IT-Forensik: Browser-Historie auswerten und verstehen

Viele Angriffe beginnen mit einem Link zu einer manipulierten Website. Die Auswertung der Browserhistorie hilft zu erkennen, wann und wo der Angriff startete.

Lesezeit: 12 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen
Von
  • Gregor Wegberg
Inhaltsverzeichnis

Angreifer nutzen gerne die Gutgläubigkeit von Menschen aus. Damit verleiten sie sie zur Preisgabe vertraulicher Informationen oder zu unerwünschten Handlungen. Solche Social-Engineering-Angriffe sind häufig der Beginn eines Cybervorfalls. Unter einem Vorwand wird der Benutzer zum Besuch einer Phishingwebseite oder zum Ausführen von Schadsoftware motiviert. Dieser Teil des Tutorials zeigt an einem realen Ransomware-Fall, wie man mit KAPE und NirSofts BrowsingHistoryView den Besuch solcher Internetseiten und das Herunterladen von Schadsoftware nachvollziehen kann.

Für einen erfolgreichen Angriff müssen sich Angreifer Zutritt zu einem ersten System verschaffen. Von diesem aus können sie sich in der Umgebung weiter ausbreiten. Diese initiale Kompromittierung kann auf drei Wegen erfolgen: durch Ausnutzen eines kompromittierten Nutzerkontos für die Anmeldung an einem Fernzugriffsdienst, durch Infizieren eines Endnutzergeräts mit Schadsoftware oder durch Ausnutzen einer Sicherheitsschwachstelle in einem aus dem Internet erreichbaren System. Social-Engineering-Angriffe eignen sich besonders gut für die ersten beiden Eintrittswege.

Unter einem Vorwand werden beispielsweise Mitarbeiter dazu bewogen, ihre Nutzerdaten preiszugeben. Der Angreifer erzeugt hierzu einen Klon eines aus dem Internet erreichbaren und vertrauten Anmeldeformulars des Unternehmens, zum Beispiel des Webmail-Log-ins. Anschließend gibt er sich als Mitarbeiter der IT-Abteilung aus und bittet die Kollegen, sich zum Anstoßen einer Datenmigration beim neuen Webmail-Dienst auf der vermeintlich vertrauenswürdigen Webseite anzumelden. Mit einer Phishing-E-Mail kann dieser Angriff eine große Masse von Mitarbeitenden ansprechen. Zur Steigerung der Erfolgsaussichten können mit der gleichen Geschichte Mitarbeiter telefonisch kontaktiert werden. Diesen Angriff bezeichnet man als Vishing (Voice Phishing).

Immer mehr Wissen. Das digitale Abo für IT und Technik.

  • Zugriff auf alle Inhalte von heise+
  • exklusive Tests, Ratgeber & Hintergründe: unabhängig, kritisch fundiert
  • c't, iX, MIT Technology Review, Mac & i, Make, c't Fotografie direkt im Browser lesen
  • einmal anmelden – auf allen Geräten lesen - monatlich kündbar
  • erster Monat gratis, danach monatlich ab 9,95 €
  • Wöchentlicher Newsletter mit persönlichen Leseempfehlungen des Chefredakteurs
GRATIS-Monat beginnen Jetzt GRATIS-Monat beginnen Mehr Informationen zu heise+