Das Geheimnis des schwarzen Quadrats

Nein, es handelt sich nicht um Malevichs Schwarzes Quadrat. So sieht ein Screenshot-Versuch einer verdächtigen Anwendung auf einem Computer aus, der durch Kaspersky-Lab-Produkte geschützt ist.

Na? Wissen Sie, was das ist? Es ist definitiv keine exklusive Ausgabe des Schwarzen Quadrats von Kasimir Malewitsch.

So wie diese, nennen wir sie mal Black Box, sieht ein Screenshot aus, der von einer verdächtigen Anwendung auf einem Computer gemacht wird, der von unseren Kaspersky-Lab-Produkten, wie zum Beispiel Kaspersky Total Security , geschützt wird. Warum?

Unsere Produkte schützen Ihre Screenshots, da Cyberkriminelle – und andere Cyber-Verbrecher – ein unglaubliches Interesse daran zeigen, auf Ihre Benutzerkonten zugreifen zu können. Die Gründe (Geld, Spionage, Größenwahn, das Ausspionieren von Ehepartnern/Konkurrenten/Feinden, etc.) und Mittel, die die Eindringlinge verwenden, sind zahlreich, aber das Ziel, das sie verfolgen, ist immer das gleiche: Zugang zu den Benutzerkonten des Opfers zu erhalten.

Vermutlich fragen Sie sich jetzt, zu welchem Zweck Malware es darauf abgesehen haben könnte, Screenshots zu machen? Websites und Softwareprodukte ersetzen die in Passwörtern verwendeten Charaktere durch Punkte, welchen Sinn würden Screenshots also machen?

Tatsächlich gibt es unzählige Möglichkeiten, diese Punkte zu umgehen.

Zum einen haben Benutzer oftmals die Möglichkeit, das eingegebene Passwort zu sehen („Passwort anzeigen“ oder Ähnliches). Zum anderen offenbaren viele Dienste standardmäßig immer die letzten Zeichen/Ziffern/Symbole des eingegebenen Passworts. Drittens ersetzen einige Dienste das Passwort erst dann durch Punkte, wenn der Benutzer zum nächsten Eingabefeld übergeht.

Viertens: Einige Dienste verwenden erst gar keine Punkte, sondern verkleinern lediglich die Schriftgröße im Eingabefeld, damit das Passwort für Personen in unmittelbarer Nähe unlesbar bleibt (leider wirkt das nicht besonders abschreckend auf Malware). Fünftens: Eine Vielzahl von Lifehacks und Tools (wie Pwdcrack) lassen Kriminelle passwortverschleiernde Punkte ganz einfach ausschalten. Kurz gesagt: Die Wahrscheinlichkeit, dass ein Passwort also trotzdem sichtbar auf dem Bildschirm eines Rechners angezeigt wird, liegt bei Weitem nicht bei Null – und gerade Malware kann sich diese Tatsache leicht zunutze machen.

Die Wahrscheinlichkeit, dass jemand Ihnen bei der Passworteingabe über die Schulter schaut oder Überwachungskameras die Eingabe Ihres Passworts aufnehmen, ist vergleichsweise gering. Über einen einfachen Screenshot an ein Kennwort zu gelangen ist hingegen um einiges probabler. 

Der wohl bekannteste Bank-Trojaner Zeus – und viele seiner Klone – hat diese Funktion in seinem Tool-Set integriert. Einer seiner Klone namens KINS führt beispielsweise einen Angriff aus, der nicht nur Screenshots macht, wenn beliebige Tasten gedrückt werden, sondern auch dann, wenn auf die Maus geklickt wird. Selbst wenn also eine virtuelle Tastatur auf der Website einer Bank zum Eingeben von Passwörtern oder Einmalcodes verwendet wird, kann die Malware die eingegebenen Symbole trotzdem erkennen.

Es geht hier allerdings nicht nur um Passwörter. Wie sieht es beispielsweise mit Bankkartendaten, die beim Online-Kauf eingegeben werden, aus? Was ist mit den Sicherheitsfragen, die Ihnen zur Authentifizierung oder zur Wiederherstellung eines gesperrten Kontos gestellt werden? Persönliche Daten? Die Inhalte Ihrer Nachichten? Die Liste ist endlos.

In der Tat ist der scheinbar harmlose Screenshot ein wichtiger Zugangspunkt zu unseren privaten Informationen und Geheimnissen; aus diesem Grund ist es wichtig, diese Informationen zu schützen. Natürlich können Funktionen wie Safe Money und der Gebauch einer virtuellen Tastatur helfen; aber nur die wenigstens benutzen diese auch. Und überhaupt können gewöhnliche Cybersicherheitsfunktionen keinen vollständigen Schutz garantieren, wenn Cyberkriminelle noch immer ein Ass (in diesem Fall der Screenshot) im Ärmel haben. Wir sind allerdings bestens auf  solche Situationen vorbereitet!

Die meisten unserer Produkte verfügen über eine patentierte Technologie, die die API-Funktionen schützt, die es Anwendungen erlauben, Screenshots zu erstellen. Wenn eine Anwendung also versucht, einen Screenshot zu machen, geschieht Folgendes:

  • Das Produkt ermittelt, welche Anwendungen weitere Fenster geöffnet haben;
  • Basierend auf Daten verschiedener Komponenten und Subsysteme (zum Beispiel System Watcher und Safe Money), ermittelt das Produkt, ob diese Fenster möglicherweise vertrauliche oder persönliche Daten enthalten oder zeigen;
  • Das Produkt analysiert die Vertrauenswürdigkeit der Anwendungen, die auf den Bildschirm zugreifen möchten;
  • Das Produkt entscheidet, ob diese spezifische Anwendung Screenshots machen darf. Wenn nicht, erscheint ihr bei jedem Screenshot-Versuch ein schwarzer Bildschirm wie auf dem Bild oben.

Und zu guter Letzt gibt es noch einen weiteren Bonus!

Die gleiche Technologie, die vor böswilligem Screenshotting schützt, hilft darüber hinaus dabei, bisher unbekannte Cyberangriffe zu erkennen. Anwendungen, die ohne Grund ein verdächtiges Interesse an anderen „Fenstern“ zeigen, werden proaktiv durch maschinelles Lernen von KSN oder manuell von einem Experten entdeckt. Auf diese Weise möchten wir gemeinsam mit geschulten Cybersicherheitsexperten Schritt für Schritt das allgemeine Gefahrenpotenzial des Internets zum Vorteil aller mindern.

Tipps