Cyberkriminelle nutzen „Dot“-Konten-Funktion von Gmail für Betrug

Gruppen von Cyberkriminellen missbrauchen immer häufiger eine Funktion von Googles E-Mail-Dienst Gmail, die eigentlich verhindern soll, dass bestimmte Schreibvarianten der eigenen E-Mail-Adresse von anderen Nutzern registriert werden. Da dieses Feature aber nur von Google unterstützt wird, lässt es sich missbrauchen, um persönliche Daten oder gar Sozialleistungen zu stehlen.

Eine Besonderheit von Gmail ist, dass es „Punkte“ in Kontonamen ignoriert. Registriert ein Nutzer beispielsweise die Adresse johndoe@gmail.com, können andere Nutzer Adressen wie john.doe@gmail.com nicht in Anspruch nehmen. Darüber hinaus stellt Google aber auch Nachrichten, die eben an john.doe@gmail.com oder an jo.hn.doe@gmail.com verschickt wurden, an das Postfach von johndoe@gmail.com zu.

Eine Möglichkeit, diese Funktion zu missbrauchen, ist die Registrierung bei kostenlosen Online-Diensten. Da diese zwischen johndoe und john.doe unterscheiden, kann ein Nutzer also beispielsweise mit der Adresse johndoe@gmail.com auch auf john.doe oder john.d.oe registrierte Konten eines anderen Diensts verwalten, ohne ein neues E-Mail-Konto anlegen zu müssen.

Kürzlich fanden Betrüger heraus, dass die Funktion auch benutzt werden kann, um Dritte für das eigene Netflix-Konto zahlen zu lassen. Ein mit einem „Dot“-Gmail-Konto angelegtes Netflix-Konto führt dazu, dass eine andere Person offiziell per E-Mail von Netflix aufgefordert wird, eine Zahlungsmethode für den Videodienst zu hinterlegen. Ist der Nutzer bereits Netflix-Kunde und fällt ihm nicht auf, dass die E-Mail an eine „Dot“-Variante seiner E-Mail-Adresse geschickt wurde, folgt er möglicherweise dem Aufruf von Netflix und hinterlegt beispielsweise eine Kreditkarte, wie der Sicherheitsexperte James Fisher berichtet.

Auf weitere Betrugsmaschen macht aktuell der Sicherheitsanbieter Agari am Beispiel einer Gmail-Adresse aufmerksam, für die insgesamt 56 „Dot“-Varianten angelegt wurden. Sie wurden benutzt um 56 Anträge für Kreditkarten zu stellen, was den Betrügern eine Kreditsumme von mindestens 65.000 Dollar einbrachte. In 13 Fällen konnten sie zudem erfolgreich Steuerrückzahlungen beantragen.

Zwölfmal gelang es den Betrügern zudem, bei der US-Post Adressänderungen zu veranlassen. Außerdem waren die Dot-Adressen Ausgangspunkt für neun gefälschte Identitäten mit den Sozialleistungen für Arbeitslose beantragt wurden. Elfmal stellten die Betrüger außerdem Anträge Leistungen aus der Sozialversicherung.

„Wir haben mehrere Gruppen beobachtet, die diese Technik nutzen, aber unser Artikel ist nur das Beispiel einer Gruppe“, sagte Crane Hassold, Senior Director of Threat Research bei Agari. „Im Wesentlichen ermöglicht dies Cyberkriminellen, ihre betrügerischen Aktivitäten in einem einzigen Gmail-Konto zu zentralisieren, anstatt eine Reihe verschiedener Konten überwachen zu müssen, was die Effizienz ihrer Operationen erhöht.“

Hassold befürchtet, dass zwei weitere Gmail-Funktionen das Interesse von Cyberkriminellen wecken könnten. Zum einen werden E-Mails an Adressen, die aus dem Nutzernamen, einem Plus-Zeichen und einem beliebigen Wort bestehen, stets an die Adresse des Nutzers zugestellt. Zum anderen leitet Google auch alle Nachrichten, die an „username@googlemail.com“ gerichtet sind, an „username@gmail“ um.