Am 01.10.2009 wurde eine Liste mit den Daten von 10.028 E-Mail-Konten <bekannt>, die mit A und B beginnen (1). Sie betreffen Kontozugangsdaten zu E-Mail-Konten bei Hotmail, Google Mail, Yahoo und AOL (2). Über die Motive der Phisher, die diese Daten ausgespäht und protokolliert haben, herrscht Unkenntnis. Es wird befürchtet, dass sie sich mit ihnen Zugang zu den persönlichen Daten der Ausgespähten verschafft haben, um sie schadensträchtig zu missbrauchen.

Die Befürchtungen sind nicht unberechtigt. Dazu passt jedoch nicht, dass die ausgespähten Daten unversteckt veröffentlicht wurden. Wenn sie schon missbraucht oder verkauft werden sollten, so macht es wenig Sinn, die Öffentlichkeit durch eine Veröffentlichung zu warnen.

Die Schadensbegrenzung der Hostprovider erfolgt nur zögerlich. Noch am 09.10.2009 stellte fest, dass viele der ausgespähten Konten zugänglich und die Postfächer bereits systematisch nach solchen Nachrichten durchsucht worden seien, die Zugangsdaten zu anderen Internetdiensten versprechen (siehe Kasten links). Ich denke, dass hier Trittbrettfahrer am Werk waren.

Unklarheit besteht auch wegen Methode, mit der die Daten ausgespäht wurden.

In Betracht kommen besonders zwei Angriffspunkte, entweder bei den Hostprovidern selber oder durch den Einsatz von Malware auf den PCs der betroffenen Kontoinhabern.

Dabei fällt anhand der veröffentlichten Liste auf, dass besonders Leute mit spanischer Sprachherkunft betroffen scheinen (4). Die schiere Menge und die alphabetische Sortierung spricht dafür, dass die Daten aus einer Datenbank kopiert wurden, also direkt bei einem Hostprovider.
 

 
Das Mengenargument ist dann nicht zwingend, wenn eine selbsttätige Malware zum Einsatz kam, die die Datenbestände und -eingaben der Anwender aktiv überwachte und die ausgespähten Daten an die Malwarebetreiber übermittelte.

Gegen diese Annahme wenden sich die betroffenen Hostprovider, die überwiegend behaupten, es müsse sich um eine Ausspähung handeln, bei der die Anwender durch unachtsame Eingabe von Daten mitgewirkt hätten. Damit können sie jedenfalls eine Teilschuld von sich abwenden (5).

Dafür sprechen Einträge wie "Not telling" (Sag ich nicht), die tatsächlich danach klingen, als hätte da jemand Phish gerochen. (6)

Ungeachtet aller Spekulationen über die Methoden und Motive der Täter zeigt der Vorfall die Anfälligkeit der Massendienste im Internet. Sie arbeiten mit sensiblen Daten, auch wenn sie nur einen geringen Anteil ausmachen. Verschlüsselungen und andere Sicherheitsvorkehrungen werden in aller Regel nicht eingesetzt.

Insoweit sind die Diensteanbieter wegen sinnvoller Konzepte ebenso gefragt wie die Anwender, die ihre Bequemlichkeit vor die Sicherheit stellen.

Die Prognosen, die eine Zunahme der Angriffe auf Anwenderdaten vorhergesehen haben, werden jedenfalls auch durch diesen Vorfall bestätigt.

11., 13.10.2009: Heftiger Anstieg von Phishing-Mails (7) und Malware gegen mobile Geräte (8).
 

(1) Mehrere tausend Hotmail-Konten ausgespäht, Heise Security 06.10.2009

(2) Auch Google Mail, Yahoo und AOL von Phishing-Angriff betroffen, Heise Security 07.10.2009

(3) Abgephishte Yahoo- und Hotmail-Konten zum Teil immer noch offen, Heise online 09.10.2009
 

 
(4) (3)

(5) (3)

(6) (3)

(7) Phishing-Attacken erleben ein Comeback, tecchannel 11.10.2009

(8) Mobile Malware wächst, tecchannel 13.10.2009