Experten haben ein ausgeklügeltes System zum Hacken von Emails, mit dem iranische Dissidenten ausgeforscht werden sollen, in den Iran zurückverfolgt, hat Associated Press am Donnerstag berichtet.
Ein Bericht, der am Donnerstag vom Citizen Lab an der Munk School of Global Affairs in der Universität von Toronto veröffentlicht wurde, beschreibt, wie die Hacker Textbotschaften und Phishing (Vorspiegeln von Identitäten) bei Telefongesprächen benutzt haben, um die Sicherheitsschranken von Gmail von Google zu umgehen und an die Benutzerdaten der Empfänger zu gelangen.
Die elektronischen Angriffe, die von Citizen Lab untersucht worden sind, sind sehr ähnlich anderen, die mit iranischen Hackern in Verbindung gebracht werden, so der Bericht.
Wie es dort heißt, haben einige der Angriffe damit angefangen, Textbotschaften bei den Empfängern eintreffen zu lassen, die von Google zu kommen schienen und meldeten, es habe einen nicht autorisierten Versuch gegeben, auf ihr Gmail Konto zuzugreifen.
Die Hacker würden dann mit einer sorgfältig ausgearbeiteten Email Benachrichtigung, die persönliche Details enthält und die besagt, dass der Login Versuch von „The Iran“ komme, den Weg nachverfolgen, womit Befürchtungen der Menschen verstärkt werden, die schon über iranische Hacker besorgt sind.
In den Benachrichtigungen per Email waren Links enthalten, die die Empfänger auf eine Internetseite leiteten, wo sie ihr Passwort ändern konnten. Tatsächlich aber war das eine Seite, die dazu diente, die Passworte der jeweiligen Empfänger einzusammeln. Die Hacker würden dann in Echtzeit das jeweilige Passwort benutzen, um sich bei dem Benutzer anzumelden und dem Empfänger, d.h. der Zielperson, einen Code zur Identifikation zuzuschicken.
Gmail benutzt diesen Code zu einer doppelten Authentifizierung, die mit dem Passwort der Person noch eine zweite Absicherung verbindet. Die Hacker würden dann darauf warten, dass die Zielperson den Code eingibt, diesen wiederum in der betrügerischen Internetseite abfangen und ihn benutzen, um die Kontrolle über das Benutzerkonto der Zielperson zu bekommen.
In anderen Fällen wurden die Zielpersonen telefonisch angerufen von jemandem, der Englisch oder Farsi gesprochen hat, der vorherrschenden Sprache im Iran. Dieser würde der Zielperson einen „Vorschlag“ zu bestimmten geschäftlichen Aktivitäten machen, die auf sie zugeschnitten sind. Der vorgetäuschte Vorschlag, mit dem gewöhnlich der Erwerb von Tausenden von Dollar versprochen worden ist, würde dann an das Gmail Konto der Zielperson geschickt in der Form einer Email, die einen Link zu einem vorgetäuschten Datenbereich von Google in Form eines Laufwerksbuchstabens enthält.
Sobald die Zielperson diesen Buchstaben anklickt, würde sie aufgefordert, sich mit den Anmeldedaten für Google und dem Identifikationscode zur doppelten Absicherung anzumelden ganz genau wie im Fall der Textmeldungen.
Versuche, die doppelte Authentifizierung zu umgehen, sind nichts Neues, wenn es um das betrügerische Hacking im Finanzbereich geht. Die Vorgehensweise ist aber eher neu bei politisch motivierten Angriffen.
„Es könnte sein, dass deshalb, weil eine wachsende Zahl von potentiellen Zielpersonen die doppelte Authentifizierung für ihre Emailkonten aus Sorge um ihre Sicherheit benutzen, politisch motivierte Angreifer bei dem Drehbuch Anleihen machen, das Betrüger im Finanzbereich im letzten Jahrzehnt angefertigt haben“, so steht es in dem Bericht.
Der Bericht betont, dass diese Angriffe zunehmen, was die Bedeutung der doppelten Identifizierung hervorhebt.
Im Falle dieser Hacker, wird dort gesagt, macht die Verwendung des Identifikationscodes ihnen mehr Arbeit. Die Hacker sind gezwungen, die Phishing Seite aktiv zu überwachen und die gesammelten Informationen, die sie gesammelt haben, in Echtzeit einzugeben, um Kontrolle über die Benutzerkonten zu bekommen.
Wenn es den Code nicht gäbe, bräuchten die Hacker nur in Ruhe die Passwörter einzusammeln, heißt es in dem Bericht.