Abo
  • Services:

Hohe Phishing-Quote: So einfach ließen sich US-Politiker hacken

Die Veröffentlichungen von Wikileaks bringen die US-Politik in Schwierigkeiten. Die Hacks machen deutlich, welche Gefahren durch die Nutzung populärer E-Mail-Dienste wie Gmail entstehen.

Artikel veröffentlicht am ,
Der gefälschte Warnhinweis von Google.
Der gefälschte Warnhinweis von Google. (Bild: Smoking gun)

Die E-Mail-Accounts zahlreicher US-Politiker sind durch simple Phishing-Methoden gehackt worden. Wie Motherboard berichtete, nutzten die Hacker dazu gefälschte Warnhinweise des E-Mail-Anbieters Google, um die prominenten Opfer zur Eingabe und Änderung ihres Passwortes zu bewegen. Die entsprechenden Fake-Webseiten verbargen die Hacker dabei mit Hilfe von URL-Abkürzern wie Bitly.

Stellenmarkt
  1. MTU Friedrichshafen GmbH, Friedrichshafen
  2. PFALZKOM | MANET, Ludwigshafen

So erhielt Hillary Clintons Wahlkampfmanager John Podesta am 19. März 2016 einen angeblichen Warnhinweis von Gmail. Die Hacker gaben in den Mails vor, dass es beispielsweise von einer IP-Adresse in der Ukraine gelungen sei, sich mit dem Passwort des Nutzers einzuloggen. Zwar habe Google den Login-Versuch gestoppt, doch solle der Nutzer bitte sofort sein Passwort ändern.

9.000 Links ermittelt

Die Mails enthielten einen per Bitly verkürzten Link auf eine gefakte Website, auf der die Zugangsdaten geändert werden sollten. Deren URL sollte auf dem ersten Blick einem Google-Link ähnlich sehen. Einem geübten Nutzer würde eine Domain wie myaccount.google.com-securitysettings.tk allerdings sehr verdächtig vorkommen. Zudem enthielt die URL die mit Base64 kodierte Mail-Adresse des attackierten Nutzers. Hinter den Angriffen soll die russische Hackertruppe APT28 stecken, die auch unter den Namen Sofacy oder Fancy Bear bekannt ist. Seit dem 7. Oktober dieses Jahres veröffentlichte Wikileaks die E-Mails von Podesta, der auf die Phishing-Attacke hereingefallen war. Auch der frühere US-Außenminister Colin Powell war auf diese Weise gehackt worden.

Die Hacker sollen allerdings den Fehler gemacht haben, zwei ihrer Bitly-Accounts nicht auf privat zu setzen. Das US-Sicherheitsunternehmen Secureworks konnte daher rund 9.000 Links ermitteln, die zwischen Oktober 2015 und Mai 2016 auf rund 4.000 Gmail-Accounts zielten. Die Hacker nutzten vermutlich die URL-Verkürzung, damit die Mails nicht von Filtern und Schutzprogrammen als potenziell schädlich identifiziert wurden.

Clinton-Kampagne nutzt Google Apps

Möglich wurden solche Hacks auch dadurch, dass die Clinton-Kampagne über hillaryclinton.com beispielsweise den Google-Dienst Google Apps nutzte. Dieser erlaubt es Organisationen, Gmail als Maildienst einzusetzen. Das erleichterte es den Hackern, die typischen Login-Seiten von Google zu imitieren. Die Erfolgsrate soll enorm gewesen sein, wie aus einem Bericht von Buzzfeed hervorgeht. Demnach klickten von 108 Mitgliedern der Clinton-Kampagne 20 auf die Links, wie die Statistiken von Bitly zeigten. Beim Nationalkomitee der Demokratischen Partei (DNC) ließen sich 4 von 16 Nutzern auf die gefälschte Website locken.

Insgesamt soll jeder siebte per Phishing attackierte Nutzer sein Passwort verraten haben. Das behauptet der britische Sicherheitsforscher Thomas Rid in einer Analyse von Fancy Bear im US-Magazin Esquire. Mit solchen Phishing-Attacken lassen sich jedoch nicht nur Passwörter abgreifen, sondern kann auch Schadsoftware auf die Rechner von Nutzern gebracht werden. Auf diese Weise wurden beispielsweise die IT-Systeme des Bundestags großflächig infiltriert. Forscher fordern daher eine neue Sicherheitsarchitektur, da wegen der menschlichen Neugier kein 100-prozentiger Schutz vor Phishing-Attacken gewährleistet werden könne.



Anzeige
Hardware-Angebote
  1. 83,90€ + Versand

senf.dazu 24. Okt 2016

Im Prinzip seh ich das genauso - EIN Paßwort sollte es OPTIONAL noch geben können. Bei...

Allandor 24. Okt 2016

heutzutage wird alles als Hack-bezeichnet, womit man irgendwie an fremdsysteme kommt...

Rumpanzle 24. Okt 2016

keine Ahnung welchen Zero-Day die mir da unterjubeln könnten, aber ein einfaches Klicken...

Kyraler 24. Okt 2016

Könnten nicht die Browser Whitelists von sämtlichen legitimen Websites/URLs der (größten...

William 24. Okt 2016

"Forscher fordern daher eine neue Sicherheitsarchitektur, da wegen der menschlichen...


Folgen Sie uns
       


Square Enix E3 2018 Pressekonferenz - Live

Lara Croft steht kurz vor ihrer Metamorphose, Dragon Quest 11 und Final Fantasy 14 erblühen in Europa und zwei ganz neue Spieleserien hat Square Enix auch noch vorgestellt. Wie fanden wir das?

Square Enix E3 2018 Pressekonferenz - Live Video aufrufen
Always Connected PCs im Test: Das kann Windows 10 on Snapdragon
Always Connected PCs im Test
Das kann Windows 10 on Snapdragon

Noch keine Konkurrenz für x86-Notebooks: Die Convertibles mit Snapdragon-Chip und Windows 10 on ARM sind flott, haben LTE integriert und eine extrem lange Akkulaufzeit. Der App- und der Treiber-Support ist im Alltag teils ein Manko, aber nur eins der bisherigen Geräte überzeugt uns.
Ein Test von Marc Sauter und Oliver Nickel

  1. Qualcomm "Wir entwickeln dediziertes Silizium für Laptops"
  2. Windows 10 on ARM Microsoft plant 64-Bit-Support ab Mai 2018
  3. Always Connected PCs Vielversprechender Windows-RT-Nachfolger mit Fragezeichen

Russische Agenten angeklagt: Mit Bitcoin und CCleaner gegen Hillary Clinton
Russische Agenten angeklagt
Mit Bitcoin und CCleaner gegen Hillary Clinton

Die US-Justiz hat zwölf russische Agenten wegen des Hacks im US-Präsidentschaftswahlkampf angeklagt. Die Anklageschrift nennt viele technische Details und erhebt auch Vorwürfe gegen das Enthüllungsportal Wikileaks.

  1. Nach Gipfeltreffen Trump glaubt Putin mehr als US-Geheimdiensten
  2. US Space Force Planlos im Weltraum
  3. Gewalt US-Präsident Trump will Gespräch mit Spielebranche

Krankenversicherung: Der Papierkrieg geht weiter
Krankenversicherung
Der Papierkrieg geht weiter

Die Krankenversicherung der Zukunft wird digital und direkt, aber eine tiefgreifende Disruption des Gesundheitswesens à la Amazon wird in Deutschland wohl ausbleiben. Die Beharrungskräfte sind zu groß.
Eine Analyse von Daniel Fallenstein

  1. Imagen Tech KI-System Osteodetect erkennt Knochenbrüche
  2. Medizintechnik Implantat wird per Ultraschall programmiert
  3. Telemedizin Neue Patienten für die Onlinepraxis

    •  /