Phishing per NFC

Ein ganzes Bündel an neuartiger Attacken auf verschiedene mobile Endgeräte zeigten Sicherheitsexperten live auf der RSA Konferenz. Darunter auch eine neue Form von Phishing.

In Pocket speichern vorlesen Druckansicht 63 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Uli Ries
  • Daniel Bachfeld

Stuart McClure, Technik-Chef von McAfee und einige seiner Kollegen haben während der RSA Conference 2012 eine ganze Reihe verschiedener Angriffe auf Mobile Devices demonstriert. So zeigten sie einen Angriff auf ein NFC (Near Field Communication)-fähiges Smartphone: Der Angreifer bringt einfach ein modifiziertes NFC-Tag auf einem legitimen Träger wie einem Werbeposter auf. Im Fall der Live-Demo verwendeten die Forscher einen Spendenaufruf des Roten Kreuzes, wie er in verschiedenen europäischen Städten an Bushaltestellen zu sehen war.

Das reguläre NFC-Tag des Posters leitete den Browser auf die Spenden-Website des Roten Kreuzes weiter, damit dort die Daten des Spenders erfasst werden können. Das modifizierte zweite Tag leitete den Smartphone-Browser jedoch zu einer Phishing-Site um, die vorgab, zum Roten Kreuz zu gehören. Laut McClure wurde dieser Angriff bereits in der Praxis gesichtet.

Daneben zeigte McClure, wie man ein iPad unter seine Kontrolle bekommt. Klickt ein Opfer auf einen Link in einer Mail, wird ein PDF heruntergeladen und über eine Schwachstelle in der PDF-Verarbeitung von iOS unbemerkt eine Schadsoftware installiert. Zwar setzte die Attacke auf eine von Apple längst geschlossene Schwachstelle auf. Aber der Experte geht davon aus, dass auch neuere iOS-Versionen immer wieder per Jailbreak angreifbar sein werden.

Ist das Gerät verseucht, baut es eine Verbindung zum Command & Control-Server auf und gibt beispielsweise seinen Aufenthaltsort bekannt. Ein Klick auf das in Google Maps dargestellt Symbol auf dem System des Angreifers erlaubt dann verschiedene Aktionen: Das Auslesen der SMS-Datenbank, Aufzeichnen der Umgebung mittels des Mikrofons oder auch das Auslesen der Keychain. In dieser sind alle auf dem Gerät abgelegten Passwörter für Anwendungen und Online-Dienste gespeichert. (dab)