Account-Hijacking auf Bestellung: Black-Hat-Hacker mit miesem Kundenservice

Inhaltsverzeichnis

Wie groß ist eigentlich die Gefahr, dass der eigene E-Mail Account bezahlten Profi-Hackern zum Opfer fällt?

Das wollten Forscher von der University of California in San Diego in Zusammenarbeit mit Google herausfinden. Im Rahmen einer mehrmonatigen Studie beauftragten sie insgesamt 27 "Hack for Hire"-Services, um eigens zu diesem Zweck angelegte Gmail-Testaccounts zu kapern. Die waren laut Whitepaper zur Studie jeweils durch ein "starkes, zufällig generiertes" Passwort sowie durch SMS-basierte Zwei-Faktor-Authentifizierung (2FA) geschützt.

Die Ergebnisse verdeutlichen, dass Professionalität, Eigeninitiative und "Kundenfreundlichkeit" der selbsternannten Profi-Einbrecher derzeit glücklicherweise noch zu wünschen übrig lässt. Und dass Wachsamkeit gegenüber Phishing-Mails in Kombination mit dem Aktivieren von 2FA maßgeblich zum Schutz von E-Mail-Accounts beitragen.

Ladebalken wie im Hollywood-Film

Von den 27 Services, die die Forscher im Verlauf der Studie unter anderem in Untergrundforen, über Google-Suchergebnisse und durch Kontaktaufnahme zu Abuse-Teams von Internetfirmen ausfindig machten, erklärten sich letztlich nur fünf bereit, den Auftrag der Forscher anzunehmen. Viele von ihnen reagierten überhaupt nicht auf ihre Anfragen oder lehnten aus fadenscheinigen Gründen ab.

Ob sie die Tarnung der Forscher möglicherweise durchschauten, geht aus der Studie nicht hervor. Die betrieben allerdings einen recht hohen Aufwand, indem sie etwa Muttersprachler zur Kommunikation mit den Hackern beauftragten und Namen, E-Mail-Adressen und Mailbox-Inhalte der angeblichen Account-Besitzer möglichst glaubwürdig gestalteten.

Andere Services nahmen die angebotene Bezahlung zwar gern an, machten anschließend aber keine Anstalten, tatsächlich zum Angriff auf die vom Forscherteam überwachten Accounts überzugehen. Kurios mutet die Beschreibung eines Services an, bei dem sich das Team einloggen konnte, um den Angriff "live" mitzuerleben – und zwar in Gestalt eines Ladebalkens mit "Hacking in progress"-Beschriftung in bester Hackerfilm-Manier. In Wirklichkeit geschah im Hintergrund nichts.

Angriffe mit maßgeschneiderten Phishing-Mails

Dass vier der fünf beauftragten Black-Hat-Hacker, die tatsächlich aktiv wurden, ihre Angriffe primär auf Phishing-Mails stützten, die in einigen Fällen speziell auf die vermeintlichen Opfer zugeschnitten waren (Spear Phishing), ist keine große Überraschung: Die Zahl gezielter Phishing-Angriffe nimmt seit geraumer Zeit zu. Zuletzt warnte unter anderem das BSI vor groß angelegten Spear- und Dynamit-Phishing-Kampagnen auf Unternehmen.

Um die insgesamt 34 Gmail-Lockaccounts glaubwürdiger erscheinen zu lassen und den Angreifern eine Steilvorlage fürs Spear Phishing zu liefern, legten die Forscher unter anderem Webseiten für die fiktiven Account-Besitzer an. Und tatsächlich dienten die dort platzierten persönlichen Details und E-Mail-Adressen weiterer erfundener Personen den Hackern in einigen Fällen als Ausgangspunkt fürs personalisierte Phishing. In anderen Fällen gaukelten die Angreifer als Absender Autoritäten wie Banken oder Behörden oder bekannte Unternehmen wie Google vor, um Dringlichkeit zu suggerieren.

Um später die Zwei-Faktor-Authentifizierung (2FA) umgehen zu können, beinhalteten die Mails der letztlich erfolgreichen Angreifer Links auf vermeintliche Google-Webseiten, die (vorgeblich zur Account-Validierung) zur Eingabe von Passwörtern und später auch zur Eingabe von SMS-Codes zur 2FA-Authentifizierung aufforderten.

Einer der fünf Services setzte statt auf Phishing-Links auf Schadcode im E-Mail-Anhang. Dabei handelte es sich um eine Variante des kommerziellen Tools TeamViewer, die auf den Testrechnern der Forscher aber wohl nicht richtig funktionierte.

2FA schreckt Angreifer ab

Letztlich waren nach Aussage der Forscher nur drei der fünf Services tatsächlich in der Lage, die Test-Accounts zu hacken und den Forschern Passwörter oder Archive mit dem Postfachinhalt zurückzuliefern. Maßgeblich für den Erfolg war allerdings, dass die Forscher mit den Google-Phishing-Webseiten interagierten und den 2FA-Schutz auf diese Weise selbst untergruben.

Dem Whitepaper ist zu entnehmen, dass einige Services den Auftrag ablehnten als sie erfuhren, dass die Accounts mittels 2FA geschützt waren – oder dass sie einräumten, ihn ohne zusätzliche Informationen wie die Telefonnummer des Opfers nicht ausführen zu können. Andere verdoppelten angesichts 2FA die (normalerweise zwischen 100 und 500 US-Dollar rangierenden) Preise für den Angriff.

Die Forscher weisen in diesem Zusammenhang auch darauf hin, dass hardwarebasierte 2FA mit Security-Keys immun gegen Phishing-Angriffe und daher derzeit den besten Schutz bietet.

Hack-for-Hire-Business eher ein Nischengeschäft

Insgesamt kommen die Forscher zu dem Ergebnis, dass die von ihnen getesteten Black-Hat-Services derzeit keine große Gefahr darstellen. Google gelang es auf Basis bestimmter Eigenschaften der von den Forschern beobachteten Angriffe, Rückschlüsse auf die Gesamtzahl der "In-the-wild"-Attacken durch die drei erfolgreichen Services zu ziehen.

Demnach griffen diese zwischen März und Oktober 2018 insgesamt 372 Gmail-Accounts an. In wie vielen Fällen diese Angriffe (unter Mitwirkung der auf die Phishing-Links klickenden Account-Besitzer) erfolgreich waren, lässt sich aus den Zahlen nicht ableiten. Die Forscher zitieren jedoch zum Vergleich eine Studie, laut der vorgefertigte Phishing-Baukästen innerhalb eines Jahres die Sicherheit von rund 12 Millionen E-Mail-Accounts gefährdeten.

Das Account-Hijacking auf Bestellung sei derzeit also eher ein Nischengeschäft – mit Auftragnehmern, die wenig motiviert wirkten und (wenn überhaupt) immer nur ein Mindestmaß an Aktivität und so gut wie keine Eigeninitiative an den Tag legten.

Mehr zum Thema:

• Amnesty: Hacker hebeln automatisiert 2-Faktor-Authentifizierung aus
• Multi-Faktor-Authentifizierung: Methoden und Dienstleister
  
• Multi-Faktor-Authentifizierung in Unternehmen
  

(ovw)