Teil 1 – E-Mail Marketing, Newsletter and Bulk SMS Dienste
Jeder von uns gibt fast täglich direkt oder indirekt persönliche Daten an alle möglichen Onlinedienste weiter. Diese Dienste sind zum Beispiel soziale Netzwerke, Webmail Plattformen, Online-Kalender und Dokumentablagen, Internet Chats, Smartphone Apps, private und persönliche Cloud Dienste. Personenbezogene Daten (oder engl. PII – Personal Identifiable Information) in Formularen im Internetbrowser einzutippen ist heutzutage fast schon zur Routine geworden. Unter den Begriff PII fallen Daten, wie Name, Adresse, E-Mail Adresse, Geburtsdatum, Handynummer und noch vieles mehr. Hoch sensible persönliche Daten, wie Kreditkartendaten, Passwörter, Versicherungs- oder Bankdaten zählen ebenfalls zu dieser Kategorie. Im Falle eines Datendiebstahls oder -missbrauchs, können die entwendeten Daten der betreffenden Person starke Kopfschmerzen verursachen und ihr sogar finanziell oder im sozialen oder beruflichen Umfeld schwer schaden. Aus diesem Grund sind solche Informationen auch vom Gesetzgeber besonders geschützt.
Sicher ist diese Tatsache vielen von uns bewusst und die Daten werden oft nur eingegeben, weil es notwendig erscheint. Außerdem handelt es sich meist um renommierte Firmen, denen man seine PII überlässt. Ein gängiges Beispiel ist ein Onlinedienst, über den man eine Reise oder einen Flug buchen möchte. Die Kreditkartendaten zur Abbuchung überlässt man gerne, wenn man dafür günstig und unkompliziert verreisen kann. Wenn die Aufforderung zur Eingabe der persönlichen Daten legitim erscheint und dem persönlichen Ziel dient, sind die meisten Menschen zur Herausgabe Ihrer Daten unverzüglich bereit, besonders, wenn die Webseite des Unternehmens mit Tausenden oder gar Millionen glücklicher Kunden wirbt.
In der kommenden Blogartikel-Serie, wollen wir Ihnen einen Einblick hinter die Kulissen der Sicherheitsversprechen in unserer digitalen Welt und dem Cloud-Zeitalter des Internets geben.
Der erste Teil unserer Artikelreihe dreht sich um E-Mail Marketing, Newsletter und Bulk SMS Service Provider. Da wir für unser eigenes Unternehmen schon seit Monaten nach einem guten und sicheren Newsletter-Tool suchen, um unsere Kunden und Partner über Neuigkeiten auf dem Laufenden zu halten, haben wir uns 3 solcher Onlinedienste genauer angesehen. Die meisten Unternehmen, ob klein oder groß, versenden ihren Newsletter auf diese Art und Weise. Jedes dieser Unternehmen hat wiederum hunderte, tausende oder hunderttausende eigene Kunden und Partner, welche natürlich mit allen verfügbaren Daten in diesen Systemen abgespeichert werden, um die entsprechenden Email-Newsletter zu erhalten.
Als IT-Sicherheitsexperten sind wir quasi dazu verpflichtet uns neue Software, neue Technologien und alles was mit dem Internet zu tun hat, sehr genau anzusehen.
Bei näherer Betrachtung von diesen 3 Newsletter-Systemen sind uns in allen kritische Schwachstellen aufgefallen, die es uns erlaubt hätten auf fremde Daten zuzugreifen. Wir waren innerhalb kürzester Zeit in der Lage, beliebigen Programmcode einzuschleusen, die Datenbanken auszulesen und Kreditkartendaten zu stehlen.
Die gefundenen Schwachstellen wurden von uns, in Koordination mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem US-Cert (Computer Emergency Resonse Team), an die Unternehmen gemeldet. Die gefundenen Schwachstellen wurden laut der Unternehmen beseitigt.
Obwohl diese Newsletter-Systeme nun abgesichert wurden, gehen wir davon aus, dass ähnliche kritische Schwachstellen in den Newsletter-Tools zahlreicher anderer Anbieter ebenfalls zu finden sind. Wir raten Unternehmen, die derartige Tools nutzen wollen, einen Herstellernachweis über durchgeführte Sicherheitstests (Penetration Tests) der Software anzufordern oder zu einem anderen, getesteten, Anbieter zu wechseln.
Ob und in welchem Umfang PII von Cyberkriminellen gestohlen wurden, lässt sich schwer sagen, jedoch muss man anhand der Sachlage davon ausgehen.
Um Ihnen die Möglichkeiten eines Hackers nach einem solchen Einbruch in eines der erwähnten Systeme zu veranschaulichen, haben wir im Folgenden ein realistisches Angriffsszenario skizziert:
Angriffsszenario: Großangelegter Online-Banking-Betrug
Trojaner für Online-Banking werden als kommerzielle Produkte ab einem vierstelligen Eurobereich auf dem Schwarzmarkt vertrieben und häufig verwendet. Oft wird die Infizierung der Opfer von den Softwareherstellern oder von Partnerunternehmen zusätzlich angeboten. In diesem Szenario wird davon ausgegangen, dass Cyber-Kriminelle diesen Teil selbst erledigen.
Ein Cyber-Krimineller, der seine Opfer über Online-Banking betrügen möchte, besorgt sich eine derartige Software. Sein Ziel: möglichst viele Personen mit dem gekauften Trojaner zu infizieren. Ist die Software beschafft, muss diese demnach großflächig unter die potentiellen Opfer gestreut werden.
Auf der Suche nach einer Liste möglicher Opfer mit gültigen Emailadressen kommen unserem Hacker sofort in der Cloud angebotene Newsletter-Systeme in den Sinn. Dort sammeln Unternehmen unterschiedlicher Größe personenbezogene Daten ihrer Kunden wie Emailadressen und häufig Mobilfunknummern (unternehmensintern und privat). Der Hacker wählt einen vielversprechenden Kunden des Newsletters aus und versucht an die hinterlegten Kundendaten heranzukommen.
Die Anbieter der cloudbasierten Newsletter-Lösungen bieten fast immer kostenlose Demo-Zugänge zu den Systemen an, um potentielle Neukunden zu gewinnen. Dieses Angebot nimmt der Angreifer gerne an und durchsucht mit seinem Demo-Zugang den Dienst nach Schwachstellen, die er verwenden kann, um an die Kundendaten einer Zielfirma zu gelangen.
Schnell stellt er fest, dass ein Abonnent bei der Registrierung zu einem Newsletter über die Pflichtangaben hinaus Adressinformationen mit angeben kann, die das Newsletter-System ungefiltert entgegennimmt. Er gibt anstatt der Adressinformationen Programmcode ein, der später ausgeführt werden soll. Dieser wird vom Newsletter-System gespeichert. Betrachtet ein Mitarbeiter der Zielfirma die Liste der neuen Abonnenten, werden die vermeintlichen Adressdaten ungefiltert ausgegeben, wodurch der dort versteckte Programmcode im Browser des Mitarbeiters der Zielfirma zur Ausführung kommt. Ab diesem Zeitpunkt kann der Hacker genau wie der Mitarbeiter der Zielfirma im Newsletter-System agieren.
Nun erstellt der Hacker einen neuen Newsletter und versendet diesen an alle Abonnenten und damit an alle Kunden der Zielfirma. In den Newsletter baut der Hacker einen Link auf
einen augenscheinlich interessanten Artikel oder ein attraktives Gewinnspiel ein. Tatsächlich zeigt der Link auf eine Webseite unter Kontrolle des Hackers. Die Abonnenten vertrauen dem bekannten Newsletter und folgen dem Link auf die vom Hacker kontrollierte Webseite. Mit dem Besuch der Seite wird der Rechner des Opfers ohne sein Wissen mit einem Trojaner infiziert. Der Hacker hat den Trojaner vorab so manipuliert, dass er selbst von Anti-Viren-Software nicht erkannt wird. Sobald der Trojaner installiert wurde, meldet er sich beim Hacker und informiert diesen über die erfolgreiche Kompromittierung. Der Angreifer hat jetzt den für das Online-Banking benutzten PC des Opfers unter seiner Kontrolle und kann beginnen Online-Banking Passwörter auszulesen und die Konten zu leeren.
Sollte das Opfer aus Sicherheitsgründen mTAN verwenden, liest der Hacker nun die Mobilfunknummer des passenden Opfers aus dem Newsletter-System aus. Er sendet einen passenden Smartphone-Trojaner direkt an die Mobilfunknummer des Opfers oder fährt selbst in eine Filiale des Mobilfunkanbieters und lässt sich eine SIM-Karte zur selben Nummer ausstellen. Dass dies in vielen Fällen möglich ist, haben zahlreiche erfolgreiche
Angriffe z.B. auf Postbankkunden mit Mobilverträgen bei O2 in den letzten Monaten gezeigt.
Der Hacker kontrolliert jetzt nicht nur den PC des Opfers, sondern kann zusätzlich eingehende Kurznachrichten lesen. Das reicht aus, um per Online-Banking Geld vom Konto zu stehlen, wenn das Opfer mTAN als Sicherheitsmechanismus benutzt. Gelegenheit macht Diebe und so kopiert sich der Hacker zusätzlich alle auf dem Rechner gespeicherten Kontaktdaten und Passwörter, um diese auf dem Schwarzmarkt zu verkaufen.
Bei einem Opfer hat der Hacker besonders Glück. Es handelt sich um den Arbeitsplatz eines Ingenieurs eines mittelständischen Maschinenbauers. Die dort gespeicherten Konstruktionspläne erzielen bei konkurrierenden Unternehmen einen hohen Preis.
Wer agiert hier fahrlässig? Der Hacker alleine, oder auch das Unternehmen, das seine Kundendaten unzureichend absichert? Der Gesetzgeber wegen zu lascher Gesetze? Gar der Benutzer selbst, weil er seine Daten zur Verfügung gestellt hat? Aus zahlreichen Projekten bei Unternehmen unterschiedlichster Größe (Mittelstand – DAX 30) wissen wir, dass es oft am nötigen technischen Knowhow und dem Bewusstsein der Mitarbeiter mangelt. Weitere Ursache vieler Probleme ist ein zu niedriges Budget für IT-Sicherheit. Hinzu kommt, dass die weit verbreitete Mentalität vorherrscht, sich erst um die IT-Sicherheit kümmern zu müssen, wenn es einen „Business-kritischen“ Vorfall gab. Diese Denkweise kann sowohl für die Kunden, als auch für das Unternehmen im Ernstfall einen enormen Schaden verursachen, der vorab meist einfach abzuwenden gewesen wäre. Wir sehen hier vor allem die Wirtschaft in der Pflicht, zukünftig verstärkt zu investieren, um alle Bürger vor digitalen Angriffen bestmöglich zu schützen.
Blog-Autor Sascha Herzog ist Geschäftsführer und Mitbegründer der NISDE ATTACK LOGIC GmbH. Er arbeitet seit über 10 Jahren in der IT-Security und als Penetration Tester. Er führte Penetration Tests und simulierte Angriffe bei zahlreichen Unternehmen in Europa durch. Herr Herzog leitete Projekte bei namhaften Kunden wie globalen Finanzinstitutionen (u.a. im Bereich Geldautomaten-Hacking), Versicherungen, internationalen Medienkonzernen, Regierungseinrichtungen, Pharma- und Energieunternehmen, sowie zahlreichen Kunden aus dem Mittelstand.
Die NSIDE ATTACK LOGIC GmbH ist spezialisiert auf hochwertige technische Penetration-Tests und realitätsnahe Simulationen von IT-gestützter Betriebsspionage. Des Weiteren bieten wir Live-Hacking Workshops und Mitarbeiterschulungen an.
Disclaimer:
Die NSIDE ATTACK LOGIC GmbH hat nach der Bestätigung, dass alle gemeldeten Schwachstellen entfernt wurden keine weiteren Tests an den Anwendungen durchgeführt und kann somit nicht für die finale Sicherheit der Anwendungen garantieren.