sp3n - stock.adobe.com
Wenn Malware biometrische Daten stiehlt
Mit einer Verbreitung biometrischer Authentifizierungen aus der Ferne wächst das Interesse der Angreifer an den entsprechenden Daten. Nutzer sollten sich des Risikos bewusst sein.
Angriffe auf biometrische Systeme stellen schon seit jeher ein ernsthaftes Problem dar. Bisher waren jedoch alle Angriffe manuell und wurden von einer oder mehreren Personen durchgeführt. Es gab keinen Anreiz, sie zu automatisieren, denn die biometrische Fernauthentifizierung hat sich erst in den letzten Jahren verbreitet. Jetzt jedoch beginnen viele Websites und Dienste, biometrische Authentifizierungsmethoden zu akzeptieren oder sogar zu fordern. Um gegen diese Art von Sicherheitsmechanismen erfolgreich zu sein, müssen Angreifer ihre Methoden verbessern - und genau das haben sie.
Banking-Trojaner erbeutet Face-Scan-Daten
Ein Beispiel dafür liefert die kürzliche Entdeckung des ersten Banking-Trojaners, der Daten zur Gesichtserkennung stiehlt. Dabei werden ahnungslose Nutzer unter anderem dazu verleitet, persönliche Daten und Telefonnummern preiszugeben und werden schließlich auch dazu aufgefordert, Gesichtsscans durchzuführen. Diese Bilder werden dann durch KI-generierte Fälschungen ersetzt, mit denen Sicherheitskontrollen leicht umgangen werden können.
Die Methode, die von einer in China ansässigen Hackergruppe entwickelt wurde, soll Anfang dieses Jahres in Vietnam eingesetzt worden sein, als Angreifer ein Opfer in eine bösartige App lockten, es zu einem Gesichtsscan verleiteten und dann umgerechnet 40.000 Dollar von seinem Bankkonto abhoben. Die Hacker haben augenscheinlich eine neue Kategorie von Malware-Familien entwickelt, die auf das Abgreifen von Gesichtserkennungsdaten spezialisiert sind. Die Cyberkriminellen haben außerdem ein Tool entwickelt, das die direkte Kommunikation zwischen Opfern und Cyberkriminellen ermöglicht, die sich als legitime Bank-Callcenter ausgeben.
Dieser Fall verdeutlicht, dass biometrische Verifizierungen nicht mehr als starke Authentifizierungsmethode betrachtet werden können. Sie sollten wahrscheinlich niemals allein für die Ein-Faktor-Authentifizierung (1FA oder SFA) genutzt werden, besonders nicht in Fernzugriffsszenarien, um wichtige Daten und Systeme ausreichend zu schützen.
Die Schwächen der biometrischen Authentifizierung
Eines der vielen Probleme mit der Biometrie ist, dass viele der üblicherweise verwendeten Merkmale wie Gesicht, Fingerabdruck und so weiter. keine ausreichend vor Diebstahl geschützten Informationen darstellen. Gesichter, Fingerabdrücke und sogar DNA können leicht erhalten, gestohlen und wieder verwendet werden. Sie haben sich bisher nicht als zuverlässige Ein-Faktor-Verifizierer erwiesen. Zudem wird jeder gestohlene biometrische Faktor zu einem dauerhaften Problem für den rechtmäßigen Inhaber.
Da die Mehrheit der Menschen immer noch Passwörter verwendet, ist Malware, die darauf abzielt, Passwörter zu stehlen, eine der am weitesten verbreiteten Arten von Schadsoftware weltweit. Programme, die auf das Stehlen von Passwörtern abzielen, haben bereits Dutzende bis Hunderte Millionen von Passwörtern erbeutet. Mit der zunehmenden Verbreitung von Multifaktor-Authentifizierung (MFA) haben sich viele dieser Passwortdiebstahl-Programme zu MFA-Malware-Programmen weiterentwickelt. Heutzutage sind viele, wenn nicht sogar die meisten Malware-Programme, die auf das Stehlen von Passwörtern abzielen, auch darauf ausgerichtet, MFA-Daten – darunter auch biometrische Informationen – zu entwenden.
Social Engineering ist die Wurzel allen Übels
Mittlerweile werden auch auf internationaler Ebene biometrische Trojaner eingesetzt, wie der eingangs erwähnte Fall eindrucksvoll zeigt. Die dort verwendeten Trojaner der GoldPickaxe-Familie zielen unter anderem bereits auch auf Android-Telefone ab. Wie bei den meisten mobilen Malware-Programmen ist Social Engineering die primäre Verbreitungsmethode. In diesem Fall gab sich der GoldPickaxe.iOS-Trojaner sowohl als Apple-Testplattformprogramm (das anschließend von Apple entfernt wurde) als auch als MDM-Profil (Mobile Device Manager) aus. Anschließend sammelte er Gesichtsprofile und Dokumente und fing SMS-Nachrichten von den Mobilgeräten der Opfer ab.
Die Gesichtserkennungsdaten können dann für biometrische Angriffe genutzt werden, da der Angreifer ein Bild oder digitale Daten des biometrischen Merkmals erhält, was es ihm ermöglicht, dieses nachzuahmen, um es während der Authentifizierung zu verwenden.
„Die Aufklärung von Mitarbeitern und Endnutzern über die Risiken biometrischer Angriffe und die damit verbundenen potenziellen Bedrohungen ist von entscheidender Bedeutung. Darüber hinaus ist die Implementierung technischer Maßnahmen zur Sicherung biometrischer Daten unerlässlich.“
Dr. Martin J. Krämer, KnowBe4
Wenn ein Angreifer jedoch Zugriff auf unverschlüsselte biometrische Daten erhält, kann er ohne weiteres gegenüber Websites und Diensten, die diese Daten verlangen, die Identität seines Opfers annehmen und erfolgreich vortäuschen. Er kann entweder die biometrischen Daten abfangen, wenn sie vom Gerät des Benutzers erfasst werden, oder wenn sie vom Opfer auf seinem legitimen Gerät verwendet werden (was im Wesentlichen einen „Adversary-in-the-Middle"-Angriff auf die biometrische Lösung darstellt). Alternativ kann der Angreifer das biometrische Attribut einfach kopieren, wenn es gespeichert ist. Das Ziel ist es, eine Kopie des biometrischen Merkmals des Benutzers zu erhalten, unabhängig von der Methode.
Sobald der Angreifer das benötigte biometrische Merkmal entwendet hat, kann er es verwenden, um ein Authentifizierungssystem zu täuschen. Manchmal reicht lediglich ein Bild des biometrischen Merkmals aus, um das System zu überlisten. In anderen Fällen erfordert das System, dass die biometrische Probe lebensechte Attribute aufweist, wie zum Beispiel Augenzwinkern oder Veränderungen in der Hautfarbe. In solchen Fällen müssen Hacker das statische biometrische Attribut in Bewegung versetzen, um das Authentifizierungssystem zu überlisten. Dafür nutzen sie KI-gestützte Deepfake-Dienste.
Fazit
Die Aufklärung von Mitarbeitern und Endnutzern über die Risiken biometrischer Angriffe und die damit verbundenen potenziellen Bedrohungen ist von entscheidender Bedeutung. Um dies zu erreichen, sollten regelmäßige Sicherheitsschulungen durchgeführt werden, die nicht nur das Bewusstsein für solche Gefahren schärfen, sondern auch die allgemeine Sicherheitskultur innerhalb der Organisation stärken. Schulungen sind ein wichtiges Element, um das Verständnis und das Bewusstsein für Sicherheitsrisiken zu erhöhen. Sie tragen auch dazu bei, das in jeder Organisation vorhandene menschliche Risiko in Bezug auf die Cybersicherheit zu verringern. Schulungen sind ein wichtiges Element, um das Verständnis und das Bewusstsein für Sicherheitsrisiken zu erhöhen.
Darüber hinaus ist die Implementierung technischer Maßnahmen zur Sicherung biometrischer Daten unerlässlich. Dies umfasst insbesondere die Entwicklung und Anwendung fortschrittlicher Verschlüsselungsmethoden, die gewährleisten, dass biometrische Daten außerhalb gesicherter Umgebungen unbrauchbar bleiben. Durch die Einbindung von Sicherheitsmaßnahmen auf allen Ebenen der IT-Systeme werden die Abwehrmechanismen gegen potenzielle Angriffe signifikant gestärkt. Dies führt zu einem höheren Schutz der sensiblen biometrischen Daten und trägt zur gesamten Sicherheit der Organisation bei.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
