Klicklose Angriffe – so funktionieren sie

Noch benötigen die meisten Cyberattacken irgendeine Form der Interaktion mit dem Opfer, sei es, dass es auf einen Link klickt, ein Makro zugelassen oder ein Programm gestartet wird, sei es, dass ein Passwort auf einer manipulierten Webseite eingegeben wird. Doch in letzter Zeit werden vermehrt auch Angriffe beobachtet, die ganz auf dieses Mitwirken der Attackierten verzichten, was sie besonders bedrohlich macht. Es handelt sich dabei um "klicklose Angriffe" oder Zero-Click-Attacken.

"Wenn es keine Interaktion mit den Anwendern braucht, heißt das auch, dass es keine Möglichkeit gibt, die Anwender für diese Art der Angriffe zu sensibilisieren", betont etwa Aamir Lakhani, Cybersecurity-Analyst bei Fortinets Fortiguard Labs in einem Podcast des Unternehmens.

Wie bei Angriffen, die eine Interaktion des Opfers benötigen, ist das Ziel von Zero-Click-Attacken meistens die Installation von Malware auf einem System. Allerdings sind diese Angriffe sehr knifflig, benötigen sie doch eine Schwachstelle, die erstens noch nicht bekannt ist, also eine Zero-Day-Lücke. Zweitens muss diese auch die geplanten Automatismen auszuführen erlauben. Diese Kombination bedeutet, dass die Lücken sehr teuer sind – sie können Millionen-Dollar-Beträge erreichen – und daher auch meist nur von staatlichen Akteuren nachgefragt werden.

Folglich handelt es sich bei den meisten der bislang bekannt gewordenen Zero-Click-Angriffe um Spionageprogramme, die auf Smartphones von hochkarätigen Opfern installiert wurden. Bekanntestes Beispiel ist dabei Pegasus von der israelischen Firma NSO Group. Diese wurde in der Regel über entsprechende Exploits von passenden Zero-Day-Lücken ausgeliefert. Abnehmer waren Regierungen, welche die Spyware zur Strafverfolgung, für Spionagetätigkeit und in einigen Fällen auch zur Überwachung von Journalisten, Aktivisten und anderen relevanten Persönlichkeiten einsetzten.

Oft installieren sich solche Spionageprogramme über Messenger, da diese schon von ihrer Konzeption her Dinge ohne das Zutun der Anwender ausführen. So ist es denkbar, dass Angreifer eine präparierte Nachricht an das Smartphone schicken, die dann via Push- und Benachrichtigungs-Funktion selbsttätig geöffnet wird, dadurch Malware installiert sowie sich nach getaner Arbeit durch die Timer- und Selbstlöschfunktionalität wieder selbst vernichtet.

Allerdings sind Zero-Click-Attacken nicht nur auf solche spezialisierten Angriffe beschränkt. In bereits erwähntem Podcast spricht Fortinets Lakhani davon, dass auch die im letzten Jahr entdeckte "Follina"-Schwachstelle in Microsoft-Office-Produkten dazu verwendet wurde, Malware ohne Zutun der Anwender und ohne das Starten von Makros zu installieren. Vielmehr konnte HTML-Code über das Microsoft Support Diagnostic Tool (MSDT) ausgeführt werden. Laut Lakhani wurde die Follina-Lücke, für die es mittlerweile Patches gibt, in der Folge unter anderem für die Verbreitung der Schadsoftware Quakbot verwendet, die wiederum dazu diente, weitere Malware nachzuladen, darunter Ransomware.

Auch wenn es die Zero-Click-Attacken darauf anlegen, ohne das Zutun der Angegriffenen Malware zu installieren, gibt es zumindest einige Strategien, die das Risiko minimieren, Opfer eines solchen Angriffs zu werden.

So ist eine generelle Cyberhygiene auch hier nützlich. Das heißt, dass das eigene Smartphone und die darauf installierten Apps immer mit neusten Updates aktuell gehalten werden sollten. Apps, die nicht mehr verwendet werden, löscht man am besten. So wird die Möglichkeit von Zero-Day-Schwachstellen, die ausgenutzt werden können, ebenfalls verringert.

Schließlich raten Experten dazu, Apps nur aus den jeweiligen offiziellen App-Stores zu laden. Auch den Installationsschutz von Dritt-Apps durch das sogenannte Jailbreaking oder Rooting auszuhebeln, ist eine schlechte Idee, wenn man sich vor Zero-Click-Angriffen schützen möchte.

Daneben empfiehlt es sich, Pop-ups jeder Art zu unterbinden, so etwa im Browser. Auch wer die Benachrichtigungsfunktion von Apps ausschaltet, also verhindert, dass Mitteilungen von selbst auf dem Smartphone-Display auftauchen, dürfte das Leben der cyberkriminellen Zero-Click-Angreifer erschweren.