Mit einem Trick gelangen Cyber-Kriminelle in die Webmail-Konten von Anwendern. Mehr als die E-Mail-Adresse und die Handy-Nummer des Opfers benötigen sie dafür nicht.
Symantec warnt vor einem neuen Trick, mit dem sich
Internet-Gauner Zugang zu fremden Webmail-Konten erschleichen. Gefährdet sind alle Nutzer von Webmail-Diensten, die das Zusenden eines Verifikations-Codes per SMS als „Sicherheits-Feature“ anbieten. Das ist beispielsweise bei Googlemail der Fall, aber auch bei Hotmail und Yahoo.
Um den Trick durchzuführen, benötigen die Angreifer also nur die E-Mail-Adresse eines Anwenders sowie seine Handy-Nummer. Nach den großen Datendiebstählen der vergangenen Monate lassen sich diese Daten relativ leicht über Untergrund-Foren beschaffen.
So funktioniert der Webmail-Angriff
Der Angriff basiert auf einer Sicherheits-Funktion, die viele Webmail-Provider anbieten: Wenn der Nutzer sein Passwort vergisst, kann er sich einen Verifikations-Code auf sein Handy schicken lassen, mit dem er wieder Zugang zu seinem Mail-Konto erhält. Die auf den ersten Blick sinnvolle Funktion lässt sich jedoch von Kriminellen ausnutzen.
Zunächst besuchen sie die Webseite des Mail-Providers und geben dort solange falsche Passwörter ein, bis der Dienst die Wiederherstellung des Kennworts per SMS anbietet. Dies bestätigen die Angreifer. Das Opfer erhält nun eine SMS mit einem Verifikations-Code, mit dem der Webmail-Account wieder genutzt werden kann.
Sofort senden die Kriminellen ebenfalls eine SMS an das Opfer, in der sie mitteilen, dass der Provider ungewöhnliche Aktivitäten festgestellt habe und sie deswegen den Verifikations-Code zurückschicken sollen, um die Echtheit der Handy-Nummer zu bestätigen. Wenn die Opfer darauf hereinfallen und den Kriminellen anschließend ihren Verifikations-Code per SMS schicken, haben die Angreifer ihr Ziel erreicht: Mit dem Code können sie sich in das Webmail-Konto einloggen und ein neues Passwort festlegen. Das Opfer hat dann keinen Zugriff mehr auf sein Mail-Konto.
Soweit bekannt, wurden bislang nur englischsprachige SMS verschickt. Es ist aber nur eine Frage der Zeit, bis die Angreifer auch deutschsprachige SMS erstellen. Webmail-Nutzer sollten sehr vorsichtig sein, wenn Sie einen Verifikations-Code per SMS erhalten, den Sie nicht angefordert haben. Auf keinen Fall sollten Sie diesen Code weitergeben. Am besten löschen Sie die SMS.
Das Video zeigt noch einmal, wie der Angriff funktioniert: