"Der Feind in meinem Jackett"
Jüngst entdeckte mobile Malware-Versionen gehen noch einen Schritt weiter und übernehmen gleich die komplette Kontrolle über das Android-Handy. Neben dem Abrufen wichtiger Informationen, der Einsicht in das Adressbuch oder dem Sammeln von Netzwerkinformationen haben Cyber-Gangster, die mit derartig raffinierten Trojanern angreifen, sogar die Möglichkeit, mit dem Gerät zu telefonieren, ohne dass der Besitzer dies merkt, und es nach Belieben ein- oder auszuschalten. Für die Hacker ist es eine effiziente Methode, diskret Einstellungen zu verändern und das kompromittierte Smartphone zu einem stillen Sklaven zu machen, der bei Bedarf das tut, was man von ihm verlangt.
Ein weiteres Risiko stellen Cloud-Applikationen dar. Hier ist es nahezu unmöglich zu überprüfen, welche Daten wofür "gestohlen" und verwendet wurden. Von Diebstahl kann bei frei zugänglich gemachten Informationen noch nicht einmal die Rede sein. Eine Kalender-App zum Beispiel mit Angaben von Geburtsdaten, Adressen, Telefonnummern und Ähnlichem kann ein wahres Informations-Schlaraffenland für Cyberkriminelle sein. Nicht zuletzt sind die mobilen Browser ein Problem. URLs werden hier aufgrund der Bildschirmgröße oft verkürzt dargestellt, weshalb potenziell verseuchte Links nicht schon in der Adresszeile erkannt werden können - etwa aufgrund ihrer kryptischen Länge.
Risiko Mobile-Banking und -Payment
Darüber hinaus zeichnet sich ein neuer Trend namens Mobile-Payment ab. In Asien bietet VISA mit der VISA payWave card die Möglichkeit an, kontaktlos direkt per Near Field Communication (NFC) durch Vorhalten der Karte bezahlen zu können. Hier kann auch das Handy quasi als Kreditkarte fungieren - und wieder reiben sich die Hacker bereits die Hände. Unzureichend geschützt ist es nach neuesten Tests ein Leichtes, RFID- (Radio-Frequency Identification) basierende Kreditkarten zu klonen bzw. zu skimmen, wenn sie nicht ausreichend verschlüsselt sind. Entsprechend manipulierbare RFID-Reader sind schon für wenige Euro zu haben.
So komfortabel Online-Banking beziehungsweise Mobile-Payment via Smartphone & Co. für User ist, so gefährlich ist es auch. Denn längst haben Cyberkriminelle den mobilen Bankschalter oder die Handy-Kreditkarte selbst als rentable Angriffsmethode identifiziert. "Phishing for Money" ist die Devise vieler Hacker. Anfang des Jahres wurden Kunden der kanadischen Scotiabank Opfer eines Phishing-Angriffs. Smartphone-Nutzer, die sich mobil via Internet auf der Website der Bank einloggen wollten, wurden auf eine gefälschte Seite gelenkt. Gaben die User hier ihre Login-Daten ein, lasen die Phisher deren Daten einfach mit und konnten sich im Anschluss ohne Probleme auf das Konto des jeweiligen Opfers Zugriff verschaffen.
- Andlock Protection
- AndLock Notification
- Call Log Calendar
- Pocket Informant
- Pocket Informant
- Multi Lang Dictionary
- Google Finance
- Google Finance
- Project Viewer
- Project Viewer
- AVG Antivirus
- AVG Antivirus
- AVG Antivirus
- RoadSync
- RoadSync
- Exchange by Touchdown
- Exchange by Touchdown
- Exchange by Touchdown
- Phonebook 2.0
- Phonebook 2.0
- Otter
- Call Log
- CallFilter Add to List
- CallFilter Block
- DocumentsToGo
- DocumentsToGo
- WebSharing
- WebSharing
- EasyTether
- EasyTether
- Cam Card
- Cam Card
- FlightTrack
- FlightTrack
- CallFilter Block
- Pocket Informant
- Contact Group Manager
- Contact Group Manager
- Contact Group Manager
In diesem Fall nutzten die Angreifer wie so häufig die fehlende "Liebe zum Detail" beim User aus. Denn meistens ist die kompromittierte Website zwar auf den ersten Blick gut gefälscht, bei näherem Hinsehen jedoch kann man Fehler entdecken, die auf der Originalseite nie vorkommen würden. Der Kunde selbst ist aber - gerade wenn er unterwegs ist und mobil auf sein Bankkonto zugreift - oft zu zerstreut oder in Eile, um auf diese Details zu achten. Hinzu kommt, dass ihn die geringe Größe des Smartphone-Displays an der nötigen Übersicht hindert.
Dabei können sich mobile Online-Banker relativ einfach vor dem Verlust sensibler Daten schützen. Bevor User "blind" auf einen Link klicken, sollten sie sicherstellen, dass er legitim ist. Ist die URL zum Beispiel teilweise verdeckt oder beinhaltet sie kryptische Zeichen, ist das schon verdächtig. Aber auch auf den ersten Blick vertrauenserweckende Links können gefährlich sein, da viele Smartphone-Phisher Web-Hosting-Unternehmen verwenden, um legitim erscheinende URLs zu streuen. Es ist zudem stets sicherer, die Ziel-URL manuell in den Browser einzugeben als via Lesezeichen oder E-Mail-Link auf die gewünschte Website zuzugreifen - insbesondere wenn die entsprechende E-Mail von einem unbekannten Absender stammt. Nicht zuletzt gilt es, darauf zu achten, das Betriebssystem seines Smartphones regelmäßig zu aktualisieren, um eventuelle Sicherheitslücken zu schließen.