Internet-Sicherheitsexperten haben auf drei Testpersonen einen gezielten Angriff durchgeführt. Das beunruhigende Fazit des Tests im Auftrag von «Kassensturz»: Bei zwei der drei Personen war der Angriff erfolgreich. Es gelang den Hackern, Zugriff auf den Computer der Konsumenten zu erhalten.
So gehen Hacker vor
Internet-Sicherheitsexperte Walter Sprenger von der Firma Compass Security AG hat den Test für «Kassensturz» durchgeführt. Zuerst recherchiert er im Internet öffentlich zugängliche Daten und nutzte Google oder Facebook. Je mehr Daten ein Hacker über eine Person findet, desto besser kann er sie angreifen.
Walter Sprenger erklärt: «Ich muss den Personen eine Geschichte auftischen, die sie glauben. Damit ich das kann, muss ich etwas wissen über die Person.»
Facebook-Zugangsdaten geklaut
Dann führt Sprenger einen so genannten Phishing-Angriff durch, um an die Facebook-Zugangsdaten einer getesteten Person zu kommen. Zu diesem Zweck versendet er eine gefälschte Freundschafsanfrage von Nationalrat Martin Bäumle.
Durch das Bestätigen der Anfrage wird die Testperson auf eine falsche Facebook-Seite geleitetet. Auf dieser Seite kann Hacker Sprenger die Facebook-Zugangsdaten aufzeichnen. Er hat nun Zugriff auf den fremden Facebook Account und könnte diesen missbrauchen.
Der Trick mit der Klassenzusammenkunft
IT-Sicherheitsexperte Walter Sprenger gelingt es auch, bei zwei Personen einen Trojaner, ein Schadprogramm zu installieren. «Mit einem Trojaner kann ich beispielsweise einen fremden Computer fernsteuern», erklärt Sprenger.
Sprenger kontaktiert eine Frau per E-Mail, unter dem Vorwand, er sei ein alter Klassenkamerad und wolle eine Klassenzusammenkunft organisieren. Sie solle eine Excel-Datei mit Adressen von Schulkameraden ergänzen. Die Frau öffnet die Datei. Diese enthält den Trojaner.
Kontrolle des fremden Computers
Über den Trojaner kann der Hacker den Computer der Zielperson kontrollieren. Das demonstriert Sprenger in einem separaten Test. Er und eine der getesteten Personen sitzen gleichzeitig am Computer und sind online.
Hacker Sprenger kann nun die privaten Fotos der Zielperson ebenfalls ansehen. Mails liest der Hacker ebenfalls mit. Er könnte sogar Nachrichten über das Konto der Zielperson versenden. Auch die Webkamera an Bildschirm der Zielperson kann der Angreifer missbrauchen und die Wohnung der Zielperson überwachen.
Zugriff aufs Online-Banking
Im «Kassensturz»-Live-Test verfolgt der Angreifer mit, wie die Zielperson via E-Banking eine Zahlung ausführt. Doch das ist noch nicht alles: Der Hacker könnte selber Geld überweisen, wenn die Zielperson gerade nicht am Computer sitzt und sich nicht ausgeloggt hat.
«Ich könnte eine Zahlung erfassen, die auf dem Konto der Zielperson belastet wird», kommentiert Sprenger. Es gebe aber E-Banking-Systeme, die für die Ausführung der Zahlung nochmals eine Bestätigung verlangen würden.
«Trojaner-Angriffe sind häufig»
Solche Angriffe via Internet finden nicht nur im Rahmen der Testanlage von «Kassensturz» statt: «Trojaner-Angriffe via E-Mail sind häufig», sagt Max Klaus, stellvertretender Leiter von Melani, der Melde- und Analysestelle Informationssicherung des Bundes.
Beispielsweise würden Betrüger oft gefälschte Mails von Paketversand-Diensten oder Airlines verschicken, erklärt Klaus. Vor Trojaner-Angriffen kann man sich gemäss Experten schützen, wenn man generell misstrauisch ist gegenüber Mails von Unbekannten. Wichtig ist auch, eine aktuelle Anti-Viren-Software zu installieren.
«Kassensturz» hackte auch E-Banking-Konten
Im Mai des letzten Jahres hat «Kassensturz» die in der Schweiz weitverbreitetsten E-Banking-Systeme getestet: Wie benutzerfreundlich sind diese und vor allem wie sicher? Das Test-Ergebnis war brisant: Den Hackern war es gelungen, in drei von fünf Konten einzudringen.
