23.06.2015
Fieser SMS-Trick
Wie Hacker in Webmail-Konten eindringen
Autor: Andreas Fischer
Symantec
Mit einem Trick gelangen Cyber-Kriminelle in die Webmail-Konten von Anwendern. Mehr als die E-Mail-Adresse und die Handy-Nummer des Opfers benötigen sie dafür nicht.
Symantec warnt vor einem neuen Trick, mit dem sich Internet-Gauner Zugang zu fremden Webmail-Konten erschleichen. Gefährdet sind alle Nutzer von Webmail-Diensten, die das Zusenden eines Verifikations-Codes per SMS als „Sicherheits-Feature“ anbieten. Das ist beispielsweise bei Googlemail der Fall, aber auch bei Hotmail und Yahoo.
So funktioniert der Webmail-Angriff
Der Angriff basiert auf einer Sicherheits-Funktion, die viele Webmail-Provider anbieten: Wenn der Nutzer sein Passwort vergisst, kann er sich einen Verifikations-Code auf sein Handy schicken lassen, mit dem er wieder Zugang zu seinem Mail-Konto erhält. Die auf den ersten Blick sinnvolle Funktion lässt sich jedoch von Kriminellen ausnutzen.
Zunächst besuchen sie die Webseite des Mail-Providers und geben dort solange falsche Passwörter ein, bis der Dienst die Wiederherstellung des Kennworts per SMS anbietet. Dies bestätigen die Angreifer. Das Opfer erhält nun eine SMS mit einem Verifikations-Code, mit dem der Webmail-Account wieder genutzt werden kann.
Sofort senden die Kriminellen ebenfalls eine SMS an das Opfer, in der sie mitteilen, dass der Provider ungewöhnliche Aktivitäten festgestellt habe und sie deswegen den Verifikations-Code zurückschicken sollen, um die Echtheit der Handy-Nummer zu bestätigen. Wenn die Opfer darauf hereinfallen und den Kriminellen anschließend ihren Verifikations-Code per SMS schicken, haben die Angreifer ihr Ziel erreicht: Mit dem Code können sie sich in das Webmail-Konto einloggen und ein neues Passwort festlegen. Das Opfer hat dann keinen Zugriff mehr auf sein Mail-Konto.
Soweit bekannt, wurden bislang nur englischsprachige SMS verschickt. Es ist aber nur eine Frage der Zeit, bis die Angreifer auch deutschsprachige SMS erstellen. Webmail-Nutzer sollten sehr vorsichtig sein, wenn Sie einen Verifikations-Code per SMS erhalten, den Sie nicht angefordert haben. Auf keinen Fall sollten Sie diesen Code weitergeben. Am besten löschen Sie die SMS.
Das Video zeigt noch einmal, wie der Angriff funktioniert:
Swisscom
Neue Cyberbedrohungen auf dem Radar
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen "Disinformation & Destabilisation", "Manipulated Generative AI" und "Unsecure IoT/OT-Devices".
>>
Zum Welt-Passwort-Tag
"95 % der Cyber-Sicherheitsprobleme sind auf menschliche Fehler zurückzuführen"
Am 2. Mai ist Welt-Passwort-Tag. Ein guter Anlass für den Frühlingsputz bei alten Logins und ein grundsätzliches Überdenken der eigenen Cybersecurity. Miro Mitrovic von Proofpoint gibt dazu einige konkrete Tipps.
>>
Bad News
Game macht Fake News spielerisch erkennbar
Wissenschaftler der Universität Uppsala haben ihr Online-Spiel "Bad News" erfolgreich an 516 Schülern getestet. Es soll helfen, manipulative Techniken in Social-Media-Posts zu erkennen.
>>
Tools
GitLab Duo Chat mit KI-Chat-Unterstützung
Der DevSecOps-Plattform-Anbieter GitLab führt den GitLab Duo Chat ein. Dieses Tool integriert Künstliche Intelligenz in die DevSecOps-Workflows.
>>