This was a simulated social-engineering test. Das war ein simulierter Social-Engineering-Test.
You just plugged in a USB stick you found. Nothing was infected this time — but in a real USB-drop attack, the device can install malware the moment it's connected, even before you open a single file. Sie haben gerade einen gefundenen USB-Stick eingesteckt. Diesmal ist nichts passiert — bei einem echten USB-Drop-Angriff installiert das Gerät Schadsoftware in dem Moment, in dem es angeschlossen wird, noch bevor Sie eine einzige Datei öffnen.
What would have happened in a real attack Was bei einem echten Angriff passiert wäre
USB drops are one of the oldest tricks in physical social engineering, and they still work. An attacker leaves a "lost" USB stick in the Zevvy parking lot, at a conference, in the lobby, or in the post addressed to a specific employee. Curiosity does the rest — studies put the pickup rate above 50%.
The dangerous USBs aren't just storage devices. Many are HID-class devices (USB Rubber Ducky, BadUSB, OMG Cable) that pretend to be a keyboard. The moment you plug them in, they "type" commands into your computer at hundreds of keystrokes per second — opening PowerShell, downloading a payload, granting remote access. You never see the prompt. You never click "open".
Other variants include USB Killers that physically destroy the laptop by sending a voltage surge, and cellular-implanted cables (like OMG Cables) that look like normal USB-C cables but contain a hidden Wi-Fi module the attacker can connect to from across the street.
USB-Drops gehören zu den ältesten Tricks im physischen Social Engineering — und funktionieren noch immer. Ein Angreifer „verliert“ einen USB-Stick auf dem Zevvy-Parkplatz, an einer Konferenz, in der Lobby oder per Post adressiert an eine bestimmte Person. Den Rest erledigt die Neugier — Studien zeigen Aufgriffsraten über 50 %.
Gefährliche USB-Geräte sind nicht nur Speicher. Viele sind HID-Geräte (USB Rubber Ducky, BadUSB, OMG-Kabel), die sich als Tastatur ausgeben. Im Moment des Einsteckens „tippen“ sie mit hunderten Anschlägen pro Sekunde Befehle in Ihren Computer — öffnen PowerShell, laden Schadcode nach, richten Fernzugriff ein. Sie sehen keine Aufforderung. Sie klicken nichts an.
Weitere Varianten sind USB-Killer, die den Laptop durch eine Spannungsspitze physisch zerstören, und kabellos modifizierte Kabel (wie OMG-Cables), die wie normale USB-C-Kabel aussehen, aber ein verstecktes WLAN-Modul enthalten, mit dem sich der Angreifer von der gegenüberliegenden Strassenseite verbindet.
Red flags you could have spotted Warnsignale, die Sie hätten erkennen können
- You found it in a public space. Parking lot, café, conference table, restroom. No real owner accidentally drops a USB next to where you'll look. Sie haben ihn an einem öffentlichen Ort gefunden. Parkplatz, Café, Konferenztisch, WC. Ein echter Besitzer verliert keinen USB-Stick zufällig dort, wo Sie zwangsläufig hinsehen.
- It arrived in the post unannounced. A "promotional drive" from a vendor you don't know, with a printed sticker urging you to "see the proposal inside". Er kam unangekündigt mit der Post. Ein „Werbe-USB-Stick“ eines unbekannten Anbieters mit einem Aufkleber „Angebot innen ansehen“.
- It had a label designed to make you curious. "Salaries 2026", "Confidential — HR", "Photos from the party". Beschriftung, die Neugier weckt. „Gehälter 2026“, „Vertraulich — HR“, „Fotos vom Fest“.
- You didn't recognise the brand. A no-name device with no packaging is different from a sealed, branded item from a known vendor. Unbekannte Marke. Ein No-Name-Gerät ohne Verpackung ist etwas anderes als ein verschweisster Markenartikel.
- Cable looks the same but isn't. An "Apple" charging cable lying loose in the meeting room could be an OMG Cable. Real Apple cables come in known packaging. Kabel sieht aus wie üblich — ist es aber nicht. Ein „Apple“-Ladekabel, das einfach im Sitzungszimmer herumliegt, kann ein OMG-Cable sein. Echte Apple-Kabel kommen in bekannter Verpackung.
Next time, do this instead So machen Sie es beim nächsten Mal
- Never plug in a USB you didn't buy or receive personally. Not into your work laptop, not into your home computer, not into a charging port "just to see who it belongs to". Stecken Sie nie ein USB-Gerät ein, das Sie nicht selbst gekauft oder persönlich erhalten haben. Weder in den Arbeitslaptop, noch in den privaten Computer, auch nicht „nur kurz, um zu sehen, wem es gehört“.
- Hand it in. If you find a USB device in or near Zevvy premises, drop it at reception or with IT in a sealed bag. They have a safe way to inspect it. Geben Sie es ab. Wenn Sie ein USB-Gerät auf oder in der Nähe des Zevvy-Geländes finden, geben Sie es an der Rezeption oder bei der IT in einem versiegelten Beutel ab. Dort kann es sicher untersucht werden.
- Use only your own cables and chargers. Especially in airports, hotels, and conference rooms. If you must use a public USB port, use a "USB data blocker" (USB condom) or a wall socket with your own charger. Verwenden Sie nur eigene Kabel und Ladegeräte. Besonders an Flughäfen, in Hotels und Sitzungszimmern. Wenn Sie eine öffentliche USB-Buchse nutzen müssen, verwenden Sie einen „USB Data Blocker“ oder eine normale Steckdose mit Ihrem eigenen Netzteil.
- Don't move work files via USB. Use OneDrive, SharePoint, or Teams — they're auditable and don't risk introducing malware from a friend's laptop. Verschieben Sie Arbeitsdateien nicht per USB. Nutzen Sie OneDrive, SharePoint oder Teams — diese sind nachvollziehbar und vermeiden Schadsoftware vom Laptop einer anderen Person.
- If you already plugged one in — call IT. Don't reboot, don't shut down. The damage may be reversible if caught quickly. Schon eingesteckt? Sofort die IT anrufen. Nicht neu starten, nicht ausschalten. Bei schnellem Eingreifen ist der Schaden oft noch zu begrenzen.
Report found devices Gefundene Geräte melden
An unknown USB found near Zevvy isn't lost property — it's a potential attack delivered to your hand. Treat it like a piece of evidence.
- Hand the device in to reception or IT in a sealed bag.
- Email security@zevvy.org with where and when you found it.
- If you plugged one in, contact IT immediately: it@zevvy.org — don't shut the laptop down first.
Ein unbekannter USB-Stick in Zevvy-Nähe ist kein Fundstück — sondern ein potenzieller Angriff in Ihrer Hand. Behandeln Sie ihn wie ein Beweisstück.
- Geben Sie das Gerät an der Rezeption oder bei der IT in einem versiegelten Beutel ab.
- Schreiben Sie an security@zevvy.org, wann und wo Sie es gefunden haben.
- Bereits eingesteckt? Sofort die IT kontaktieren: it@zevvy.org — nicht vorher herunterfahren.