Hacker umgehen Googles Zwei-Faktoren-Anmeldung

Das russische Hackerkollektiv "Fancy Bear", auch "Pawn Storm" genannt, wird unter anderem verdächtigt, an möglichen Wahlmanipulationsversuchen in Europa und den USA beteiligt gewesen zu sein. Jetzt ist bekannt geworden, dass die Phishing-Angriffe, die das Lieblingswerkzeug der Gruppe sind, äußerst ausgeklügelt sind, wie pcworld berichtet. Selbst Googles Zwei-Faktoren-Anmeldung, die neben dem Passwort noch eine zweite Sicherheitsstufe - etwa durch Apps oder Tokens - nutzt, kann Betroffene nicht vor den Angriffen schützen. Das Knacken der Accounts beginnt mit einem an die potenziellen Opfer adressierten E-Mail, in dem erklärt wird, dass Google mehrere unauthorisierte Zugriffsversuche auf den Account des Empfängers registriert habe. Das Design der Nachricht ist dabei in Google-Optik gehalten. Um das Problem zu beheben, wird den Adressaten nahegelegt, den Google Defender - oder Google Email Protector beziehungsweise Google Scanner- zu installieren. Laut TrendMicro wurden solche Angriffe für die Jahre 2015 und 2016 nachgewiesen, ein ähnliches Vorgehen der Hacker wurde auch bei Yahoo-Accounts festgestellt.

Planungsfehler

Klickt das Opfer auf den Link zu dieser angeblichen Google-Sicherheitsapp, wird es nach Installation der App zu einer tatsächlichen Google-Seite weitergeleitet, die den Zugriff von Dritthersteller-Apps auf den Google-Account regelt. Klickt das Opfer auf "Erlauben", bekommen die Hacker Zugriff auf den Google-Account. Das funktioniert über einen sogenannten OAuth-Token, den Google App-Herstellern zur Verfügung stellt. Dieser enthält zwar keine Passwortinformationen der User, erlaubt den Angreifern aber das Ansehen und Managen des Google-Mail-Accounts der Betroffenen. Um eine Sicherheitslücke im traditionellen Sinn handelt es sich dabei nicht. Google hat das OAuth-System implementiert, um die Integration von anderen Apps in seine Angebote zu vereinfachen. Sicherheitsexperten haben aber schon seit einiger Zeit darauf hingewiesen, dass dieses System leicht missbraucht werden könnte.

Durch den Klick auf "Erlauben" geben die Opfer der gefälschten Google-App der Angreifer Zugriff auf ihren Google-Account. Die Zwei-Faktoren-Authentifizierung kommt auf dieser Ebene nicht zum Einsatz, weshalb auch Accounts, die das zusätzliche Sicherheitsfeature verwenden, angegriffen werden können. Selbst eine Änderung des Passworts durch den Nutzer ändert nichts am Zugang für die Hacker. Der OAuth-Token muss ausdrücklich widerrufen werden, um den Zugriff zu stoppen. Google hat laut eigenen Angaben bereits mehrere Maßnahmen gegen solche Angriffe implementiert. "Google spürt solche Missbrauchsversuche auf und untersucht potenzielle OAuth-Angriffe. Wir entfernen tausende Apps für Verletzungen unserer Nutzerdatenrichtlinien, dazu gehört auch die Verkleidung einer Anwendung als Google-App", sagt Google.