What is a USB drop attack?

A USB drop attack involves leaving malware-loaded USB drives in public areas like parking lots, lobbies, or break rooms. Attackers rely on human curiosity. A University of Illinois study in 2016 found that 48% of people who found a USB drive plugged it into their computer, and the first drive was connected within six minutes. Modern attacks use devices like the USB Rubber Ducky, which impersonates a keyboard and executes commands within seconds of insertion.

What should you do if you find a USB drive at work?

Never plug a found USB drive into any device. The drive could contain malware that executes automatically on connection or a hardware attack tool that types malicious commands at machine speed. Report the found device to your security team and note exactly where you found it. Your team can analyze it safely in an isolated environment.

USB-Drop-Angriff

Think twice before plugging in that USB drive.

What Is USB-Drop-Angriff?

Ein USB-Drop-Angriff ist eine Social-Engineering-Technik, bei der Angreifer infizierte USB-Laufwerke an Orten zurücklassen, an denen Zielmitarbeiter sie wahrscheinlich finden und anschließen, beispielsweise auf Parkplätzen, in Lobbys, Pausenräumen und Konferenzbereichen. Eine Studie von Forschern der University of Illinois aus dem Jahr 2016 ergab, dass 48 % der heruntergefallenen USB-Laufwerke an Computer angeschlossen waren und das erste Laufwerk innerhalb von sechs Minuten nach dem Einsetzen angeschlossen wurde. Trotz jahrelanger Kampagnen zur Sensibilisierung für die Sicherheit haben Neugier und Hilfsbereitschaft weiterhin Vorrang vor Vorsicht. In dieser Simulation finden Sie ein USB-Laufwerk mit der verlockenden Aufschrift „Gehaltsdaten Q4“, „Vertraulich“ oder dem Namen eines Unternehmensleiters. In der Übung können Sie erleben, was passiert, wenn das Laufwerk angeschlossen ist. Einige USB-Angriffe verwenden Autorun-Skripte, die Malware ausführen, sobald das Laufwerk angeschlossen wird. Andere verlassen sich darauf, dass der Benutzer eine Datei öffnet, die wie ein Dokument aussieht, in Wirklichkeit aber einen Fernzugriffstrojaner installiert. Fortgeschrittenere Angriffe nutzen USB-Rubber-Ducky-Geräte, die eine Tastatur emulieren und Befehle mit Maschinengeschwindigkeit eingeben. Dadurch wird das System in weniger als 10 Sekunden kompromittiert, ohne dass ein Benutzereingriff über das Anschließen hinaus erforderlich ist. Sie erfahren die richtige Reaktion, wenn Sie ein nicht identifiziertes USB-Gerät finden: Schließen Sie es nicht an, versuchen Sie nicht, den Eigentümer anhand des Inhalts zu identifizieren, und melden Sie es sofort Ihrem IT-Sicherheitsteam. Die Übung umfasst auch Organisationsrichtlinien für Wechselmedien, einschließlich der Deaktivierung von USB-Anschlüssen an Arbeitsstationen, an denen sie nicht benötigt werden, der Implementierung einer Endpunkterkennung, die bei neuen USB-Verbindungen warnt, und der Pflege einer Liste zugelassener Geräte für Mitarbeiter, die Wechselspeicher für legitime Geschäftszwecke benötigen.

What You'll Learn in USB-Drop-Angriff

Erkennen Sie USB-Drop-Angriffe als eine bewusste Social-Engineering-Technik, die die menschliche Neugier und den Wunsch, hilfreich zu sein, ausnutzt
Befolgen Sie das korrekte Reaktionsprotokoll für gefundene USB-Geräte: Nicht anschließen, Inhalte nicht überprüfen, sofort dem IT-Sicherheitsdienst melden
Erklären Sie, wie verschiedene USB-Angriffsvektoren funktionieren, von Autorun-Malware und trojanisierten Dokumenten bis hin zur USB-Rubber-Ducky-Tastatureingabe
Identifizieren Sie Orte mit hohem Risiko, an denen häufig USB-Drop-Angriffe durchgeführt werden, darunter Parkplätze, Lobbys, Konferenzräume und Gemeinschaftsbereiche
Unterstützen Sie organisatorische Richtlinien für Wechselmedien, einschließlich USB-Port-Beschränkungen, Endpunkterkennungswarnungen und genehmigte Geräteregister

USB-Drop-Angriff — Training Steps

Eine morgendliche Entdeckung

Es ist Dienstagmorgen. Alice schnappt sich ihren Kaffee und macht sich auf den Weg in ihr Heimbüro, um den Arbeitstag zu beginnen. Auf ihrem Weg durch die Lobby des Wohnhauses fällt ihr etwas auf dem Boden neben den Briefkästen ins Auge. Ein elegantes schwarzes USB-Laufwerk mit einem offiziell aussehenden Etikett: „VERTRAULICH – Q4-Gehaltsüberprüfung – NUR HR“
Die Versuchung

Alice nimmt das Auto auf, ihre Neugier ist geweckt. Jemand aus ihrem Gebäude muss in ihrer Firma arbeiten – oder vielleicht bei einem Konkurrenten? Sie weiß, dass sie es der IT-Abteilung übergeben sollte, aber... „Ich schaue erst mal nach, was draufsteht“, denkt sie. „Wenn es sich wirklich um HR-Daten handelt, sollte ich vor der Übergabe überprüfen, ob sie uns gehören.“
Antivirus-Warnung

Windows erkennt das USB-Laufwerk. Der Datei-Explorer öffnet sich und zeigt mehrere Dateien an: Q4_Salary_Review_2024.xlsx Employee_Performance_Rankings.pdf Compensation_Adjustments.docx Plötzlich erscheint eine Antivirenwarnung – das System hat verdächtige Inhalte auf dem Laufwerk erkannt.
Öffnen der Datei

Alice weist die Warnung zurück, da sie davon überzeugt ist, dass es sich um ein falsches Positiv handelt. Die Gehaltstabelle ist genau dort und verspricht Antworten auf Fragen, über die jeder flüstert. Sie doppelklickt auf die Excel-Datei. Es wird mit einer Sicherheitswarnung geöffnet: „Makros wurden deaktiviert.“ Der Inhalt ist hinter einer Meldung verborgen, in der Sie aufgefordert werden, Makros zu aktivieren.
Die Verschlüsselung

Sobald Alice auf „Inhalt aktivieren“ klickt, wird das schädliche Makro ausgeführt. Auf dem Bildschirm blinkt kurz ein Eingabeaufforderungsfenster. Die Festplatte fängt an zu brummen. Innerhalb von Sekunden verschlüsselt Ransomware stillschweigend jede Datei auf ihrem Computer – Dokumente, Fotos, Projekte, alles.
Überprüfung ihrer Akten

Etwas fühlt sich falsch an. Alices Computer scheint träge zu sein und die Festplatte läuft immer noch. In ihrem Magen bildet sich ein kalter Knoten. Sie beeilt sich, ihre wichtigen Arbeitsdokumente zu überprüfen – den Quartalsbericht, an dem sie seit Wochen arbeitet.
Die Lösegeldforderung

Anstelle ihres vierteljährlichen Berichts erscheint eine erschreckende Lösegeldforderung. Ein leuchtend rotes Schlosssymbol. Ein Countdown-Timer. Eine Nachfrage für 0,5 Bitcoin. Jede einzelne Datei auf ihrem Computer – Dokumente, Fotos, Projekte – wurde durch Ransomware verschlüsselt. Die Angreifer verlangen eine Zahlung, um ihre Daten freizugeben.
Sofortige Reaktion

Alices Herz sinkt, als sie den Ernst der Lage erkennt. Alle ihre Dateien – Arbeitsprojekte, persönliche Dokumente, alles – sind jetzt verschlüsselt und werden als Geiseln gehalten. Sie erinnert sich an eine Sicherheitsschulung: Die erste Priorität besteht darin, die Ausbreitung der Schadsoftware auf andere Geräte im Netzwerk zu verhindern.
Schadensbegrenzung

Alice schaltet sofort ihren PC aus, um eine weitere Ausbreitung der Ransomware zu verhindern. Sie erinnert sich an die Sicherheitsschulung: Erst die Verbindung trennen, dann Fragen stellen. Sie geht zu ihrem Backup-Laptop, um den Vorfall zu melden. Das Sicherheitsteam muss davon sofort erfahren.
Einreichung des Berichts

Alice öffnet das Formular zur Meldung von Sicherheitsvorfällen. Absolute Ehrlichkeit ist entscheidend – selbst wenn sie einen Fehler gemacht hat, kann eine schnelle Meldung den Schaden begrenzen. Sie dokumentiert alles: wo sie den USB-Stick gefunden hat, was sie damit gemacht hat und die Ransomware-Infektion.

What Is USB-Drop-Angriff?

What You'll Learn in USB-Drop-Angriff

USB-Drop-Angriff — Training Steps

Eine morgendliche Entdeckung

Die Versuchung

Antivirus-Warnung

Öffnen der Datei

Die Verschlüsselung

Überprüfung ihrer Akten

Die Lösegeldforderung

Sofortige Reaktion

Schadensbegrenzung

Einreichung des Berichts