Den G Data SecurityLabs wurde ein ganz besonderer Fall von Account Hacking gemeldet: Das Gmail-Konto des Opfers wurde nicht nur geknackt und für Spam Versand an die im Konto gespeicherten Adressen benutzt – was allein schon schlimm genug ist. Zusätzlich wurden noch Einstellungen verändert, um die Tat zu verbergen!
Freunde hatten das Hackingopfer Gunnar* früh am Morgen per Handy kontaktiert und persönlich nachgefragt, ob diese Einladungen zum Ansehen einer Google Docs Datei wirklich ernst gemeint war. Das war ein vorbildliches Verhalten der Freunde, denn Gunnar hatte zu diesem Zeitpunkt noch gar nicht mitbekommen, dass sein Account gehackt wurde. Die Chronologie der Ereignisse:
Angreifer hackten sich in Gunnars Gmail Konto, obwohl sein Passwort nach eigenen Angaben sicher war und dem gängigen Sicherheitsstandard mit Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen entsprach. Um 4.00 Uhr nachts öffneten Sie den Account.
Gunnar war kürzlich im Ausland und hat während dieser Zeit seinen Account auch in Internetcafés benutzt. Es ist nicht auszuschließen, dass ihm dort auf einem infizierten PC seine Zugangsdaten gestohlen wurden.
An jeden Kontakt, der in Gunnars Konto verzeichnet ist, verschickten die Angreifer kurze Zeit später eine E-Mail mit der Einladung zum Ansehen eines Dokuments
An dieser Stelle könnte der Empfänger schon stutzig werden, wenn diese englische Nachricht von einem deutschen Kontakt kommt und zudem noch Fehler und keinerlei persönliche Anrede oder Grüße aufweist.
Die Webseite, zu der die Empfänger der Mail geleitet wurden, suggerierte eine Google Docs Anmeldeseite, die zum Phishen der Daten genutzt wird. Auf dieser Seite erhoffen sich die Angreifer auch Nicht-Gmail Daten zu erbeuten.
Das Design der Webseite entspricht nicht dem Google-Original. Das Hintergrundbild ist einer kostenlosen und privaten Webseite für Adobe Photoshop Designs entnommen worden. Die Grafik mit dem Google Schriftzug wurde ebenfalls aus dem Internet gezogen und dann quasi ‘verzogen’, denn die Proportionen stimmen nicht mehr – das Bild wurde horizontal gestaucht.
Außerdem richteten die Angreifer in Gunnars Account Filterfunktionen ein. Sobald jemand auf die abgesendete Spam-Mail an Gunnar antwortete, wurden die Mails direkt gelöscht und nicht im Posteingang verzeichnet. Die Schlüsselwörter, die für den Filter benutzt wurden waren „mail“ und „document“.
So wollten die Angreifer sicherstellen, dass niemand Gunnar ‚eben schnell‘ per Mail informieren und warnen konnte.
Gunnar hatte Glück im Unglück: Die Angreifer hatten sein Passwort nach dem Log-In nicht verändert, er hatte also noch Zugriff auf sein Konto. Selbstverständlich hat er selbst nach dem ersten Anmelden zunächst einmal sein Passwort geändert, um die Angreifer auszusperren.
Google bietet seinen Kunden eine Webseite auf der die letzten Aktivitäten in einem Benutzerkonto protokolliert werden und so konnte Gunnar auch an der IP-Adresse des nächtlichen Besuches sehen, dass die Fremdeinwahl in sein Konto aus dem Ruhrgebiet erfolgte.
Eine Recherche zeigt, dass nicht nur Gmail-Accounts von dieser Welle betroffen sind. Auch Kunden anderen Freemailer klagen darüber, dass sie in den letzten Wochen Mails dieser Art mit Angeboten zu Google Docs Freigaben in ihren elektronischen Postfächern landen. Die Betreffs und Texte der E-Mails variieren dabei leicht von dem oben gezeigten Beispiel, doch der Tenor ist identisch. Anbei einige Beispiele für weitere Betreffzeilen:
Die Experten der G DATA SecurityLabs versuchen, mehr über die Angreifer zu erfahren und haben sich auf der Phishingseite mit einem existierenden Account als Lockvogel eingeloggt. Die Angreifer sollten die Daten also erhalten haben. Wir sind gespannt, ob wir noch von ihnen hören werden.
Der Besucher der Phishingseite bekommt übrigens keineswegs das in der E-Mail angekündigte Dokument zu sehen – nicht, dass wir das wirklich erwartet hätten. Stattdessen erscheint eine angebliche Fehlermeldung. Der Server sei zu beschäftigt und könnte die Anfrage gerade nicht bearbeiten:
*Der Name wurde von uns geändert.