Spam-Versand über gehackte GMX-Konten
Hacker haben anscheinend einen Weg gefunden, den Brute-Force-Schutz von GMX zu umgehen: Accounts mit schwachen Passwörtern werden derzeit massenhaft zum Spam-Versand genutzt.
- Ronald Eikenberg
Cyber-Betrüger nutzen derzeit vermehrt gehackte GMX-Accounts zum Spamversand, wie uns zahlreiche Leser seit dem vergangenen Wochenende gemeldet haben. Die Mails gehen offenbar vor allem an die im GMX-Adressbuch gespeicherten Kontakte. Unsere Beobachtungen deuten darauf hin, dass sich die Betrüger mittels Brute Force Zugriff auf Accounts mit schwachen Passwörtern verschaffen konnten.
GMX zeigt nach dem Einloggen in die Weboberfläche die Anzahl der zwischenzeitlich fehlgeschlagenen Login-Versuche an. Bei einigen Kollegen ist dieser Wert ungewöhnlich hoch: in einem Fall waren es rund 40, in einem anderen sogar 2832 Fehlversuche. Im letzteren Fall hätte der Angreifer also die 2832 am häufigsten genutzten Passwörter ausprobieren können – und hätte damit in einer nennenswerten Anzahl von Fällen sicherlich Erfolg gehabt.
Wie der Mail-Provider gegenüber heise Security erklärte, schiebt GMX solchen Angriffen normalerweise "durch Rate-Limits und anderen Annomalie-Detection-Verfahren" einen Riegel vor. Das bedeutet unter anderem, dass Login-Versuche bestimmter IPs nach einer bestimmten Anzahl Fehlversuche abgewiesen werden.
Diese simple Schutzfunktion haben die Spammer bei den aktuellen Angriffen unter Umständen ausgetrickst: "Wir prüfen derzeit, ob Internet-Kriminelle vermehrt versuchen, Accounts mit sogenanntem distributed brute-forcing, also dem Angriff mit zahlreichen Rechnern auf einen Account, anzugreifen", erklärte der GMX-Sprecher. Ein Angreifer, der also beliebig viele Rechner mit beliebig vielen IP-Adressen – zum Beispiel ein Botnet – steuern kann, umschifft damit also möglicherweise das übliche Limit an Fehlversuchen.
E-Mails von Bekannten mit GMX-Account sollte man derzeit momentan kritisch beäugen, ehe man darin enthaltene Links oder Dateianhänge öffnet. GMX-Nutzer sollten checken, ob ihr Account mit einem sicheren Passwort geschützt ist.
Update vom 10.07.2012, 15:50: Nach bisherigem Kenntnisstand wird über die aktuelle Spamwelle vor allem für ein Abnehmpräparat geworben. (rei)