goSecurity BLOG

3,9 Milliarden Personen nutzten 2021 ein Mobiltelefon. Meines Erachtens eine grosse Menge. Bei so einer grossen Anzahl von Geräten kann nicht ausgeschlossen werden, dass damit auch Missbrauch betrieben wird. Solch eine Erfahrung musste ein Bekannter von mir dieses Jahr machen.

Der Grund, dass ich hier diese Geschichte als Blogeintrag aufarbeite, liegt darin, dass es mir wichtig ist Menschen zu helfen, welche sich in einer ähnlichen Lage befinden. Aber auch, um Nutzer von Mobiltelefonen in Bezug auf IT-Sicherheit zu sensibilisieren.

Was meinem Bekannten passierte, kann unter Umständen jedem passieren.

Was passierte

Patrick*, ein Freund von mir, rief mich an und erzählte mir ziemlich aufgebraust, dass er soeben erpresst wurde.

Er machte Videoaufnahmen mit seinem Mobiltelefon und plötzlich erschien eine Skype-Benachrichtigung. In der Skype-Nachricht war ein Screenshot des Instagram und Facebook-Profils seiner Freundin und Schwester zu sehen. Absender der Nachricht war ein gewisser John aus den Philippinen.

Wenige Sekunden nach Erhalt der Nachricht, klingelte sein Telefon. John ruft aus den Philippinen an. Er nahm den Anruf entgegen. John sprach in gebrochenen Englisch und teilte Patrick mit, dass sie direkten Zugriff auf sein Mobiltelefon inklusive Kamera haben und dabei sensible Daten gefunden hätten. Sie drohten Patrick mit einer Veröffentlichung von diesen Daten.

John teilte Patrick mit, dass er 500 Dollar an ihn überweisen sollte. Danach erkundigte er sich nach dem Land, in welchem Patrick wohnhaft sei und wie die Landeswährung gegenüber dem Dollar sei.

Patrick war natürlich perplex und verunsichert. Er machte ja gerade zu diesem Zeitpunkt Videoaufnahmen. Er antwortete, dass er in der Schweiz lebe und der Schweizer Franken stärker sei als der Dollar. Patrick wollte bezahlen, mit dem Gedanken im Hinterkopf, dass danach alles wieder gut sei.

John drängte dazu, dass Patrick die Paypal-App öffne und ihm einen Screenshot der offenen Paypal-App zuschicke. Patrick öffnete die App, schickte jedoch kein Screenshot. Er hatte Angst, Paypal-Informationen preiszugeben, welche eventuell auf einem Screenshot zu sehen wären. Als der Betrüger John kein Screenshot bekam, wurde er ziemlich wütend und verlangte in einem forschen Ton den Screenshot zu bekommen, Patrick verneinte. Danach verlangte John, dass Patrick eine weitere Transaktion-App herunterlädt. Patrick verneinte erneut. John beendete das Telefonat.

Kurze Zeit darauf bekam Patrick eine weitere Skype-Benachrichtigung. Die Nachricht enthielt einen weiteren Screenshot. Auf dem Screenshot war zu sehen, wie Mia Johnson (Johns Instagram) an Patricks Freundin eine private Instagram Nachricht geschickt hat. In der Nachricht war ein Link zu den Daten von Patrick.

Patrick rutschte das Herz in die Hose. Dass seine Freundin zu diesem Zeitpunkt am Arbeiten und nicht erreichbar war, half nicht. Da Patrick jedoch wusste, dass es keine Daten sein können, welche die Beziehung gefährden, fasste er sich wieder.

Als wäre das nicht genug nervenaufreibend, kam bereits der zweite Anruf aus den Philippinen. Wieder stellte sich die Person am Telefon als John vor, jedoch war es eine andere Person als zuvor. John sprach nun viel besser Englisch, war aber um einiges aggressiver. Er teilte Patrick mit, dass der Preis für seine Daten vor fünf Minuten 500 Dollar betrug. Jetzt sei der Preis bei 1000 Dollar. Wenn er jetzt nicht bezahle, würde er Patricks Leben zerstören. Er würde Patricks Daten im Internet veröffentlichen, auf allen Plattformen!

Patrick wurde es zu viel, er teilte John mit, dass er die Polizei eingeschaltet habe und diese ihn finden würden. Es wurde ganz kurz still am anderen Ende des Telefons. Danach versuchte John erneut Druck aufzubauen, in dem er Patrick sagte, dass er alle Daten auch an sein ganzes Umfeld verschicken werde! Sie liessen nicht mit sich spassen und meinten es ernst.

Patrick legte auf und blockierte den Skype-Kontakt. John machte ernst und schickte Links zu den Daten an Patricks Schwester und an zwei seiner Freunde.

Patrick löschte sogleich sein Instagram und Facebook-Profil, um den Erpressern den Wind aus den Segeln zu nehmen. Auch meldete er den Plattformen den Benutzeraccount von John (Mia Johnson).

Die Freundin von Patrick bekam danach über drei Tage Freundschaftsanfragen von ihr nicht bekannten Personen, welche im asiatischen Raum wohnhaft sind. Ansonsten wurde es ruhig um John und bis heute fanden keine weiteren Kontaktversuche statt. Auch wurden die Daten nicht an ein weiteres Umfeld verschickt. Wie die Erpresser auf das Smartphone zugreifen konnten wird im weiteren Teil dieses Blogs erklärt.

Verhalten während eines Angriffes

Bezahlen Sie nicht. Es ist nicht garantiert, dass nach einer Zahlung nicht doch Daten veröffentlicht werden, oder weiteren Zahlungen erpresst werden. Wer in solch einer Situation Ruhe bewahren kann, tut gut darin, nicht sofort alles was möglich ist zu löschen. Beweise für eine spätere Analyse bzw. für eine Strafanzeige können sehr wertvoll sein. Versuchen Sie sich von der Situation soviel wie möglich im Kopf zu behalten.

Nach einem solchen Angriff

Ich empfehle nach so einem Vorkommnis, das Telefon auf seine Werkseinstellungen zurückzusetzen. Das Löschen von Apps und das Bereinigen des Telefons genügt meiner Meinung nach nicht. Natürlich muss zuerst eine Sicherung der wichtigen Dateien erfolgen.

Sehr wichtig ist, dass Sie Ihre Passwörter ändern. Nach solch einem Ereignis ist das ein Muss. Wählen Sie neue sichere Passwörter mit mindestens 12 Zeichen, Sonderzeichen und Gross-/Kleinbuchstaben.

Folgende Passwörter müssen geändert werden:

• Online-Banking
• E-Mail (beruflich und privat)
• Apple ID oder Google-Konto
• Telefon-Code
• Alle sozialen Medien

Ich persönlich würde jedoch empfehlen, alle Passwörter zu ändern. Social-Media Konten müssen nicht komplett gelöscht werden; bei den meisten Anbietern können Profile auf inaktiv gesetzt werden. So können diese später wieder aktiviert werden.

Informieren Sie Ihr Umfeld. Wenn Sie proaktiv auf Ihr Umfeld zugehen, ist die Wahrscheinlichkeit um einiges kleiner, dass jemand Bekanntes auf den Link der Erpresser klickt.

Erstatten Sie Anzeige bei der Polizei und reden Sie mit Freunden über das Ereignis. Dies hilft bei der Verarbeitung.

Wie konnte Patricks Smartphone gehackt werden

In diesem Fall eine schwierig zu beantwortende Frage, da eine Analyse des Gerätes nicht möglich war. Mithilfe von Patricks Aussagen, liessen sich jedoch die Möglichkeiten auf zwei Varianten eingrenzen.

1. Er installierte vor einiger Zeit die sehr fragwürdige „QR Code & Barcode – Scanner“ App aus dem Playstore und gab diesen die Berechtigungen, um auf den Speicher, Kamera und Mikrofon zuzugreifen. Diese App ist laut https://www.laptopmag.com/news/dont-download-this-malicious-android-app-it-lets-hackers-spy-on-your-bank-info-crypto-and-texts genau für eine solche Attacke gemacht. Die App verlangt nach der Installation ein Update (nicht über Google Playstore, welcher normalerweise die Updates ausliefert), danach will die App hohe Berechtigungen auf dem Mobiltelefon. Wer hier das Update macht und die Berechtigungen erlaubt, öffnet die Tür für solch einen Angriff.
2. Er klickte auf seinem Mobiltelefon auf den Link in einer Phising-E-Mail. Durch solch einen Klick kann unter anderem Schadsoftware auf das Mobiltelefon gelangen.

Was noch zu erwähnen ist: Patricks Telefon war auf dem aktuellsten Stand.

Kann mir das auch passieren?

Ja, wie am Beispiel von Patrick schwer zu erkennen ist. Patrick ist eine ganz normale Person, ohne öffentliches Interesse, ohne hohe geschäftliche Position oder sonst was. Das Telefon, welches wichtige Konten und Daten an einem Ort vereint, ist ein sehr lukratives Ziel für Erpresser. Es ist daher umso wichtiger, dass man sich mit dem Thema IT-Sicherheit bei dem Mobiltelefon auseinandersetzt und gewisse Grundregeln beachtet.

Richtiger Umgang am Mobiltelefon

• Keine fragwürdigen Apps herunterladen
  Prüfen Sie die Bewertungen im Store. Nur weil sich eine App im Play- oder AppStore befindet, heisst dies nicht, dass diese auch sicher ist. Google und Apple tun ihr Bestes um die Sicherheit der Apps zu gewährleisten, jedoch können diese Kontrollmechanismen auch versagen. Wenn die Sicherheit der App nicht überzeugt, rate ich von einer Installation ab.
• Nur offizielle Stores benutzen
  Es gibt inoffizielle App-Stores mit Apps, welche nicht auf Play- oder AppStore zu finden sind. Da oft auch ein Jailbreak für das Installieren von solchen Apps eine Voraussetzung ist, verzichten Sie auf solche Apps.
• Keine Passwörter in den Notizen
  Ein gehacktes Telefon ist ärgerlich genug. Falls Sie Ihre Passwörter im Klartext in den Notizen speichern, ist dies ein gefundenes Fressen für Angreifer. So können weitere Accounts von Ihnen gehackt werden.  Nutzen Sie einen Passwortmanager.
• Zugangs-Sperre verwenden
  Ihr Telefon beinhaltet viele sensible und persönliche Daten. Diese gilt es zu schützen. Verwenden Sie daher einen komplexen PIN, welcher nicht zu einfach zu erraten ist. Noch besser ist ein Passcode mit Zahlen, Buchstaben und Sonderzeichen. Auch biometrische Entsperrmöglichkeiten bieten einen guten Schutz.
• Berechtigungen restriktiv verteilen
  Berechtigungen erlauben Apps den Zugriff auf gewisse Dienste und Daten (Medien, Mikrofon, Kamera etc.) auf Ihrem Telefon. Jede App braucht zwar Berechtigungen auf dem Telefon, um richtig funktionieren zu können, aber nicht jede App braucht alle Berechtigungen. Z.B. Eine Spiel-App braucht meistens keinen Kamera-Zugriff. Verteilen Sie Berechtigungen restriktiv, weniger ist mehr
• Betriebssystem und Apps updaten
  Apps können Programmierfehler aufweisen, die von Hackern ausgenutzt werden. App-Updates werden mit Fehlerbehebungen geliefert, um diese zu beheben. Dasselbe gilt für Ihr Betriebssystem. Aktivieren Sie automatische Updates für Apps und Betriebssysteme und spielen Sie Ihr Telefon-Update ein, sobald ein Update zu Verfügung steht.
• Vorsichtiges anklicken von Links
  Es sind viele Phising-SMS und Phising-Mails im Umlauf. Seien Sie sehr vorsichtig bei solchen Nachrichten und klicken Sie nicht unüberlegt auf Links in solchen Nachrichten.
• Behalten Sie Ihr Telefon bei sich
  Der physische Zugang ist die einfachste Möglichkeit für einen Hacker, Ihr Telefon zu beschädigen. Diebstahl kann dazu führen, dass Ihr Telefon geknackt wird.

Anzeichen eines Hacks

Auch Patricks Telefon hat sich in den letzten Tagen vor dem Anruf aus den Philippinen anders verhalten als sonst.

• Ungewöhnlicher hoher Akkuverbrauch
  Malware und betrügerische Apps verwenden manchmal bösartige Codes, die einen hohen Energieverbrauch haben.
• Langsames Telefon
  Unerwartetes Einfrieren, Abstürze und unerwartete Neustarts können Symptome sein. Bösartige Apps können die Rechenleistung des Telefons beeinflussen.
• Seltsame Aktivitäten auf Ihren Konten
  Wenn ein Hacker in Ihr Telefon eindringt, wird er versuchen Zugang zu Ihren wertvollen Konten zu erhalten. Überprüfen Sie Ihre sozialen Netzwerke und E-Mails auf Aufforderungen zum Zurücksetzen des Passworts, ungewöhnliche Anmeldeorte oder Bestätigungen für neue Kontoanmeldungen.
• Komische Anrufe oder Texte in den Protokollen
  Sehen Sie Anrufe, welche Sie nicht getätigt haben, oder Nachrichten, welche Sie nicht verschickt haben, kann dies ein Indiz für einen Angriff sein.

Fazit

Die Erpresser haben sicherlich mit einem Gewinn gerechnet. Der Aufwand, welcher betrieben wurde, um an Geld von Patrick zu kommen, war gross. Neben dem Aufwand ist auch das Risiko erwischt zu werden bei solchen Angriffen grösser, als bei solchen ohne persönlichen Kontakt. Ich denke, solche Angriffe haben eine grosse Erfolgschange, da viele Personen bezahlen. Dies war ja auch Patricks erster Impuls. Da solche Angriffe oft von den Betroffenen als peinlich angesehen werden, wird nicht viel darüber gesprochen bzw. keine Anzeige erstattet. Dies sollte jedoch unbedingt gemacht werden. Auch sollte man darüber sprechen, da es eine grosse psychische Belastung auslösen kann.

Solch ein Ereignis kenne ich aus Fachartikel, meistens jedoch in einem fernen Land. Einen solchen Angriff jedoch bei einem Bekannten zu erleben und „Erste Hilfe“ zu leisten, kannte ich bis anhin nicht. Es zeigte mir auf, wie real die Gefahr eines Angriffes ist und machte mir ein weiteres Mal bewusst, dass es wichtig ist einen IT-sicherheitstechnischen guten Umgang mit meinem Telefon zu führen.

*Personennamen geändert