Home Office Hack – Live

von Wolfgang Meidenbauer  |  veröffentlicht am

Das Live Video zum Post. Sie meinen, der Aufwand für einen Cyber Angriff auf eines ihrer Home Offices und damit ihr Unternehmen lohnt sich nicht?

Dieses Video zeigt einen extrem kostengünstigen Angriff mit fataler Wirkunglive durchgespielt. Echte Hacker werden sich langweilen. Der in diesem Fall Betroffene langweilt sich gar nicht.

Es nimmt den Faden aus meinem Post „Home Office Hack am konkreten Beispiel – die Gefahr ist real!“ auf, den ich allen wärmstens empfehle, die auf Details und Technik verzichten wollen.

Die Konkurrenz kannte den Preis ihres „letzten Angebotes“ bereits? Ihre Kunden erhalten perfekte Phishing Mails von ihrem Mail Server? Ihr Rechner war Teilnehmer einer DDoS Attacke?

Genau so könnte es gelaufen sein.

Recap – das haben Sie gesehen

Das Ergebnis dieses Angriffes beinhaltet

  • Ausspähen eines Home Office Netzwerks
  • Problemloser, automatisierbarer und damit kostengünstiger Angriff
  • Vollständige Übernahme eines Systems in diesem Netz
  • Einschleusen von Software
  • Einrichten eines permanenten Zugangs
  • Fernsteuerung dieses Systems, auch über das Internet
  • Ausspähen von Daten und Vorbereitung weiterer Angriffe

und das in folgendem Kontext

  • Nur eine Ausprägung eines solchen Angriffes – es gibt viele Varianten
  • Keineswegs hypothetisch sondern aus der täglichen Arbeit
  • Im Home Office Netz quasi unsichtbar durchzuführen
  • Schwachstelle war keine fehlerhafte Software sondern leichtsinnige Konfiguration

Risiken

Die entstehenden Risiken sind vielfältig und manche werden zu leichtfertig als „nicht relevant“ abgetan. Ein Fehler denn sie umfassen

  • Mitlesen im Netzwerk (Druckdaten, Dateien auf NAS, Surfverhalten)
  • Ausgangspunkt für Angriffe auf Dritte (z.B. als Relay Station oder als Knoten in Botnet) und auf Unternehmens-Notebooks
  • Umlenken auf gefälschte WebSites und Phishing „von Innen“
  • Ausnutzen zu späterem Zeitpunkt

Hintergrund

Das Home Office rückt in den Blickwinkel der Hacker.

  • Starke und steigende Nutzung – je nach Studie von mindestens 30% aller Bildschirm Arbeitskräfte
  • Stiefmütterliche Behandlung – je nach Umfrage haben mindestens 40% der befragten IT Verantwortlichen keinen Einblick in die dortige IT Sicherheit
  • Geringe Sensibilisierung – je nach Studie wissen mindestens 30% aller Nutzer nicht, wie sie sich bei einem sicherheits-relevanten Vorfall verhalten sollen

Das ergibt eine gefährliche Mischung. Es macht das Home Office zu einem potentiellen Einfallstor, bei dem mit vergleichsweise geringem Aufwand häufig sehr viel erreicht werden kann. Damit wird es zu einem Ziel automatisierter Angriffe, die geduldig auf ihre Chance warten – denn genau das ist die Stärke automatisierter Systeme.

Lassen Sie es nicht so weit kommen!