Wie man sich vor Cyberkriminalität schützt? · Seite 1 IT SICHERHEIT DURCH BEWUSSTES VERHALTEN...

Seite 1

IT SICHERHEIT DURCH BEWUSSTES VERHALTEN

Wie man sich vor Cyberkriminalität schützt?

17.09.2019

Seite 2

v

Michael Müller

Gruppenleiter Security Competence CenterLeiter R-IT CERT

T: +43 1 99 3 99-2525

M: +43 664 88772525

E: [email protected]

W: www.r-it.at

IT Sicherheit durch bewusstes Verhalten | Michael Müller

Schwerpunkte:

• „Legales Hacken“

Penetration Tests und Vulnerability Management

• Schulungen, Workshops

• Bearbeitung von Sicherheitsvorfällen (CERT)

Seite 3

▪ Social Engineering

▪ Passwörter

▪ Crypto Ransomware / Erpressungstrojaner

▪ Datensicherung

▪ CEO Fraud / Betrug mit Chef-Masche

Inhalt


Seite 4Seite 4IT Sicherheit durch bewusstes Verhalten | Michael Müller

Wer sind die Angreifer

PROFIS

AMATEURE

ORGANISIERTE KRIMINELLEGLOBAL, KAUM IDENTIFIZIERBAR UND

VERFOLGBAR

MOTIVATION: Finanzielle Bereicherung

AUSWIRKUNG : Informationsdiebstahl & Abfluss

STAATLICHE ANGREIFERSPIONAGE UND SABOTAGE

MOTIVATION: Politische, wirtschaftliche & militärische

Interessen

AUSWIRKUNG: Unterbrechung oder Zerstörung von

Informationen & Infrastrukturen, Informationsdiebstahl,

Reputationsverlust

HACKTIVISTSHACKING INSPIRIERT DURCH DIE TECHNOLOGIE

MOTIVATION: Nicht vorhersehbar, politischer Idealismus

AUSWIRKUNG: Reputations- und/oder Informations-

verlust

INSIDER-THREATSMIT VORSATZ ODER UNABSICHTLICH

MOTIVATION: Neid, finanzielle Bereicherung

AUSWIRKUNG: Verteilung oder Zerstörung,

Informationsdiebstahl, Reputationsverlust

Die

ANGREIFER


Social Engineering


Social Engineering

Org

an

isati

on

Men

sch

Te

ch

nik

heitSicher

Org

an

isati

on

Te

ch

nik

Sicher

Org

an

isati

on

Te

ch

nik


Social Engineering – Technisch

▪ Informationen mit technischen Hilfsmitteln beschaffen

▪ Automatisierte Angriffe

▪ Manipulierte Internetseiten ("Phishing")

▪ Präparierte E-Mail-Anhänge

▪ Scam Mails (Vorschuss-Betrug)

▪ Anchatten via Skype, Soziale Netze

▪ Versenden/"Vergessen" von präparierten USB Sticks

▪ Gezielte Angriffe

▪ Individuell auf Opfer abgestimmt → „Spear-Phishing“


Social Engineering – Technisch

http://www.usbrubberducky.com


Social Engineering – Physisch

▪ Informationen werden über soziale Annäherung an Personen beschafft

▪ Direkter "Angriff" über die "Schnittstelle Mensch"

▪ Ausgeben als andere Person

▪ Durchstöbern von Müll

▪ Passwort aushorchen

▪ Ausdrucke bleiben im Drucker liegenMöglichkeit den Ausdruck mit PINzu sperren


Social Engineering – Physisch

Guten Tag, hier ist die Raiffeisen Informatik. Aufgrund

vermehrter Hacker-Angriffe führen wir zu Ihrer

Sicherheit eine Überprüfung von Passwörtern durch.

Ich muss die Elektroinstallationen

im Serverraum kontrollieren


Social Engineering – Reverse

▪ Man verursacht ein Problem und ist dann zur Stelle,um es gleich zu lösen

▪ Passive Interaktion

▪ Virus einschleusen und entfernen

▪ Probleme vorspielen

▪ Störung des WLAN, um dann als "zufällig anwesender" IT-Expertedas Problem zu lösen – natürlich benötigt man das WLAN Passwort


Wurde mein Benutzerkonto schon gehackt?

▪ https://haveibeenpwned.com/8.428.463.891 gehackte Accounts


Social Engineering

▪ Gibt es Regeln?

▪ Wer hat Zugriff auf welche Informationen?

▪ Müssen z.B. Handwerker angemeldet sein?

▪ Sind sich die Mitarbeiter des Werts von Informationen bewusst?

▪ Vermeintliche Freunde sind nicht immer Freunde

▪ Kleider machen keine Leute

▪ Vorsicht vor Betrügern!

▪ Zu gut, um wahr zu sein!


Passwörter


Passwörter – Ein paar Zahlen

▪ ca. 35.000 "wahrscheinliche" Geburtsdaten

▪ ca. 300 Millionen einfache 6-stellige Passwörter (Kleinbuchstaben)

▪ ca. 53 Trillionen komplexe 10-stellige Passwörter(Groß, klein, Ziffern, Sonderzeichen)

35.000

300.000.000

53.000.000.000.000.000.000

Kommerzielle Produkte:

tw. mehr als 5 Milliarden Passwörter pro Sekunde


Passwort knacken


Passwörter – Gefahren

"Passwort Recycling""Eines für Alle"

Wörterbuchangriff"wo rohe Kräfte sinnlos walten"

"Erinnerungshilfen"


Wie merke ich mir alle Passwörter?

▪ Verwendung eines Passwort Safes!z.B. KeePass Passwort Safe

▪ Passwörter werden verschlüsselt gespeichert

Anmeldung mit Passwort,

Schlüsseldatei oder beidesPasswörter können temporär in Zwischenablage kopiert werden


Wie merke ich mir alle Passwörter?

▪ Apps für Mobile Geräte sind verfügbar

▪ Passwort PhrasenLange Sätze als Passwörter verwenden

▪ 2-Faktor AuthentifizierungHaben und Wissen

AndroidKeepass2Android

Apple IOSiKeePass

Apple IOSPassDrop 2


Passwörter – Checkliste

✓ Ist das Passwort hinreichend komplex?

✓mehr als 10 Zeichen

✓Groß- und Kleinschreibung, Ziffern, Sonderzeichen

✓Kein Geburtsdatum

✓kein Wörterbucheintrag

✓ Verwenden Sie dieselben Passwörter auch für unterschiedliche Bereiche (E-Mail, Soziale Netze,

Internet-Foren, Beruf)?

✓ Wie oft wechseln Sie Ihr Passwort?

✓ Verwendung eines Passwort Safes


Crypto Ransomware / Erpressungstrojaner


Crypto Ransomware

▪ CryptoLocker, TorrentLocker, CryptowallLocky, TeslaCrypt oder Cerber

▪ Kriminelle infizieren den PC des Opfers, verschlüsseln alle Dateien und verlangen Lösegeld für Entschlüsselung

▪ Kriminelle nutzen moderne Verschlüsselungsverfahren, die nicht entschlüsselt werden können


Geschäftsmodell

▪ Hoher Leidensdruck beim Opfer

▪ Kinderfotos oder Diplomarbeit verloren

▪ Alle Kontakte weg

▪ Unternehmensdaten nicht mehr verfügbar

▪ Aufwand der Wiederherstellung größer als die Erpressersumme

▪ Zahlungen mitIst anonym und muss nicht „gewaschen“ werden

▪ Kurios: Ransomware fordert Spiele Highscore


Infektionswege

▪ Versenden von Spam E-Mails getarnt alsRechnung, Nachricht vom Paketdienst,Anwaltsbriefe / Drohungen

▪ mit Anhängen, die ausführbare Dateien enthalten

▪ Links (URLs) um Schadsoftware herunter zu laden

▪ Besuch einer kompromittierten Webseite

▪ Ausnutzung von Sicherheitslücken im Web Browser oder der Browser Plug-ins (Drive-By-Infektionen)

▪ Ungeschützte Fernwartungszugänge


Maßnahmen im Vorfeld umsetzen!

▪ Aktuelles, funktionierendes Backup

▪ Backup auf eigener Hardware und offline vom PC

▪ Funktion des Backups überprüfen

▪ Keine Schreibrechte auf Archiv

▪ Application Whitelisting

▪ Es dürfen nur bekannte Applikationen ausgeführt werden→ Crypto Ransomware kann nicht starten

▪ Organisatorischer Aufwand um benötigte Applikationen zu erheben

▪ Advanced Persistent Threat (APT) Protection

▪ Datei Download wird in einer „Sandbox“ analysiert und ggf. geblockt


Maßnahmen im Vorfeld umsetzen!

▪ Blocken von ausführbaren Dateien

▪ Applikationen: .exe, .pif, .application, .gadget, .msi, .msp,.com, .scr, .hta, .cpl, .msc, .jar

▪ Potentiell gefährliche Dateien: .pdf, .doc, .rtf, .ppt, .xls, .odt

▪ Office Makros: .docm, .dotm, .xlsm, .xltm, .xlam, .pptm, .potm, .ppam, .ppsm, .sldm

▪ Containerformate: .zip, .rar, .tar, .7z, .z, .iso…

▪ Skripte: .bat, .cmd, .vb, .vbs, .vbe, .js, .jse, .ws, .wsf, .wsc, .wsh, .ps1, .ps1xml, .ps2, .ps2xml, .psc1, .psc2, .msh, .msh1, .msh2, .mshxml, .msh1xml, .msh2xml

▪ Verknüpfungen und andere: .scf, .lnk, .inf, .reg, .dll


Verhalten bei Infektion

▪ Netzwerkkabel vom PC trennen und WLAN abschalten

▪ Für forensischer Analyse ist „Memory Dump“ des Arbeitsspeichers und Sicherung der Festplatte notwendig

▪ Kopie der verschlüsselten Festplatte aufheben,um vielleicht später die Dateien wiederherzustellenz.B. TeslaCrypt

▪ Neuinstallation

▪ Betriebssystems von „sauberem“ Datenträger

▪ Überprüfung des Backups nach Schadprogrammen

▪ Rückspielen des Backups


Verhalten bei Infektion

▪ Wiederherstellung in seltenen Fällen möglichz.B. gelöschte Dateien, schwacher Verschlüsselung oder Fehler in Ransomware

▪ Decrypter verwenden

https://id-ransomware.malwarehunterteam.com/https://www.varonis.com/ransomware-identifier/https://www.nomoreransom.org/de/index.html

https://id-ransomware.malwarehunterteam.com/

https://www.varonis.com/ransomware-identifier/

https://www.nomoreransom.org/de/index.html


Lösegeld zahlen?

▪ Es gibt kein Entschlüsselungsprogramm, kein funktionierendes Backup und die Daten werden dringend benötigt?

▪ Ca. 80% bekommen einen Schlüssel!50% können mit Schlüssel Daten wiederherstellen

▪ Kriminelle nicht kontaktieren

▪ Kein Lösegeld zahlen

▪ Anzeige erstatten


Crypto Ransomware / Erpressungstrojaner –Checkliste

✓Aktuelles, funktionierendes Backup (keine Schreibrechte auf Archiv)

✓Laufende Softwareupdates

✓Anti Virus und Anti Spam

✓Getrennte Konten für jeden Nutzer und eigenes Admin Konto

✓Backup auf eigener Hardware und nicht dauerhaft mit PC verbinden

✓Awareness der User

✓Für Firmen:

✓ Application Whitelisting

✓ Blocken von speziellen Dateiendungen

✓ Hardening der Systeme

✓ Advanced Persistent Threat (APT) Protection


Datensicherung

▪ Beispiel BackUp Maker


▪ Backup erstellen

▪ Expertenmodus für weitere Einstellungsmöglichkeiten


▪ Einfache Möglichkeit über Schnellauswahl

▪ Erweiterte Möglichkeit mit selbst ausgewählten Dateien und Ordnern


▪ Sicherung zu einem bestimmten Zeitpunkt

▪ Sicherung auf bestimmte Tage und Zeiten beschränken

▪ Sicherung bei einem Systemereignis startenz.B. Windows Start, Festplatte anstecken


▪ Zielordner des Backups auswählen


▪ Name für Backup vergeben

▪ Datum zum Dateinamen hinzu fügen


Backup fertig eingerichtet

▪ Backup wird nun automatisch am festgelegten Termin / Ereignis erstellt


CEO Fraud / Betrug mit Chef-Masche


CEO Fraud / Betrug mit Chef-Masche

Abwesend


Seitenquelltext anzeigen lassen


E-Mails im Detail: Quelltext

Received: from xlspam01-internal.wien.rbgat.net ([10.14.36.18])by mx01.mdcs.at (Lotus Domino Release 8.5.3FP6)with ESMTP id 2015090822122811-231477 ;Tue, 8 Sep 2015 22:12:28 +0200

Received-SPF: None (xlspam01.mdcs.at: no sender authenticityinformation available from domain [email protected]) identity=helo;client-ip=195.3.96.112; receiver=xlspam01.mdcs.at;envelope-from="[email protected]";x-sender="[email protected]";x-conformance=sidf_compatible.downgrade_pra

X-IronPort-Anti-Spam-Filtered: trueX-IronPort-Anti-Spam-Result: A0EJDgAEQO9VnHBgA8NdGQEBBgEBhBepOQIJBoQal2IBgT08EAEBAQEBAQEDDgEBAQEBBg0JCSEuQQECAoR7AQKJYgGnY6QwhiyCTweIFoMBgRQFkjKDHAeBSIFFhR6fRoFwCwEBAQGCKYNsVIR4AQEBX-IPAS-Result: A0EJDgAEQO9VnHBgA8NdGQEBBgEBhBepOQIJBoQal2IBgT08EAEBAQEBAQEDDgEBAQEBBg0JCSEuQQECAoR7AQKJYgGnY6QwhiyCTweIFoMBgRQFkjKDHAeBSIFFhR6fRoFwCwEBAQGCKYNsVIR4AQEBX-IronPort-AV: E=Sophos;i="5.17,492,1437429600";

d="scan'208,217";a="272481695"Received: from smtpout.aon.at ([195.3.96.112])by xlspam01.mdcs.at with ESMTP/TLS/DHE-RSA-AES256-SHA; 08 Sep 2015 22:12:27 +0200

Received: (qmail 28981 invoked from network); 8 Sep 2015 20:12:27 -0000X-Spam-Checker-Version: SpamAssassin 3.4.0 (2014-02-07) on

WARSBL507.highway.telekom.atX-Spam-Level: Received: from 178-190-254-83.adsl.highway.telekom.at (HELO [10.0.0.2]) ([178.190.254.83])

(envelope-sender <[email protected]>)by smarthub82.res.a1.net (qmail-ldap-1.03) with AES128-SHA encrypted SMTPfor <[email protected]>; 8 Sep 2015 20:12:26 -0000

X-A1Mail-Track-Id: 1441743143:28755:smarthub82:178.190.254.83:1

Start

Ziel

1. „Received-Header“: IP-

Adresse

des Absenders

„Zwischenstationen“ inklusive IP-

Adressen


E-Mails im Detail: Quelltext

From: [email protected]: Herzliche Gratulation!To: [email protected]: 1.0 (Mac OS X Mail 7.3 \(1878.6\))X-Mailer: Apple Mail (2.1878.6)X-TNEFEvaluated: 1Message-ID: <[email protected]>Date: Tue, 8 Sep 2015 22:12:22 +0200X-MIMETrack: Serialize by Notes Client on Wilhelm RAIFFEISEN/R-IT/RAIVIE/AT(Release 8.5.3FP6SHF416|February 28, 2015) at 10.09.2015 15:47:20,

Serialize complete at 10.09.2015 15:47:20Content-Type: multipart/alternative; boundary="Apple-Mail=_2EAAD322-AEEC-4CA4-B750-483B526F6D14"

--Apple-Mail=_2EAAD322-AEEC-4CA4-B750-483B526F6D14Content-Transfer-Encoding: quoted-printableContent-Type: text/plain;

charset=iso-8859-1

Sie haben gewonnen!

Klicken Sie hier um Ihren Gewinn zu best=E4tigen.

Mit freundlichen Gr=FC=DFen

MisterX.=

--Apple-Mail=_2EAAD322-AEEC-4CA4-B750-483B526F6D14Content-Transfer-Encoding: quoted-printableContent-Type: text/html;…

Diese Angaben können

vom Absender beliebig erfasst werden und geben

nicht unbedingt Auskunft über den wirklichen

Absender bzw. das tatsächliche Sendedatum.

Auch Informationen über verwendete

Technologien und E-Mail-Programme finden sich

im Quelltext.

Hier beginnt der eigentliche Inhalt der E-Mail bzw.

die Nachricht.

Alles davor sind „Header“ bzw. „Informationen

am Briefumschlag“


Wem gehört diese IP-Adresse?

https://apps.db.ripe.net/search/query.html

https://apps.db.ripe.net/search/query.html


Wird über diese IP-Adresse Spam verschickt?

▪ https://talosintelligence.com/

http://www.senderbase.org/


Analyse von Dateianhängen

▪ https://www.virustotal.com/de/

https://www.virustotal.com/de/


CEO Fraud / Betrug mit Chef-Masche –Checkliste

✓Prozess bei der Freigabe von Rechnungen (4-Augen Prinzip)

✓Nachfragen beim Vorgesetzten muss erlaubt sein!

✓Awareness der User

✓„Fake-Check“ (Anti Spoofing) – E-Mails mit internem Absender

von Extern müssen abgelehnt werden

✓Hardening der E-Mail Infrastruktur mit technischen

Maßnahmen wie SPF, DMARC und DKIM

✓Anti Spam

Seite 47Seite 47

Datensicherung

Anti Virus

Software Updates

Starke Passwörter

Vorsicht vor Betrügern!


5 einfache Schritte!

Seite 48

v

Raiffeisen Informatik GmbH

Lilienbrunngasse 7-9

1020 Wien

T +43 1 99 3 99 0

E [email protected]

W www.r-it.at


Wie man sich vor Cyberkriminalität schützt? · Seite 1 IT SICHERHEIT DURCH BEWUSSTES VERHALTEN...

Documents

Transcript of Wie man sich vor Cyberkriminalität schützt? · Seite 1 IT SICHERHEIT DURCH BEWUSSTES VERHALTEN...