![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Ein Blog-Leser hat mich auf eine beunruhigende Beobachtung eines seiner Kunden hingewiesen. Dieser erh\u00e4lt eine Flut an Aufforderungen zum Zur\u00fccksetzen seiner Kennw\u00f6rter. Wobei die Nachrichten wohl wirklich von den betreffenden Diensten stammen. Aktuell ist noch etwas unklar, was genau dahinter steckt.<\/p>\n
<\/p>\n
Vermutet werden Angriffe auf verschieden Content Management Systeme (CMS) und Webseiten, wo automatisiert Passwort-Resets ausgel\u00f6st werden. M\u00f6glicherweise wird was bei Brute-Force-Angriffsversuchen bei diesen Systemen in Sachen Passwort-Reset ausgel\u00f6st. Mir geht aber ein Fall aus 2020 im Kopf herum, wo ein PayPal-Konten-Hack durch so etwas verschleiert werden sollte.<\/p>\n
Die Informationen sind aktuell noch etwas vage. Tobias B. betreibt einen Computerdienst und hat mir gerade eine E-Mail geschickt, in dem er den Sachverhalt beschreibt. Einem Kunden von ihm ist gerade ein unsch\u00f6nes Ph\u00e4nomen aufgefallen. Der Kunde erh\u00e4lt auf seiner T-Online-Mail-Adresse aktuell Tausende \"password reset\"-Mails von diversen Webseiten. Tobias hat sich das angesehen und schreibt, dass die Mails tats\u00e4chlich aus den Systemen der Webseite-Betreibern zu stammen scheinen. Die angegebenen Absender und die Links sind keine Fakes.<\/p>\n
Unklar ist der Sinn des Ganzen. Er vermutet, dass hier vielleicht ein Angriff auf bestimmte CMS-Systeme oder User-Datenbanken l\u00e4uft, in denen automatisiert neue User angelegt werden. Dann w\u00fcrden die Reset-Mails (mehrfach) getriggert und versendet werden, um wahrscheinlich von den Empf\u00e4ngern valide und von denen h\u00e4ufig genutzte Mail\/Password-Kombinationen zu erschleichen \u2026<\/p>\n
Wenn dem so ist, m\u00fcssten wohl tausenden Seitenbetreiber ihre Systeme sperren und \u00fcberarbeiten, schreibt Tobias. Aktuell ist ihm unklar, ob es eine gr\u00f6\u00dfere Sache oder eher \"nur\" ein individuelles Problem ist. Auff\u00e4llig ist in seinen Augen (das spricht gegen einen Fake), dass die Mails alle \u00e4hnlich formatiert sind. F\u00fcr ihn sieht es mich nach der Nutzung des gleichen CMS-\/Userverwaltungs-Systems aus. Hier noch einige Screenshots solcher Mails.<\/p>\n
![\"Passwort-Reset\"](\"https:\/\/i.postimg.cc\/pVK4dYw1\/image.png\" "\\"Passwort-Reset\\"")
<\/p>\n
In obigem Screenshot wird ein Passwort-Reset gefordert. Mir liegen aber weitere Mails vor – bei einer Variante wird die Best\u00e4tigung einer Newsletteranmeldung gefordert. Die nachfolgenden Screenshots besagen, dass ein Konto angelegt wurde und man dieses best\u00e4tigen solle.<\/p>\n
![\"Accout-Verifikation\"](\"https:\/\/i.postimg.cc\/qvr3T085\/image.png\" "\\"Accout-Verifikation\\"")
<\/p>\n
![\"Accout-Verifikation\"](\"https:\/\/i.postimg.cc\/tg0mysrH\/image.png\" "\\"Accout-Verifikation\\"")
<\/p>\n
Der Leser meint: \"Falls sie \u00e4hnliches geh\u00f6rt haben, kann ich es ja vielleicht bald bei ihnen lesen.\" Mir ist aktuell nichts dergleichen untergekommen – aber mich beschlich sofort ein Verdacht. Es k\u00f6nnte schlicht eine Verschleierungsaktion sei.<\/p>\n
Den betreffenden Ansatz hatte ich 2020 im Blog-Beitrag Massen-Newsletter-Spam und der Paypal-Konten-Hack<\/a> angesprochen. Auch dort war der Betreiber eines IT-Diensts auf ein solches Ph\u00e4nomen bei einem Kunden gesto\u00dfen. Bots l\u00f6sten damals Tausende Newsletter-Anmeldungen aus, um einen Hack von PayPal-Konten zu verschleiern. Zweck des Massen-Spams war, die PayPal-Benachrichtigung \u00fcber den Kontenhack in der Flug der Mails untergehen zu lassen. Frage: Hat noch jemand das beobachtet?<\/p>\n Erg\u00e4nzung:<\/strong> Nachdem ich Tobias auf den Artikel von mir und meine Vermutung aufmerksam gemacht habe, hat er mich auf einen reddit.com-Beitrag\u00a0My inbox is being flooded by password reset emails!<\/a> mit \u00e4hnlichem Problem hingewiesen. Auch bei Google gibt es einen Supportbeitrag<\/a> zum Thema. Etwas \u00e4hnliches gibt es auch bei Amazon-Konten-Hacks, wie in diesem Beitrag<\/a> skizziert wird.<\/p>\n <\/p>\n","protected":false},"excerpt":{"rendered":" Ein Blog-Leser hat mich auf eine beunruhigende Beobachtung eines seiner Kunden hingewiesen. Dieser erh\u00e4lt eine Flut an Aufforderungen zum Zur\u00fccksetzen seiner Kennw\u00f6rter. Wobei die Nachrichten wohl wirklich von den betreffenden Diensten stammen. Aktuell ist noch etwas unklar, was genau dahinter … Weiterlesen