US-Satireseite The Onion gehackt
Kein Witz: Die syrischen Pro-Assad-Hacker-Gruppe SEA hat sämtliche Verteidigungsschichten der US-Satireseite The Onion durchdrungen -- mit einfachsten Mitteln.
Bislang hatte es die syrische Hackertruppe Syrian Electronic Army (SEA) vor allem auf seriöse, westliche Medien-Portale wie CBS, The Guardian und Associated Press abgesehen und deren Konten in sozialen Netzwerken missbraucht. Letzte Woche hat es die Twitter- und Facebook-Accounts der Satire-Site The Onion erwischt. Wieder wurden über die gekaperten Zugänge anti-israelische und Pro-Assad-Äußerungen abgesetzt. The Onion beschreibt in seinem Blog den genauen Hergang des Einbruchs.
Demnach fiel ein Mitarbeiter von The Onion auf eine simple Phishing-Attacke der SEA herein, in der Mail wurde ein Artikel der Washington Post empfohlen. Nach Klick auf den Artikel-Link wurden die Accountdaten des Google-App-Accounts abgefragt, die der ahnungslose Anwender tatsächlich eingab, am Ende landete er in seinem Gmail-Posteingang und schöpfte so nicht direkt Verdacht. Da nur wenige Mitarbeiter angeschrieben wurden, wurde kein Angriff vermutet und kein Alarm geschlagen. Über den Gmail-Account verschickte die SEA dann diesselbe Empfehlungs-Mail an einen größeren Teil des The-Onion-Teams. Durch den vertrauenswürdigen Absender konnten die Hacker zwei weitere Accounts ergattern, einer davon hatte Zugang zu den Twitter- und Facebook-Accounts der Satireseite.
(Bild: Screenshot)
Nachdem ein Einbruch festgestellt wurde, forderte eine Rundmail der Admins dazu auf, alle Passwörter zu ändern. Diese Mail fingen die Hacker über einen bis dahin unentdeckten Account ab, und sendeten über diesen eine gleichartige Passwort-Zurücksetzen-Nachricht, deren Link wiederum auf eine getarnte Pishing-Seite führte. Admin-Accounts wurden bewusst nicht angeschrieben. Auf diese Weise kaperte die SEA zwei weitere Accounts, einer davon hatte Zugang zu Twitter.
Unter der IP-Adresse, welche die Angreifer beim Benutzen der Twitter- und Facebook-Accounts im Log hinterließen, betreibt die SEA auch eine eigene Website. Die Vorgehensweise macht deutlich, dass die SEA keine technisch aufwendigen Methoden einsetzt, sondern mit einfachen Pishing-Attacken operiert. Diese Angriffe könne man immerhin relativ leicht vereiteln, wenn man seine Mitarbeiter darauf vorbereite, so The Onion. (thk)
