Neue SMS-Betrugsmasche hebelt Zwei-Faktor-Authentifizierung bei E-Mail-Diensten aus

AuthentifizierungSicherheit
SMS-Betrusgmasche (Grafik: Symantec)

Angegriffen werden Nutzer von E-Mail-Konten bei Gmail, Outlook.com (Hotmail) und Yahoo Mail. Die Angreifer machen sich die Passwort-Wiederherstellungsfunktion der Dienste zu Nutze. Erst fordern sie per E-Mail einen Verifizierungs-Code auf die hinterlegte Mobilfunknummer an, dann geben sie in einer SM an den Kontoinhaber vor, der E-Mail-Provider zu sein und fragen nach dem zugesandten Code.

Kriminelle machen sich derzeit die Passwort-Wiederherstellungsfunktion von Gmail, Outlook.com (Hotmail) und Yahoo Mail zunutze, um sich Zugriff auf diese Konten zu verschaffen. Davor hat jetzt Symantec-Experte Slawomir Grzonkowski gewarnt. Die Angreifer gehen ihm zufolge dabei einerseits äußert raffiniert, andererseits auch recht einfach vor – was allerdings ihre Erfolgssausichten erheblich erhöhe.

Die neue SMS-Betrugsmasche macht sich gerade Eigenheiten der von den Mail-Diensten seit einiger Zeit den Nutzer als sicherer aufgedrängten Zwei-Faktor-Authentifizierung zunutze, um eben diese auszuhebeln. Dazu fordern die Angreifer zunächst per Mail beim Dienstanbieter einen Verifizierungs-Code auf die hinterlegte Mobilfunknummer an. Anschließend senden sie an diese Nummer eine SMS. In der Textnachricht geben sie vor, der E-Mail-Provider zu sein und bitten Nutzer die Zusendung des soeben erhaltenen Codes. Das wird mit einem Sicherheitsvorwand begründet. Folgt der Nutzer der Aufforderung, war der Angriff erfolgreich und die Kriminellen haben Zugang zu dessen Mail-Konto.

Das perfide an dem Angriff ist laut Grzonkowski, dass die Kriminellen gerade die für mehr Sicherheit gedachten Funktionen der E-Mail-Provider einbeziehen, und sich das Vertrauen der Nutzer zu erschleichen. Dazu reicht es aus, dass sie zum Beispiel bei Gmail auf der Anmeldeseite die ihnen bekannte E-Mail-Adresse des Opfers eingeben und dann dort vorgeben, das Passwort vergessen zu haben.
Unter den zur Hilfe für den Nutzer angeboten Optionen findet sich dann auch die Möglichkeit, sich einen Verifizierungs-Code auf das Mobiltelefon schicken zu lassen. Dieser, im Fall von Google aus sechs Zeichen bestehende Code, wird dann an die vom legitimen Nutzer hinterlegte Nummer gesandt.

Ausgangspunkt der SMS-Betrugsmasche: Der Kriminelle gibt auf der frei zugänglichen Site des Mail-Anbieters, hier Google, vor, er sei der Kontoinhaber und habe seine Zugangsdaten vergessen (Screenshot: Symantec).
Ausgangspunkt des Angriffs: Der Kriminelle gibt auf der frei zugänglichen Site des Mail-Anbieters, hier Google, vor, er sei der Kontoinhaber und habe seine Zugangsdaten vergessen (Screenshot: Symantec).

Dann wird es für den Angreifer Zeit, selbst das Mobiltelefon zur Hand zu nehmen. Ein vernünftig klingender Text wie “Google hat ungewöhnliche Aktivitäten bei ihrem Account festgestellt. Bitte antworten Sie mit dem an Ihr Mobiltelefon gesandten Code, um diesen unautorisierten Aktivitäten Einhalt zu gebieten.” Der Nutzer, der ja bereits einmal kurz zuvor wegen einer “Sicherheitssache mit seinem Mail-Account” tatsächlich von Google kontaktiert worden war und dem ähnliche, wirklich von Google stammende Nachrichten möglicherweise von früher her schon bekannt sind, ist also geneigt, die Meldung für bare Münze zu nehmen und tatsächlich zu antworten. Schließlich hat er die Hoffnung, dass für ihn damit das gerade aufgetretene, nervige Problem damit beseitigt ist.

Das ist jedoch falsch: Die Probleme fangen erst an. Hat der Angreifer den Code, kann er sich anmelden und in dem E-Mail-Konto nach weiteren, verwertbaren Informationen Ausschau halten oder das Konto missbrauchen beziehungsweise andere Dienste, die mit dem Konto verknüpft sind. Laut Symantec ist auch denkbar, dass eine Umleitung auf ein anderes Mail-Konto eingerichtet wird und damit dann künftige Mails ausgespäht und deren Inhalt zu kriminellen Zwecken missbraucht wird.

Antwortet der Nutzer auf die SMS und sendet wie verlangt den vom Mail-Provider erhaltenen Code, hat der Angreifer leichtes Spiel (Screenshot: Symantec).
Antwortet der Nutzer auf die SMS und sendet wie verlangt den vom Mail-Provider erhaltenen Code, hat der Angreifer leichtes Spiel (Screenshot: Symantec).

Den Beobachtungen von Grzonkowski zufolge scheinen es die Angreifer nicht auf direkten finanziellen Gewinn oder Kreditkartendaten abgesehen zu haben. “Sie scheinen vielmehr darauf aus zu sein, Informationen über ihre Ziele zu sammeln und haben es auch nicht auf eine große Zahl an Nutzern, sondern eher bestimmte Personen abgesehen zu haben.”

Der Symantec-Experte hält die neue Methode jedoch aus Sicht der Angreifer für effizienter als herkömmliche Wege für sogenannte Spear-Phishing-Angriffe, bei denen erst eine Domain registriert und eine Website aufgesetzt werden muss. „Die einzigen Kosten, die der Böse in diesem Fall hat, sind die für den Versand einer SMS. Außerdem ist diese Methode schwieriger zu entdecken, da dazu Software auf dem Mobilgerät des Nutzers erforderlich ist oder die gefährliche SMS vom Mobilfunkbetreiber erkannt werden müsste.”

Daher hilft zunächst nur einmal erhöhte Wachsamkeit der Nutzer: Laut Grzonkowski wird in keiner tatsächlichen Nachricht mit Verifizierungs-Codes um eine Antwort auf diesem Wege gebeten. Ist das der Fall, sollten Nutzer sofort misstrauisch werden.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen