Wenn man heute Google sagt, betritt man eine Welt, deren Grenzen schwer zu erkennen sind.
Einige sehen es als einen großen Bruder mit Orwellschen Erinnerungen, eine Art Wesen, das jeden unserer Schritte ausspioniert, unsere Vorlieben kennt und unsere Daten sammelt.
Für die Optimisten sind die Ziele nur wirtschaftlich, für die Katastrophisten sind sie teuflisch und zielen auf die Manipulation und Kontrolle der Bevölkerung ab.
Auf der anderen Seite gibt es die Fanatiker, die völlig davon abhängig sind und alle Möglichkeiten und Dienste nutzen, die diese Suchmaschine heute zur Verfügung stellt. Kurz gesagt, diejenigen, die Google und all seinen Ablegern die Gesamtheit ihrer Aktivitäten im Web, d.h. praktisch ihr Leben, überlassen, ohne viel Aufhebens darum zu machen, tun dies in der Tat gerne.
Gerade für letztere, zu denen wir alle, die wir so viele Stunden vor dem Bildschirm verbringen, mehr oder weniger gehören, könnte eine der neuesten Malware, von der wir hören und die von CloudSek-Forschern entdeckt wurde, ein ernstes Problem darstellen.
Die neue Bedrohung
Dies ist eine neue Bedrohung, die die Google-Konten von Nutzern gefährdet.
Dabei werden Cookies von Drittanbietern ausgenutzt, um unbefugten Zugriff auf die privaten Daten von Nutzern zu erhalten, wobei eine ziemlich ausgeklügelte Methode zur Umgehung von Schutzmaßnahmen verwendet wird.
Die Nachricht wurde im Oktober letzten Jahres von einem Hacker aufgedeckt , der Details der Operation in einer Telegram-Gruppe verbreitete und eine Sicherheitslücke im Zusammenhang mit Cookies aufzeigte, Elementen, die von Websites und Browsern zur Überwachung der Benutzererfahrung verwendet werden.
Der Malware gelingt es, Google-Authentifizierungs-Cookies abzurufen, so dass die Kriminellen sogar die Zwei-Faktor-Authentifizierung umgehen können.
Sobald ein Konto kompromittiert wurde, können die Angreifer also weiterhin auf Google-Dienste zugreifen, auch wenn das Opfer sein Passwort geändert hat.
Es war ein böses Erwachen für die Opfer, die sich praktisch an allen Fronten blockiert sahen, sowohl bei der Arbeit als auch bei ihren täglichen Aktivitäten.
CloudSEK-Forscher erklärten, dass Malware, die Informationen durch Missbrauch dieser Funktion stiehlt, jetzt mehr Token von Google Chrome stehlen wird.
Diese Token umfassen neben allen Authentifizierungs-Cookies für Google-Websites auch ein spezielles Token, mit dem neue Authentifizierungs-Token aktualisiert oder generiert werden können, die abgelaufene Token ersetzen und den Zugang zu Konten für einen viel längeren Zeitraum als normalerweise zulässig ermöglichen.
Die Reaktion von Google
Google seinerseits spielt das Ganze herunter und beruhigt die Nutzer in einer Erklärung an BleepingComputer:
„Angriffe mit Malware, die Cookies und Token stiehlt, sind nicht neu; wir aktualisieren regelmäßig unsere Abwehrmaßnahmen gegen diese Techniken, um Malware-Opfer zu schützen. In diesem Fall hat Google Maßnahmen ergriffen, um alle identifizierten kompromittierten Konten zu schützen.
Die Suchmaschine schlägt auch eine Lösung vor, die manchen recht simpel erscheint: Sie schlägt den Opfern vor, den Chrome-Browser zu beenden oder alle aktiven Sitzungen auf der Seite g.co/mydevices zu schließen.
„In der Zwischenzeit“, so empfiehlt Google, „sollten die Nutzer weiterhin jegliche Malware von ihrem Computer entfernen und die Option Advanced Safe Browsing für Ihr Konto in Chrome aktivieren, um sich vor Phishing und Malware-Downloads zu schützen“.
Das Problem ist jedoch, dass die Opfer in den meisten Fällen nicht wissen, dass sie mit dieser Art von Malware infiziert wurden, zumindest bis der Missbrauch offenkundig wird. Daher wird es für sie schwierig sein zu verstehen, wann sie die verschiedenen von Google vorgeschlagenen Schritte durchführen müssen.
Der Fall von Orange España
In diesem Zusammenhang wurde berichtet der Fall von Orange España, dem zweitgrößten iberischen Mobilfunkanbieter, der am 3. Januar Opfer eines solchen Angriffs wurde.
Einem Cyberkriminellen gelang es, das Administrationspasswort eines Firmenmitarbeiters für die Netzwerkausrüstung zu stehlen und dann auf die Routing-Tabelle die den Datenverkehr des Unternehmens regelt. Niemand bemerkte dies jedoch, bis die Anmeldedaten für den Zugriff auf das RIPE-Konto verwendet wurden.1 Konto des Unternehmens.
Nach den im Netz kursierenden Informationen behauptet Google, die betroffenen Personen identifiziert und gewarnt zu haben, hat aber ansonsten bisher keine weiteren Schritte zur Lösung des Problems unternommen.
Es scheint fast so, als wüsste der in Mountain View, Kalifornien, ansässige Riese nicht so recht, wohin er sich wenden soll, und zögert, eine endgültige Antwort zu geben.
In dieser sehr nebulösen und verworrenen Situation ist nur eines klar: Die Gefahr, dass unsere Google-Konten mit schwerwiegenden Folgen manipuliert werden, insbesondere im beruflichen Bereich, ist ziemlich real.
Dies ist nicht nur besorgniserregend, sondern empfiehlt auch eine immer größere Sorgfalt bei unseren Online-Aktivitäten
Die Lösung
Abgesehen von den üblichen Empfehlungen, sichere Passwörter zu erstellen und sie korrekt zu speichern, hat die wirkliche und radikale Lösung nur einen Namen: Qualitätsschulung.
Um zu verhindern, dass Kriminelle hinter jeder virtuellen Ecke lauern, müssen Unternehmen Schulungsplattformen wählen, die der heutigen Herausforderung gewachsen sind: Sie müssen ihre Organisationen immun gegen Cyberangriffe machen und jederzeit bereit sein, sich angemessen zu verteidigen.
Ein Ziel, das sich leicht erreichen lässt, wenn jeder Mitarbeiter über die entsprechenden Kenntnisse und Schulungsinstrumente verfügt, um jede Art von Angriff zu erkennen und zu bewältigen.
Nur so ist ein wirksamer und dauerhafter Schutz für das gesamte Unternehmen gewährleistet.
- Das RIPE NCC (Network Coordination Centre) ist eines der fünf regionalen Internet-Register, die die Zuteilung von IP-Adressen an Internet Service Provider, Telekommunikationsorganisationen und Unternehmen, die ihre eigene Netzwerkinfrastruktur betreiben, verwalten. ↩︎