Universitäts-eMail-Konten auf chinesischer Plattform gehandelt

Palo Alto Networks entdeckt gestohlene Mail-Accounts auf Taobao Universitäts-eMail-Konten auf chinesischer Plattform gehandelt

15.09.2014 | Autor / Redakteur: Martin Hensel / Ulrike Ostler

Die Sicherheitsexperten von Palto Alto Networks haben entdeckt, dass auf der chinesischen C2C-E-Commerce-Plattform „Taobao“ gestohlene eMail-Konten von Top-Universitäten angeboten werden.

Firma zum Thema

Net at Work GmbH

Versand einer eMail über einen gestohlenen Universitäts-Account
(Palo Alto Networks)

Beworben werden die Mail-Accounts mit Extras wie etwa der möglichen Registrierung für Software-Entwicklerprogramme sowie Studentenrabatten, Einzelhandelsgutscheinen und dem Zugang zu wissenschaftlichen Datenbanken. Die Untersuchung von Palo Alto begann mit einer simplen Suche nach dem Begriff „edu-Postfach“ auf Chinesisch. Diese förderte 99 Ergebnisse mit gestohlenen Konten zu Tage. Das teuerste Postfach wurde für rund 300 Euro angeboten, das günstige war bereits für 12 Cent zu haben.

Hacker-Angriffe auf Behörden und Ministerien

Server des Zollkriminalamts und der Bundespolizei werden gehackt, darunter ein Server, auf dem das Patras-System läuft: ein Geodaten-Programm, das den Standort von Ermittlern und Tatverdächtigen anzeigen kann. Sie veröffentlichen Rufnummern von GPS-Trackern, Namen von Beamten und Angaben zu observierten Fahrzeugen. Als Täter wird die Hacker-Gruppe No-Name-Crew genannt. Jüngst wurde bekannt, dass der Hack einen Familienstreit zum Ursprung hat, in dem ein Bundespolizeimitarbeiter seiner Tochter einen Trojaner auf den Rechner spielte, um deren Internetaktivitäten zu überwachen. Ein Hacker-Freund der Tochter bemerkte dies und drang über den PC des Vaters in den Server der Bundespolizei.

Hacker dringen in das Netzwerk der Bundes-CDU und gelangen so an 5.800 Datensätze mit eMail-Adressen, Namen und Mitgliedsnummern.

Das Computersystem des Internationalen Währungsfonds (IWF) ist Ziel eines Hacker-Angriffs. Nach Medienberichten werden eMails und andere Dokumente entwendet.

Mit einem Trojaner gelangen Unbekannte in Computer des französischen Wirtschafts- und Finanzministeriums. Ziel sind vertrauliche Dokumente zur französischen G20-Präsidentschaft.10.000 Computer werden vorsichtshalber heruntergefahren.

Bildergalerie mit 141 Bildern

Top-Universitäten betroffen

Unter den Konten, die eine „.edu“-Top-Level-Domain mit eMail-Adresse und gültigem Passwort umfassten, fanden sich 42 der weltweiten Top-Universitäten in zehn Ländern. Darunter waren viele chinesische Institute, aber auch renommierte Einrichtungen wie etwa die Universität Bologna, die ETH Zürich sowie das Massachusetts Institute of Technology (MIT), Harvard, Princeton, Stanford und Yale.

Redseliger Verkäufer

Über ein Instant-Messaging-System von Taobao nahmen die Experten von Palo Alto Kontakt zu einem Verkäufer auf. „Ein gut sortierter Anbieter sagte uns, dass jeder verkaufte Account zu einem aktiven Studenten an der jeweiligen Universität gehört. Er behauptete, dass, sobald der Account verkauft wurde, nur der Käufer und der berechtigte Benutzer Zugriff haben würden.

Er empfahl daher, das Account-Passwort nicht zu ändern, damit der rechtmäßige Benutzer nichts davon mitbekommt. Ein anderer Verkäufer bot an, die echten Identitätsinformationen für ein gestohlenes Konto zu liefern, so könnte der Käufer das Passwort und die Sicherheitsfragen ändern. Dieses Angebot wurde am teuersten gehandelt“, erläutert Ryan Olson, Director des Threat-Intelligence-Teams von Palo Alto.

Kritische Ressourcen schützen

Für die Hochschulen ist das Problem besonders brisant, da auf diesem Wege auch Forschungsergebnisse gestohlen werden können. Zwar setzen einige Universitäten bereits Zwei-Faktor-Authentifizierung für den Zugriff auf kritische Ressourcen ein, dennoch gibt es noch Optimierungspotenzial. Palo Alto rät beispielsweise zur Anomalie-Erkennung bezüglich Land oder Ort von Login-Sessions, der Beseitigung von Schwachstellen sowie Risikominimierung durch Nutzerinformation und etwa Netzwerksegmentierung.

(ID:42947675)