Wie alte Internetadressen für Cyberkriminelle zur Datenmine werden
Cyberkriminelle könnten durch die Übernahme abgelaufener Domains und alter E-Mail-Adressen Zugang zu diversen Onlinediensten erlangen. Google will zwar mit einer Sicherheitsmassnahme im Anmeldeprotokoll diese Art Übernahmen verhindern, doch laut Security-Experten ist dieser Schutz lückenhaft.
Wenn ein Unternehmen schliesst, wird seine Internetadresse früher oder später wieder frei. Diesen Umstand machen sich Cyberkriminelle zu Nutze. Sie kaufen die freigewordenen Domainnamen und versuchen dann, die dort registrierten E-Mail-Adressen neu einzurichten.
Unter Umständen funktioniert dies auch dann, wenn die Domain mit der Google-Lösung Workspace verwaltet wurde, wie "Bleepingcomputer" unter Berufung auf Forscher des Cybersicherheitsunternehmens Truffle Security berichtet. Sind die Cyberkriminellen damit erfolgreich, könnten sie sich unter Umständen mit diesen E-Mail-Adressen bei den verbundenen Diensten wie Slack, Zoom und ChatGPT anmelden, welche die früheren Besitzer der Adressen genutzt haben. Dadurch wiederum könnten die Angreifer Zugang zu sensiblen Daten wie Steuerunterlagen oder Versicherungsinformationen erhalten.
Grund für die Schwachstelle
Möglich wird so ein Angriff über Googles Open Authorization (OAuth)-System ("Sign in with Google", also der Funktion, sich mit dem Google-Konto bei anderen Diensten anzumelden). Das Problem: In manchen Fällen überprüfen Plattformbetreiber den Forschenden zufolge bei solchen Anmeldungen nur E-Mail-Adressen sowie Domainnamen, um Benutzer zu erkennen. Wechsle der Besitzer der Domain, erkenne das System die neue E-Mail nicht als fremdartig. Zwar hat Google einen Sicherheitsmechanismus eingebaut: einen sogenannten Sub-Claim, der Nutzer eindeutig identifizieren soll. Doch dieser werde von einigen Diensten ignoriert.
Die Forschenden von Truffle Security fanden laut Bericht 116'000 abgelaufene Domains ehemaliger Start-ups. Da viele Startups Google Workspace nutzen, betreffe die Schwachstelle der Google OAuth-Anmeldung Millionen von Nutzerkonten.
Mit Sicherheitsmassnahmen Schaden verhindern
Truffle Security habe Google vorgeschlagen, eindeutige und dauerhafte, an die Organisationen gebundene Nutzer-IDs einzuführen. Zudem werde Arbeitnehmenden empfohlen, Arbeitskonten nicht für private Zwecke zu nutzen und Daten nach dem Verlassen eines Startups jeweils zu löschen. Ausserdem könnten Dienste, die die "Sign in with Google"-Funktion nutzen, zusätzliche Verifizierungsmassnahmen wie Admin-Genehmigungen oder Identitäsüberprüfungen einführen. Solche Massnahmen seien jedoch kostenintensiv wie auch umständlich und würden insbesondere ehemalige Kunden schützen, was den Anreiz zur Umsetzung gering halte.
Truffle Security meldete Google die Entdeckung des Problems bereits im Herbst 2024. Inzwischen habe Google das Problem bestätigt, die Sicherheitslücke jedoch noch nicht geschlossen. Gegenüber "Bleeping Computer" rät der Tech-Gigant, Domains und die damit verknüpften Konten ordnungsgemäss zu schliessen und eine eindeutige Kontoerkennung zu nutzen, um das Risiko zu minimieren.
Auch ohne diese Sicherheitslücke finden Betrüger Wege, um sich Zugriff auf Google-Konten zu verschaffen. Lesen Sie hier mehr über die Betrugsmasche, bei welcher Cyberkriminelle mittels KI-Anrufen und -E-Mails fremde Google Konten kapern wollen.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Apple präsentiert das iPhone 16e
Online-Grooming-Sekten haben es auf Minderjährige abgesehen
Microsoft verkündet vermeintlichen Durchbruch mit neuem Quanten-Chip
CENT Systems startet Digitalisierungsoffensive mit intelligentem e-Archiv
Aussteller loben Besucher-Mix und Networking-Party der SCSD
Telko-Projekt der Schweizer Armee verzögert sich um 3 Jahre
Europäischer Smartphone-Markt zieht wieder an
Cyberkriminelle nehmen die Schweiz stärker ins Visier
Noch mehr Tipps, wie man KI-Scams erkennt
