Carlos Castillo bloggt für McAfee über Sicherheitsthemen.
In diesem Eintrag berichtet er über Phishing-Apps, die Online-Banking-Apps durch ihre eigenen Versionen ersetzen.
Die konkreten Apps und Banken, um die es geht, stammen aus Süd-Korea, so dass die Nachricht in den Details nicht besonders wichtig ist, obwohl es ähnliche Angriffe auch in Deutschland gibt.
Es gibt jedoch ein paar interessante Aspekte, aus denen es Lehren zu ziehen gilt:
- Die Angreifer senden SMS, die so aussehen, als ob sie von einer offiziellen Organisation kommen. Die SMS enthält ein Tiny-URL, hinter der der Download der Malware steckt. Mehrere Dinge könnten hier das Risiko verringern:
- Die Benutzer sollten regelmäßig geschult werden, um solchen Nachrichten und Links zu misstrauen bzw. im Zweifel erst einmal ihren System-Administrator/Helpdesk zu fragen. Der Helpdesk muss natürlich seinerseits geschult und über die aktuellsten Bedrohungen informiert sein.
- Auch die Smartphones über einen Web-Proxy zu leiten, hätte evtl. bereits den Klick auf die URL unmöglich gemacht
- App-Whitelisting hätte die Installation der Malware verhindern können (wenn das Gerät nicht gerootet war)
-
Nach dem Download versucht die Malware, die vorhandene(n) Banking-Anwendung(en) zu ersetzen. Ist das Gerät gerootet, geschieht dies unbemerkt und ohne Nachfrage. Ist es das nicht, so wird der Nutzer gefragt, wobei immer noch auf den Kontext der SMS (sicherheitskritisch o.ä.) verwiesen wird.
Die Lehre:- Der Nutzer muss geschult werden - kommt bekannt vor?
- Rooting/Jailbreaking muss verhindert bzw. solchermaßen manipulierte Geräte müssen gesperrt werden
Dem geneigten Leser werden (mindestens ) zwei Dinge aufgefallen sein. Zum Einen ist ein gut geschulter Nutzer essentiell für die Integrität der Daten. Zum Anderen ist das Obige alles nichts Neues. Die Regeln kennen wir bereits alle vom PC. Es gilt nur, zur Erkenntnis zu gelangen, dass das Smartphone ein Minicomputer ist, der ähnlichen Risiken ausgesetzt ist, wie der Standard Desktop.
Mehr noch, dadurch, dass das Smartphone über mehr Sensorik verfügt und mobiler ist, ist das Risiko nochmals höher als beim PC, der oftmals in Räumlichkeiten mit eingeschränktem Zugang steht und kein Mikro oder GPS o.ä. hat. Aber dem ist beizukommen, da die Grundregeln ja, wie oben bemerkt, vom Prinzip her bekannt sind.
Detail am Rande: Laut BGH haften Opfer von Banking-Phishing für ihren Schaden selbst.