Menü

Phisher greifen iranische Aktivisten an, umgehen Googles Multifaktor-Anmeldung

Eine Serie von Phishing-Angriffen hat es anscheinend auf iranische Aktivisten und Dissidenten abgesehen. Auch eine hochrangige Mitarbeiterin der EFF wurde angegriffen.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 25 Beiträge

(Bild: Citizen Lab)

Von

Das Citizen Lab der Universität Toronto hat Angriffe auf die Gmail-Konten von iranischen Aktivisten analysiert und beschreibt die Strategien der Angreifer im Detail. Diese umgehen die Multifaktor-Anmeldung von Gmail in dem sie Anfragen auf ihre Phishing-Seiten in Echtzeit bearbeiten. Unter anderem versuchten die Angreifer, die Direktorin für Meinungsfreiheit der EFF, Jillian York, anzugreifen. Wahrscheinlich wurde York, die einzige Nicht-Iranerin auf der Liste der Ziele, wegen ihrer ausgedehnten Kontakte zu iranischen Dissidenten ausgesucht.

Die Angreifer benutzen bekannte Phishing-Techniken, die an sich nicht neu sind. Das Citizen Lab spricht allerdings von einer neuen Dimension der politischen Angriffe, da Phishing-Attacken auf Dissidenten in diesem Ausmaß vorher nicht zu beobachten gewesen sein. Auf Grund der Ziele und eingesetzten Server gehen die Forscher davon aus, dass die Angreifer dem iranischen Regime nahe stehen.

Multifaktor-Anfragen werden von den Phishern in Echtzeit abgschnorchelt.

(Bild: Citizen Lab)

Unter anderem senden sie ihren Opfern E-Mails oder Textachrichten, die angeblich von Google kommen und besagen, dass jemand "aus dem Iran" versucht hätte, sich in das Gmail-Kontos des Opfers einzuloggen. Folgt das Opfer den beigefügten Links, landet es auf einer Fake-Seite, die versucht seine Passwörter abzugreifen. Hat das Opfer Multifaktor-Authentifizierung aktiviert, fordern die Phisher in Echtzeit einen Autorisierungscode an, das Opfer gibt ihn auf der Fake-Seite ein und die Angreifer reichen den Code weiter an Google und brechen in das Konto ein.

Weitere Techniken beinhalten Anrufe bei den Opfern mit Business-Vorschlägen. Dabei sprechen die Anrufer entweder Englisch oder Farsi. Entsprechend per Telefon angekündigte E-Mails enthalten gefälschte Google-Drive-Links. Gegenüber York gab man sich aus britischer Reuters-Reporter aus London aus. York wurde insgesamt über 30 Mal angerufen, wurde allerdings misstrauisch. (fab)