Ein Cyberkrimineller mit zwei Mails von der Polizei erwischt
Ein Cyberkrimineller mit zwei Mails von der Polizei erwischt
Bildquelle: Jaaak, Lizenz

Durch diesen kleinen Fehler können Hacker Deine Mails abfangen

Mit einem Trick konnte ein Sicherheitsforscher über 100 Mails abfangen, die ursprünglich an die österreichische Polizei gerichtet waren.

Ein Sicherheitsforscher aus Österreich demonstrierte kürzlich, wie einfach sich durch die Registrierung einer neuen Domain Mails abfangen lassen, die eigentlich an Behörden gerichtet sind. Innerhalb eines Monats empfing er dadurch über 100 Nachrichten, die für die österreichische Polizei bestimmt waren. Dass diese teilweise hochgradig schützenswerte Informationen enthielten, überrascht kaum.

Sicherheitsforscher demonstriert, wie sich Mails abfangen lassen

Jeden Tag sausen etliche Millionen von E-Mails durch das Internet. Viele davon sind Spam – doch einige wenige sind auch enorm wichtig und schützenswert. Zu letzterer Variante gehören ebenso einige von denen, die beispielsweise an die Polizei oder andere Behörden gerichtet sind.

Wie leicht sich ein gewisser Anteil dieser Mails abfangen lässt, demonstrierte kürzlich der österreichische Sicherheitsforscher Sebastian Bicchi von Sec-Research.

Einem Bericht von futurezone zufolge erwarb er dafür einige Domains, die denen der jeweiligen Behörden sehr stark ähnelten. Darunter beispielsweise “polizeigv.at”, die sich von dem Original der österreichischen Polizei (“polizei.gv.at”) lediglich durch einen fehlenden Punkt unterscheidet.

Mehr als 100 E-Mails mit brisanten Informationen empfangen

Statt unter seiner neuen Domain eine Webseite bereitzustellen, richtete Bicchi nur einen Mailserver ein. Sein Ziel: Mails abfangen, die eigentlich an die Polizei gehen sollten. Erschreckenderweise empfing er daraufhin innerhalb eines Monats mehr als 100 E-Mails. Diese waren nicht selten mit höchst vertraulichen und personenbezogenen Daten gefüllt.

Neben Sprachmemos, Reisepässen und anderen vertraulichen Dokumenten erhielt der Forscher mitunter auch zweimal einen Obduktionsbericht, den eine Ärztin durch einen Tippfehler an die falsche Adresse übermittelt hatte.

Und selbst Mails von Mitarbeitern des Innenministeriums sowie solche, die “statistische Daten über Einsatzzahlen bei der Polizei” enthielten, konnte Bicchi mit seiner gefälschten Domain abfangen. Da dem Forscher das Thema “Datenschutz” laut eigener Aussage sehr wichtig sei, habe er sich die Inhalte jedoch nicht “genauer angesehen” und “keine Anhänge geöffnet”.

Auch Mails an andere Behörden ließen sich abfangen

Cyberkriminelle setzen diese auf “Typosquatting” beruhende Methode gerne ein, um sensible Daten abzugreifen. Im Anschluss verkaufen sie die erbeuteten Informationen oder versuchen ihre Opfer damit zu erpressen.

Unternehmen kaufen Domains, die ihren eigenen ähneln, oftmals auf, um derartigen Angriffen vorzubeugen. Österreichische Behörden scheinen Bicchis Beobachtungen zufolge in dieser Hinsicht jedoch eher reaktiv zu handeln. Denn auch “bundeskanzleramtgv.at” sowie “bmeiagv.at” konnte er problemlos erwerben, wenngleich er darüber weitaus weniger E-Mails erhielt.

Jedoch blieben die Behörden nicht gänzlich untätig. Nachdem sie auf die Domain-Registrierungen aufmerksam wurden, übermittelten sie eine Löschaufforderung an die zuständige Registrierungsstelle. Zugleich drohten sie damit, rechtliche Schritte einzuleiten.

Eines zeigt diese Demonstration jedenfalls deutlich: Es lohnt sich, beim Versand von E-Mails, die brisante Informationen enthalten, die Empfängeradresse etwas genauer zu prüfen. Nur ein kleiner Tippfehler kann schnell dazu führen, dass Unbefugte Deine Mails abfangen. Und diese nutzen die Nachrichten sicherlich nicht zu Deinem Vorteil.

Gleiches gilt ebenso für den Besuch von Webseiten. Hier kann Dich ein Tippfehler auf eine verblüffend echt erscheinende Fälschung lenken, die Dir anschließend eine Malware unterjubelt.

Über

Marc Stöckel hat nach seiner Ausbildung zum IT-Systemelektroniker und einem Studium im Bereich der technischen Informatik rund 5 Jahre als Softwareentwickler gearbeitet. Um seine technische Expertise sowie seine Sprachfertigkeiten weiter auszubauen, schreibt er seit dem Sommer 2022 regelmäßig Artikel zu den Themenbereichen Software, IT-Sicherheit, Datenschutz, Cyberkriminalität und Kryptowährungen.