Digitale Identität. Candid Wüest Threat Researcher Symantec Switzerland

Transkript

1 Candid Wüest Threat Researcher Symantec Switzerland

2 Agenda 1 Welche Informationen gibt es online 2 Wie kommen die Daten abhanden 3 Was wird mit den Daten angestellt 4 Q & A Candid Wüest 2

3 Was gehört dazu? Alles was eine Persönlichkeit ausmacht Namen, Adressen, Telefonnummern, Passwörter, Login Daten Kreditkarten, Versicherungsnummern Gewohnheiten Candid Wüest 3

4 Informationen Online Viel persönliche Information ist bereits online (meistens freiwillig!) WebLogs/Blogs/Gästebücher Lebensläufe (Monster, XING, LinkedIn etc) Vereinsseiten/Zeitungen Mailinglisten, Archive Bilder (MySpace, YouTube, Flickr etc) Online Adressbücher SecondLife Flirt Seiten Vieles leicht in Google auffindbar Candid Wüest 4

5 Verschleierung Schützen der durch Verschleierung candid_wueest symantec DOT. com Nützt nichts! Candid Wüest 5

6 Videos auf YouTube Unabsichtliches einloggen Falls YouTube Video über FTP Seite angeschaut wird, wird das Passwort gespeichert Candid Wüest 6

7 Welche Information ist online? Fälle wie bei SecondLife oder MySpace haben gezeigt, gespeicherten Daten nicht immer ausreichend geschützt Ein Angreifer kann die Datenbank plündern Namen, s, Passwörter, Kreditkarten etc Candid Wüest 7

8 Phishing Die klassische Phishing Attacke mit maskiertem Link lockt auf gefälschte Web Seite Login auf Phishing Seite Einsammeln der IDs FAKE Geld klauen Candid Wüest 8

9 Candid Wüest 9

10 Das neue Phishing Trojaner werden auf lokalen Rechnern eingeschleust DriveBy Downloads Anhänge Netzwerk Exploits... Diese Schädlinge: Hören gesamten Internetverkehr mit Senden Passwörter weiter Manipulieren Datenverkehr Candid Wüest 10

11 Session Riding PC LOGIN LOGIN WELCOME WELCOME TRANS B TRANS X CONFIRM 23 CONFIRM 23 TAN# 23 TAN# 23 COMPLETE START CONFIRM LOGON SEND TRANSACTION X B INDEX.HTML TO WEB SITE REQUEST SEND $100 $999 TAN#23 -> BOB EVE Candid Wüest 11

12 Mit Trojaner Ohne Trojaner Der Trojaner verändert die empfangene Webseite Original Webseite & SSL + böser Zusatz Candid Wüest 12

13 Das Community Phishing Benutze Information über die Zielperson z.b. Google die und wähle daraus Betreffzeile Oder Daten aus Xing Profil Hallo Candid Ich ersteigere gerade diesen Computer. Ist der gut? < Gruss Benni Name aus der Community Platform Begriff aus meinen Hobbys Link zu Auktions Phishing Seite Name aus der Community Platform Candid Wüest 13

14 Das automatische Web2.0 Phishing Benutze Cross-Site scripting (XSS) Und Cross-Site Request Forgery (CSRF) Infect Send LOGON Script Start Open out others infection infected runs TO private MAIL unfiltered from again SITE data here Candid Wüest 14

15 Gezielte Angriffe Die Motivation der Angreifer hat sich geändert Alte Motivation Neue Motivation Fame Fortune Candid Wüest 15

16 Informationen = Geld 66% der Top 50 Schädlinge haben es auf private Informationen abgesehen ISTR XI Candid Wüest 16

17 Ohne Online Shopping sicher? Es ist viel mehr online als man denkt Amerikanischer Mode Shop verlor 45 Millionen Datensätze Candid Wüest 17

18 Echte Bankomaten? Auch ein Bankomat kann einen Trojaner haben Skimming Aufsätze klauen Kreditkarten Daten und PIN Kopiert Kreditkarte Kamera Quelle: Universität von Texas Candid Wüest 18

19 Wie gehen Daten verloren? ISTR XI Candid Wüest 19

20 Was wird mit den IDs gemacht? Verkauft übers Internet Candid Wüest 20

21 Was wird mit den IDs gemacht? Geldüberweisungen über ahnungslose Dritte Finanzagenten Ferienwohnungsvermieter Bestellen von Luxusartikeln auf Postfächer Beantragen von Kreditkarten auf falschen Namen Bezahlen für Phishing Domains & Trojaner Neue Identität annehmen Candid Wüest 21

22 Wie wärs mit einem neuen Ausweis? Online bestellen: Versendet in 5 Tagen für nur 100$ Mit Hologramm, Magnetstreifen, Strichcode etc Candid Wüest 22

23 Weitere Schäden Falsche Informationen verbreiten Terroristen Kinderpornographie Ruf schädigen Firmenübernahme (Aktienkurse beinflussen)... Wie beweisen Sie das Sie es nicht waren? Candid Wüest 23

24 Wie kann ich mich schützen? Bewusster Umgang mit persönlichen Informationen Nutzen sie eventuell einen zweiten -Account Überprüfen Sie für was die Daten gebraucht werden Sicherheitssoftware einsetzten (z.b. gegen Phishing) Und auch aktuell halten Kontoauszüge genau überprüfen Gesunde skepsis bei Links, s und Downloads Verwenden sie sichere Passwörter Ein Passwortmanager kann dabei das Gedächtniss entlasten Candid Wüest 24

25 Noch Fragen? Candid Wüest 25

26 Vielen Dank! Candid Wüest