211service.com
Die Sicherheitslücke von Gmail könnte zu einer Massenernte von Konten führen
Eine Technik, die von Vermarktern verwendet wird, um Menschen dazu zu bringen, sich für kostenlose Waren anzumelden, könnte leicht als Engine zum Sammeln einer unzähligen Anzahl von Passwörtern für Google-Konten eingesetzt werden. Das Beheben des Problems wird für Google nicht trivial sein, da der Exploit von grundlegender Bedeutung dafür ist, wie Google es Benutzern ermöglicht, den Zugriff auf ihre Konten wiederherzustellen, wenn sie ihre Passwörter verlieren oder vergessen.

Das Verfahren zur Kontowiederherstellung von Google kann Benutzern unverständlich machen, dass sie Hackern vollen Zugriff auf ihr Konto gewähren
Während andere über die Verwendung dieses Exploits durch einzelne Hacker berichtet haben, glaube ich, dass das, was Sie jetzt lesen, der erste Bericht ist, wie er in einen Massen-Phishing-Betrug umgewandelt werden könnte, der selbst relativ erfahrene Benutzer in die Irre führen könnte.
Der Hack
Vor kurzem erhielten meine Frau und ich beide innerhalb einer Stunde eine SMS wie diese:
Ihr Eintrag im letzten Monat hat GEWONNEN! Gehe zu http://xxxxxx Geben Sie Ihren Gewinncode ein: 1122, um Ihre KOSTENLOSE Best Buy-Geschenkkarte im Wert von 1.000 USD zu erhalten!
Unsere Telefonnummern sind fast identisch, so dass die Tatsache, dass wir beide diesen Text in kurzer Zeit erhalten haben, darauf hindeutet, dass jemand sie automatisch an jede Nummer in einem bestimmten Bereich nacheinander sendet. Was es zu klassischem Text-Spam machen würde, ärgerlich, aber für sich genommen nicht gefährlich.
Die im Text enthaltene URL führt zu dieser Website, http://bestbuy.bestgiftcardsforu.com/ die nach Ihrer E-Mail-Adresse fragt. Die Site scheint verbunden zu sein (oder verlinkt zumindest auf und entlehnt Text von) MyRewardsClub.com . Ich glaube nicht, dass diese Leute Hacker sind, sondern nur Vermarkter.
Aber so könnten Hacker dieses Marketingprogramm in ein Passwort-Sammler-Programm verwandeln: Nachdem Benutzer ihre E-Mail-Adresse eingegeben haben, falls es sich um eine Gmail-Adresse handelt, könnten Hacker automatisch anfordern, dass Google einen Kontobestätigungscode an das Handy des Besitzers dieser Gmail sendet die Anschrift. Dies ist, was Google tut, wenn Sie ihm mitteilen, dass Sie Ihr Passwort vergessen haben – eine der drei Möglichkeiten, es wiederherzustellen, besteht darin, einen Bestätigungscode an die mit Ihrem Konto verknüpfte Handynummer senden zu lassen.
Damit der Benutzer seine Prämie (in diesem Fall eine gefälschte Geschenkkarte im Wert von 1000 USD) einfordern kann, kann die Website ihn dann anweisen, den Bestätigungscode einzugeben, den Google an das Telefon des Benutzers gesendet hat. Sobald die Website sowohl die Gmail-Adresse eines Benutzers als auch den Bestätigungscode hat, ist das Spiel vorbei – Hacker können sich mit dem Code bei diesem Konto anmelden und sofort das Passwort ändern, um ihnen Zugriff zu gewähren und den Benutzer aus ihrem eigenen Konto zu sperren.
Andere Beispiele für den Hack
Dieser Exploit scheint genau der Weg zu sein, auf dem sich ein Hacker im Zuge des Abrufens von Bildern für die Website Is Anywhere Up Zugriff auf eine Reihe von Konten verschafft hat, wie von . beschrieben Camille Dodero in einem aktuelles Feature für die Village Voice :
Ist es wirklich so einfach, ein Gmail-Konto zu hacken? Überzeugen Sie sich selbst: Gehen Sie zum Gmail-Anmeldebildschirm und klicken Sie auf den häufig ignorierten Link unter dem Anmeldemenü, Sie können nicht auf Ihr Konto zugreifen? Drei Optionen werden angezeigt; wählen Ich habe mein Passwort vergessen. Geben Sie eine Gmail-Adresse ein – eine beliebige aktive Gmail-Adresse – und wenn eine Telefonnummer mit dem Konto verknüpft ist, haben Sie drei weitere Optionen, darunter einen Bestätigungscode auf meinem Telefon abrufen. Sie müssen nicht einmal die Telefonnummer kennen. Klicken Sie einfach auf Weiter und ein nicht verwandter sechsstelliger Code wird in einer SMS auf dem Telefon des Kontoinhabers angezeigt. Geben Sie diesen Verifizierungscode ein – eine Nummer, die ein maskierender E-Betrüger leicht erhält – und Sie sind dabei. Als erstes werden Sie aufgefordert, Ihr Passwort sofort zu ändern und so den ursprünglichen Besitzer zu sperren.
Mit anderen Worten, wenn ein Hacker nur Ihre Gmail-Adresse kennt und herausfinden kann, wie er auf Ihr Telefon zugreifen kann, ist er bereits am weitesten in Ihrer Scheiße.
Im Fall des Hackers, der Bilder für Is Anywhere Up sammelt, scheint es, dass er oder sie über Facebook mit Zielen gechattet hat.
Ein immer häufiger vorkommendes Phishing-Programm
Dieser Angriff wurde von anderen verwendet und kann weit verbreitet sein. Lokesh Singh , ein professioneller Hacker, beschreibt auf der Seite HackingLoops, wie Einer seiner Kunden ist diesem Hack zum Opfer gefallen , nutzte nur der Angreifer Gchat, um das Opfer davon zu überzeugen, den Bestätigungscode auszuhändigen, den Google ihm per SMS geschickt hatte.
Mit anderen Worten, Google und seine Nutzer sehen sich mit einem Phishing-Schema konfrontiert, das selbst bei relativ erfahrenen Nutzern zu funktionieren scheint oder zumindest bei solchen, die schlau genug sind, nicht auf zufällige Links in Spam-E-Mails zu klicken. Aber was ich zu Beginn dieses Artikels beschrieben habe, hebt diesen Angriff möglicherweise auf eine ganz neue Ebene, jenseits arbeitsintensiver Hacks einzelner Konten und in den Bereich der automatisierten, groß angelegten Passwortsammlung.
Es ist großartig, dass Google Benutzern eine Möglichkeit bietet, den Zugriff auf ihre Gmail-Konten wiederherzustellen, die auf einem sekundären Gerät basiert, auf das Hacker fast nie Zugriff haben – dem Mobiltelefon eines Benutzers. Schwaches Glied ist wie immer der Mensch, der bereits Zugriff auf all seine vermeintlich sicheren Touchpoints hat – der Nutzer selbst. Vielleicht kann dieser Angriff verhindert werden, indem einfach das Bewusstsein dafür geschärft wird, dass Niemand sollte jemals seinen Google-Bestätigungscode herausgeben .