Welche Arten von Sicherheitsrisiken gibt es?
Das SMS-Hijacking:
Durch wenig Aufwand können SMS-Nachrichten mit Einmalpasswörtern abgefangen werden.
So präsentiert der Sicherheitsforscher Lucky225 dem US-Magazin Vice, es ist ihm ohne Probleme möglich, beliebige SMS-Nachrichten auf sein Handy umzuleiten.
Der Angriff nutzt eine riesige Datenbank in der USA mit SMS-Routing-Informationen aus. Über die Override Services Registry (OSR) werden die Einträge geroutet. Dienste die diese OSR-Einträge benutzen um Nummern umzuleiten, können missbraucht werden. Diese speziellen Fälle gibt es aber nur im nordamerikanischen Raum und sie lassen sich so nicht einfach auf Deutschland übertragen.
Man-in-the-Middle-Angriff
Bei einem Man-in-the-Middle-Angriff handelt es sich um eine Angriffsart, bei der sich der Hacker, zwischen das Opfer und der von ihm verwendeten Hard bzw. Software schaltet.
Es können dabei Nachrichten abgehört werden bzw. der Kriminelle kann sich als eine der beiden Personen ausgeben. Für die Angriffe können bestimmte Programme oder Geräte genutzt werden, für den Erfolg des Hackers ist es wichtig, dass er dabei unerkannt bleibt. Die Informationen die der Hacker erhält, kann er benutzen um weitere Straftaten wie: Identitätsdiebstahl, Stehlen vom geistigen Eigentum oder auch das Fälschen von kompletten Transaktionen zu begehen.
Es können dabei Nachrichten abgehört werden bzw. der Kriminelle kann sich als eine der beiden Personen ausgeben. Für die Angriffe können bestimmte Programme oder Geräte genutzt werden, für den Erfolg des Hackers ist es wichtig, dass er dabei unerkannt bleibt. Die Informationen die der Hacker erhält, kann er benutzen um weitere Straftaten wie: Identitätsdiebstahl, Stehlen vom geistigen Eigentum oder auch das Fälschen von kompletten Transaktionen zu begehen.
Social Engineering
Durch Social Engineering ist es den Tätern möglich, falsche Identitäten oder Absichten vorzutäuschen. Damit können sie Informationen, Daten oder ähnliches erhalten. Die Kriminellen geben sich als Techniker oder als Mitarbeiter von Konzernen von Telekommunikationsunternehmen aus. Die Opfer werden zu der Preisgabe ihrer Logindaten oder Kontoinformationen gedrängt. Ein gängiges Mittel sind täuschend echt aussehende E-Mails die die Opfer auf gefälschte Webseiten weiterleitet und dort Anmeldeinformationen abfängt.
Identitätsdiebstahl
Für die Online-Authentifizierung, lassen sich Client-seitige Zertifikate benutzen. Diese bieten eine Möglichkeit einer Zwei-Faktor-Kontrolle und ermöglichen eine Authentifizierung zwischen Clients und Servern. Falls Client-seitige Zertifikate gestohlen werden können, kann die Authentifizierung umgangen und so Identitätsdiebstahl begangen werden.
SQL-Injection
Eine SQL-Injection ist eine der häufigsten Angriffsarten. Über eine SQL-Injection kann Code eingeschleust werden, so können Hacker Informationen ausspähen oder sogar manipulieren. Im Worst Case erhalten die Hacker Kontrolle über die ganze Datenbank.