Phishing-Test mit Trump-Team

Der Gadgetblog Gizmodo hat mit einem einfachen Test zu ermitteln versucht, inwieweit hochrangige Politiker und Beamte im Umfeld von Präsident Donald Trump auf Phishing-Angriffe vorbereitet sind. Die Autoren ließen ihnen deshalb per E-Mail die Einladung zur Bearbeitung eines Google-Tabellenblatts zukommen, zu deren Bearbeitung Trump eingeladen habe. Wenig überraschend erfolgten innerhalb von zehn Minuten relativ viele Klicks.

Diese hätten eigentlich schon bei minimalem Sicherheitsbewusstsein nicht erfolgen dürfen. Erst letzte Woche hatte eine solche Attacke, die den Anmeldedienst OAuth nutzte, für Schlagzeilen gesorgt. Dabei gaben E-Mails Nutzern vor, ein ihnen bekannter Absender hätte ein Google-Docs-Textdokument mit ihnen geteilt. Der Gizmodo-Test war zudem darauf angelegt, dass er einem kritischen Blick eigentlich nicht lange standhalten konnte. Der knappe Text schloss mit: „Diese Seite wurde von Gizmodo Media Group geschaffen, um Ihre Expertise hinsichtlich digitaler Sicherheit zu prüfen.“

Die URL der gefälschten Anmeldeseite war zudem keine Google-Domain und enthielt ebenfalls das Wort „test“. Wer die Schaltfläche zur Anmeldung dennoch anklickte, bekam eine Warnmeldung präsentiert, die den klickfreudigen Empfänger darüber informierte, dass er Gegenstand einer Untersuchung zu digitalen Sicherheitspraktiken wurde. Ein Reporter werde bald versuchen, mit ihm Kontakt aufzunehmen.

„Einige aus der Trump-Regierung ignorierten unsere E-Mail vollständig, was der richtige Weg war“, berichtet die Publikation. „Aber offenbar klickten mehr als die Hälfte der Empfänger auf den Link: Acht verschiedene Geräte besuchten die Seite, eines von ihnen mehrfach. Es kann nicht ermittelt werden, ob die Empfänger selbst all diese Klicks tätigten (im Gegensatz vielleicht zu einem IT-Spezialisten, an den die E-Mail weitergeleitet wurde), aber sieben Verbindungen erfolgten innerhalb von 10 Minuten nach dem Versenden der E-Mails.“

Als Absender wurde die Adresse von jemandem vorgetäuscht, den der Empfänger gut kannte. Die Antwortadresse jedoch blieb intakt und lautete security.test@gizmodomedia.com. Zwei Empfänger – der eben von Trump gefeuerte FBI-Chef James Comey und der republikanische Politiker Newt Gingrich – fragten immerhin skeptisch nach, worum es gehe und ob sie es wirklich öffnen sollten.

Der Gizmodo-Test ließ es nicht darauf ankommen, ob die Empfänger tatsächlich ihre Anmeldedaten eingegeben hätten. „Aber diejenigen, die auf den Link klickten, gingen alle ein Risiko ein“, argumentieren die Gizmodo-Autoren. Im schlimmsten Fall hätte ein Klick zur Installation von Malware in ihrem Browser führen können. Auch hätte er den geografischen Standort, den eingesetzten Browser, das Betriebssystem des Geräts und mehr verraten – und damit potentiellen Angreifern Ansatzpunkte für weitere Hackversuche geliefert.

Der Blog begründete den Test unter anderem damit, dass Politiker laufend solchen Attacken ausgesetzt sind und Trump selbst seiner Wahlkampfgegnerin Hillary Clinton fahrlässigen Umgang mit E-Mails vorgeworfen hatte. Einige Sicherheitsexperten kritisierten aber auch das Vorgehen der Journalisten. So wandte Steve Ragan von CSO ein, der Test sei ohne Erlaubnis erfolgt und habe nur etwas längst Bekanntes aufgezeigt: „Die Leute klicken immer: Was ist daran neu?“

Tatsächlich hatte die kanadische Finanzbehörde CRA kürzlich mit einer internen Sicherheitsübung herausgefunden, dass Tausende ihrer Mitarbeiter auf dubioses E-Mail-Phishing hereinfielen. Die Wahlkampagne des designierten französischen Präsidenten Emmanuel Macron ging nach Anzeichen für zunehmend aggressive russische Cyberspionage davon aus, auf Dauer nicht unverwundbar zu sein. Macrons Sicherheitsspezialisten blieb außerdem vor der Wahl nicht genug Zeit, um die Angreifer zu ermitteln. Sie suchten deshalb nach neuen Möglichkeiten, ihnen zumindest das Leben schwerer zu machen. Sie richteten daher ihrerseits gefälschte E-Mail-Konten als Fallen ein und füllten sie mit einer großen Anzahl von fingierten Dokumenten.

„Wir sind zum Gegenangriff übergegangen“, zitiert die New York Times Macrons Digital-Verantwortlichen Mounir Mahjoubi. „Wir konnten keinen hundertprozentigen Schutz vor den Angriffen garantieren, also fragten wir uns: Was können wir tun?“ Die Antwort bestand in einer Strategie der „Cyber-Verschleierung“, wie sie auch Banken und große Unternehmen mitunter einsetzen. „Wir schufen falsche Konten mit falschem Inhalt als Fallen. Wir haben das ganz massiv gemacht, um sie zur Verifizierung zu zwingen, um zu bestimmen, ob es sich um ein echtes Konto handelt. Ich glaube nicht, dass wir sie verhindert haben. Wir haben sie nur verlangsamt.“