Abo
  • IT-Karriere:

Gezieltes Phishing: 30 Minuten vom gehackten Mail-Account bis zum Zugriff

Eine effizienten Art des Phishing hat Google untersucht. Die Studie zeigt, dass die Angriffe raffinierter werden, so dass viele Nutzer darauf hereinfallen. Das Ziel ist nicht mehr nur Identitätsdiebstahl, sondern konkreter finanzieller Schaden.

Artikel veröffentlicht am ,
Google-Illustration zu Phishing
Google-Illustration zu Phishing (Bild: Google)

Wenn einem Angreifer die Zugangsdaten eines E-Mail-Accounts bekannt sind, so erfolgt in 20 Prozent der Fälle binnen 30 Minuten ein Zugriff auf das Postfach. Dies ist eines der Ergebnisse einer wissenschaftlichen Studie (PDF), die Google in seinem Blog zusammengefasst hat. Die Sicherheitsforscher widmen sich darin nicht dem automatisierten Abfangen von digitalen Identitäten, sondern dem "manual hijacking".

Stellenmarkt
  1. ENERCON GmbH, Bremen, Aurich, Magdeburg, Mannheim, Kiel, Mainz, Rostock, Hof, Soest
  2. DI Deutsche Immobilien Gruppe (DI-Gruppe), Düren

Dabei geben sich die Angreifer mit menschlicher Arbeitskraft große Mühe, um ans Ziel zu gelangen. So verbringen sie, wenn sie so schnell auf einen Account zugreifen, über 20 Minuten damit, die Maildaten zu durchstöbern. Dabei ändern sie das Passwort des Kontos, so dass der rechtmäßige Inhaber keinen Zugriff mehr darauf hat. Dann folgt die Suche nach anderen Konten, die über die Mailadresse abgesichert sind. Das Ziel sind Bankdaten, soziale Netzwerke, aber auch das Adressbuch.

Über die Kontakte des kompromittierten Nutzers folgen mit persönlichen Anreden weitere Phishing-Attacken auf die Bekannten. Deren Risiko, auch Opfer einer Phishing-Attacke zu werden, steigt um das 36fache, wenn einer ihrer Kontakte bereits betroffen ist.

14 Prozent der Phishing-Opfer geben selbst Daten preis

Die Effektivität von gefälschten Webseiten, die zur Eingabe von Logindaten verleiten, ist ebenfalls recht hoch: In 45 Prozent der Fälle wurden dort Daten eingegeben, wenn die Seiten besonders gut gemacht waren. Bei den Phishing-Sites, die Google als durchschnittlich betrachtet, klappte das noch in 14 Prozent der Fälle, richtig schlechte Fakes waren noch bei 3 Prozent erfolgreich. Diese Zahlen sind bei dieser speziellen Art des Angriffs, der oft vorherige Recherche über die Person erfordert, nicht überraschend. Insgesamt ist die Verbreitung solcher Attacken aber noch gering, nur 9 von einer Million Nutzern pro Tag erleben einen solchen Angriff.

Neben dem allgemein angebrachten Misstrauen gegenüber E-Mails, die zum Besuch einer Webseite raten, empfiehlt Google dringend, Accounts über 2-Faktor-Authentifzierung zu sichern und starke Passwörter zu verwenden. Um im Falle eines Falles schnell selbst wieder Zugriff zu erhalten, sollte auch eine zweite E-Mail-Adresse - die auch gut geschützt sein muss - oder eine Mobilfunknummer angegeben werden. Schon seit Jahren bietet Google für seine Accounts an, darüber per SMS einen Code zur Wiederherstellung des Zugriffs zu versenden.



Anzeige
Spiele-Angebote
  1. 229,00€
  2. 51,99€
  3. (-79%) 12,50€
  4. 3,83€

Van Bomber 10. Nov 2014

Funktioniert natürlich genauso. Hat aber leider den Nachteil, dass du dann zusätzlich...

benb 09. Nov 2014

"Am DE-CIX können nicht unbemerkt Port-Spiegelungen stattfinden, dort kennt man jeden...

sasquash 09. Nov 2014

Ich habe heute mal wieder einen "PayPal"Spoof-Mail gekriegt.. Natürlich an PayPal...

TC 08. Nov 2014

Yubikey braucht doch USB, oder? da bringt da mitnehmen doch nix, wenn man sich mal an...

ein_user 08. Nov 2014

DKB und kundenfreundlich? muhahaha ;) Ich hatte mal ein DKB Konto und habe online was...


Folgen Sie uns
       


1.000-Meilen-Strecke mit dem E-Tron - Bericht

Innerhalb 24 Stunden durch zehn europäische Länder fahren? Ist das mit einem Elektroauto problemlos möglich?

1.000-Meilen-Strecke mit dem E-Tron - Bericht Video aufrufen
Party like it's 1999: Die 510 letzten Tage von Sega
Party like it's 1999
Die 510 letzten Tage von Sega

Golem retro_ Am 9.9.1999 kam in den USA mit der Sega Dreamcast die letzte Spielkonsole der 90er Jahre auf den Markt. Es sollte auch die letzte Spielkonsole von Sega werden. Aber das wusste zu diesem Zeitpunkt noch niemand.
Von Martin Wolf


    Manipulierte Zustimmung: Datenschützer halten die meisten Cookie-Banner für illegal
    Manipulierte Zustimmung
    Datenschützer halten die meisten Cookie-Banner für illegal

    Nur die wenigsten Cookie-Banner entsprechen den Vorschriften der DSGVO, wie eine Studie feststellt. Die Datenschutzbehörden halten sich mit Sanktionen aber noch zurück.
    Ein Bericht von Christiane Schulzki-Haddouti

    1. Chrome & Privacy Google möchte uns in Zukunft anders tracken
    2. Tracking Google und Facebook tracken auch auf vielen Pornoseiten
    3. Android Apps kommen auch ohne Berechtigung an Trackingdaten

    Garmin Fenix 6 im Test: Laufzeitmonster mit Sonne im Herzen
    Garmin Fenix 6 im Test
    Laufzeitmonster mit Sonne im Herzen

    Bis zu 24 Tage Akkulaufzeit, im Spezialmodus sogar bis zu 120 Tage: Garmin setzt bei seiner Sport- und Smartwatchserie Fenix 6 konsequent auf Akku-Ausdauer. Beim Ausprobieren haben uns neben einem System zur Stromgewinnung auch neue Energiesparoptionen interessiert.
    Ein Test von Peter Steinlechner

    1. Fenix 6 Garmins Premium-Wearable hat ein Pairing-Problem
    2. Wearable Garmin Fenix 6 bekommt Solarstrom

      •  /