Abo
  • Services:

Hohe Phishing-Quote: So einfach ließen sich US-Politiker hacken

Die Veröffentlichungen von Wikileaks bringen die US-Politik in Schwierigkeiten. Die Hacks machen deutlich, welche Gefahren durch die Nutzung populärer E-Mail-Dienste wie Gmail entstehen.

Artikel veröffentlicht am ,
Der gefälschte Warnhinweis von Google.
Der gefälschte Warnhinweis von Google. (Bild: Smoking gun)

Die E-Mail-Accounts zahlreicher US-Politiker sind durch simple Phishing-Methoden gehackt worden. Wie Motherboard berichtete, nutzten die Hacker dazu gefälschte Warnhinweise des E-Mail-Anbieters Google, um die prominenten Opfer zur Eingabe und Änderung ihres Passwortes zu bewegen. Die entsprechenden Fake-Webseiten verbargen die Hacker dabei mit Hilfe von URL-Abkürzern wie Bitly.

Stellenmarkt
  1. GoDaddy, Hürth
  2. symmedia GmbH, Bielefeld

So erhielt Hillary Clintons Wahlkampfmanager John Podesta am 19. März 2016 einen angeblichen Warnhinweis von Gmail. Die Hacker gaben in den Mails vor, dass es beispielsweise von einer IP-Adresse in der Ukraine gelungen sei, sich mit dem Passwort des Nutzers einzuloggen. Zwar habe Google den Login-Versuch gestoppt, doch solle der Nutzer bitte sofort sein Passwort ändern.

9.000 Links ermittelt

Die Mails enthielten einen per Bitly verkürzten Link auf eine gefakte Website, auf der die Zugangsdaten geändert werden sollten. Deren URL sollte auf dem ersten Blick einem Google-Link ähnlich sehen. Einem geübten Nutzer würde eine Domain wie myaccount.google.com-securitysettings.tk allerdings sehr verdächtig vorkommen. Zudem enthielt die URL die mit Base64 kodierte Mail-Adresse des attackierten Nutzers. Hinter den Angriffen soll die russische Hackertruppe APT28 stecken, die auch unter den Namen Sofacy oder Fancy Bear bekannt ist. Seit dem 7. Oktober dieses Jahres veröffentlichte Wikileaks die E-Mails von Podesta, der auf die Phishing-Attacke hereingefallen war. Auch der frühere US-Außenminister Colin Powell war auf diese Weise gehackt worden.

Die Hacker sollen allerdings den Fehler gemacht haben, zwei ihrer Bitly-Accounts nicht auf privat zu setzen. Das US-Sicherheitsunternehmen Secureworks konnte daher rund 9.000 Links ermitteln, die zwischen Oktober 2015 und Mai 2016 auf rund 4.000 Gmail-Accounts zielten. Die Hacker nutzten vermutlich die URL-Verkürzung, damit die Mails nicht von Filtern und Schutzprogrammen als potenziell schädlich identifiziert wurden.

Clinton-Kampagne nutzt Google Apps

Möglich wurden solche Hacks auch dadurch, dass die Clinton-Kampagne über hillaryclinton.com beispielsweise den Google-Dienst Google Apps nutzte. Dieser erlaubt es Organisationen, Gmail als Maildienst einzusetzen. Das erleichterte es den Hackern, die typischen Login-Seiten von Google zu imitieren. Die Erfolgsrate soll enorm gewesen sein, wie aus einem Bericht von Buzzfeed hervorgeht. Demnach klickten von 108 Mitgliedern der Clinton-Kampagne 20 auf die Links, wie die Statistiken von Bitly zeigten. Beim Nationalkomitee der Demokratischen Partei (DNC) ließen sich 4 von 16 Nutzern auf die gefälschte Website locken.

Insgesamt soll jeder siebte per Phishing attackierte Nutzer sein Passwort verraten haben. Das behauptet der britische Sicherheitsforscher Thomas Rid in einer Analyse von Fancy Bear im US-Magazin Esquire. Mit solchen Phishing-Attacken lassen sich jedoch nicht nur Passwörter abgreifen, sondern kann auch Schadsoftware auf die Rechner von Nutzern gebracht werden. Auf diese Weise wurden beispielsweise die IT-Systeme des Bundestags großflächig infiltriert. Forscher fordern daher eine neue Sicherheitsarchitektur, da wegen der menschlichen Neugier kein 100-prozentiger Schutz vor Phishing-Attacken gewährleistet werden könne.



Anzeige
Top-Angebote
  1. 75€
  2. 849€ statt 1.148€ (Bestpreis!)
  3. (heute u. a. ausgewählte ASUS- und LG-Angebote)
  4. (Total War Warhammer 2 für 23,99€, Battlefield 1 - Revolution Edition für 23,49€ und...

senf.dazu 24. Okt 2016

Im Prinzip seh ich das genauso - EIN Paßwort sollte es OPTIONAL noch geben können. Bei...

Allandor 24. Okt 2016

heutzutage wird alles als Hack-bezeichnet, womit man irgendwie an fremdsysteme kommt...

Rumpanzle 24. Okt 2016

keine Ahnung welchen Zero-Day die mir da unterjubeln könnten, aber ein einfaches Klicken...

Kyraler 24. Okt 2016

Könnten nicht die Browser Whitelists von sämtlichen legitimen Websites/URLs der (größten...

William 24. Okt 2016

"Forscher fordern daher eine neue Sicherheitsarchitektur, da wegen der menschlichen...


Folgen Sie uns
       


4K-Projektoren für unter 2000 Euro - Test

Lohnen sich 4K-Projektoren für unter 2.000 Euro?

4K-Projektoren für unter 2000 Euro - Test Video aufrufen
Recycling: Die Plastikwaschmaschine
Recycling
Die Plastikwaschmaschine

Seit Kurzem importiert China kaum noch Müll aus dem Ausland. Damit hat Deutschland ein Problem. Wohin mit all dem Kunststoffabfall? Michael Hofmann will die Lösung kennen: Er bietet eine Technologie an, die den Abfall in Wertstoff verwandelt.
Ein Bericht von Daniel Hautmann


    Wonder Workshop Cue im Test: Der Spielzeugroboter kommt ins Flegelalter
    Wonder Workshop Cue im Test
    Der Spielzeugroboter kommt ins Flegelalter

    Bislang herrschte vor allem ein Niedlichkeitswettbewerb zwischen populären Spiel- und Lernrobotern für Kinder, jetzt durchbricht ein Roboter für jüngere Teenager das Schema nicht nur optisch: Cue fällt auch durch ein eher loseres Mundwerk auf.
    Ein Test von Alexander Merz


      PGP/SMIME: Die wichtigsten Fakten zu Efail
      PGP/SMIME
      Die wichtigsten Fakten zu Efail

      Im Zusammenhang mit den Efail genannten Sicherheitslücken bei verschlüsselten E-Mails sind viele missverständliche und widersprüchliche Informationen verbreitet worden. Wir fassen die richtigen Informationen zusammen.
      Eine Analyse von Hanno Böck

      1. Sicherheitslücke in Mailclients E-Mails versenden als potus@whitehouse.gov

        •  /