Original-URL des Artikels: https://www.golem.de/news/spyware-keylogger-benutzen-bevorzugt-zoho-zum-datenversand-1810-136939.html    Veröffentlicht: 04.10.2018 13:45    Kurz-URL: https://glm.io/136939

Spyware

Keylogger benutzen bevorzugt Zoho zum Datenversand

Keylogger sammeln Tastatureingaben und weitere Daten von betroffenen Rechnern. Einer Studie zufolge versenden sie die Informationen bevorzugt über Maildienste von Zoho, dessen Domain kürzlich gesperrt wurde.

Laut einer aktuellen Studie der Sicherheitsfirma Cofense ist Zohos Freemail-Dienst unter Keyloggern besonders beliebt. Fast 40 Prozent der untersuchten Keylogger versenden ihre Daten über Zoho, gefolgt von Yahoo.com mit 7 Prozent und Gmail mit 5 Prozent. Zoho stellt neben Freemail-Konten auch Onlinedienste wie E-Mail, Office oder Kundenbetreuungssysteme für Tausende Unternehmen bereit, darunter Netflix und die kanadische Fluggesellschaft Air Canada. Einen Grund für die herausragende Stellung von Zoho findet die Studie nicht, vermutet werden niedrige Anforderungen an die Sicherheit wie ein Aktivitätsmonitoring und eine optionale Zwei-Faktor-Authentifizierung (2FA). Zoho war erst kürzlich in die Schlagzeilen geraten: Die Domain Zoho.com war für mehrere Stunden durch den Domainregistrar Tierra.net deaktiviert worden.

Laut der Studie nutzen knapp 70 Prozent der Keylogger E-Mails zum Versenden der mitgeschnittenen Daten. Etwas über 20 Prozent nutzen URLs. Häufig werden kompromittierte E-Mail-Konten bei Freemail-Anbietern verwendet. 2018 hat der Einsatz von Keyloggern wie Agent Tesla und Hawkeye deutlich zugenommen. Diese Ergebnisse decken sich auch mit Erkenntnissen von Microsoft und der Security Community.

Verpflichtende Zwei-Faktor-Authentifikation gibt es jedoch bei keinem der großen E-Mail-Anbieter und ist damit kein Alleinstellungsmerkmal von Zoho. Ein verpflichtender zweiter Faktor dürfte E-Mail-Anbieter viele Kunden kosten.

Als Reaktion auf die Studie will Zoho zukünftig bei der Registrierung kostenloser E-Mail-Konten die Mobilfunknummer überprüfen. Konten mit auffälligen Login-Mustern sollen gesperrt werden. Zudem werden Technologien wie SPF, DKIM und DMARC, welche die E-Mail-Dienste per DNS-absichern, eingeführt. Diese waren allerdings schon länger als Maßnahme zur Spambekämpfung angedacht.

Erst kürzlich hatte der Domainregistrar Tierra.net die Domain Zoho.com deaktiviert. Zoho.com war daraufhin für mehrere Stunden nicht mehr zu erreichen. Begründet wurde der Schritt seitens Tierra.net mit Phishing-Mails, die über die Onlinedienste von Zoho verbreitet worden seien. Laut Angaben von Sridhar Vembu, CEO von Zoho, handelte es sich um drei Phishing-Beschwerden innerhalb von zwei Monaten. Daraufhin habe man zwei E-Mail-Konten sofort deaktiviert, ein weiteres habe genauer untersucht werden müssen.  (mtr)


Verwandte Artikel:
Sicherheit: Keylogger in HP-Notebooks gefunden   
(11.12.2017, https://glm.io/131598 )
Android: Spyware liest Whatsapp-Konversationen aus   
(28.09.2018, https://glm.io/136856 )
Torii: Neues IoT-Botnetzwerk ist gekommen, um zu bleiben   
(28.09.2018, https://glm.io/136860 )
Spyware: Mac-App Adware Doctor sammelt heimlich Nutzerdaten   
(10.09.2018, https://glm.io/136489 )
Schadsoftware: Malware in Chrome-Erweiterung des Filehosters Mega   
(06.09.2018, https://glm.io/136423 )

© 1997–2020 Golem.de, https://www.golem.de/