Die Attacke basiert darauf, dass der Angreifer ohne Wissen des Account-Besitzers einen Nachrichtenfilter setzt, wird in einer Konzeptdarstellung auf dem Techblog GeekCondition beschrieben. Der Trick dürfte von Kriminellen genutzt worden sein, um Support-Nachrichten eines Registrars abzufangen und so Domains zu stehlen. “Das ist ein profitabler Grund für solche Tricks”, meint Joe Pichlmayr, Geschäftsführer bei Ikarus Software.
Um einen Nachrichtenfilter für Google Mail zu erstellen, wird eine Anfrage-URL mit mehreren Variablen an die Google-Server geschickt. Um einen Nutzer anzugreifen, muss ein Hacker zunächst die Variable entsprechend dem User-Namen ermitteln. Das sei zwar kompliziert, doch wie es geht, sei durch intensive Suche im Internet herauszufinden. Ferner muss der Wert einer zweiten Variable gestohlen werden, die einem Authorisierungs-Cookie entspricht. Gelingt das mithilfe einer entsprechend präparierten Webseite, kann der Hacker auch gleich heimlich eine Anfrage an den Google-Server schicken, um einen Nachrichtenfilter zu erstellen. Dieser dient dann dazu, die E-Mails eines bestimmten Absenders direkt an den Cyberkriminellen weiterzuleiten und gleichzeitig aus der Inbox des manipulierten Accounts zu löschen. “Für Angreifer ist das eine interessante Möglichkeit, E-Mails zu stehlen”, ist Pichlmayr überzeugt.
Der Trick wurde GeekCondition zufolge von Angreifern genutzt, um eine Reihe von Domains zu stehlen, die beim US-Registrar GoDaddy registriert waren. Als Beispiel eines Opfers wird das Technikblog MakeUseOf angeführt. Mithilfe eines Filters, der E-Mails vom GoDaddy-Support umleitet, ist es möglich, sämtliche erforderlichen Daten zu stehlen, um einen GoDaddy-Account zu übernehmen und dann registrierte Domains zu einem anderen Registrar zu verschieben. Schon früher haben Domain-Diebe Pichlmayr zufolge mit verschiedenen anderen Tricks E-Mails ausspioniert, um an Daten für ihre Machenschaften zu kommen.
An Google richtet GeekCondition die Empfehlung, die Gültigkeit der Authorisierungsvariable auf eine Anfrage statt eine Sitzung zu begrenzen, um so den Angriff zu unterbinden. Nutzer wiederum sollten die Nachrichtenfilter in ihrem Account prüfen. Firefox-Nutzer können sich mithilfe der Erweiterung ‘NoScript‘ vor gefährlichen Skripten auf präparierten Webseiten schützen. Auch gebührende Vorsicht der Nutzer ist gefordert. “Grundsätzlich sollten keine kritischen Inhalte über Freemail-Dienste verschickt werden”, warnt Pichlmayr.
Assistenzsysteme unterstützen Monteure bei der Arbeit. Zu oft zahlt man jedoch mit den eigenen Daten…
Hersteller werden stärker in die Pflicht genommen, den gesamten Lebenszyklus ihrer Produkte in den Blick…
LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…
Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…
Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…
Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…