ExpertenTerrorismus

Hacking-Kampagne des iranischen Regimes

NWRI- Eine neue iranische Kampagne des Phishing, die auf Aktivisten, Journalisten und Vertreter der US-Regierung zielt, hat eine neue Technik benutzt, die es Hackern erlaubt, den Schutz mit Hilfe einer zwei-Faktoren-Authentifizierung zu umgehen, die von Diensten wie Gmail und Yahoo Mail angeboten wird, das haben Forscher am Donnerstag herausgefunden. Das bestätigt, dass es ein Risiko gibt, das  mit der zwei-Faktoren-Authentifizierung verbunden ist,  die sich auf ein einmaliges Passwort verlässt, das über Textbotschaften an Telefone versandt wird.

Hacker des iranischen Regimes sammelten detaillierte Informationen über Zielpersonen, denen sie Emails zur Identifikationsausforschung sandten, die auf den Grad der wirksamen Sicherheit zugeschnitten sind, erläuterte die Sicherheitsfirma Certfa Lab. Diese Emails enthielten einen verborgenen Abdruck, der die Hacker in Real-Time darauf aufmerksam macht, wenn die Botschaften gelesen werden. Sobald die Zielperson deshalb ihre Passwörter auf eine fingierte Sicherheitsseite eingeben, können die Hacker die Information in der realen Login-Seite eingeben. Auch wenn die Zielpersonen eine zwei-Faktoren-Authentifizierung benutzen, können sie auf eine neue Seite geleitet werden, die das Passwort ausliest.

 Die Forscher schreiben: „Mit anderen Worten, sie prüfen die Benutzernamen und Passwörter der Opfer in Real-time auf ihren eigenen Servern und selbst wenn eine 2-Faktoren-Authentifizierung wie eine Textbotschaft, ein Programm zur Authentifizierung oder ein Login in einem Schritt  aktiviert sind, können sie die Zielperson austricksen und die Information auch entwenden“.

Certfa bestätigte, dass die Technik erfolgreich Konten geknackt habe, die von einer zwei-Faktoren-Authentifizierung geschützt waren, konnte aber nicht bestätigen, ob sie gegen eine zwei-Faktoren-Authentifizierung etwas ausrichten kann, die über Programme wie den Google Authentificator  und Duo Security übertragen werden.

Ein Repräsentant schreibt: „Wir haben gesehen, dass versucht wurde, die [zwei-Faktoren-Authentifizierung] für den Google-Authentificator zu umgehen, aber wir sind nicht sicher, ob es ihnen gelungen ist, so etwas zu erreichen oder nicht. Sicher ist aber, dass Hacker die [zwei-Faktoren-Authentifizierung] via SMS umgangen haben“.

Es gibt aber keinen Grund, warum das nicht gehen sollte, solange die Zielperson schnell genug geantwortet hat und keine Security mit einem Schlüssel nach Industriestandard benutzt, der über USB, Bluetooth oder Near Field Communication eine Verbindung herstellt.

Die Phishing-Kampagne des iranischen Regimes hat Seiten mit arglistiger Täuschung auf den Seiten von Google.com untergebracht und Emails von Adressen wie  notifications.mailservices@gmail.com und noreply.customermails@gmail.com versandt, um ihrem Betrug angebliche Legitimation zu verleihen  und die Zielpersonen in dem Glauben zu wiegen, dass sie von Google kontaktiert werden.

Sie haben über 20 unterschiedliche Internet Domains benutzt, um sie auf die Aktivitäten der Zielpersonen   zuzuschneiden. Certfa gab an, dass einige dieser Domains und IP-Adressen den Phishern halfen,  eine Verbindung  mit der schon bekannten iranischen Hackergruppe „Charming Kitten“ herzustellen.

Diese neue Kampagne des Iran hat einige Wochen vor der Wiedereinsetzung der Sanktionen der USA am 4. November begonnen und zielt auf Politiker, Aktivisten für Bürger- und Menschenrechte, Journalisten, hochrangige Verteidiger, Spötter, Vertreter eines Abbruchs des Atomabkommens zwischen Washington und Teheran, arabische Atomwissenschaftler, Persönlichkeiten der iranischen Zivilgesellschaft, Angestellte in einem Washingtoner Think-Tank und mehr als ein Dutzend Beamte im US Finanzministerium.