind kreativ und das ist ein großes, professionelles Geschäft.
Bank Trojan Beispiel
Android Banking Trojan Beispiel mit Schritt-für-Schritt-Screenshots
Infostealer Angriffe können wirklich teuflisch sein.
Nehmen wir zum Beispiel die Funktionsweise eines Android-Banking-Trojaners, den wir 2017 verbreitet haben.
Der Benutzer erhält eine SMS mit einem Link zum Herunterladen einer App mit lustigen Videos. Bei der Installation werden sie aufgefordert, die Berechtigungen für die App zu akzeptieren. Der Benutzer tut dies zweifellos ohne zu überprüfen, da sowieso niemand all diese Berechtigungen versteht.
Die App enthält einige echte “lustige Videos”.
Die eigentliche Aufgabe besteht jedoch darin, darauf zu warten, dass Sie Ihre Banking-App öffnen. Wenn es sieht, dass Sie dies tun, schaut es in seine Bibliothek von Banking-Apps und verwendet die Erlaubnis, die Sie ihm gegeben haben, um oben auf dem Anmeldebildschirm Ihrer Banking-App mit einer gefälschten exakten Kopie des Anmeldebildschirms zu zeichnen.
Sie geben Ihre Login-Daten ein und es stiehlt Ihren Benutzernamen und Ihr Passwort. Gleichzeitig meldet es Sie in der realen App an, die hinter dem identischen gefälschten Anmeldebildschirm versteckt ist, so dass für Sie alles normal aussieht.
Jetzt wartet der Trojaner darauf, dass Sie mit Ihrer Bank fertig werden. Es meldet sich dann ohne Ihre Hilfe erneut bei Ihrer Bank an und versucht, Ihr Geld zu überweisen.
In diesem Fall sendet Ihnen die Bank einen SMS–Code zur Bestätigung der Zahlung – die App erfasst den Code mit einer anderen Berechtigung, die Sie zum Zeitpunkt der Installation erteilt haben, und löscht sogar die SMS-Nachricht, sodass Sie nicht wissen, dass etwas passiert ist.
Teuflisch!
Nicht nur für Geld
Während Geld bei weitem der häufigste Grund für Infostealer-Angriffe ist, ist es nicht der einzige Grund.
Wie bei der iCloud und vielen ähnlichen Fällen richten sich Informationen über die am stärksten gefährdeten Menschen unserer Gesellschaften (Frauen, Kinder, LGBTQIA + -Menschen, People of Colour und andere) speziell an diejenigen, die versuchen, diese Menschen auszubeuten oder ihnen Gewalt zuzufügen.
Wir wissen, dass es schamlose “legale” Unternehmen gibt, die Stalkerware verkaufen und sie speziell an häusliche Täter, missbräuchliche Eltern und Stalker vermarkten, um ihre Ziele ausspionieren und kontrollieren zu können. Aus diesem Grund ist F-Secure Teil der branchenweiten Koalition gegen Stalkerware. Stalkerware sind in der Regel versteckte Trojaner, zu denen ein Großteil der Infostealer–Technologie gehört – das Stehlen der Fotos, des Anrufverlaufs, des Chatverlaufs, des Standortverlaufs und mehr eines Ziels.
Infostealer werden auch im Rahmen von Cyber-Mobbing eingesetzt, bei dem der Zugriff auf die Konten eines Ziels zum Posten peinlicher Inhalte, zum Entfernen von Freunden, zum Entfernen des Zugriffs oder als Teil einer allgemeinen Gasbeleuchtungskampagne verwendet werden kann.
Gezieltere Angriffe mit Infostealern werden von Regierungen gegen Aktivisten, Journalisten und Oppositionspolitiker verübt, wiederum mit Hilfe schamloser “legaler” Unternehmen, die diese Malware verkaufen und wissen, wie sie verwendet wird.
Es wird angenommen, dass der berüchtigte Mord an dem Journalisten Jamal Khashoggi im Jahr 2018 Infostealer-Technologien gegen seine Kollegen beinhaltete, die zur Ermordung einer seiner Quellen führten und möglicherweise dazu verwendet wurden, seinen Zeitplan im Voraus zu kennen, um seinen Mord zu planen.
Anfang 2020 erfuhren wir außerdem, dass ähnliche Software gegen den reichsten Menschen der Welt, Jeff Bezos, eingesetzt wurde, wahrscheinlich aufgrund von Berichten der Washington Post, die er besitzt.
Wie verbreitet sind Infostealer?
Laut den Daten von F-Secure, die gerade in unserem H1 2020 Attack Landscape Report veröffentlicht wurden, dominieren Infostealer jetzt die 20 größten Malware-Bedrohungen, mit denen Benutzer konfrontiert sind.
Wenn Sie Trojaner und RATs (Remote-Access-Trojaner) einbeziehen, die auch Infostealer-Elemente enthalten, macht Malware, die Ihre Informationen stiehlt, 18 der 20 größten Bedrohungen aus, vor denen F-Secure unsere Benutzer schützen musste.
Top 20 Bedrohungen, die F-Secure im 1. Halbjahr gesehen hat 2020
Infostealer dominieren auch die Spam-E-Mails, die unsere Benutzer erhalten, wobei 75% der Coronavirus-E-Mail-Anhänge, die wir gesehen haben, entweder Lokibot oder Formbook verteilen, Infostealer, die in 38% bzw. 37% der COVID-Anhänge zugestellt wurden.
Beispiel einer realen Spam-E-Mail, die vorgibt, von einer Großbank zu stammen, um den Lokibot Infostealer / Trojaner zu verbreiten.
Im letzten Monat wurde in Finnland bei 131 von 10K Benutzern ein Infostealer– oder Trojaner-Infektionsversuch von unserer Software blockiert – 64% aller Bedrohungen.
Top 10 Bedrohungen, die von F-Secure Endpoint Protection Software in Finnland im letzten Monat erkannt wurden (2020-Sep)
Bedrohungen, die von F-Secure Endpoint Protection Software in Finnland im letzten Monat (2020-Sep) entdeckt wurden, aufgeteilt nach Bedrohungsart
Für Schweden waren es 149 von 10K Benutzern, die eine infostealer oder Trojaner-Infektion Versuch durch unsere Software blockiert, oder 47% aller Bedrohungen konfrontiert.
Top 10 Bedrohungen, die von F-Secure Endpoint Protection Software in Schweden im letzten Monat erkannt wurden (2020-Sep)
Erkannte Bedrohungen durch F-Secure Endpoint Protection Software in Schweden im letzten Monat (Sep.2020) aufgeteilt nach Bedrohungsart
Wie erhalte ich Informationen von Infostealern?
Die große Mehrheit aller Malware-Infektionen, einschließlich Infostealer, erfolgt über Spam-E-Mails.
Die Infektion erfolgt entweder über einen Anhang der E-Mail oder über eine bösartige Website, die in der E-Mail verlinkt ist.
Für die Websites, in den letzten Jahren die meisten Infektionen kommen aus trickst Sie in manuell Herunterladen und Installieren von Software von der Website. Wir sehen immer noch eine Minderheit von Fällen, in denen eine direkte Infektion ohne Ihre Hilfe über “Exploit Kits” erfolgt.
Die gleichen Techniken, die von Spam-E-Mails verwendet werden, um Leute zum Installieren und Klicken zu verleiten, werden auch per SMS, WhatsApp, Facebook Messenger und sogar per Telefonanruf verwendet.
Auch hier sind Kriminelle kreativ und hartnäckig. Sie brauchen nur ein paar Leute zu klicken, um ihre gesamte Kampagne profitabel zu machen.
In den meisten Fällen sind Sie nicht speziell das Ziel – vielmehr senden die Kriminellen ihren Köder an Tausende oder Millionen von Menschen und warten darauf, dass ein paar Leute klicken und den Kriminellen Tag machen.
Es gibt einige gängige Methoden, mit denen Kriminelle (und Werbetreibende!) verwenden, um zu versuchen, uns dazu zu bringen, unser Gehirn auszuschalten und einfach zu klicken.
Dies sind Dinge, die Sie innehalten und vorsichtig treten lassen sollten, wenn Sie sie sehen:
- ” Kostenlos” – nur dieses Wort reicht in vielen Fällen aus, um einen Verkauf zu erzielen. Käufer vorsicht!
- Ebenso alles, was “zu gut um wahr zu sein” ist – haben Sie wirklich gerade eine Reise um die Welt gewonnen? Haben Sie wirklich versehentlich eine Liste aller Gehälter Ihrer Chefs erhalten? Wahrscheinlich nicht.
- Dringlichkeit – “Beeilen Sie sich, nur noch fünf Minuten” – Wenn jemand versucht, Sie schneller zu machen, ist dies ein sehr guter Zeitpunkt, um langsamer zu werden und genau hinzusehen.
- Insiderwissen – Sie kennen Ihren Geburtstag, den Namen Ihres Chefs und wo Sie zur Schule gegangen sind, es muss echt sein. Außer all diese Informationen sind online leicht verfügbar. Geben Sie ihnen keine zusätzlichen Informationen, bevor Sie sicher sind, wer sie sind.
- Autorität – Ob es das FBI ist, das Sie “erwischt”, wenn Sie etwas Unartiges auf Ihrem Computer tun, oder Ihr Chef, der Ihnen sagt, Sie sollen sich beeilen und eine Million Dollar für einen super geheimen Deal überweisen, denken Sie daran, dass es sehr einfach ist, sich per E-Mail, Text oder anderen Apps als jemand anderes auszugeben.
In all diesen Fällen sollten Sie die tatsächliche Telefonnummer oder E-Mail-Adresse dieser Person oder Organisation in Ihrem internen Unternehmensverzeichnis oder auf der offiziellen Website Ihrer Regierung / Bank nachschlagen und zurückrufen, um dies zu überprüfen, bevor Sie eine Maßnahme ergreifen.
Hier sind einige weitere Beispiele für Tricks, die in jüngster Zeit in neuartigem Spam im Zusammenhang mit Coronaviren verwendet wurden.
Wie kann ich sicher sein?
Die wichtigste Möglichkeit, sich vor Infostealern zu schützen, besteht darin, eine gute Anti-Malware-Software auf Ihren Geräten zu installieren. Anti-Malware-Software schützt Sie auf drei Arten.
Der erste Weg besteht darin, die Infostealer-Software, die versucht, auf Ihrem Gerät zu installieren oder auszuführen, direkt zu stoppen. Es kann einen Infostealer sowohl durch das direkte Erkennen der Schadsoftware (sogenannte “Signaturen”) als auch durch das Erkennen seines Verhaltens (sogenannte “Next-Gen”-Erkennung) stoppen.
Der zweite Weg besteht darin, Sie daran zu hindern, die bösartigen Websites zu besuchen, die die Quelle vieler dieser Infektionen sind – mit anderen Worten “Browserschutz”.
Und der dritte Weg ist spezifisch für Banking und Online-Shopping, wo gute Anti-Malware-Software zusätzlichen Schutz aktiviert, wenn Sie eine Verbindung zur Website Ihrer Bank herstellen, um Ihnen zu bestätigen, dass es sich nicht um eine Fälschung handelt, und auch um andere Anwendungen und Browser-Tabs zu stoppen, die Ihre Verbindung stören.
Natürlich bietet Ihnen nichts einen 100% igen Schutz, und nicht alle Angriffe auf Ihre Konten und Ihre Informationen erfolgen über Malware.
Aus diesem Grund ist eines der besten Dinge, die die meisten Menschen tun können, um ihre Sicherheit zu verbessern, die Verwendung eines Passwort-Managers.
Mit einem Passwort-Manager können Sie sich keine Sorgen machen, auch wenn Ihre Daten für einen Dienst offengelegt werden, da Ihr Passwort schwer zu knacken ist und selbst wenn es geknackt wird, nur die Kriminellen Zugriff auf ein Konto haben, nicht alle Ihre Konten.
Nicht nur das, ein Passwort-Manager ist wahrscheinlich einfacher als alles, was Sie heute mit Ihren Passwörtern machen, dank des einfachen automatischen Ausfüllens auf allen Ihren Geräten und ohne “Passwort vergessen” verwenden zu müssen.
Bleib ruhig und benutze einen Password Manager Laptop Sticker
Natürlich sind wir bei F-Secure ein bisschen voreingenommen! 😀 Wenn Sie möchten, können Sie unsere Multi-Device-Anti-Malware-Lösung und unseren Passwort-Manager hier herunterladen. Darüber hinaus enthält dieses Bundle unsere ID-Schutzlösung, die Sie benachrichtigt, wenn unsere Dark- / Deep-Web-Scanner und Human Intelligence-Teams Ihre Daten bei Online-Verstößen finden, und das Bundle enthält auch unsere preisgekrönte VPN-Lösung.
Sobald Sie einen Passwort-Manager verwenden und hoffentlich einen, der Sie benachrichtigt, wenn ein Verstoß gegen Ihre Daten online festgestellt wurde, besteht der nächste Schritt darin, die 2-Faktor- (2FA) oder Multi-Faktor-Authentifizierung (MFA) für so viele Ihrer Konten wie möglich zu aktivieren.
MFA schützt Sie auch dann, wenn Ihr Passwort gestohlen wird, da der Angreifer zusätzlich zu Ihrem Passwort noch Ihr Token erhalten muss, um auf Ihre Informationen zugreifen zu können.
Erinnern Sie sich an den Android-Banking-Trojaner oben? Deshalb wollte es die Erlaubnis, Ihre SMS zu lesen.
Wenn Sie MFA aktivieren, richten Sie MFA nach Möglichkeit mit einer OTP-App (One Time Password) auf Ihrem Telefon (z. B. FreeOTP) oder mit einem physischen OTP-Generator wie einem Yubikey ein, anstatt SMS mit Ihrer Telefonnummer zu verwenden.
OTP-Apps und physische Schlüssel sind in Fällen, in denen Sie persönlich angegriffen werden, noch sicherer als SMS, da sogenannte “SIM-Swapping” -Angriffe nicht möglich sind. Wenn diese Optionen nicht verfügbar sind, aktivieren Sie weiterhin die SMS-basierte MFA in Ihren Konten.
Jeder MFA ist besser als kein MFA!
Die letzte Verteidigungslinie sind Sie
Natürlich können all diese Schutzmaßnahmen immer noch umgangen werden, wenn Sie dem Angreifer Ihr Passwort und das Token geben, sei es versehentlich oder weil Sie gezwungen werden.
Fehler passieren, besonders wenn wir beschäftigt, müde und gestresst sind. Dennoch gibt es nie einen guten Grund, jemandem Ihr MFA–Token zu geben – versuchen Sie, sich daran zu erinnern, und wenn Sie in einem Moment der Schwäche das Gefühl haben, dass Sie damit einverstanden sind, werden Sie hoffentlich langsamer und stoppen sich.
Wenn Sie sich in einer Situation befinden, in der Sie gezwungen werden, Zugriff auf Ihre Konten und Informationen zu gewähren, steht Hilfe zur Verfügung. Beispiele sind Operation Safe Escape und Le Refuge. Wenn dies auf Sie zutrifft, achten Sie bitte darauf, dass Sie, soweit möglich und für Sie sicher, nur zu Zeiten, an Orten und auf Geräten auf diese Ressourcen zugreifen, die Ihrem Missbraucher nicht bekannt sind, z. B. in einer öffentlichen Bibliothek.
Wenn Sie mit gestohlenen, nicht zustimmenden Informationen erpresst oder belästigt werden, können Organisationen wie die Cyber Civil Rights Initiative und spezialisierte Anwaltskanzleien für Opferrechte wie C.A.Goldberg Ihnen möglicherweise dabei helfen, die Kontrolle zurückzugewinnen.
Wenn Sie ein Aktivist oder Journalist sind und glauben, dass Sie von staatlich geförderten Infostealern angegriffen werden, können Organisationen wie Citizen Lab Ihnen möglicherweise helfen oder Sie auf vertrauenswürdige Experten vor Ort hinweisen.
Leave a Reply