36390

Schwachstellen öffnen Hackern Tür und Tor

23.09.2008 | 12:08 Uhr |

Sicherheitsexperten decken auf, dass es mit der Anonymität bei Google nicht weit her ist. Offenbar können Unbefugte relativ leicht die Identität der Nutzer aufdecken

In den vergangenen Tagen stand Yahoo durch den Übergriff von Hackern auf das Webmail-Konto von US-Vizepräsidentschaftskandidatin Sarah Palin bei diesem Anbieter im Fokus der Öffentlichkeit. Cyberkriminelle interessieren sich allerdings schon lange für Webmailer. Denn Spammer profitieren von den Schwachstellen bei der Kontenerstellung, während Hacker bei der Konten-Wiederherstellung an wertvolle Daten gelangen. Und auch die Identität der Anwender wird gerne und vor allem problemlos ausspioniert.

In allen drei Bereichen machen Cyberkriminelle Fortschritte. So glauben zum Beispiel viele Sicherheitsexperten, dass die CAPTCHA-Tests (Completely Automated Public Turing test to tell Computers and Humans Apart), die sicherstellen sollen, dass keine programmierten Bots auf Webmailer zugreifen, nicht mehr sicher sind. Die großen Webmail-Provider sollen bereits anfällig für automatisiertes Spamming sein.

Auch im Bereich Kontenwiederherstellung häufen sich die Berichte über rechtswidrige Vergehen. Der Sarah-Palin-Fall machte mehr als deutlich, welche Gefahren sich ergeben, wenn Sicherheitsfragen nicht sorgfältig ausgewählt werden. Allerdings besteht noch immer keine Einigkeit, was bei der Identitätskontrolle als „sicher“ zu verstehen ist.

Weniger im Rampenlicht stehen Methoden, mit denen Hacker die wahre Identität des Webmail-Nutzers herausfinden. Bei Google scheint es relativ leicht zu sein, den Vor- und Nachnamen eines registrierten Google-Mail-Nutzers zu enthüllen, wie ein Sicherheitsexperte aufdeckte . Er hatte Google auf eine ähnliche Sicherheitslücke aufmerksam gemacht, die das Unternehmen stillschweigend schloss. Weil er mit dieser Vorgehensweise nicht einverstanden war, setzte er mit seinem Blog-Eintrag nun nach.

Was Hacker mit geklauten Informationen anfangen können, hängt immer davon ab, was Anwender zum Beispiel bei einer Registrierung von sich preisgegeben haben. Aber wer meldet sich schon mit einem falschen Namen bei einem Webmailer an? Die meisten Anwender verschwenden kaum Mühe darauf, ihre Identität zu verschleiern, wenn sie Online-Dienste nutzen – und die vertraulichen Daten gelangen dann schnell in die falschen Hände.

Spammer können automatisch mehrere Spam-Accounts erstellen und so personalisierte Spam-Nachrichten an ihre Opfer schicken. Das erhöht ihre Chancen, durch die Google-Mail-Filter zu rutschen. Spear Phisher, die gezielte Phishing-Attacken starten, können leichter an Bekannte und Kollegen einer Zielperson herankommen, wenn sie deren wahre Identität kennen.

Während personalisierter Spam und Spear Phishing in der Regel nur ein Ärgernis sind, ist es es wirklich gefährlich, wenn Hacker Webmail-Konten kapern. Denn wenn sie an Vor- und Nachnamen eines Nutzers gelangen, kann das weite Kreise ziehen. Hat das Opfer etwa seinen Google-Mail-Account mit einem bei MySpace, Facebook, LinkedIn oder einem anderen sozialen Netzwerk verlinkt, bekommt der Hacker so nach und nach ein Basisprofil des Nutzers, mit dem er Passwörter zurücksetzen oder direkt in das Webmail-Konto eindringen kann.

Zwar besteht immer die Möglichkeit, ein falsches Google-Mail-Konto einzurichten, aber auch das kann geknackt und für kriminelle Zwecke genutzt werden. Bei einer polizeilichen Untersuchung ist dann der Konteninhaber dran. Zu beweisen, dass eine Mail mit bösartigem Inhalt nicht von ihm kommt, ist meist schwer, auch wenn das Kapern eines Mailkontos technisch möglich ist – und zwar ohne große Probleme. Ermittler und Sicherheitsexperten müssen sich dessen bewusst sein. Sollte der Verdacht aufkommen, dass etwas nicht stimmt, muss der Webmail-Provider immer die erste Anlaufstelle für genauere Nachfragen sein.

0 Kommentare zu diesem Artikel
36390