Sollten Sie einen gefundenen USB-Stick benutzen?

5 Aug 2016

Hier ist ein Szenario für Sie: Sie laufen herum, fangen Pokémon, genießen die frische Luft, führen Waldi Gassi, und auf einmal fällt Ihnen etwas ins Auge. Es ist ein USB-Stick und er liegt mitten auf dem Gehweg.

Should you use that USB key you found?

Volltreffer! Das ist wie Weihnachten! (Ein sehr kleiner) Lottogewinn! Jetzt stellt sich die Frage, was sich auf dem Gerät befindet. Partyfotos? Teuflische Weltherrschaftspläne? Die Hausaufgaben eines Studenten? Das können Sie nicht wissen, es sei denn…

Bleiben wir bei diesem Punkt. Würden Sie sich selbst in dieser Situation wiederfinden, was würden Sie tun? Würden Sie den Stick einstecken oder ihn einfach in die nächste Mülltonne werfen? Wenn Sie ihn einstecken würden, dann sind Sie nicht der Einzige – obwohl Sie das wirklich nicht machen sollten.

Diese Woche hielt Elie Burztein bei Black Hat einen Vortrag mit den Ergebnissen eines kleinen sozialen Experiments, das sein Team durchführte. Sie verteilten 297 USB-Sticks auf dem Campus der University of Illinois (natürlich mit der Erlaubnis der Universität). Die Sticks enthielten ein harmloses Skript, das die Forscher informierte, wenn ein Gerät in einen Computer eingesteckt wurde, und schickte ihnen Informationen zu Zeitpunkt und Ort.

Die Ergebnisse waren aufschlussreich: 45% der USB-Sticks wurden in einen Computer eingesteckt, meistens innerhalb von 10 Stunden, nachdem er gefunden wurde. Überraschenderweise sagten 68% der Personen, die einen der Sticks gefunden hatten, dass sie ihn eingesteckt hatten (in einer Umfrage des Tests), um ihn dem Besitzer zurückzugeben — Menschlichkeit überwiegt! (Obwohl dies die guten Vorsätze sein könnten, mit denen der Weg zur Hölle gepflastert ist.)

Hier ist das Fazit: Wenn Sie sich in einer Situation wie die Studenten der University of Illinois wiederfinden und einen USB-Stick vor Ihren Füßen liegt, sollten Sie ihn liegen lassen. Natürlich könnten Sie die pikanten Fotos oder Steuererklärungen von jemanden finden, aber Sie könnten auch Opfer eines Kriminellen werden.

Burztein führte die Studie durch und hatte keine schlechten Absichten. Das Skript auf den USB-Sticks war gutartig, und der Test wurde gewissenhaft ausgeführt. Das gleiche kann jedoch nicht über den USB-Stick gesagt werden, den Sie vor sich haben.

Das Anschließen des Geräts kann zu ernsthaftem Schaden führen: Es kann einen Angriffszugang auf Ihren Computer erstellen und Tastenanschläge verfolgen (einschließlich Passwörter). Es könnte Ihren Computer mit Ransomware infizieren.

Aus Sicht eines Cyberkriminellen ist das eine guter Deal: Die Höhe des Gelds auf Ihrer Kreditkarte, das der Key-Logger stehlen könnte, oder das Lösegeld, das der Cryptor fordern könnte, ist mit Sicherheit höher als die Kosten eines USB-Sticks. Und da 48% ihn mitnahmen, scheint es für Kriminelle ein recht rentables Geschäft zu sein.

Spulen wir zurück …

Sie finden ein USB-Gerät auf dem Bürgersteig. Stecken Sie ihn ein?

Besser gefragt – wie viel würden Sie riskieren?