Den E-Mail-Dieben in die Falle gegangen

Wir wissen alle, was es braucht, damit unsere Daten einigermassen sicher bleiben: Passwörter, die nicht zu einfach sind, ein gesundes Misstrauen gegenüber E-Mails von Unbekannten und natürlich ein gutes Virenschutzprogramm. Trotzdem scheint es immer noch kinderleicht zu sein, E-Mails zu hacken und zu klauen, wie der amerikanische Wahlkampf zeigt. Selbst ausgefuchste Politstrategen sind gegen sogenanntes Social Engineering nicht gefeit und landen in der Falle der E-Mail-Diebe. 

Das von WikiLeaks veröffentlichte Phishing-E-Mail (zum Vergrössern
anklicken). 

Wikipedia definiert Social Engineering als “zwischenmenschliche Beeinflussungen mit dem Ziel, bei Personen bestimmte Verhalten hervorzurufen, sie zum Beispiel zur Preisgabe von vertraulichen Informationen, zum Kauf eines Produktes oder zur Freigabe von Finanzmitteln zu bewegen“. Wie Hillary Clintons Wahlkampfleiter John Podesta  nach der Publikation zehntausender seiner E-Mails durch WikiLeaks schmerzhaft erfahren hat, funktioniert diese Art von Hacking hervorragend. Und es ist einigermassen ironisch, dass wir dank WikiLeaks nun auch wissen, wie John Podesta in die Hacker-Falle tappte.

Demgemäss erhielt Wahlkampfleiter Podesta am 19. März ein E-Mail von jemandem, der sich als “Google“ ausgab. Das Mail enthielt die Warnung, dass jemand in der Ukraine versucht habe, Podestas E-Mail-Account zu knacken und dass dieser deshalb sofort sein Passwort ändern sollte. Freundlicherweise stellte das “Google-Team“ auch gleich den Link zur Verfügung, um das neue Passwort einzurichten.

Da der Wahlkampfleiter von Hillary Clinton wahrscheinlich wichtigere Probleme hatte, als an seinem Passwort herumzufummeln, leitete er das E-Mail an sein IT-Team weiter. Diese Spezialisten waren mit den Verfassern des E-Mails einig und liessen Podesta wissen, er solle das Passwort für sein Gmail-Account ohne Verzug wechseln. Sicherheitshalber informierte der zuständige IT-Mann auch gleich darüber, wie man das richtig macht und legte den korrekten Google-Link bei.

So weit so gut.

Leider entschied sich dann die Person, die das neue Passwort eingab, nicht diesen Link, sondern den kurzen Bitly-Link im Original-Phishing-Mail der Hacker anzuklicken – womit das Hacken seinen Lauf nehmen konnte.

Für die Präsidentschaftskandidatin, die ja bekanntlich schon ohne die gehackten Podesta E-Mails genügend E-Mail-Ärger hat, wirkte sich dieser Datendiebstahl gelinde gesagt nicht sehr konstruktiv aus. Umso mehr, als  schon im Vorwahlkampf die E-Mail-Konten ihrer Parteiführung gehackt worden waren – mit der genau gleichen Methode.