Candid Wüest Threat Researcher Symantec Switzerland
Agenda 1 Welche Informationen gibt es online 2 Wie kommen die Daten abhanden 3 Was wird mit den Daten angestellt 4 Q & A Candid Wüest 2
Was gehört dazu? Alles was eine Persönlichkeit ausmacht Namen, Adressen, Telefonnummern, E-Mail Passwörter, Login Daten Kreditkarten, Versicherungsnummern Gewohnheiten Candid Wüest 3
Informationen Online Viel persönliche Information ist bereits online (meistens freiwillig!) WebLogs/Blogs/Gästebücher Lebensläufe (Monster, XING, LinkedIn etc) Vereinsseiten/Zeitungen Mailinglisten, Archive Bilder (MySpace, YouTube, Flickr etc) Online Adressbücher SecondLife Flirt Seiten Vieles leicht in Google auffindbar Candid Wüest 4
Verschleierung Schützen der E-mail durch Verschleierung candid_wueest AT @ symantec DOT. com Nützt nichts! Candid Wüest 5
Videos auf YouTube Unabsichtliches einloggen Falls YouTube Video über FTP Seite angeschaut wird, wird das Passwort gespeichert Candid Wüest 6
Welche Information ist online? Fälle wie bei SecondLife oder MySpace haben gezeigt, gespeicherten Daten nicht immer ausreichend geschützt Ein Angreifer kann die Datenbank plündern Namen, E-Mails, Passwörter, Kreditkarten etc Candid Wüest 7
Phishing Die klassische Phishing Attacke Email mit maskiertem Link lockt auf gefälschte Web Seite E-Mail Login auf Phishing Seite Einsammeln der IDs FAKE Geld klauen Candid Wüest 8
Candid Wüest 9
Das neue Phishing Trojaner werden auf lokalen Rechnern eingeschleust DriveBy Downloads Email Anhänge Netzwerk Exploits... Diese Schädlinge: Hören gesamten Internetverkehr mit Senden Passwörter weiter Manipulieren Datenverkehr Candid Wüest 10
Session Riding PC LOGIN LOGIN WELCOME WELCOME TRANS B TRANS X CONFIRM 23 CONFIRM 23 TAN# 23 TAN# 23 COMPLETE START CONFIRM LOGON SEND TRANSACTION X B INDEX.HTML TO WEB SITE REQUEST SEND $100 $999 TAN#23 -> BOB EVE Candid Wüest 11
Mit Trojaner Ohne Trojaner Der Trojaner verändert die empfangene Webseite Original Webseite & SSL + böser Zusatz Candid Wüest 12
Das Community Phishing Benutze Information über die Zielperson z.b. Google die E-Mail und wähle daraus Betreffzeile Oder Daten aus Xing Profil Hallo Candid Ich ersteigere gerade diesen Computer. Ist der gut? <www.phish-link.here> Gruss Benni Name aus der Community Platform Begriff aus meinen Hobbys Link zu Auktions Phishing Seite Name aus der Community Platform Candid Wüest 13
Das automatische Web2.0 Phishing Benutze Cross-Site scripting (XSS) Und Cross-Site Request Forgery (CSRF) Infect Send LOGON Script Start Open out others infection infected runs TO private MAIL unfiltered from Email again SITE data here Candid Wüest 14
Gezielte Angriffe Die Motivation der Angreifer hat sich geändert Alte Motivation Neue Motivation Fame Fortune Candid Wüest 15
Informationen = Geld 66% der Top 50 Schädlinge haben es auf private Informationen abgesehen ISTR XI Candid Wüest 16
Ohne Online Shopping sicher? Es ist viel mehr online als man denkt Amerikanischer Mode Shop verlor 45 Millionen Datensätze Candid Wüest 17
Echte Bankomaten? Auch ein Bankomat kann einen Trojaner haben Skimming Aufsätze klauen Kreditkarten Daten und PIN Kopiert Kreditkarte Kamera Quelle: Universität von Texas Candid Wüest 18
Wie gehen Daten verloren? ISTR XI Candid Wüest 19
Was wird mit den IDs gemacht? Verkauft übers Internet Candid Wüest 20
Was wird mit den IDs gemacht? Geldüberweisungen über ahnungslose Dritte Finanzagenten Ferienwohnungsvermieter Bestellen von Luxusartikeln auf Postfächer Beantragen von Kreditkarten auf falschen Namen Bezahlen für Phishing Domains & Trojaner Neue Identität annehmen Candid Wüest 21
Wie wärs mit einem neuen Ausweis? Online bestellen: Versendet in 5 Tagen für nur 100$ Mit Hologramm, Magnetstreifen, Strichcode etc Candid Wüest 22
Weitere Schäden Falsche Informationen verbreiten Terroristen Kinderpornographie Ruf schädigen Firmenübernahme (Aktienkurse beinflussen)... Wie beweisen Sie das Sie es nicht waren? Candid Wüest 23
Wie kann ich mich schützen? Bewusster Umgang mit persönlichen Informationen Nutzen sie eventuell einen zweiten E-Mail-Account Überprüfen Sie für was die Daten gebraucht werden Sicherheitssoftware einsetzten (z.b. gegen Phishing) Und auch aktuell halten Kontoauszüge genau überprüfen Gesunde skepsis bei Links, E-Mails und Downloads Verwenden sie sichere Passwörter Ein Passwortmanager kann dabei das Gedächtniss entlasten Candid Wüest 24
Noch Fragen? Candid Wüest 25
Vielen Dank! Candid Wüest candid_wueest@symantec.com