16.08.2013, Autor: Sabrina Berkenkopf

E-Mail Account gehackt, Phishing versendet, Spuren verwischt

Nach der Attacke auf den Gmail Account ist für das Opfer Aufräumen angesagt

Den G Data SecurityLabs wurde ein ganz besonderer Fall von Account Hacking gemeldet: Das Gmail-Konto des Opfers wurde nicht nur geknackt und für Spam Versand an die im Konto gespeicherten Adressen benutzt – was allein schon schlimm genug ist. Zusätzlich wurden noch Einstellungen verändert, um die Tat zu verbergen!

 

Freunde hatten das Hackingopfer Gunnar* früh am Morgen per Handy kontaktiert und persönlich nachgefragt, ob diese Einladungen zum Ansehen einer Google Docs Datei wirklich ernst gemeint war. Das war ein vorbildliches Verhalten der Freunde, denn Gunnar hatte zu diesem Zeitpunkt noch gar nicht mitbekommen, dass sein Account gehackt wurde. Die Chronologie der Ereignisse:

Der Hack

Angreifer hackten sich in Gunnars Gmail Konto, obwohl sein Passwort nach eigenen Angaben sicher war und dem gängigen Sicherheitsstandard mit Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen entsprach. Um 4.00 Uhr nachts öffneten Sie den Account.

Gunnar war kürzlich im Ausland und hat während dieser Zeit seinen Account auch in Internetcafés benutzt. Es ist nicht auszuschließen, dass ihm dort auf einem infizierten PC seine Zugangsdaten gestohlen wurden.

Der Spamversand

An jeden Kontakt, der in Gunnars Konto verzeichnet ist, verschickten die Angreifer kurze Zeit später eine E-Mail mit der Einladung zum Ansehen eines Dokuments
An dieser Stelle könnte der Empfänger schon stutzig werden, wenn diese englische Nachricht von einem deutschen Kontakt kommt und zudem noch Fehler und keinerlei persönliche Anrede oder Grüße aufweist.

Die Phishingseite

Die Webseite, zu der die Empfänger der Mail geleitet wurden, suggerierte eine Google Docs Anmeldeseite, die zum Phishen der Daten genutzt wird. Auf dieser Seite erhoffen sich die  Angreifer auch Nicht-Gmail Daten zu erbeuten.
Das Design der Webseite entspricht nicht dem Google-Original. Das Hintergrundbild ist einer kostenlosen und privaten Webseite für Adobe Photoshop Designs entnommen worden. Die Grafik mit dem Google Schriftzug wurde ebenfalls aus dem Internet gezogen und dann quasi ‘verzogen’, denn die Proportionen stimmen nicht mehr – das Bild wurde horizontal gestaucht.

Die Filter

Außerdem richteten die Angreifer in Gunnars Account Filterfunktionen ein. Sobald jemand auf die abgesendete Spam-Mail an Gunnar antwortete, wurden die Mails direkt gelöscht und nicht im Posteingang verzeichnet. Die Schlüsselwörter, die für den Filter benutzt wurden waren „mail“ und „document“.
So wollten die Angreifer sicherstellen, dass niemand Gunnar ‚eben schnell‘ per Mail informieren und warnen konnte.


Eine Recherche zeigt, dass nicht nur Gmail-Accounts von dieser Welle betroffen sind. Auch Kunden anderen Freemailer klagen darüber, dass sie in den letzten Wochen Mails dieser Art mit Angeboten zu Google Docs Freigaben in ihren elektronischen Postfächern landen. Die Betreffs und Texte der E-Mails variieren dabei leicht von dem oben gezeigten Beispiel, doch der Tenor ist identisch. Anbei einige Beispiele für weitere Betreffzeilen:

  • Please review important document
  • Review uploaded document
  • Important message
  • Important Document
  • Kindly review this !!!

Tipps und Tricks:

  • Eine aktuelle und umfassende Sicherheitslösung mit einem Schadcodescanner, Firewall, Web- und Echtzeitschutz gehören zur Grundausstattung. Ein Spam-Filter, als Schutz vor ungewollten Spam-Mails ist ebenfalls sinnvoll.
  • Benutzen Sie starke Passwörter und ändern Sie sie nach Möglichkeit auch regelmäßig.
  • Verwenden Sie niemals ein und dasselbe Passwort für verschiedene Dienste!
  • Aktivieren Sie die Account-Wiederherstellungsoptionen, wenn sie angeboten werden. So können Sie sicherstellen, dass sie auch im Falle des Falles wieder Zugriff auf Ihr Konto erhalten.
  • Sofern möglich, aktivieren Sie eine Multi-Faktor-Authentifizierung, um sich anzumelden.
  • Beobachten Sie ab und zu die Log-In Aktivitäten ihres E-Mail Kontos. Wenn Sie Unregelmäßigkeiten feststellen, sollten Sie sicherheitshalber zunächst einmal ihr Passwort ändern.
  • Überprüfen Sie ab und zu die E-Mail Einstellungen ihres Kontos: Sind ungewollte Weiterleitungen eingerichtet? Dürfen Log-Ins von unbekannten Geräten erfolgen?
  • Wenn Sie feststellen, dass einer Ihrer Kontakte ungewöhnliche E-Mails oder Sofortnachrichten versendet, dann sprechen Sie den Kontakt darauf an – im Idealfall benutzen Sie dazu einen anderen Kommunikationsweg als den, über den die verdächtige Nachricht kam.

*Der Name wurde von uns geändert.


Share this article

G DATA | SIMPLY SECURE