E-Mail Account gehackt, Phishing versendet, Spuren verwischt

16.08.2013
G DATA Blog

Den G Data SecurityLabs wurde ein ganz besonderer Fall von Account Hacking gemeldet: Das Gmail-Konto des Opfers wurde nicht nur geknackt und für Spam Versand an die im Konto gespeicherten Adressen benutzt – was allein schon schlimm genug ist. Zusätzlich wurden noch Einstellungen verändert, um die Tat zu verbergen!

Freunde hatten das Hackingopfer Gunnar* früh am Morgen per Handy kontaktiert und persönlich nachgefragt, ob diese Einladungen zum Ansehen einer Google Docs Datei wirklich ernst gemeint war. Das war ein vorbildliches Verhalten der Freunde, denn Gunnar hatte zu diesem Zeitpunkt noch gar nicht mitbekommen, dass sein Account gehackt wurde. Die Chronologie der Ereignisse:

Der Hack

Angreifer hackten sich in Gunnars Gmail Konto, obwohl sein Passwort nach eigenen Angaben sicher war und dem gängigen Sicherheitsstandard mit Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen entsprach. Um 4.00 Uhr nachts öffneten Sie den Account.

Gunnar war kürzlich im Ausland und hat während dieser Zeit seinen Account auch in Internetcafés benutzt. Es ist nicht auszuschließen, dass ihm dort auf einem infizierten PC seine Zugangsdaten gestohlen wurden.

Der Spamversand

An jeden Kontakt, der in Gunnars Konto verzeichnet ist, verschickten die Angreifer kurze Zeit später eine E-Mail mit der Einladung zum Ansehen eines Dokuments
An dieser Stelle könnte der Empfänger schon stutzig werden, wenn diese englische Nachricht von einem deutschen Kontakt kommt und zudem noch Fehler und keinerlei persönliche Anrede oder Grüße aufweist.

Die Phishingseite

Die Webseite, zu der die Empfänger der Mail geleitet wurden, suggerierte eine Google Docs Anmeldeseite, die zum Phishen der Daten genutzt wird. Auf dieser Seite erhoffen sich die  Angreifer auch Nicht-Gmail Daten zu erbeuten.
Das Design der Webseite entspricht nicht dem Google-Original. Das Hintergrundbild ist einer kostenlosen und privaten Webseite für Adobe Photoshop Designs entnommen worden. Die Grafik mit dem Google Schriftzug wurde ebenfalls aus dem Internet gezogen und dann quasi ‘verzogen’, denn die Proportionen stimmen nicht mehr – das Bild wurde horizontal gestaucht.

Die Filter

Außerdem richteten die Angreifer in Gunnars Account Filterfunktionen ein. Sobald jemand auf die abgesendete Spam-Mail an Gunnar antwortete, wurden die Mails direkt gelöscht und nicht im Posteingang verzeichnet. Die Schlüsselwörter, die für den Filter benutzt wurden waren „mail“ und „document“.
So wollten die Angreifer sicherstellen, dass niemand Gunnar ‚eben schnell‘ per Mail informieren und warnen konnte.


Gunnar hatte Glück im Unglück: Die Angreifer hatten sein Passwort nach dem Log-In nicht verändert, er hatte also noch Zugriff auf sein Konto. Selbstverständlich hat er selbst nach dem ersten Anmelden zunächst einmal sein Passwort geändert, um die Angreifer auszusperren.
Google bietet seinen Kunden eine Webseite auf der die letzten Aktivitäten in einem Benutzerkonto protokolliert werden und so konnte Gunnar auch an der IP-Adresse des nächtlichen Besuches sehen, dass die Fremdeinwahl in sein Konto aus dem Ruhrgebiet erfolgte.

Eine Recherche zeigt, dass nicht nur Gmail-Accounts von dieser Welle betroffen sind. Auch Kunden anderen Freemailer klagen darüber, dass sie in den letzten Wochen Mails dieser Art mit Angeboten zu Google Docs Freigaben in ihren elektronischen Postfächern landen. Die Betreffs und Texte der E-Mails variieren dabei leicht von dem oben gezeigten Beispiel, doch der Tenor ist identisch. Anbei einige Beispiele für weitere Betreffzeilen:

  • Please review important document
  • Review uploaded document
  • Important message
  • Important Document
  • Kindly review this !!!

G DATA lockt die Angreifer

Die Experten der G DATA SecurityLabs versuchen, mehr über die Angreifer zu erfahren und haben sich auf der Phishingseite mit einem existierenden Account als Lockvogel eingeloggt. Die Angreifer sollten die Daten also erhalten haben. Wir sind gespannt, ob wir noch von ihnen hören werden.
Der Besucher der Phishingseite bekommt übrigens keineswegs das in der E-Mail angekündigte Dokument zu sehen – nicht, dass wir das wirklich erwartet hätten. Stattdessen erscheint eine angebliche Fehlermeldung. Der Server sei zu beschäftigt und könnte die Anfrage gerade nicht bearbeiten:

Tipps und Tricks:

  • Eine aktuelle und umfassende Sicherheitslösung mit einem Schadcodescanner, Firewall, Web- und Echtzeitschutz gehören zur Grundausstattung. Ein Spam-Filter, als Schutz vor ungewollten Spam-Mails ist ebenfalls sinnvoll.
  • Benutzen Sie starke Passwörter und ändern Sie sie nach Möglichkeit auch regelmäßig.
  • Verwenden Sie niemals ein und dasselbe Passwort für verschiedene Dienste!
  • Aktivieren Sie die Account-Wiederherstellungsoptionen, wenn sie angeboten werden. So können Sie sicherstellen, dass sie auch im Falle des Falles wieder Zugriff auf Ihr Konto erhalten.
  • Sofern möglich, aktivieren Sie eine Multi-Faktor-Authentifizierung, um sich anzumelden.
  • Beobachten Sie ab und zu die Log-In Aktivitäten ihres E-Mail Kontos. Wenn Sie Unregelmäßigkeiten feststellen, sollten Sie sicherheitshalber zunächst einmal ihr Passwort ändern.
  • Überprüfen Sie ab und zu die E-Mail Einstellungen ihres Kontos: Sind ungewollte Weiterleitungen eingerichtet? Dürfen Log-Ins von unbekannten Geräten erfolgen?
  • Wenn Sie feststellen, dass einer Ihrer Kontakte ungewöhnliche E-Mails oder Sofortnachrichten versendet, dann sprechen Sie den Kontakt darauf an – im Idealfall benutzen Sie dazu einen anderen Kommunikationsweg als den, über den die verdächtige Nachricht kam.

*Der Name wurde von uns geändert.

Wichtige IT-Security-News per E-Mail

  • Aktuelle IT-Gefahren
  • Schutz-Tipps für Privatkunden
  • 15 % Willkommensgutschein