Gezieltes Phishing auf Google Mail
Google hat gestern ein Posting veröffentlicht und gibt dabei Tipps zur Sicherheit von Daten im Internet. Der Hintergrund ist ein speziell auf Google Mail abgezieltes Phishing, dass auch schon einige Politiker erwischt hat.
Googles Systeme haben vor kurzem eine Kampagne entdeckt, die speziell auf das Sammeln von Passwörter von Google Mail-Nutzern abzielt. Seinen Ursprung hat das Phishing wohl in Jinan in China genommen und hat seitdem die privaten Accounts von hunderten Nutzern betroffen. Darunter findet man auch „senior U.S. government officials“, chinesische Aktivisten, Offizielle aus einigen asiatischen Ländern (vor allem Südkorea), Mitarbeiter beim Militär und Journalisten.
War das Passwort abgefangen, richtete man automatische Weiterleitung ein und nutzte auch die Möglichkeit anderen den Zugriff auf das Postfach zu geben. Ziel war vor allem die Überwachung der Emails heißt es im Posting.
Nachdem Google das festgestellt hat, benachrichtigte man die Opfer und sicherte die betroffenen Accounts zusätzlich. Außerdem wurde die Sache an Verantwortliche der Regierung gemeldet.
Hervorzuheben ist aber, dass zu keiner Zeit Googles komplettes System betroffen war. Dass man die Konten hijacken konnte, lag nicht an Google Mail selbst. Man wolle aber durch das Posting und der Veröffentlichung des Problems die Sicherheit für andere Nutzer ebenfalls erhöhen.
Ich selbst schaue immer mal wieder in einige der offiziellen Foren von Google. Dabei fällt mir vor allem beim Google Mail Forum auf, dass es viele Topics zu möglicherweise gehackten Accounts oder Konten mit verdächtigen Aktivitäten gibt. Diesen Nutzern kann man eigentlich nur das Raten was Google macht:
- Sollte man einen Hinweis auf verdächtige Aktivitäten geben, sofort sein Passwort ändern und ggf. auch auf anderen Seiten, die das gleiche Passwort haben.
- Grundsätzlich für jede Seite ein eigenes Passwort. Eine Passwortverwaltung wie LastPass oder KeePass kann dabei helfen.
- Seine Login-Daten für Google nur auf https://www.google.com-Seite eingeben.
- Die meisten Sparkassen sowie Volks- und Raiffeisenbanken werden Ende des Jahres die TAN auf Papier abschaffen und nur noch auf mTAN oder einen TAN-Generator setzen. Ein ähnliches System gibt es auch von Google. Die 2-Step Verification oder auf Deutsch Bestätigung in zwei Schritten trägt deutlich zur Sicherheit bei. Nach der Einrichtung, die ein Handy voraussetzt, bekommt man einen Code per SMS bspw. auf Android, iPhone und Blackberry per App. Dieser Code ist nur circa eine Minute gültig. Angreifer müssten neben dem Passwort auch einen Code erraten. Nachteil: Für Anwendungen, die die Bestätigung nicht integriert haben, muss man anwendungsbezogene Passwörter erstellen
- Passwörter sollten möglichst kompliziert sein und aus Zahlen, Buchstaben und ggf. auch Sonderzeichen bestehen.
- Google fragt übrigens niemals nach Passwörtern per Mail.
- Stellt man fest, dass andere auf das Konto zugegriffen haben, auch die Weiterleitung, Filter und auch „Zugriff zu Ihrem Konto ermöglichen“ im Tabs Konten in den Einstellungen prüfen.
Es gibt einige Apps, die ebenfalls Login-Daten für ein Google-Konto wollen. Dies ist zu vermeiden. Stattdessen sollte man lieber Apps verwenden, die nur mittels oAuth auf das Konto zugreifen und auch nur Rechte für einen bestimmten Service haben.
Logischerweise sollte man auch sein System aktuell halten. Dies gilt neben dem Betriebssystem auch für Plugins, Browser und Virenschutz. Weitere Tipps zur Sicherheit im Internet gibt es hier.
GoogleWatchBlog bei Google News abonnieren | GoogleWatchBlog-Newsletter
Ich habe auf Twitter was gefunden: https://twitter.com/#!/SuzannaRuis/status/76227461335093248
Dort ist ein Bild verlinkt: http://go.gglwat.ch/k0kZJ1
Und wie man dort auf dem Bild sieht irritieren mich die Links.
Wieso laufen die Phising seiten unter google.com?