Digital Life 

"Fancy Bear" knackt Googles Zwei-Faktoren-Anmeldung

Foto: Paul Sakuma / AP/PAUL SAKUMA
Die auch "Pawn Storm" genannte Hacker-Vereinigung verschafft sich ganz einfach Zugang zu Google-Konten. Neben Phishing-Angriffen ist diese Taktik scheinbar auch keine Herausforderung für das Kollektiv.

Das russische Hackerkollektiv "Fancy Bear", auch "Pawn Storm" genannt, wird unter anderem verdächtigt, an möglichen Wahlmanipulationsversuchen in Europa und den USA beteiligt gewesen zu sein. Jetzt ist bekannt geworden, dass die Phishing-Angriffe, die das Lieblingswerkzeug der Gruppe sind, äußerst ausgeklügelt sind, wie pcworld berichtet.

Erst Email, dann Google-Konto gehackt

Selbst Googles Zwei-Faktoren-Anmeldung, die neben dem Passwort noch eine zweite Sicherheitsstufe - etwa durch Apps oder Tokens - nutzt, kann Betroffene nicht vor den Angriffen schützen. Das Knacken der Accounts beginnt mit einem an die potenziellen Opfer adressierten E-Mail, in dem erklärt wird, dass Google mehrere unauthorisierte Zugriffsversuche auf den Account des Empfängers registriert habe. Das Design der Nachricht ist dabei in Google-Optik gehalten. Um das Problem zu beheben, wird den Adressaten nahegelegt, den Google Defender - oder Google Email Protector beziehungsweise Google Scanner zu installieren. Laut TrendMicro wurden solche Angriffe für die Jahre 2015 und 2016 nachgewiesen, ein ähnliches Vorgehen der Hacker wurde auch bei Yahoo-Accounts festgestellt.

Sicherheitsexperten haben bereits vor Mißbrauch gewarnt

Klickt das Opfer auf den Link zu dieser angeblichen Google-Sicherheitsapp, wird es nach Installation der App zu einer tatsächlichen Google-Seite weitergeleitet, die den Zugriff von Dritthersteller-Apps auf den Google-Account regelt. Klickt das Opfer auf "Erlauben", bekommen die Hacker Zugriff auf den Google-Account. Das funktioniert über einen sogenannten 0Auth-Token, den Google App-Herstellern zur Verfügung stellt. Dieser enthält zwar keine Passwortinformationen der User, erlaubt den Angreifern aber das Ansehen und Managen des Google-Mail-Accounts der Betroffenen. Um eine Sicherheitslücke im traditionellen Sinn handelt es sich dabei nicht. Google hat das 0Auth-System implementiert, um die Integration von anderen Apps in seine Angebote zu vereinfachen. Sicherheitsexperten haben aber schon seit einiger Zeit darauf hingewiesen, dass dieses System leicht missbraucht werden könnte.

"Google spürt Betrugsversuche auf"

Durch den Klick auf "Erlauben" geben die Opfer der gefälschten Google-App der Angreifer Zugriff auf ihren Google-Account. Die Zwei-Faktoren-Authentifizierung kommt auf dieser Ebene nicht zum Einsatz, weshalb auch Accounts, die das zusätzliche Sicherheitsfeature verwenden, angegriffen werden können. Selbst eine Änderung des Passworts durch den Nutzer ändert nichts am Zugang für die Hacker. Der 0Auth-Token muss ausdrücklich widerrufen werden, um den Zugriff zu stoppen. Google hat laut eigenen Angaben bereits mehrere Maßnahmen gegen solche Angriffe implementiert. "Google spürt solche Missbrauchsversuche auf und untersucht potenzielle 0Auth-Angriffe. Wir entfernen tausende Apps für Verletzungen unserer Nutzerdatenrichtlinien, dazu gehört auch die Verkleidung einer Anwendung als Google-App", sagt Google.