1768268

Die 7 gefährlichsten Cyber-Angriffe

21.07.2017 | 09:10 Uhr |

Obwohl der Schutz von Windows & Co. besser wird, gelingt es Angreifern doch immer wieder, ein System zu infizieren. Wir zeigen die aktuell gefährlichsten, raffiniertesten und fortschrittlichsten Angriffe und wie Sie sich davor schützen.

Die meisten Angriffe funktionieren über Schadcode. Bei den besonders fortgeschrittenen Attacken kann sich der Code automatisch in Ihren Geräten einnisten. Bei vielen anderen Angriffen wird das Opfer dazu verleitet, den Schadcode selbst zu starten, beispielsweise weil es ihn mit einem Update für Windows verwechselt. Beide Methoden sind sehr gefährlich, wenn Sie Ihre Systeme nicht entsprechend geschützt haben.

Zum Glück lassen sich die allermeisten Angriffe mit ein paar grundsätzlichen Schutzvorkehrungen zuverlässig abwehren. Unabdingbar ist, dass Sie stets alle verfügbaren Updates für Ihr System installieren. Das betrifft Windows über das Windows-Update wie auch jede Anwendersoftware, etwa über Secunia PSI . Eine gute Antivirensoftware blockiert zudem einen Großteil der schädlichen Dateien. Welche weiteren Schutzmaßnahmen wichtig sind, verraten wir bei der jeweiligen Bedrohung.

Siehe auch: Die richtige Backup-Strategie gegen Erpresser-Viren

1. Vertraute Feinde: Tastaturtreiber mit Spionagefunktion

Darum geht’s: Hinter diesem Angriff steht zunächst keine feindliche Absicht, sondern ein besonders dummer Programmierfehler. Ein Tastaturtreiber zeichnet alle Eingaben auf. Soweit ist das sein Job, schließlich muss er mitbekommen, wenn etwa eine der Sondertasten gedrückt wird. Doch dieser fehlerhafte Treiber speichert alle Eingaben in eine unverschlüsselte Datei. Darin landen somit auch alle Log-in-Daten inklusive der Passwörter – so geschehen bei zahlreichen Notebook-Modellen von Hewlett-Packard .

Ein Virus, der auf das System gelangt, kommt dadurch ganz leicht an viele wichtige Log-ins. Zwar könnte der Schädling auch selber einen Key-Logger installieren, doch macht ihn das verdächtig und die Wahrscheinlichkeit steigt, dass er von einem Antivirenprogramm entdeckt wird. Das Auslesen einer Textdatei ist dagegen vollkommen unauffällig.

Die Software Driver Booster findet neue Treiber zur installierten Hardware. Das Tool gibt es in einer einfachen, aber kostenlosen Version oder in einer Pro-Version für 28 Euro.
Vergrößern Die Software Driver Booster findet neue Treiber zur installierten Hardware. Das Tool gibt es in einer einfachen, aber kostenlosen Version oder in einer Pro-Version für 28 Euro.

Gefahrenstufe: Die Sicherheitslücke, die fehlerhafte Treiber verursachen, ist grundsätzlich sehr groß, weil Treiber nahe am System arbeiten und Schadcode somit häufig Zugriff mit Systemrechten verschaffen. Allerdings kommen viele Treiber nur auf bestimmten Modellen zum Einsatz. Die vergleichsweise geringe Verbreitung macht sie für Kriminelle weniger interessant. Behalten darf man solche fehlerhaften Treiber aber auf keinen Fall.

Schutz: Besitzer von HP-Notebooks holen sich über https://support.hp.com/de-de/drivers einen aktualisierten Tastaturtreiber.

Grundsätzlich sollte man regelmäßig nach Updates für alle installierten Treiber suchen. Das geht entweder manuell über den Geräte-Manager (klicken Sie dazu auf das Windows-Symbol und tippen Sie Geräte-Manager ein). Einfacher geht es mit einem Update-Manager für Treiber, wie etwa dem Tool Driver Booster 3 for Steam. Einen ausführlichen Ratgeber zu neuen Treibern finden Sie hier .

2. Klassischer Erpresservirus: Dateiverschlüsseler

Darum geht’s: Bereits seit Jahren richten Erpresserviren gewaltigen Schaden an. Sie befallen einen Rechner, verschlüsseln die Daten des Anwenders und fordern dann für deren Freigabe ein Lösegeld. Das muss meistens in der digitalen Währung Bitcoin bezahlt werden, da der Empfänger sich so kaum aufspüren lässt. Die Höhe des Lösegeldes beläuft sich heutzutage meist auf 300 bis 600 Euro. Und das pro befallenem System. Wer ein Heimnetzwerk mit drei oder vier Rechnern betreibt, der muss also tief in die Tasche greifen. Zuletzt machte etwa besonders der Erpresservirus Wannacry von sich reden, weil er sich über eine Windows-Sicherheitslücke ungehindert in einem Netzwerk ausbreiten konnte.

Der Schädling Fantom ist ein typischer Erpresservirus. Er gibt sich als Update für Windows aus, um seine Opfer zum Start seines schädlichen Codes zu überreden. Dann verschlüsselt er alle Anwenderdateien.
Vergrößern Der Schädling Fantom ist ein typischer Erpresservirus. Er gibt sich als Update für Windows aus, um seine Opfer zum Start seines schädlichen Codes zu überreden. Dann verschlüsselt er alle Anwenderdateien.

Beispiel: Ein weiteres Beispiel für einen typischen Erpresservirus ist der Schädling Fantom. Dieser tarnt sich als Windows Update, um Anwender hereinzulegen. Entdeckt wurde die Malware vom AVG -Sicherheitsexperten Jakub Kroustek.

Fantom wurde von Unbekannten mithilfe des Open-Source-Erpresserviren-Baukastens namens EDA2 zusammengebastelt. Solche Baukästen sind in Untergrundforen und im Darkweb kostenlos erhältlich. Diese erzeugen Erpresserviren, ohne dass man dafür Programmierkenntnisse benötigt. Entsprechend viele Schädlinge kursieren mittlerweile im Internet. Im Fall von Fantom erzeugt der Baukasten eine Datei mit dem Namen „a.exe“. Um den Opfern eine offizielle Herkunft seitens Microsoft vorzugaukeln, finden sich in den Dateieigenschaften die Hinweise „Copyright Microsoft 2016“ unter „Copyright“, und in der Dateibeschreibung ist von „critical update“, also kritischem Update die Rede.

Einmal gestartet, erscheint ein Windows-Update-typischer Bildschirm inklusive einer Fortschrittsanzeige wie bei Windows 10, der beim Benutzer den Eindruck erweckt, es werde nun ein Update installiert. In Wirklichkeit werden im Hintergrund aber die Dateien des Nutzers verschlüsselt. Dafür verantwortlich ist ein Prozess namens WindowsUpdate.exe. Die Verschlüsselung erfolgt dann per AES-128-Schlüssel, der anschließend selbst über einen dualen RSA-Schlüssel verschlüsselt wird. Der private Schlüssel wird an einen Server der Erpresser übertragen, während der öffentliche Schlüssel auf dem angegriffenen Rechner verbleibt. Zum Schluss wird eine HTML-Datei generiert, die im Browser geöffnet wird. Über diese HTML-Seite wird der Anwender in holprigem Englisch darüber informiert, dass er Opfer einer Ransomware-Attacke geworden ist. Im Anschluss daran wird ein „ID-Key“ eingeblendet. Der Benutzer soll als Nächstes eine E-Mail an eine von zwei angegebenen Mailadressen unter Angabe seiner „ID-Key“-Nummer schicken und bekommt danach zusätzliche Instruktionen darüber, wie er nach Entrichtung eines Lösegelds schließlich wieder an seine Daten gelangt.

Des Weiteren wird der Bildschirmhintergrund des Desktops durch einen Bildschirmhintergrund der Fantom-Macher ersetzt. In diesem Wallpaper werden die Benutzer mit „All Files Encripted!!!“ (sic!) erneut über den Angriff informiert. In dem Wallpaper befindet sich noch einmal die Mailadresse, über die das Opfer in Kontakt mit den Erpressern treten soll.

Die Website No more Ransom sollte die erste Anlaufstelle für Opfer von Erpresserviren sein. Dort können Sie prüfen, ob es ein kostenloses Entschlüsselungstool für die entführten Dateien gibt.
Vergrößern Die Website No more Ransom sollte die erste Anlaufstelle für Opfer von Erpresserviren sein. Dort können Sie prüfen, ob es ein kostenloses Entschlüsselungstool für die entführten Dateien gibt.

Gefahrenstufe: Sehr hoch! Zwar ist die Zahl der Erpresserviren gegenüber der Anzahl aller Viren pro Jahr gering, doch richten sie sowohl bei Privatanwendern als auch in Unternehmen und öffentlichen Einrichtungen wie Krankenhäusern gewaltigen Schaden an.

Notfall: In der Regel bleibt Ihr Rechner zunächst mal einsatzbereit, schließlich wollen die Erpresser ja, dass Sie damit das Lösegeld in Bitcoins überweisen können. Viele Experten raten jedoch davon ab, das Lösegeld zu bezahlen, da ungewiss ist, ob Sie einen Schlüssel zum Entschlüsseln Ihrer Daten erhalten. Darüber hinaus ermutigt dies die Kriminellen, weiterhin PC-Nutzer anzugreifen. Andere Experten raten dagegen zur Zahlung, da man eine Chance hat, seine Daten wiederzubekommen.

Wenn Sie keine Sicherung Ihrer Daten haben und nicht zahlen wollen, somit einen Schlüssel für die entführten Daten brauchen, sollten Sie auf www.nomoreransom.org nachsehen, ob es für Ihre Daten ein kostenloses Entschlüsselungstool gibt. Die Site wird von den Behörden sowie den Antivirenherstellern Kaspersky und McAfee betrieben. Die Seite ist deutschsprachig und zudem leicht zu bedienen. Sie müssen zur Probe eine verschlüsselte Datei hochladen sowie Angaben zum Erpresserschreiben machen. Die Site prüft daraufhin, ob es ein Entschlüsselungsprogramm für Ihre Daten gibt. Sollte das nicht der Fall sein, dann lohnt es sich, die Daten aufzubewahren und ein paar Wochen oder Monate später den Test auf der Site zu wiederholen. Oft dauert es eine Weile, bis die Experten an den Universalschlüssel eines Erpresservirus herankommen und ein Tool zur Entschlüsselung programmieren können.

Auf jeden Fall müssen Sie den Erpresservirus noch vom System beseitigen. Andernfalls kann er weiteren Schaden anrichten, etwa Ihre Passwörter stehlen. Das Löschen des Virus erledigt entweder eine Antivirensoftware oder Sie installieren Windows neu.

Schutz: Neben einer guten Antivirensoftware hilft ein gutes Backup von System und Daten. Ist dieses aktuell, können Sie auf den Erpresservirus und die verschlüsselten Daten getrost pfeifen. Sie spielen einfach Ihr Backup zurück.

Backup-Strategien: Es gibt unzählige Backup-Tools und zahlreiche Backup-Strategien. Das beste Backup ist jedoch das, das man hat, auch wenn es nicht ganz perfekt ist. Darum sollten Sie jetzt sofort eines anlegen. Nutzen Sie zum Beispiel eine externe Festplatte, schließen Sie sie an den PC an und kopieren Sie ganz einfach alle Daten aus dem Ordner „Eigene Dateien“ beziehungsweise aus „C:\Benutzer\Ihr Benutzername“ beziehungsweise aus dem Ordner, in dem Sie Ihre Anwenderdateien speichern. Ist das geschehen, haben Sie zwar noch nicht alles gesichert, aber vermutlich schon mal das Wichtigste. Ziehen Sie sodann die externe Festplatte vom PC wieder ab. Denn bleibt sie angeschlossen, könnte ein künftiger Erpresservirus auch die Dateien der Sicherung entführen. Dann können Sie sich in Ruhe um eine ausgefeilte, komplette Datensicherung kümmern. Einen ausführlichen Ratgeber dazu finden Sie hier . Einen ausführlichen Ratgeber zu verbreiteten Erpresserviren finden Sie hier .

Tipp: So schützen Sie Windows 10 gegen Web-Gefahren

3. Doxing: Erpresserviren veröffentlichen Ihre Daten

Darum geht’s: Der Begriff „Doxing“ steht für „document tracing“ oder „docs tracing“. Dabei geht es um das Sammeln von Informationen über eine Person und die anschließende Veröffentlichung der Daten. Diese Methode haben sich auch einige Programmierer von Erpresserviren zunutze gemacht. Ihr Schädling schleicht sich auf den üblichen Wegen auf ein System. Doch anstatt die Daten dann nur zu verschlüsseln, lädt er sie auch auf Server ins Internet. Die eigentliche Erpressung besteht dann darin, diese Daten zusammen mit dem Namen des Opfers zu veröffentlichen. Wie groß der Druck für das Opfer ist, hängt hierbei wesentlich von den Daten ab. Konnten die Kriminellen etwa eine pikante Finanzübersicht erbeuten oder Briefe an die heimliche Geliebte, wird die Zahlungsbereitschaft wahrscheinlich hoch sein.

Beispiel: Die Erpresser-Malware Chimera verschlüsselt die Dateien des Benutzers auf dem infizierten Rechner und fordert dann ein Lösegeld. Sie droht ihren Opfern außerdem damit, dass sie alle Fotos und Videos des Opfers im Internet veröffentlichen wird, wenn das Opfer das geforderte Lösegeld nicht bezahlen sollte. Zum Glück für die Opfer zeigte eine Codeanalyse des Schädlings, dass er keine Routinen enthält, um Dateien des Rechners an die Täter zu senden. Lediglich die durch Chimera generierte Opfer-ID, Bitcoin-Adresse und der private Schlüssel der verschlüsselten Daten werden übertragen. Gefährlich ist das dennoch, denn eine Funktion zum Hochladen von Fotos und anderen Dateien lässt sich sehr einfach mittels Update in den Schädling nachladen.

Gefahrenstufe: Zum Juni 2017 spielten die Angriffe mit Chimera kaum noch eine Rolle. Dennoch besteht die Gefahr, dass die Kriminellen künftig häufiger mit Doxing arbeiten.

Schutz: Der beste Schutz gegen Doxing-Erpresser sind verschlüsselte Daten. Packen Sie sämtliche Dateien, die Sie nicht laufend brauchen, in einen verschlüsselten Container und öffnen Sie diesen Container nur dann, wenn Sie Daten daraus benötigen. Ein empfehlenswertes Verschlüsselungstool ist Veracrypt . Veracrypt ist der legitime Nachfolger der Verschlüsselungssoftware Truecrypt, welche nicht mehr weiterentwickelt wird. Im Vergleich zu seinem Vorgänger bietet Veracrypt unter anderem verbesserte Algorithmen zur Systemverschlüsselung und schützt dadurch besonders wirkungsvoll gegen Systemangriffe. Bedienen lässt sich das Tool genau wie sein Vorgänger. Eine ausführliche Anleitung zu Veracrypt finden Sie hier .

4. Werbe-Tracking per Ultraschall in über 230 Android-Apps

Die Antivirensoftware für Android des Sicherheitsspezialisten Avira meldet die unerwünschte Trackingsoftware Silverpush, die ein Smartphone per Ultraschall verfolgbar macht (siehe Punkt 4).
Vergrößern Die Antivirensoftware für Android des Sicherheitsspezialisten Avira meldet die unerwünschte Trackingsoftware Silverpush, die ein Smartphone per Ultraschall verfolgbar macht (siehe Punkt 4).

Darum geht’s: In mehr als 230 Android-Apps soll die Werbesoftware Silverpush eingebaut sein, die Anwender mittels Ultraschall bespitzelt. Das haben Forscher der TU Braunschweig herausgefunden. Forscher des Institutes für Systemsicherheit um den Informatikprofessor Konrad Rieck haben bei der Untersuchung von über 1,3 Millionen Android-Apps 234 Programme entdeckt, in denen die auf Ultraschallsignalen basierende Lauschsoftware des Herstellers Silverpush enthalten ist. Vor zwei Jahren wurden erst sechs solcher Apps gefunden. Die Technik dient dazu, Verhaltensprofile der Verbraucher zu erstellen und zu verfeinern.

Die für die Werbeindustrie entwickelte Technik besteht aus zwei Komponenten. Eine ist ein Ubeacon (Ultraschall-Leuchtfeuer) genanntes Signal, das etwa durch Fernseher, Computer oder Werbetafeln ausgestrahlt werden kann. Es besteht aus für Menschen kaum wahrnehmbaren Tönen in dem Frequenzbereich zwischen 18 000 und 20 000 Hz. Alternativ können auch die Schallsignale in Videos eingebaut sein.

Die zweite Komponente ist die Silverpush-Software in Handys. Die Mikrofone der Smartphones nehmen die Ultraschalltöne auf, die Silverpush-Software wertet die Signale aus. So können Werbetreibende zum Beispiel feststellen, dass sich ein Smartphone-Besitzer in einem bestimmten Ladengeschäft aufhält oder vor einer elektronischen Werbetafel steht.

Die Antiviren-App von Sophos schnitt in den vergangenen Virentests meist sehr gut ab. Trotzdem ist die App kostenlos zu haben. Sophos bietet ansonsten in erster Line Antivirentools für Unternehmen an.
Vergrößern Die Antiviren-App von Sophos schnitt in den vergangenen Virentests meist sehr gut ab. Trotzdem ist die App kostenlos zu haben. Sophos bietet ansonsten in erster Line Antivirentools für Unternehmen an.

Denkbar ist auch das Einbetten solcher Ultraschalltöne in TV- oder Radiosendungen, beispielsweise in Werbeclips. Konkrete Beispiele für Ultraschall-Tracking in TV-Werbung haben die Forscher allerdings bislang nicht entdeckt. Als Ultraschall werden streng genommen erst Tonfrequenzen oberhalb von 20 000 Hz bezeichnet. Menschen können Töne etwa zwischen 20 und 20 000 Hz hören, doch mit zunehmendem Alter lässt die Hörfähigkeit für hohe Frequenzen nach. Die meisten Erwachsenen können deshalb Frequenzen oberhalb von 18 000 Hz nicht mehr oder kaum noch wahrnehmen, bei Senioren ist oft schon oberhalb von 12 kHz Schluss. Mikrofone und Lautsprecher in Unterhaltungselektronik können den Bereich von 20 Hz bis 20 kHz mehr oder weniger gut abdecken. Deshalb bietet sich der Bereich zwischen 18 und 20 kHz für derartige Seitenkanalangriffe an.
Gefahrenstufe: Die Angriffstechnik wird dazu eingesetzt, Datenprofile von Anwendern zu verfeinern, die danach an die Werbeindustrie verkauft werden oder ursprünglich von dieser in Auftrag gegeben wurden. Welche Gefahr von Datenprofilen ausgeht, wird sehr unterschiedlich eingeschätzt. Datenschützer bewerten die Gefahr in der Regel höher als fortschrittsgläubige Internetfreunde. Wer an Dystopien glaubt, der fürchtet große Datenmengen, denn in nicht demokratischen Systemen lassen sie sich leicht gegen Menschen einsetzen. Manche befürchten, dass dies auch in demokratischen Systemen schnell passieren kann.

Die Technik Silverpush jedenfalls wird vom Antivirenhersteller Avira als Malware eingestuft. Avira zufolge übermittelt die Silverpush-Software Benutzerdaten an Werbetreibende, darunter Geräte-ID, Telefonnummer und MAC-Adresse. Avira hat die Tracking-Software etwa in einer App von McDonald‘s gefunden – allerdings auf den Philippinen.

Schutz: Installieren Sie eine Antivirensoftware auf Ihrem Handy, etwa Avira Antivirus Security oder das kostenlose Sophos Free Antivirus and Security, beide laufen unter Android. Die Sophos-App hat in den letzten Tests von AV-Test sehr gut abgeschnitten.

Windows-Prozesse: So finden Sie Hackerangriffe in Windows

5. IoT-Geräte im Fokus: Angriff auf smarte Geräte

Darum geht’s: Kriminelle greifen mit Schadcode smarte Geräte, etwa IP-Kameras, an. Viele dieser „smarten“ Geräte sind nur schlecht gegen Angriffe geschützt und das, obwohl sie oft direkt mit dem Internet verbunden sind und damit eine entsprechend große Angriffsfläche bieten. Neben IP-Kameras stehen auch digitale Videorecorder, NAS-Geräte, Router und andere IoT-Geräte (Internet of Things) im Fokus der Angriffe. Hat sich ein Schädling in einem smarten Gerät eingenistet, kann er teils erheblichen Schaden anrichten. Das ist etwa bei einem DDoS-Angriff der Fall, welchen Ihr Videorecorder auf fremde Webseiten ausführt. Oder die Bilder aus Ihrer IP-Kamera werden im Internet veröffentlicht. Ein Beispiel: Mindestens seit Mai 2017 greift der Schädling Persirai IP-Kameras an. Er nutzt hierfür eine Sicherheitslücke in einer chinesischen Whitelabel-IP-Kamera aus, die unter verschiedenen Markennamen verkauft wird. Persirai probiert die Standard-Log-ins der Hersteller durch und kann bei zahlreichen Geräten die individuell vergebenen Benutzerpasswörter auslesen. Schätzungen der Antivirenfirma Trend Micro zufolge könnten weltweit mehr als 120 000 IP-Kameras dafür anfällig sein.

Gefahrenstufe: IP-Kameras und alle anderen internetfähigen Geräte gelten aktuell als sehr gefährdet. Zwar mag es ebenfalls Modelle geben, die gut gegen Angriffe geschützt sind, es gibt jedoch leider auch sehr viele, leicht verwundbare IoT-Geräte.

Schutz: Was bei Windows-Rechnern selbstverständlich ist und meist automatisch geschieht, ist für viele IoT-Geräte bisher noch die Ausnahme: regelmäßige Updates. Doch auch bei Netzwerkgeräten sind Updates ungemein wichtig, um neu entdeckte Sicherheitslücken zu schließen. Dies betrifft den Router ebenso wie das NAS oder die IP-Kamera. Wie Sie die Updates installieren, sollten Ihnen das Handbuch oder die Website des Herstellers verraten.

Außerdem wichtig: Wenn Sie gar nicht vorhaben, von unterwegs aus auf Ihre externe Festplatte zuzugreifen, dann brauchen Sie bei ihr auch keinen Internetzugriff einzurichten. Laufen in Ihrem Heimnetz schon länger internetfähige Geräte, lohnt sich ein Kontrollblick in Ihr Konfigurationsmenü. Schließlich sollten Sie jedes Gerät mit einem individuellen Passwort schützen. Denn die Standardpasswörter der Geräte kennen auch die Hacker und Virenprogrammierer. Wenn Sie diese voreingestellten Log-in-Daten so belassen, ist es für Angreifer ein Kinderspiel, das Gerät zu übernehmen.

6. Schädling zerstört IoT-Geräte: Brickerbot

Darum geht’s: Ein besonders skurriler Angriff auf IoT-Geräte wurde im April 2017 bekannt. Während die meisten unsicheren IoT-Geräte im Stillen von feindlichem Code übernommen werden, um sodann Teil eines Bot-Netzwerks zu sein, macht die Malware Brickerbot kurzen Prozess. Sie greift Linux-basierte Internetgeräte an und macht diese unbrauchbar. Damit erklärt sich auch der Name der Schadsoftware: Das englische Wort „brick“ bedeutet Backstein, Stein oder Klotz. Weil dieser Code die Geräte dauerhaft unbrauchbar macht, verwandelt er sie sozusagen in Steine (bricks).

Brickerbot wurde von den Security-Spezialisten von Radware entdeckt. Die Angriffe mit Brickerbot können ein System so schwer beschädigen, dass ein Austausch der Hardware erforderlich wird. Ähnlich wie bei dem Schädling Mirai führt Brickerbot eine Brut-Force-Attacke gegen offene Telnet-Ports der Geräte aus. Bei Erfolg kompromittiert er den Speicher des befallenen Geräts und unterbricht die Internetverbindung. Danach löscht er schließlich sämtliche Dateien auf Flash- und Kartenspeichern. Da Brickerbot nicht versucht, Dateien nachzuladen, ist auch nicht bekannt, mit welchen Zugangsdaten genau der Bot versucht, die Geräte zu kapern. Der erste Versuch erfolgt jedoch immer mit der Benutzername-Passwort-Kombination „root“ und „izxv“, die als Default bei bestimmten Kameras und digitalen Videorecordern verwendet wird.
Gefahrenstufe: Sehr hoch. Wenn Ihr Gerät betroffen ist, dann lässt es sich unter Umständen nur vom Hersteller wieder in Gang setzen oder gar nicht. Wie häufig solche zerstörerischen Angriffe in Zukunft sein werden, ist allerdings bislang noch vollkommen unklar.

Schutz: Setzen Sie hier die gleichen Maßnahmen wie bei Punkt 5 um.

7. VLC-Mediaplayer: Angriff per Untertitel in Filmen

Viele Nutzer laden sich aus dem Internet Untertitel zu fremdsprachigen Filmen und Serien herunter. In diesen Untertiteln kann jedoch Schadcode enthalten sein, der bei der Wiedergabe das System infiziert.
Vergrößern Viele Nutzer laden sich aus dem Internet Untertitel zu fremdsprachigen Filmen und Serien herunter. In diesen Untertiteln kann jedoch Schadcode enthalten sein, der bei der Wiedergabe das System infiziert.

Darum geht’s: Untertitel für Filme können von Angreifern als Einfallstor in Rechner und andere Wiedergabegeräte verwendet werden. Das haben Forscher des Sicherheitsunternehmens Check Point entdeckt. Die Angreifer sollen dabei die komplette Kontrolle über befallene Systeme erhalten können. Angaben der Forscher von Check Point zufolge sind Millionen Nutzer der beliebten Mediaplayer betroffen, darunter etwa VLC, Kodi (XBMC), Popcorn Time und Stream.io.

Viele Nutzer suchen sich zu einem fremdsprachigen Film nachträglich Untertitel und laden diese aus dem Internet herunter. Ein Angreifer könnte somit eine verseuchte Untertiteldatei zu einer erfolgreichen, aktuellen Hollywood-Produktion zum Downloaden anbieten. Diese würde vermutlich oft geladen und könnte sich dadurch schnell verbreiten. Des Weiteren deuteten die Forscher von Check Point auch an, dass Kriminelle die Bewertung von Untertiteln auf Untertitelservern manipulieren können. Erhalten auf diese Weise bösartige Untertitel eine Top-Bewertung, so werden sie von Mediaplayern automatisch heruntergeladen. Auf diese Weise gelangt der Code ohne das Zutun der Benutzer auf das System der Opfer.
Gefahrenstufe: Im Juni 2017 hielten die Sicherheitsforscher Details zu der Sicherheitslücke noch zurück, damit die Macher der Mediaplayer-Updates für ihre Software bereitstellen können. Doch schon aufgrund der bisherigen Beschreibung muss die Lücke als extrem gefährlich gelten.

Schutz: Aktualisieren Sie unbedingt Ihre Mediaplayer-Software. Schauen Sie hierbei bitte auch nach, ob Sie vielleicht eine portable Version eines Mediaplayers auf Ihrer Festplatte haben. Diese wird von Update-Tools wie den Secunia PSI zumeist nicht überwacht. Beliebt ist etwa das portable Tool VLC . Sollten Sie dieses nutzen, dann laden Sie sich unter https://portableapps.com am besten eine aktuelle Version herunter, bevor Sie damit das nächste Mal einen Film wiedergeben.

Angriffe aus dem Labor

Die folgenden Angriffsmethoden haben Sicherheitsforscher entdeckt oder entwickelt. Sie sind technisch gesehen äußerst gefährlich. Allerdings ist nicht absehbar, ob die Tricks von Kriminellen übernommen werden und somit für den Nutzer tatsächlich eine Gefahr besteht.
8. Hacker knacken Smart-TVs : Angriffe auf Smart-TVs konnten Forscher schon öfter demonstrieren , und auch der US-amerikanische Geheimdienst konnte Dokumenten bei Wikileaks zufolge auf einige Modelle von Samsung zugreifen . Ziel waren dabei meistens die im TV-Gerät eingebaute Kamera und das Mikrofon. Als Einfallstor diente die WLAN-Verbindung zum Fernsehgerät.

Neu ist ein Angriff, der über das Fernsehsignal DVB-T in den Smart-TV eindringen kann. Der Angriff läuft somit über einen offenen kabellosen Einfallsweg. Wie das funktioniert, zeigte der Experte Rafael Scheel von der Sicherheitsfirma Oneconsult AG. Scheel konnte mit einem nur 150 Euro teuren DVB-T-Sendegerät das HbbTV-Signal der TV-Stationen überlagern und auf diese Weise Schadcode in TV-Geräte im Umkreis von 100 Metern einbringen. Laut Scheel übersteht die in den Fernseher eingeschleuste Schadsoftware sowohl das Zurücksetzen des Geräts auf die Werkseinstellungen als auch nachträglich eingespielte Updates.

9: Erpresservirus infiziert Uefi : Auf der Sicherheitskonferenz RSA Conference 2017 zeigte ein Antivirenhersteller, wie sich das Uefi einer Hauptplatine mit einem Erpresservirus infizieren lässt. Der Spezialist nutzte für die Demonstration einen Rechner mit Windows 10 inklusive aller Updates. Die Schutzmechanismen Device Guard, Secure Boot und Virtual Secure Mode sollen aktiv gewesen sein. Eingespielt wurde der Schädling unter Ausnutzung von mehreren Lücken, beispielsweise in Word und im Uefi-Sicherheitssystem. Nach dem Neustart des Rechners erschien eine erpresserische Nachricht. Windows startete nicht mehr.

10. LEDs am PC verraten Geheimnisse : Wissenschaftler konnten einen Schadcode entwickeln, der Informationen über die LEDs des Rechners überträgt. Die LEDs senden die Infos über eine Art Morsecode. So könnte ein Angreifer Daten aus einem PC auslesen, der nicht mit dem Internet verbunden ist. Das trifft auf viele Rechner zu, auf denen geheime Daten liegen. Voraussetzung dafür ist allerdings, dass der Angreifer einmal Zugang zu dem Rechner hat und den Schadcode dort unbemerkt platzieren kann. Technische, englischsprachige Informationen haben die Wissenschaftler in diesem PDF veröffentlicht .

Die Themen in Tech-up Weekly #85: +++ AMD Threadripper: Neue CPU mit 16 Kernen +++ Wana Crypt0r 2.0: Erpresser-Virus verbreitet sich rasant +++ Google I/O mit Google Lens, Android Go, neue VR-Brille +++ Quick-News der Woche +++ Kommentar der Woche +++ Fail der Woche: United Airlines: Cockpit-Codes im Internet geleaked

------

►AMD Threadripper: Neue CPU mit 16 Kernen für Desktop-PCs (0:24):
www.pcwelt.de/2273949
►Intel: Skylake-X könnte als Core i9 in den Handel kommen:
www.pcwelt.de/2273426

►Wana Crypt0r 2.0: Erpresser-Virus verbreitet sich rasant - so schützen Sie sich! (2:08):
www.pcwelt.de/2273169

►Google I/O mit Google Lens, Android Go, neue VR-Brille – Neues von Google (5:13):
www.pcwelt.de/2274258
►Android 8 / O: Diese Geräte erhalten das Update:
www.pcwelt.de/2273697

------

Quick-News (7:58):

►Windows 10 Fall Creators Update - alle Neuerungen:
www.pcwelt.de/2264171

►GeForce GTR 1030: Billig-Grafikkarte von Nvidia:
www.pcwelt.de/2273694

►Phantom Dust gratis für Win10 & Xbox One:
www.pcwelt.de/2273652

►EU-Kommission: 110 Millionen Euro Strafe für Facebook:
www.pcwelt.de/2274489

►Humble Indie Bundle 18: 7 Top-Spiele fast geschenkt:
www.pcwelt.de/2274289

►The Witcher: TV-Serie erscheint exklusiv bei Netflix:
www.pcwelt.de/2274168

------

Fail der Woche (10:27):

►United Airlines: Cockpit-Codes im Internet geleaked:
www.pcwelt.de/2273775

0 Kommentare zu diesem Artikel

PC-WELT Marktplatz

1768268