Dass man nicht jeder Mail glauben sollte, wissen Internet-Nutzer schon lange. Doch selbst der Blick auf den Absender, ist kein Garant für vertrauenswürdige Mails. Das zeigt eine neue Angriffswelle in den USA. Dort war es Hacker gelungen, über Polizeisysteme falsche Durchsuchungsbeschlüsse an Unternehmen zu schicken –und so Unmengen an Kundendaten abzugreifen.
Möglich wird das wegen einer rechtlichen Eigenheit in den USA. Auch dort müssen Durchsuchungsbeschlüssen ähnliche Datenanfragen, sogenannte Subpoenas, eigentlich von einem Richter bestätigt werden. Eine Ausnahme gibt es aber: In Notsituationen gelten die Anfragen der Behörden auch ohne Richterbeschluss. Und genau das machten sich Hacker nun zunutze, berichtet der Sicherheitsexperte Brian Krebs in einem Beitrag seines Blogs.
Demnach würden die Angreifer zunächst Webseiten und E-Mail-Konten von staatlichen Stellen und Polizeibehörden kapern und von diesen die Notfall-Anträge einleiten. Aus Sicht der Unternehmen kommen die Anfragen also von offiziellen Stellen – und werden entsprechend ernst genommen und bedient.
Die Beute ist vielseitig. Nach Angaben von Krebs und "Bloomberg" sollen etwa Apple, die Facebook-Mutter Meta, Snapchat-Betreiber Snap sowie einige Mobilfunkbetreiber die vermeintlichen Anfragen erhalten haben. Die Unternehmen gaben demnach sensible Daten wie die vollständigen Kontaktdaten der Nutzer, inklusive Adresse und Telefonnummer sowie die IP-Adresse heraus.
Was zunächst wenig gefährlich wirkt, ist für verschiedene kriminelle Vorhaben Gold wert. Kann etwa die gefälschte Bank-Mail den Nutzer direkt mit korrekten Daten in der Mail ansprechen, ist es erheblich wahrscheinlicher, dass der den Betrugsversuch nicht erkennt. Zudem können sie auch genutzt werden, um Kontensicherungen zu umgehen.
Bei der Fälschung sollen die Täter sehr vorsichtig vorgegangen sein, berichtet "Bloomberg" unter Berufung auf Insider. Demnach seien dabei sogar Unterschriften echter Polizisten gefälscht worden. Als Vorlage benutzten sie offenbar legitime Anfragen aus den gekaperten Polizei-Konten.
Für die Firmen seien die Fälschungen daher kaum zu erkennen gewesen, vermutet Sicherheits-Expertin Allison Nix gegenüber dem Magazin. "Hinter jedem Versagen der Unternehmen stand hier eine Person, die glaubte korrekt zu handeln", glaubt sie. "Ich kann gar nicht zählen, wie oft Leben gerettet wurden, weil die Sicherheits-Teams der Firmen die Flexibilität hatten, in tragischen Situationen schnell zu handeln.
Apple und Facebook verwiesen auf Anfrage verschiedener Medien jeweils auf die Nutzungsbedingungen, in denen die Herausgabe der Daten geregelt wird. Apple betont dort etwa, dass entsprechende Anfragen durch Rückfragen geprüft werden können. Meta betonte, jede Anfrage zu prüfen und als kompromittiert bekannte Behörden-Accounts für entsprechende Anfragen zu sperren.
Wie viele Nutzer genau betroffen sind, ist nicht bekannt. Aus Transparenz-Reports der Unternehmen ist herauszulesen, dass sie jedes Jahr einige Tausend Behördenanfragen weltweit erhalten, die allermeisten werden als berechtigt bewertet und bedient. Dabei stehen sie vor der Herausforderung, die Legitimität Tausender Behörden-Adressen aus der ganzen Welt zu bewerten.
An diese Adressen zu kommen, ist laut Experten nicht besonders schwer. Wie andere Mail-Konten werden auch kompromittierte Polizei-Accounts im Darknet gehandelt, erklärt Sicherheitsforscher Gene Yoo. Der Preis liege in der Regel zwischen 10 und 50 Dollar.
Verbraucher- & Produktvergleiche
Gutscheine
© G+J Medien GmbH
WERBUNG
WERBUNG
Auch Apple betroffen: Neue Angriffe nutzen Polizei-Computer zum Datenklau | STERN.de – STERN.de
