Abo
  • IT-Karriere:

Datendiebstahl: Manipulierte Dropbox-Seiten phishen nach Mailaccounts

Eine aktuelle Welle von Phishing-Mails bedient sich eines Tricks, um Nutzer zur Eingabe ihrer Mailadressen samt Passwort zu verleiten. Dabei wird eine Webseite von den echten Dropbox-Servern ausgeliefert.

Artikel veröffentlicht am ,
Dropbox-Links zu Dokumenten sind leicht abfangbar.
Dropbox-Links zu Dokumenten sind leicht abfangbar. (Bild: Dropbox)

Symantec warnt vor einer neuen Methode, mit der mutmaßliche Kriminelle an die Daten von Anwendern kommen wollen. Derzeit, so das Security-Unternehmen, kursieren Phishing-Mails, welche auf ein per Dropbox zur Verfügung gestelltes Dokument hinweisen. Die in den Mails enthaltene URL ist dabei nicht einmal gefälscht, sie verweist tatsächlich auf einen Dropbox-Server, der per dl.dropboxusercontent.com zu erreichen ist.

Stellenmarkt
  1. PKS Software GmbH, München
  2. EHRMANN AG, Oberschönegg

Unter solchen Adressen werden auch tatsächlich über den Dienst veröffentlichte Dateien zur Verfügung gestellt, die Phisher nutzen die URL aber, um dort eine präparierte Webseite zu hinterlegen. Statt die in der Mail versprochene Datei direkt zu erhalten - wie das bei einem öffentlichen Ordner von Dropbox üblich ist - soll man sich erst einloggen. Das, und spätestens hier sollten zumindest Nutzer von Dropbox selbst stutzig werden, soll nicht mit dem Account bei dem Dienst, sondern mit einem E-Mail-Login geschehen.

  • Die manipulierte Webseite, die per Dropbox-Server ausgeliefert wird. (Bild: Symantec)
Die manipulierte Webseite, die per Dropbox-Server ausgeliefert wird. (Bild: Symantec)

Der in die Irre geführte Anwender soll sich also mit seiner Mailadresse und dem Passwort für den Mailaccount selbst bei Dropbox anmelden. Das sieht dieser Dienst aber gar nicht vor, stattdessen ist ein Account bei Dropbox nötig, dem man wie sonst auch ein eigenes Passwort geben sollte. Da wohl immer noch manche Nutzer für alle Accounts das gleiche Passwort verwenden, ist die Unterscheidung, ob nun ein Dropbox-Account oder der für das Mailpostfach gefragt ist, anscheinend nicht so einfach. Genau darauf setzen die Phisher wohl allem Anschein nach.

Um glaubwürdiger zu erscheinen, stellt die manipulierte Seite auch Logos bekannter Maildienstleister wie Google und Yahoo dar, offenbar sollen solche Accounts gezielt abgegriffen werden. Weiteres Vertrauen gaukelt die https-Verbindung vor, die zum Dropbox-Server aufgebaut wird. Wenn man seine Maildaten eingibt, erscheint jedoch bei einem modernen Browser eine Fehlermeldung, weil die Daten natürlich nicht an Systeme von Dropbox, sondern an einen anderen Server geschickt werden. Dieser liefert laut Symantec auch einen Teil der manipulierten Dropbox-Webseite aus, und zwar unverschlüsselt - das ist ein weiterer Hinweis bei solchen Konstruktionen.

Dropbox hat in seinem Blog zu dem Problem noch nicht Stellung genommen. Vielmehr weist dort der aktuellste Beitrag ausgerechnet darauf hin, dass man auf https-Verbindungen achten sollte - das allein ist aber noch kein Garant für eine vertrauenswürdige Webseite. Erst vor wenigen Tagen waren Hunderte echte Dropbox-Passwörter im Netz aufgetaucht, und im Mai 2014 schloss das Unternehmen eine länger bestehende Lücke, mit der sich in Dokumenten eingebettete Dropbox-Links abfangen ließen.



Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (reduzierte Überstände, Restposten & Co.)

Himmerlarschund... 21. Okt 2014

Ist mir auch neu. Auf die Idee wäre ich gar nicht gekommen, so billig ist das. Da fehlt...


Folgen Sie uns
       


Smarte Wecker im Test

Wir haben die beiden smarten Wecker Echo Show 5 von Amazon und Smart Clock von Lenovo getestet. Das Amazon-Gerät läuft mit dem digitalen Assistanten Alexa, auf dem Lenovo-Gerät läuft der Google Assistant. Beide Geräte sind weit davon entfernt, smarte Wecker zu sein.

Smarte Wecker im Test Video aufrufen
Party like it's 1999: Die 510 letzten Tage von Sega
Party like it's 1999
Die 510 letzten Tage von Sega

Golem retro_ Am 9.9.1999 kam in den USA mit der Sega Dreamcast die letzte Spielkonsole der 90er Jahre auf den Markt. Es sollte auch die letzte Spielkonsole von Sega werden. Aber das wusste zu diesem Zeitpunkt noch niemand.
Von Martin Wolf


    FX Tec Pro 1 im Hands on: Starkes Tastatur-Smartphone für 650 Euro
    FX Tec Pro 1 im Hands on
    Starkes Tastatur-Smartphone für 650 Euro

    Ifa 2019 Smartphones mit physischer Tastatur sind oft klobig - anders das Pro 1 des Startups FX Tec. Das Gerät bietet eine umfangreiche Tastatur mit gutem Druckpunkt und stabilem Slide-Mechanismus - wie es in einem ersten Kurztest beweist. Zusammengeklappt ist das Smartphone überraschend dünn.
    Ein Hands on von Tobias Költzsch

    1. Galaxy A90 5G Samsung präsentiert 5G-Smartphone für 750 Euro
    2. Huami Neue Amazfit-Smartwatches kommen nach Deutschland
    3. The Wall Luxury Samsungs Micro-LED-Display kostet 450.000 Euro

    IT-Studium: Kein Abitur? Kein Problem!
    IT-Studium
    Kein Abitur? Kein Problem!

    Martin Fricke studiert Informatik, obwohl er kein Abitur hat. Das darf er, weil Universitäten Berufserfahrung für die Zulassung anerkennen. Davon profitieren Menschen wie Unternehmen gleichermaßen.
    Von Tarek Barkouni

    1. IT Welches Informatikstudium passt zu mir?
    2. Bitkom Nur jeder siebte Bewerber für IT-Jobs ist weiblich

      •  /