Dropbox-Nutzer durch eine über SSL gesendete Phishing-Seite zur Herausgabe von Anmeldedaten betrogen

Table Of Contents

• Dropbox-Nutzer durch eine über SSL gesendete Phishing-Seite zur Herausgabe von Anmeldedaten betrogen
• Das Vorgehen
• Anmeldeseiten, die über eine Webseite mit einem sicheren Protokoll bereitgestellt werden

Dropbox-Nutzer durch eine über SSL gesendete Phishing-Seite zur Herausgabe von Anmeldedaten betrogen

Nach dem massiven Leak von 700.000 Dropbox-Benutzernamen und Passwörtern, das Dropbox bestreitet, von ihren Servern gestohlen worden zu sein, sind die Menschen misstrauisch gegenüber der Sicherheit von Dropbox.

Es stellt sich heraus, dass ein neuer Stil des Diebstahls von Dropbox-Anmeldedaten entstanden ist. Cyberkriminelle versuchen, Anmeldedaten für Dropbox und webbasierte E-Mail-Dienste zu stehlen, indem sie eine gefälschte Anmeldeseite erstellt haben, die auf der Dateiübertragungswebsite gehostet wird und das sichere Protokoll ausnutzt. Dieser Betrug wurde von Symantec entdeckt.

Das Vorgehen

Wie gewohnt erhalten die potenziellen Opfer eine E-Mail mit dem Betreff „Wichtig“ von einer bekannten Partei (die ebenfalls ein Opfer war). In der E-Mail wird gesagt, dass eine große Datei enthalten ist, die nur über Dropbox angesehen werden kann. Sobald das Opfer auf den Link klickt, wird es zu einer Klon-Dropbox-Seite geleitet, auf der es nach seinen Dropbox-Anmeldedaten gefragt wird.

Das Problem mit dieser Klon-Dropbox-Seite ist, dass sie über eine sichere Website bereitgestellt wird, die die Wörter https vor der URL enthält und außerdem eine exakte Nachbildung des Dropbox-Logos enthält. Dies lässt das Opfer glauben, dass es sich auf der echten Dropbox-Seite befindet und gibt seine Anmeldedaten an die Cyberkriminellen weiter. Das Bild, das unten gezeigt wird, ist von der besagten Seite und kann sogar den vorsichtigsten Benutzer täuschen.

Anmeldeseiten, die über eine Webseite mit einem sicheren Protokoll bereitgestellt werden

So bald der „Anmelden“-Button gedrückt wird, werden der Benutzername und das Passwort, die in die Anmeldemasken eingegeben wurden, an ein PHP-Skript auf einem kompromittierten Server übermittelt, sagt Nick Johnston von Symantec in einem Blogbeitrag.

Die Hauptstrategie der Cyberkriminellen, ein sicheres Protokoll zu verwenden, um ihre bösartige Klonseite zu hosten, funktioniert in den meisten Fällen. Das Senden der Daten an die von den Betrügern zugängliche Maschine erfolgt ebenfalls über das sichere Protokoll, was beim Opfer keinen Verdacht erregt. Andernfalls würde der Webbrowser, da die gefälschte Seite über eine verschlüsselte Verbindung aufgerufen wird, informieren, dass ein unsicherer Kommunikationskanal für die Übermittlung der Daten verwendet wird, und warnen, dass diese von Dritten abgefangen und gelesen werden könnten.

Johnston fügt in seinem Blogbeitrag hinzu, dass nicht alle Ressourcen der Phishing-Seite über SSL bereitgestellt werden. Die unsicheren Elemente sind im oberen linken Teil des Webbrowsers gekennzeichnet, der ein anderes Schloss in der Adressleiste anzeigt, das vermittelt, dass einige Teile der Seite unsicher sind. Dennoch reicht es für die meisten Benutzer aus, das Schloss und das https am Anfang der Seite zu sehen, was sie einem größeren Risiko aussetzt.

„Die gefälschte Anmeldeseite wird auf der Benutzerinhaltsdomäne von Dropbox (wie geteilte Fotos und andere Dateien) gehostet und über SSL bereitgestellt, was den Angriff gefährlicher und überzeugender macht“, sagt der Forscher.

Dies ist nicht der erste Fall von Missbrauch des Cloud-Speicherdienstes von Dropbox. Ende August wurde eine SMS-Phishing-Kampagne (Smishing) beobachtet, die auf demselben Verfahren basierte, der Unterschied bestand darin, dass die Betrüger eine gefälschte/klonierte Facebook-Seite lieferten.

Angesichts des Ausmaßes der jüngsten Leaks, die letzte Woche den Cyberspace getroffen haben, wird den Benutzern geraten, vorsichtig zu sein, um nicht in solche Fallen zu tappen.