23.06.2015
Fieser SMS-Trick
Wie Hacker in Webmail-Konten eindringen
Autor: Andreas Fischer
Symantec
Mit einem Trick gelangen Cyber-Kriminelle in die Webmail-Konten von Anwendern. Mehr als die E-Mail-Adresse und die Handy-Nummer des Opfers benötigen sie dafür nicht.
Symantec warnt vor einem neuen Trick, mit dem sich Internet-Gauner Zugang zu fremden Webmail-Konten erschleichen. Gefährdet sind alle Nutzer von Webmail-Diensten, die das Zusenden eines Verifikations-Codes per SMS als „Sicherheits-Feature“ anbieten. Das ist beispielsweise bei Googlemail der Fall, aber auch bei Hotmail und Yahoo.
So funktioniert der Webmail-Angriff
Der Angriff basiert auf einer Sicherheits-Funktion, die viele Webmail-Provider anbieten: Wenn der Nutzer sein Passwort vergisst, kann er sich einen Verifikations-Code auf sein Handy schicken lassen, mit dem er wieder Zugang zu seinem Mail-Konto erhält. Die auf den ersten Blick sinnvolle Funktion lässt sich jedoch von Kriminellen ausnutzen.
Zunächst besuchen sie die Webseite des Mail-Providers und geben dort solange falsche Passwörter ein, bis der Dienst die Wiederherstellung des Kennworts per SMS anbietet. Dies bestätigen die Angreifer. Das Opfer erhält nun eine SMS mit einem Verifikations-Code, mit dem der Webmail-Account wieder genutzt werden kann.
Sofort senden die Kriminellen ebenfalls eine SMS an das Opfer, in der sie mitteilen, dass der Provider ungewöhnliche Aktivitäten festgestellt habe und sie deswegen den Verifikations-Code zurückschicken sollen, um die Echtheit der Handy-Nummer zu bestätigen. Wenn die Opfer darauf hereinfallen und den Kriminellen anschließend ihren Verifikations-Code per SMS schicken, haben die Angreifer ihr Ziel erreicht: Mit dem Code können sie sich in das Webmail-Konto einloggen und ein neues Passwort festlegen. Das Opfer hat dann keinen Zugriff mehr auf sein Mail-Konto.
Soweit bekannt, wurden bislang nur englischsprachige SMS verschickt. Es ist aber nur eine Frage der Zeit, bis die Angreifer auch deutschsprachige SMS erstellen. Webmail-Nutzer sollten sehr vorsichtig sein, wenn Sie einen Verifikations-Code per SMS erhalten, den Sie nicht angefordert haben. Auf keinen Fall sollten Sie diesen Code weitergeben. Am besten löschen Sie die SMS.
Das Video zeigt noch einmal, wie der Angriff funktioniert:
WebGPU
Sicherheitslücke in Browser-Schnittstelle erlaubt Rechnerzugriff via Grafikkarte
Forschende der TU Graz waren über die Browser-Schnittstelle WebGPU mit drei verschiedenen Seitenkanal-Angriffen auf Grafikkarten erfolgreich. Die Angriffe gingen schnell genug, um bei normalem Surfverhalten zu gelingen.
>>
World Cybercrime Index
Cybercrime konzentriert sich auf sechs Länder
China, Russland, Ukraine, USA, Rumänien und Nigeria sind laut World Cybercrime Index führend. Sie gehören zu den Top 10 in jeder der fünf untersuchten Kategorien.
>>
Termine
SecDays - Securepoint geht auf Tour
Der Sicherheitsspezialist Securepoint erwartet auf seiner Roadshow rund 1.000 Systemhäuser und Fachhändler. Unter dem Motto „Horizon“ erfahren diese Neues über die Channel- und Produktstrategie des Herstellers.
>>
Sponsored Post
Passwörter - versteckte Kostenfalle für Unternehmen?
Passwörter spielen für die Sicherheit vieler Unternehmen eine wichtige Rolle. Allerdings können sie auch einen erheblichen Kostenpunkt darstellen. Von unzähligen Stunden, die Ihr Service Desk mit Passwort-Resets und dem Entsperren von Konten verbringt, bis hin zu den enormen Kosten, die durch Cyberangriffe entstehen - Kurzum: Passwörter kosten Ihrem Unternehmen Geld.
>>