Nachrichten, Gerüchte, Meldungen und Berichte aus der IT-Szene

Redaktion: Heinz Schmitz


Der Spion kommt durch die Hintertür

Dass Cyberkriminelle und -spione sich für Anbieter legitimer und beliebter Services ausgeben, stellt leider eine weit verbreitete, weil erfolgreiche Betrugsmasche dar. Zurzeit machen Spam-Nachrichten die Runde, die es auf Google-Drive- und Dropbox-Nutzer abgesehen haben. „Nicht öffnen, sondern löschen“ lautet hier die Devise. Denn wer auf den Trick hereinfällt, fängt sich einen Hintertürschädling ein. Dabei handelt es sich um Spionagesoftware, die Benutzernamen und Passwörter stiehlt sowie Tastatureingaben mitschneidet und darüber hinaus Befehle der Hintermänner im Internet ausführt.

 

Der aktuelle Betrugsversuch weist ein erkleckliches Maß an Dreistigkeit auf. Denn die gefälschten E-Mails tarnen sich nicht nur als Sicherheitswarnungen – angeblich habe sich jemand von einem unbekannten Gerät aus im Google-Drive- oder Dropbox-Konto eingeloggt. Die Masche der Ganoven ist also kaum auf den ersten Blick zu erkennen, denn die Nutzer kennen solche Warnungen nur zu gut; außerdem verwenden die Cyberkriminellen zumindest teilweise deutsche Absenderadressen. Zudem nutzen die Online-Spione sogar einen der missbrauchten Dienste – im vorliegenden Fall Google Drive –, um den Hintertürschädling auf die infizierten Systeme zu verteilen. Dadurch erfolgt das Herunterladen der Spionagesoftware über das sichere HTTPS-Protokoll, so dass Sicherheitsmechanismen wie manche Webfilter umgangen werden. Ferner tricksen die Angreifer zahlreiche E-Mail-Reputationsdienste aus, indem sie lokale Mailserver auf Web-Hosts nur mit deren IPv6-Adresse für den Versand ihrer Spam-Nachrichten missbrauchen. Denn viele E-Mail-Reputationsdienste filtern ausschließlich anhand der IPv4-Adresse.

Um sich gegen diese Bedrohung zu wappnen, sollten die Anwender ein paar grundsätzliche Verhaltensregeln beachten:

• Erhalten sie Sicherheitswarnungen von Google Drive oder Dropbox oder auch von anderen Cloud-Diensten, sollten sie im Adressfeld prüfen, ob die Absenderadresse wirklich vom angeblichen Versender stammt. Wenn nicht, befindet sich im Absenderfeld eine zweite, abweichende Adresse – im vorliegenden Fall unter anderem von einem Mailserver aus Deutschland.

 

• Auch wenn die Sicherheitswarnung vom vertrauenswürdigen Absender zu stammen scheint, sollten Anwender niemals auf eingebettete Links klicken, um ihre Kontodaten zu prüfen. Besteht ein begründeter Verdacht, dass das eigene Konto gefährdet ist, sollte man sich stets über die Startseite des Diensteanbieters einloggen, um seine persönlichen Daten zu überprüfen und gegebenenfalls zu ändern.

 

• Drittens gilt generell: Wenn die Cloud-Services-Anbieter Mechanismen zur Multifaktorauthentifizierung, zum Beispiel über die zusätzliche Eingabe eines per SMS zugestellten Einmalpasswortes oder Sicherheitscodes, zur Verfügung stellen, sollten diese auf jeden Fall genutzt werden. Dies setzt freilich voraus, dass nicht nur auf dem Rechner, sondern auch auf dem Smartphone oder Tablet eine Sicherheitslösung installiert ist, die fortlaufend aktualisiert wird. Ferner bieten sowohl Google als auch Dropbox eine abgesicherte Anmeldung mittels zeitlich begrenzt gültiger Einmalpasswörter, so genannter TOTP Tokens, an. Dabei wird auf einem vom Rechner unabhängigen zweiten Gerät ein Einmalpasswort erzeugt, bei der Anmeldung auf der Webseite vom Anwender eingegeben und im Hintergrund auf dem Server des Diensteanbieters verifiziert. Der Vorteil dieses Verfahrens besteht darin, dass das Passwort nicht erst zum Beispiel auf ein Smartphone gesendet wird und auf diesem Weg von den Cyberkriminellen abgefangen werden kann.

 

Weitere Informationen unter:

http://blog.trendmicro.de/gefaelschte-login-warnung-verteilt-backdoor/

Zurück