Hacker gelten als hartnäckig, leidenschaftlich, clever, anpassungsfähig, verstohlen und gnadenlos: Keine Katastrophe ist abschreckend genug, um nicht auf unlauterem, technologischem Weg von ihr zu profitieren - wie die Coronakrise eindrücklich bewiesen hat.

Die Hackerangriffe können dabei ungemein komplex und raffiniert ausgestaltet sein - aber auch die meisten Cyberkriminellen verlassen sich gerne auf den Weg des geringsten Widerstands und setzen vor allem auf Phishing, unzureichende Passwortsicherheit, ungepatchte Systeme und Social Engineering, um ihre Ziele zu erreichen. Doch es gibt auch Fälle von Kompromittierungen, die alles andere als konventionell ablaufen, wie die folgenden Beispiele zeigen.

Datenleck im Aquarium

Im Jahr 2017 sorgte der Security-Anbieter Darktrace für Wellen der Ungläubigkeit: Das Unternehmen hatte einen Hack aufgedeckt, bei dem die Kriminellen ein mit dem Internet verbundenes Aquarium dazu genutzt hatten, ein US-Casino um seine Daten zu erleichtern. Das Aquarium war mit IoT-Sensoren ausgestattet und mit einem Rechner verbunden, über den die Wassertemperatur und -qualität kontrolliert werden konnte.

Das Aquarium diente den Angreifern als Einfallstor: Nachdem sie "drin" waren, fanden sie weitere Sicherheitslücken und konnten sich lateral durch das Netzwerk bewegen. Die abgegriffenen Daten wurden an ein Device im Ausland gesendet.

"Bitte direkt anweisen"

Phishing-E-Mails haben die meisten Business-Nutzer inzwischen auf dem Schirm - anders sieht es aus, wenn der Chef sich direkt per Telefon meldet. In einem solchen Fall gehen die wenigsten Menschen davon aus, möglicherweise gerade zum Opfer einer Voice-Phishing (Vishing)-Attacke zu werden.

Im Jahr 2019 kam es in England zum ersten bekannten KI-basierten Vishing-Angriff: Die Angreifer benutzten kommerzielle KI Sprachsoftware, um die Stimme des deutschen Chefs eines britischen Energieversorgers zu imitieren. Mit Hilfe der Software riefen sie beim englischen CEO des Unternehmens an und überzeugten ihn davon, 243.000 Dollar an einen Lieferanten in Ungarn zu überweisen. Dank des leichten deutschen Akzents und der typischen Sprachmuster des Imitierten schöpfte der CEO keinen Verdacht - bis die kriminellen Hacker zu gierig wurden und dasselbe Schema ein zweites Mal zur Anwendung bringen wollten, wodurch die ganze Sache schließlich aufflog.

Die Strafverfolgungsbehörden waren dennoch weder in der Lage, die Cyberkriminellen zu identifizieren, noch das Geld zurück zu holen. Es könnte der Anfang einer gruseligen Ära von KI-basierten Deepfake-Angriffen sein.

Freibenzin-Gang

Geht es um Beute, zählt für Cyberkriminelle in der Regel nur Bares oder Kryptowährung. In Frankreich wurden die Behörden 2019 einer fünfköpfigen Bande habhaft, die insgesamt knapp 120.000 Liter Benzin von Tankstellen rund um Paris abgezapft hatten. Zugang verschafften sich die Kriminellen über ein spezielles Device, mit dem sie die Benzinpumpen eines bestimmten Herstellers hacken konnten. Möglich wurde der Hack dadurch, dass das Standardpasswort der Pumpen von den Tankstellenangestellten nicht geändert wurde - der Code "0000" stellte für die Angreifer dann keine allzu große Herausforderung mehr dar. Die kriminellen Hacker konnten in der Folge die Benzinpreise zurück und jegliche Grenzen für Füllmengen außer Kraft setzen.

Die Bande setzte bei ihren Machenschaften auf Arbeitsteilung: Ein Hacker schaltete die Pumpe remote frei, während die anderen nur noch mit einem großen Van (inklusive Extratank im Fond) an der entsprechenden Zapfsäule vorfahren mussten und gratis bis zu 2.800 Liter Sprit in einem "Arbeitsgang" abzapften. Den erbeuteten Kraftstoff verhökerte die Cyberbande anschließend zu Schleuderpreisen über Social Media - und schaltete dafür sogar Werbeanzeigen. Die Polizei geht davon aus, dass die Bande auf diese Weise circa 170.000 Dollar "verdient" hat.

Augen auf die Straße!

Schwache Logindaten sind ein übergreifendes Security-Problem. Das zeigt sich immer wieder, wenn elektronisch gesteuerte Straßenschilder und Verkehrsanzeigetafeln gehackt werden.

In Auburn Hills, Michigan, USA bemächtigten sich zwei unbekannte Täter des Nachts eines riesigen Straßen-Displays, mit dem Ziel, den darunterliegenden Highway in ein Hardcore-Pornokino zu transformieren. Laut der Polizei brauchten die beiden Hacker lediglich 15 Minuten für die gesamte Aktion - das Passwort dürfte also auch in diesem Fall nicht sonderlich schwer zu erraten gewesen sein.

Auf eine ähnliche, wenn auch noch deutlich spontanere, Porno-Verrücktheit versteifte sich auch ein 24-jähriger IT-Spezialist im indonesischen Jakarta. Während er sich im Rush-Hour-Stau langweilte, erkannte er auf einer Anzeigetafel für einen kurzen Augenblick Login-Daten. Natürlich hackte er das riesige Display postwendend und streamte über den ausladenden Bildschirm pornographische Inhalte expliziter Natur. Da es sich bei Indonesien um einen konservativen, muslimisch geprägten Staat handelt, stieß die Aktion auf äußerst wenig Gegenliebe bei den Behörden: Der Koitus-versessene IT-Profi muss mit sechs Jahren Haft rechnen.

Im Haifischbecken

Auch im deutschen TV ist die Reality-Show "Die Höhle der Löwen" seit Jahren erfolgreich. Barbara Corcoran ist Unternehmerin, gehört zur Jury des US-Originals "Shark Tank" und wurde vor kurzem Opfer eines E-Mail-Betrugs, bei dem sie den Verlust von knapp 400.000 Dollar verschmerzen musste.

Ein Cyberkrimineller gab sich dabei als Corcorans Assistentin aus und verschickte eine E-Mail mit einer gefälschten Rechnung an die Buchhaltung von Corcorans Firma, die übersah, dass die E-Mail-Adresse nicht die richtige war. Deshalb landeten Rückfragen zu der Überweisung auf ein deutsches Bankkonto auch direkt bei den Kriminellen - die den Vorgang selbstverständlich absegneten. Erst nachdem die Buchhaltung sich per E-Mail (an die richtige Adresse) erkundigte, ob die Überweisung angekommen sei, flog alles auf.

Der Verantwortliche in der Finanzabteilung durfte seinen Job behalten, obwohl die knapp 400.000 Dollar zunächst verloren schienen. Inzwischen konnte der Betrag allerdings zurückgeholt werden. Für Corcoran dürften es ohnehin nur "Peanuts" gewesen sein: "Ich habe 388.700 Dollar durch eine Fake-E-Mail-Kampagne verloren. Zuerst habe ich mich geärgert, dann aber wurde mir bewusst, dass es nur Geld ist", so die geprellte Unternehmerin, als sie noch davon ausging das Geld abschreiben zu können.

Wer anderen eine Grube gräbt…

Kriminelle Hacker können unglaublich clever agieren. Manchmal klappt das allerdings weniger gut, wie das Beispiel von Keith Cosbey zeigt. Er war CFO von Choicelunch - einem Unternehmen, das verschiedene Schulen in Kalifornien mit Mahlzeiten versorgt.

Der CFO drang offenbar in das Netzwerk seines Hauptkonkurrenten LunchMaster ein und verschaffte sich Zugriff auf persönliche Daten von Schülern. Die erbeuteten Daten schickte er anschließend anonym an das kalifornische Department of Education - mit dem Hinweis, bei LunchMaster nehme man es offensichtlich nicht sonderlich genau mit dem Datenschutz.

Letztendlich wurde dem hackenden CFO die folgende FBI-Ermittlung zum Verhängnis, in deren Rahmen die Vorgänge aufgedeckt werden konnten. Cosbey wurde verhaftet und darf sich vermutlich auch für die nächsten Jahre mit Fertigmahlzeiten beschäftigen, nur auf ganz anderem Niveau.

Panikmodus an

Der 12. März 2019 war eine ruhige Nacht in DeSoto und Lancaster, Vororte von Dallas, Texas. Bis plötzlich nachts gegen halb drei die Tornado-Warnsirenen ansprangen und die Nacht für eineinhalb Stunden in ein Lärminferno verwandelten. Ohne dass es jemals einen echten Tornado gab.

Da die betreffende Gegend in Texas auch als "Tornado Alley" bekannt ist und die Zeit zwischen März und Mai als Hochsaison für Wirbelstürme gilt, verfielen viele Anwohner verständlicherweise erst einmal in Panik. Im Nachgang des Vorfalls berichteten die Behörden, Unbefugte hätten sich mit schadhaften Absichten Zugang zum Netzwerk verschafft. Bereits im April 2017 war es zu einem ähnlichen Vorfall gekommen, als 156 Tornado-Warnsirenen rund um Dallas ansprangen - ebenfalls mitten in der Nacht und ohne Grund. Auch dieser Vorfall wurde von den Behörden kriminellen Hackern zugeschrieben. Hinweise auf die Identität der potenziellen Sirenen-Serienhacker gibt es keine.

"Seine ersten Worte …?!"

Schwerwiegende Sicherheitslücken bei Home-Security- und Baby-Monitoring-Geräten sind nichts Neues: Mit Techniken wie Credential Stuffing und getrieben durch laxe Passwortsicherheit können Cyberkriminelle solche Devices nutzen, um Privatpersonen oder Unternehmen auszuspionieren.

Ein Hacker, der offensichtlich vom Anblick eines schlafenden Babys gelangweilt war, schrie immer wieder laut "Wach auf Baby!" in das Mikrofon, was die besorgten Eltern auf den Plan rief, die sich über die Stimmgewalt aus dem Kinderzimmer wunderten. Als der Hacker sie erblickte, rief er ihnen über den Baby-Monitor zahlreiche Obszönitäten entgegen. Solche und weitere Vorfälle haben inzwischen dafür gesorgt, dass IoT-basierte "Späße" deutlich seltener vorkommen.

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.