• IT-Karriere:
  • Services:

Hohe Phishing-Quote: So einfach ließen sich US-Politiker hacken

Die Veröffentlichungen von Wikileaks bringen die US-Politik in Schwierigkeiten. Die Hacks machen deutlich, welche Gefahren durch die Nutzung populärer E-Mail-Dienste wie Gmail entstehen.

Artikel veröffentlicht am ,
Der gefälschte Warnhinweis von Google.
Der gefälschte Warnhinweis von Google. (Bild: Smoking gun)

Die E-Mail-Accounts zahlreicher US-Politiker sind durch simple Phishing-Methoden gehackt worden. Wie Motherboard berichtete, nutzten die Hacker dazu gefälschte Warnhinweise des E-Mail-Anbieters Google, um die prominenten Opfer zur Eingabe und Änderung ihres Passwortes zu bewegen. Die entsprechenden Fake-Webseiten verbargen die Hacker dabei mit Hilfe von URL-Abkürzern wie Bitly.

Stellenmarkt
  1. über duerenhoff GmbH, Raum Ostfildern
  2. transmed Transport GmbH, Regensburg

So erhielt Hillary Clintons Wahlkampfmanager John Podesta am 19. März 2016 einen angeblichen Warnhinweis von Gmail. Die Hacker gaben in den Mails vor, dass es beispielsweise von einer IP-Adresse in der Ukraine gelungen sei, sich mit dem Passwort des Nutzers einzuloggen. Zwar habe Google den Login-Versuch gestoppt, doch solle der Nutzer bitte sofort sein Passwort ändern.

9.000 Links ermittelt

Die Mails enthielten einen per Bitly verkürzten Link auf eine gefakte Website, auf der die Zugangsdaten geändert werden sollten. Deren URL sollte auf dem ersten Blick einem Google-Link ähnlich sehen. Einem geübten Nutzer würde eine Domain wie myaccount.google.com-securitysettings.tk allerdings sehr verdächtig vorkommen. Zudem enthielt die URL die mit Base64 kodierte Mail-Adresse des attackierten Nutzers. Hinter den Angriffen soll die russische Hackertruppe APT28 stecken, die auch unter den Namen Sofacy oder Fancy Bear bekannt ist. Seit dem 7. Oktober dieses Jahres veröffentlichte Wikileaks die E-Mails von Podesta, der auf die Phishing-Attacke hereingefallen war. Auch der frühere US-Außenminister Colin Powell war auf diese Weise gehackt worden.

Die Hacker sollen allerdings den Fehler gemacht haben, zwei ihrer Bitly-Accounts nicht auf privat zu setzen. Das US-Sicherheitsunternehmen Secureworks konnte daher rund 9.000 Links ermitteln, die zwischen Oktober 2015 und Mai 2016 auf rund 4.000 Gmail-Accounts zielten. Die Hacker nutzten vermutlich die URL-Verkürzung, damit die Mails nicht von Filtern und Schutzprogrammen als potenziell schädlich identifiziert wurden.

Clinton-Kampagne nutzt Google Apps

Möglich wurden solche Hacks auch dadurch, dass die Clinton-Kampagne über hillaryclinton.com beispielsweise den Google-Dienst Google Apps nutzte. Dieser erlaubt es Organisationen, Gmail als Maildienst einzusetzen. Das erleichterte es den Hackern, die typischen Login-Seiten von Google zu imitieren. Die Erfolgsrate soll enorm gewesen sein, wie aus einem Bericht von Buzzfeed hervorgeht. Demnach klickten von 108 Mitgliedern der Clinton-Kampagne 20 auf die Links, wie die Statistiken von Bitly zeigten. Beim Nationalkomitee der Demokratischen Partei (DNC) ließen sich 4 von 16 Nutzern auf die gefälschte Website locken.

Insgesamt soll jeder siebte per Phishing attackierte Nutzer sein Passwort verraten haben. Das behauptet der britische Sicherheitsforscher Thomas Rid in einer Analyse von Fancy Bear im US-Magazin Esquire. Mit solchen Phishing-Attacken lassen sich jedoch nicht nur Passwörter abgreifen, sondern kann auch Schadsoftware auf die Rechner von Nutzern gebracht werden. Auf diese Weise wurden beispielsweise die IT-Systeme des Bundestags großflächig infiltriert. Forscher fordern daher eine neue Sicherheitsarchitektur, da wegen der menschlichen Neugier kein 100-prozentiger Schutz vor Phishing-Attacken gewährleistet werden könne.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Overwatch Legendary Edition für 18,99€, No Man's Sky für 20,99€, Star Wars Jedi...
  2. (aktuell u. a. Asus VG248QZ Monitor für 169,90€, Edifier R1280DB Lautsprecher 99,90€)
  3. 0,99€ (danach 7,99€/Monat für Prime-Kunden bzw. 9,99€/Monat für Nicht-Prime-Kunden...
  4. (u. a. Stirb Langsam 1 - 5, Kingsman 2-Film-Collection, Fight Club, Terminator)

SvenMeyer 08. Aug 2018

... auch nach 20 Jahren Internet den Aufbau einer URL zu verstehen: myaccount.google.com...

senf.dazu 24. Okt 2016

Im Prinzip seh ich das genauso - EIN Paßwort sollte es OPTIONAL noch geben können. Bei...

Allandor 24. Okt 2016

heutzutage wird alles als Hack-bezeichnet, womit man irgendwie an fremdsysteme kommt...

Rumpanzle 24. Okt 2016

keine Ahnung welchen Zero-Day die mir da unterjubeln könnten, aber ein einfaches Klicken...

Kyraler 24. Okt 2016

Könnten nicht die Browser Whitelists von sämtlichen legitimen Websites/URLs der (größten...


Folgen Sie uns
       


Pixel 4 XL - Test

Das Pixel 4 XL ist Googles erstes Smartphone mit einer Dualkamera. Im Test haben wir uns diese genau angeschaut.

Pixel 4 XL - Test Video aufrufen
Bosch-Parkplatzsensor im Test: Ein Knöllchen von LoRa
Bosch-Parkplatzsensor im Test
Ein Knöllchen von LoRa

Immer häufiger übernehmen Sensoren die Überwachung von Parkplätzen. Doch wie zuverlässig ist die Technik auf Basis von LoRa inzwischen? Golem.de hat einen Sensor von Bosch getestet und erläutert die Unterschiede zum Parking Pilot von Smart City System.
Ein Test von Friedhelm Greis

  1. Automated Valet Parking Daimler und Bosch dürfen autonom parken
  2. Enhanced Summon Teslas sollen künftig ausparken und vorfahren

Fritzbox mit Docsis 3.1 in der Praxis: Hurra, wir haben Gigabit!
Fritzbox mit Docsis 3.1 in der Praxis
Hurra, wir haben Gigabit!

Die Fritzbox 6591 Cable für den Einsatz in Gigabit-Kabelnetzen ist seit Mai im Handel erhältlich. Wir haben getestet, wie schnell Vodafone mit Docsis 3.1 tatsächlich Daten überträgt und ob sich der Umstieg auf einen schnellen Router lohnt.
Ein Praxistest von Friedhelm Greis

  1. Nodesplits Vodafone bietet 500 MBit/s für 20 Millionen Haushalte
  2. Sercomm Kabelmodem für bis zu 2,5 GBit/s vorgestellt
  3. Kabelnetz Die Marke Unitymedia wird verschwinden

Need for Speed Heat im Test: Temporausch bei Tag und Nacht
Need for Speed Heat im Test
Temporausch bei Tag und Nacht

Extrem schnelle Verfolgungsjagden, eine offene Welt und viel Abwechslung dank Tag- und Nachtmodus: Mit dem Arcade-Rennspiel Heat hat Electronic Arts das beste Need for Speed seit langem veröffentlicht. Und das sogar ohne Mikrotransaktionen!
Von Peter Steinlechner

  1. Electronic Arts Need for Speed Heat saust durch Miami

    •  /