Palo Alto: Verkauf von gestohlenen Uni-Mail-Konten über Taobao
Experten von Palo Alto Networks bestätigen: Gestohlene Uni-Mail-Konten werden über Chinas größte C2C-Plattform verkauft
Nachforschungen belegen, wie Cyber-Kriminelle gestohlene Universitäts-Mail-Konten auf Taobao anbieten – bereits viele international bekannte Universitäten betroffen
München – 10. September 2014 – Sicherheitsexperten von Palo Alto Networks, Marktführer im Bereich Enterprise Security, haben herausgefunden, dass E-Mail-Konten von Top-Universitäten auf der ganzen Welt auf Taobao, der größten chinesischen C2C-E-Commerce-Plattform, zum Kauf angeboten werden. Beworben werden die Mail-Konten mit attraktiven Extras wie Registrierung für Softwareentwicklerprogramme, Studentenrabatte oder Einzelhandelsgutscheine sowie Zugang zu wissenschaftlichen Datenbanken.
Die Untersuchung von Palo Alto Networks begann mit einer simplen Suche nach dem Begriff „edu-Postfach“ auf Chinesisch. Diese lieferte 99 Ergebnisse mit gestohlenen Universitäts-E-Mail Konten. Das teuerste wurde für umgerechnet rund 300,- Euro angeboten, während das günstigste bereits für nur 0,12 Euro zu haben war. Unter den Konten, die eine „edu“-Top-Level-Domain mit E-Mail-Adresse und gültigem Passwort umfassten, waren 42 der weltweiten Top-Universitäten in zehn Ländern vertreten, darunter viele chinesische Universitäten, aber auch international renommierte Adressen wie die Universität Bologna, die ETH Zürich sowie die gesamte US-Campusprominenz einschließlich das Massachusetts Institute of Technology sowie der Universitäten Harvard, Princeton, Stanford und Yale.
„Auch bekannte deutsche Uni-Adressen, sowie Einrichtungen aus Österreich und der Schweiz könnten jederzeit ins Interesse der illegalen Mail-Konten-Händler rücken“, gibt Ryan Olson, Director des Threat Intelligence Teams von Palo Alto Networks, zu bedenken. Die Verkäufer garantierten, dass alle E-Mail-Konten gültig, zugänglich und aktiv sind. Aus Kommentaren der Käufer konnten die drei wichtigsten Einsatzbereiche herausgelesen werden:
- Durch die Anmeldung für Sonderkonten von Softwareentwicklerprogrammen, etwa für Microsoft Student Windows Phone 7 und 8, können Benutzer ihre Windows Phone-Geräte selbst entsperren, ohne Gebühr.
- Studentenrabatte und Gutscheine für den Einzelhandel sind ebenfalls beliebte Vorteile, von denen Inhaber einer gestohlenen Uni-Mail-Adresse profitieren. Einige Konten wurden mit einer Registrierungsmöglichkeit für Studentenrabatte etwa bei Amazon, BestBuy, Apple und Dell beworben.
- Des Weiteren profitieren die vermeintlichen „Studenten“ vom Zugang zu akademischen Datenbanken. Die Mail-Konten für große Universitäten wie etwa MIT, Stanford etc. werden scheinbar hauptsächlich verwendet, um auf Bibliotheksdienste und -ressourcen zugreifen zu können.
Über ein Instant-Messaging-System von Taobao, das für den Online-Handel entwickelt wurde, nahmen die Experten von Palo Alto Networks Kontakt auf mit einigen Anbietern. „Ein gut sortierter Anbieter sagte uns, dass jeder verkaufte Account zu einem aktiven Studenten an der jeweiligen Universität gehört. Er behauptete, dass, sobald der Account verkauft wurde, nur der Käufer und der berechtigte Benutzer Zugriff haben würden. Er empfahl daher, das Account-Passwort nicht zu ändern, damit der rechtmäßige Benutzer nichts davon mitbekommt. Ein anderer Verkäufer bot an, die echten Identitätsinformationen für ein gestohlenes Konto zu liefern, so könnte der Käufer das Passwort und die Sicherheitsfragen ändern. Dieses Angebot wurde am teuersten gehandelt“, erläuterte Ryan Olson.
Um das kriminelle Geschäftsmodell weiter zu analysieren, erwarben die Sicherheitsexperten von Palo Alto Networks ein individuelles Konto von einem Verkäufer auf Taobao. Vier Stunden später war die Bestätigung da, dass die E-Mail-Adresse „email hidden; JavaScript is required“ aktiv war. Auf der CNRI-Webmail-Seite war es daraufhin problemlos möglich, eine E-Mail von diesem Konto aus zu versenden.
Da – wie bei den meisten kriminellen Machenschaften – nicht alle Verkäufer auf Taobao ihre wahre Identität nutzen, ist es eine Herausforderung, die Personen aufzuspüren, die tatsächlich dahinterstecken. Um auf Taobao verkaufen zu können, muss ein Verkäufer mindestens ein gültiges Alipay-Konto (ähnlich PayPal), eine gültige chinesische Bürger-ID-Nummer und ein darunter angemeldetes chinesisches Bankkonto vorweisen. Allerdings ist Identitätsdiebstahl mittlerweile so weit verbreitet, dass Verkäufer die erforderliche Online-Identität ebenfalls problemlos kaufen können.
Für die Hochschulen ist das Problem besonders brisant, vor allem, da auf diese Weise auch Forschungsergebnisse gestohlen werden könnten. Einige Universitäten setzen bereits Zwei-Faktor-Authentifizierung für den Zugriff auf kritische Ressourcen ein, doch empfehlen die Experten von Palo Alto Networks weitergehende Maßnahmen:
- Anomalie-Erkennung: Suche nach anomalen Login-Sessions, etwa hinsichtlich Land/Ort.
- Beseitigung von Schwachstellen: Ursachen für Informationslecks am Mail-Konto müssen ermittelt und behoben werden und alle vorhandenen Account-Passwörter zurückgesetzt werden.
- Risikominimierung: Die rechtmäßigen Kontoinhaber sollten davor gewarnt werden, die gleichen Passwörter und/oder Sicherheitsfragen für mehrere Online-Systeme zu verwenden, um im Ernstfall den Schaden zu begrenzen. Aus technischer Sicht bieten sich Netzwerksegmentierung und Zwei-Faktor-Authentifizierung an, mindestens für hochwertige Rechen- und Informationsressourcen.
Den vollständigen Gartner Report finden Sie unter http://go.paloaltonetworks.com/gartner2014pr.
Palo Alto Networks ist das führende Unternehmen in einem neuen Zeitalter von Cybersecurity. Die Lösungen von Palo Alto Networks sichern die Netzwerke Tausender großer Unternehmen, Behörden und Service Provider gegen Risiken ab. Im Gegensatz zu fragmentierten Legacy-Lösungen ist die Security-Plattform von Palo Alto Networks in der Lage, den Geschäftsbetrieb sicher zu ermöglichen. Die Lösungen schützen Systeme basierend auf dem, was in aktuellen dynamischen IT-Umgebungen am wichtigsten ist: Anwendungen, Nutzer und Inhalte.
