![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Momentan werden ja E-Mails des Wahlkampfteams der Demokraten durch Wikileaks ver\u00f6ffentlicht, um in den US-Wahlkampf einzugreifen. Jetzt gibt es Hinweise, wie der Hack abgelaufen sein d\u00fcrfte.<\/p>\nMomentan werden ja E-Mails des Wahlkampfteams der Demokraten durch Wikileaks ver\u00f6ffentlicht, um in den US-Wahlkampf einzugreifen. Jetzt gibt es Hinweise, wie der Hack abgelaufen sein d\u00fcrfte.<\/p>\n
<\/p>\n
In der E-Mail war ein mit Bitly verk\u00fcrzter Link mit der Schaltfl\u00e4che Change Password <\/em>verkn\u00fcpft, der von John Podesta angeklickt wurde. Der Rest ist Geschichte \u2013 denn ab dem 9. Oktober 2016 begann Wikileaks damit, tausende E-Mails aus Podestas GMail-Postfach zu ver\u00f6ffentlichen. <\/p>\n Sofort wurden russische Hacker (Fancy Bear, APT28, Sofacy) verd\u00e4chtigt, weil diese wohl auch f\u00fcr den Hack des Democratic National Committee verantwortlich gemacht werden. Die verk\u00fcrzte URL, die in der Phishing-Mail an John Podesta enthalten war, verwies auf folgende URL: <\/p>\n Auf den ersten Blick k\u00f6nnte man meinen, dass die URL auf ein Google-Konto verweist. Aber bei genauerem Hinsehen steckt eine auf Tokelau gehostete Domain dahinter. Der Ziffernsalat am Ende des Strings enth\u00e4lt die encodierte E-Mail-Adresse von John Podestas GMail-Konto. <\/p>\n Die Bitly-Statistik zeigt, dass die betreffende URL genau zwei Mal am 19. M\u00e4rz 2016 expandiert und dann aufgerufen wurde. Die Aufrufe erfolgten wohl durch John Podesta, der die \"alarmierende E-Mail, vorgeblich von Google\" nicht als Phishing-Versuch erkannte, den Link anw\u00e4hlte und die Zielseite abrief. Ich vermute, dass dort ein Passwort-Eingabefeld zum \u00c4ndern des Passworts hinterlegt war. In Folge wurde das alte und neue Passwort abgegriffen und wohl auch bei Gmail ge\u00e4ndert. Damit erhielten die Hacker Zugriff auf Podestas GMail-Konto. Das hat ein Insider, der mit der Aufkl\u00e4rung des Hacks betraut ist, gegen\u00fcber der Site Motherboard best\u00e4tigt. <\/p>\n Der Bitly-Link war einer von ca. 9.000 individuellen Links, die Fancy Bear benutzt hat, um 4.000 Personen zwischen Oktober 2015 bis May 2016 mit Phishing-Mails zu bombardieren. Jeder dieser URLs enthielt die E-Mail-Adresse und den Namen des angegriffenen Ziels. Dazu haben die Hackers zwei Bitly-Konten angelegt, dummerweise aber vergessen, diese auf \"Privat\" zu setzen. So konnten Experten der Firma SecureWorks, die Fancy Bear-Hacks der letzten Jahre untersuchten, die verk\u00fcrzten Links aufsp\u00fcren. <\/p>\n Dazu haben Sie die bekannten, von Fancy Bear verwendeten, Command and Control-Domains \u00fcberwacht. Die Sicherheitsexperten fanden dann einen Bitly-Shortlink, der zum Bitly-Account f\u00fchrte. Und dort fanden sich dann tausende Bitly URLs, die sich diversen Phishing-Angriffen zuordnen lie\u00dfen. Darunter waren auch Angriffsversuche auf Clintons Wahlkampfteam. Konkret konnten Fancy Bear 213 Short-Links zugeordnet werden, die f\u00fcr \"Spear-Phishing\" von 108 E-Mail-Addressen der Domain hillaryclinton.com<\/em> genutzt wurden. Das Ganze ist sogar diesen Sommer von secureworks.com in diesem Artikel<\/a> ver\u00f6ffentlicht worden. <\/p>\n Auf die gleiche Weise wurde Colin Powell<\/a>, Au\u00dfenminister unter George W. Bush, gehackt. So konnte eine geheime Mail, die Donald Trump als \"nationale Schande\" bezeichnet<\/a>, geleakt werden. Auch Journalisten von Bellingcat, die den Abschuss der Maschine MH17 der Malaysia Airline \u00fcber der Ukraine im Jahr 2014 recherchieren, erhielten solche Spear-Phishing-Mails. \u00c4hnliche Mails gingen an weitere Journalisten aus Osteuropa. Das alles ist zwar kein \"Smoking Gun\" f\u00fcr die Beteiligung Russlands \u2013 aber es sind wohl starke Indizien. Weitere Details sind diesem Motherboard-Artikel<\/a> (Englisch) zu entnehmen. <\/p>\n Der Fall zeigt: Man kann die Mitarbeiter nicht genug darauf trimmen, solche Spear-Phishing-Mails zu erkennen und keinesfalls die enthaltenen Links anzuklicken. Und es ist keine gute Idee, popul\u00e4re Mail-Dienste von US-Firmen wie Apple, Google, Microsoft f\u00fcr brisante Korrespondenz zu nutzen. Das ist zwar bequem und die Postf\u00e4cher k\u00f6nnen auch Gigabytes an Mails speichern. Erh\u00e4lt jemand Zugriff, kann er die Korrespondenz von Jahren zur\u00fcck verfolgen. <\/p>\n","protected":false},"excerpt":{"rendered":" Momentan werden ja E-Mails des Wahlkampfteams der Demokraten durch Wikileaks ver\u00f6ffentlicht, um in den US-Wahlkampf einzugreifen. Jetzt gibt es Hinweise, wie der Hack abgelaufen sein d\u00fcrfte.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2039,426],"tags":[5535,2980,2564,4328],"class_list":["post-182854","post","type-post","status-publish","format-standard","hentry","category-mail","category-sicherheit","tag-datenleck","tag-gmail","tag-hack","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/182854","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=182854"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/182854\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=182854"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=182854"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=182854"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Am 19. M\u00e4rz diesen Jahres erhielt John Podesta, der Wahlkampfmanager von Hillary Clinton, eine \"alarmierende\" E-Mail auf sein GMail-Konto, welche angeblich von Google stammte. Der Inhalt: Jemand hat das Passwort und er solle dieses doch sofort \u00e4ndern. Hier ein Screenshot der Fake-Mail mit der Schaltfl\u00e4che Change Password<\/em>. <\/p>\n
![\"Google](\"https:\/\/web.archive.org\/web\/20221205080243\/https:\/\/motherboard-images.vice.com\/content-images\/contentimage\/38680\/1476913033854202.jpg\"\/ "\\"Google")
(Quelle: motherboard)<\/p>\n![\"URL\"](\"https:\/\/web.archive.org\/web\/20221205080239\/https:\/\/motherboard-images.vice.com\/content-images\/contentimage\/38680\/1476970730104325.png\" "\\"URL\\"")
<\/a>
(Quelle: motherboard)<\/p>\n