Wie funktioniert ein Angriff auf ein Mailkonto?
Google-Mitarbeiter untersuchen in einer Studie manuelle Hijacking-Angriffe auf E-Mail-Konten. Das Unternehmen zeigt auch auf, wie es versucht, unberechtigte Zugriffe auf Nutzerkonten zu unterbinden.
In einer Studie untersuchen sechs Google-Mitarbeiter und zwei Vertreter der University of California in San Diego manuelles Account Hijacking. Das sind Angriffe auf E-Mail-Konten, die von Menschen und nicht von Botnetzen durchgeführt werden.
In einem öffentlichen Dokument beschreiben die Autoren der Studie den sogenannten "Hijacking workflow":
- Der Angreifer besorgt sich die Login-Daten für ein E-Mail-Konto, indem er einen Phishing-Angriff startet, Malware einsetzt oder einfach das Passwort eines Nutzers zu erraten versucht.
- Hat sich der Angreifer Zugang zum Account des Angegriffenen verschafft, verbringt er durchschnittlich 3 Minuten damit, den Account zu durchsuchen, bevor er sich entscheidet, ob es sich lohnt, fortzufahren. Die Autoren der Studie zeigen sich über dieses strategische Vorgehen überrascht. Falls sich der Angreifer entscheidet, weiterzufahren, verbringt er weitere 15 bis 20 Minuten damit, den Account des Angegriffenen zu durchsuchen. Ziel davon ist beispielsweise, an Kontaktdaten zu kommen, um bei Freunden des Angegriffenen um Geld zu bitten - im Stil von "Ich bin im Ausland und wurde gerade bestohlen, bitte helft mir!"
Ist ein Angriff einmal erfolgt und entdeckt, muss der Zugang zum Mailkonto wiederhergestellt werden, so die Autoren. Dafür gebe es drei Möglichkeiten: Am höchsten sei die Erfolgsquote mit SMS (80,91 Prozent). Eine zweite E-Mail-Adresse führe in 74,57 Prozent der Fälle zu einem Erfolg. Fallen diese beiden Möglichkeiten weg, betrage die Erfolgsquote nur noch 14,2 Prozent. Allerdings weisen die Autoren der Studie darauf hin, dass eine zweite Mail-Adresse gewisse Probleme mit sich bringt, da manche Mailadressen bei Inaktivität gelöscht würden und danach von den Angreifern wiederverwendet werden könnten.
Auch müsse nach dem Angriff die vom Hijacker initiierten Änderungen wieder rückgängig gemacht werden. Dazu gehört laut Studie die Wiederherstellung der vom Hijacker gelöschten Daten sowie umgekehrt die Löschung der von ihm hinzugefügten Daten.
Verteidigungsmechanismen
Nebst dem Angriffszenario stellen die Autoren Verteidigungsstrategien vor, wie man als Unternehmen manuelle Angriffe abwehren kann: Als beste Strategie erachten die Autoren der Studie eine Zwei-Faktoren-Authentifizierung. Allerdings würde diese mit manchen älteren Mail Clients nicht funktionieren, heisst es weiter. Ein Workaround sei die Generierung eines Passworts für genau diese Applikationen, was aber nicht ideal sei, da ebendiese Passwörter auch wieder gestohlen werden könnten.
Auch die Beobachtung jedes einzelnen Login-Versuchs sei ein gutes Mittel, um Hijacker davon abzuhalten, überhaupt in ein Nutzerkonto eindringen zu können. Dazu nutze Google ein System, um bei jedem Login zu prüfen, ob es sich um einen normalen Login oder einen betrügerischen Login-Versuch handle. Auch die Sensibilisierung von Nutzern ist laut der Studie ein gutes Mittel, um Angriffe zu verhindern.
Google unterscheidet der Studie zufolge zwischen drei Arten von Hijacking: Nebst dem beschriebenen manuellen Hijacking gibt es zweitens noch das automatisierte Hijacking via Spam-Mails oder Botnetze sowie drittens gezielte Angriffe auf bestimmte Unternehmen. Manuelles Hijacking sorgt Google zufolge für grossen Schaden beim einzelnen Nutzer, während beim automatisierten Hijacking der Schaden weniger gross ist, dafür aber mehr Nutzer betroffen sind.
Ergon wächst zweistellig
Red Hat stellt neue Lösungen für Entwickler vor
SAP würdigt seine Schweizer Lieblingskunden
Scammer kommen via Phishing-Mail an Facebook-Bezahldaten
HPE und Bosch bringen Lösungen zusammen für Digital Twins
Schweden seit Nato-Beitritt verstärkt im DDoS-Visier
visiONstage – wo Business auf Zukunft trifft
Schweizer Strafverfolger überwachen etwas weniger, holen aber mehr Auskünfte ein
Die Stimmen zu den Best of Swiss Web Awards 2024
