Test zeigt: Jeder Zweite steckt fremde USB-Sticks an

Fremde USB-Sticks könnten mit Malware infiziert sein, deshalb sollte man sie nie einfach so an seinen Rechner anstecken. Diese Regel sollte mittlerweile bekannt sein. Immer wieder ist es in der Vergangenheit schließlich zu Vorfällen gekommen, wo Kriminelle über vermeintlich vergessene USB-Sticks Schadsoftware in Firmennetzwerke eingeschmuggelt wurde, um beispielsweise die Login-Daten der Mitarbeiter zu stehlen und in Folge wichtige Daten aus der Firma zu entwenden.

Nun hat Elie Bursztein, Leiter von Googles Anti-Abuse Team, einmal mehr getestet, ob Menschen noch immer gerade gefundene USB-Sticks an ihren Rechner anschließen. Die Ergebnisse hat er auf der Black Hat USA-Konferenz präsentiert und sie sind schockierend: Von 297 USB-Sticks, die der Forscher auf Parkplätzen, im Außenbereich der Universität, in Hörsälen oder auf dem Gang deponiert hatte, wurden 98 Prozent mitgenommen. 45 Prozent der Finder steckten den Stick an und klickten auf Dateien, die auf dem Stick drauf waren.

Ergebnisse

Bursztein hatte die USB-Sticks zwar nicht mit Malware infiziert, aber eine Funktion eingebaut, die diese „nach Hause telefonieren“ ließ. Es waren auf den Sticks nämlich auch Dateien drauf, die sich als JPG oder Word-Datei getarnt haben, aber in Wahrheit HTML-Dateien waren, wodurch der Security-Forscher genau sehen konnte, welcher Stick wie schnell nach dem Fund angesteckt wurde und welche Dateien geöffnet wurden. Genau auf diesem Weg lassen sich von herkömmlichen Angreifern etwa Login-Daten und Passwörter ihrer Opfer ausspionieren. Wenn die USB-Sticks gezielt vor bestimmten Mitarbeiter-Parkplätzen ausgestreut würden, wäre die Chance immerhin sehr hoch, dass der Angriff erfolgreich sein würde.

In einer anschließenden Befragung, bei der immerhin noch 21 Prozent der Personen, die die Sticks an ihren eigenen Rechner ran ließen, mitgemacht haben, gaben 68 Prozent der Teilnehmer an, dass sie lediglich nach Dateien gesucht hätten, um den Besitzer zu identifizieren, um den Stick zurückgeben zu können. 18 Prozent gaben zu, einfach neugierig gewesen zu sein.

Parkplatz beliebt

Die USB-Sticks, die auf Parkplätzen fallen gelassen worden waren, wurden mit einer Rate von 53 Prozent am häufigsten eingesteckt. Die Rate beim Außenbereich der Universität lag bei 47 Prozent, in Hörsälen bei 43 Prozent und im Gang bei 41 Prozent. An den USB-Sticks, an denen sich auch noch ein Schlüssel befand, wurden die Bild-Dateien am häufigsten aufgerufen.

Bursztein erklärte in seinem Vortrag auf der Black Hat in Folge, wie Angreifer noch vorgehen können, um ihre Spionage-Versuche besonders effektiv zu gestalten. Der Forscher demonstrierte etwa einen USB-Stick, in dessen Inneren ein Teensy-Board versteckt war, das sich gegenüber dem Rechner als Tastatur anmeldet und identifiziert. Der Stick schmuggelt per gefakter Tastatureingaben Kommandos auf den Rechner des Opfers, die das Gerät kompromittieren. Damit lassen sich zum Beispiel Skripte eintippen, die einen Backdoor öffnen. Eine direkte Interaktion des Opfers ist bei dieser Art der Attacke nicht erforderlich.

USB-Trojaner und Zero Day-Lücken

Dass es derartige USB-Trojaner gibt, ist eigentlich auch schon länger bekannt. Die USB-Sticks sehen von außen aus wie ganz normale Sticks, enthalten in Wirklichkeit aber kleine Computer, die sich als Tastatur ausgeben. Sich gegen derartige Angriffe zu schützen, ist schwierig und mit Anti-Viren-Software nicht möglich.

Noch gefährlicher sind laut Bursztein aber sogenannte Sticks, die Zero-Day-Lücken eines bestimmten Betriebssystems oder einer bestimmten Software ausnutzen. Angreifer müssten hier etwa bereits wissen, welche Software im Unternehmen zum Einsatz kommt, um Schaden anzurichten. Dann spielen sich die Angriffe aber fast immer ab, ohne dass es die Opfer mitkriegen und sind daher besonders gefährlich.

Infiziertes Werbegeschenk

Der Sicherheitsforscher Bruce Schneier kritisiert daher seit Jahren, dass das Problem nicht die Menschen seien, die die USB-Sticks anschließen, sondern die Computer-Software, die den Sticks blind vertraut. Solange es dafür keine Lösung gibt, gilt die Devise: Auf jeden Fall die Finger von fremden USB-Sticks, die auf der Straße oder am Parkplatz herumliegen, lassen.

Auch bei Werbegeschenken sollte man jedoch vorsichtig sein. So hat der Mobilfunkbetreiber O2 seinen Firmenkunden in Großbritannien erst kürzlich eine USB-Pen geschenkt, die mit Malware infiziert war. Die USB-Pen war mit einem Virus infiziert, der Remote-Zugriff auf Windows-Systeme ermöglicht.