PDF 941kB - Hochschule Ulm
PDF 941kB - Hochschule Ulm
PDF 941kB - Hochschule Ulm
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
5 Sicherheitsschwachstelle: Social Engineering<br />
Da Smartphone Betriebssysteme wie Windows Phone 8 und Android 4.3 robuste Schutzmechanismen<br />
anbieten, wie z.B. Isolation von Apps, ist es schwierig für Angreifer diese<br />
zu umgehen. Sollte dennoch ein Angreifer dies schaffen, helfen eine Defense-in-Depth-<br />
Strategie, wie es in [Tan09], S. 800ff., beschrieben ist, die Auswirkungen des Angriffs zu<br />
begrenzen. Statt nach Fehlern in den unteren Schichten von NFC oder in Betriebssystemkomponenten<br />
zu suchen, wird vielmehr auf höherer Ebene versucht das Verhalten von<br />
Menschen zu beeinflussen. Dieser Angriff wird auch als Social Engineering bezeichnet<br />
[SMK01]. Auch beim Eurograbber Angriff, der in Kapitel 4.1 bereits kurz angesprochen<br />
wurde, wird Social Engineering angewendet, um den Anwender zu täuschen. In [KB12]<br />
wird der grobe Ablauf von Eurograbber wie folgt beschrieben: Ein Anwender infiziert<br />
seinen Computer mit einem Trojaner. Beim nächsten Login für das Onlinebanking, wird<br />
der Trojaner aktiv. Der Trojaner modifiziert die Webseite und zeigt dem Anwender eine<br />
Meldung an zum Durchführen eines ”<br />
security upgrades“. An dieser Stelle wird der<br />
Anwender darum gebeten seine Handynummer einzugeben und sein Smartphone Betriebssystem<br />
auszuwählen. Nach Eingabe der Daten, erhält der Anwender eine SMS auf<br />
seinem Smartphone. In der SMS wird der Anwender gebeten eine verlinkte App herunterzuladen<br />
und zu installieren um das ”<br />
security upgrade“ abzuschließen. Parallel dazu<br />
wird der Trojaner am Computer aktiv und zeigt eine Nachricht, in der der Anwender<br />
aufgefordert wird, seinen Aktivierungscode einzugeben. Nachdem die App installiert und<br />
gestartet wurde, zeigt diese den geforderten Aktivierungscode an. An dieser Stelle sind<br />
die Angreifer in der Lage, Geld vom Konto der betroffenen Person unbemerkt auf andere<br />
Konten zu überweisen. In Kapitel 4 wurden die Schutzmechanismen von Smartphone<br />
Betriebssystemen vorgestellt. Bei Eurograbber wird das Vertrauen vom Anwender in<br />
die Bank missbraucht. Dies beginnt bei der Eingabe der Handynummer und der Wahl<br />
des Smartphone Betriebssystems. Beim Erhalt der SMS wird der Anwender aufgefordert<br />
eine App für das Android Betriebssystem außerhalb des Google Play Stores zu<br />
installieren. Durch das Vertrauen in die Bank ignorieren die Anwender typischerweise<br />
die vom Android Betriebssystem angezeigte Warnung, die vor der Installation von Apps<br />
aus Fremdquellen warnt.<br />
Die Analogie zu NFC besteht darin, dass eingehende Informationen entwendet werden<br />
können. Bei Eurograbber operiert ein Trojaner im Hintergrund auf dem Smartphone und<br />
wartet darauf, bis eine mTAN SMS ankommt. Bei Ankunft einer mTAN SMS versendet<br />
der Trojaner diese weiter zu den Servern des Angreifers und löscht die SMS anschließend,<br />
ohne dass der Anwender etwas davon mitbekommt. NFC ist aber ein anderer Kommunikationskanal<br />
als SMS. Daher ist typischerweise die App, die NFC-Inhalte empfangen<br />
soll, bereits offen oder sie registriert ein URI-Schema, das beim Empfangen von NFC-<br />
Inhalten mit dem URI-Schema das Öffnen der App auslöst. In Abbildung 14 wird dies<br />
veranschaulicht.<br />
27