Bundesamt für Sicherheit in der Informationstechnik

G 5.103 Missbrauch von Webmail

Wenn Benutzerangaben nicht ausreichend geprüft werden, kann sich ein Angreifer eine E-Mail-Adresse auf den Namen einer anderen Person besorgen und damit z. B. durch Spammails oder Beschimpfungen unter diesem Namen deren Ruf unterminieren. Wenn die E-Mail-Adressen bei einem Anbieter frei gewählt werden können, kann sich ein Angreifer eine Adresse aussuchen, mit der andere Benutzer bestimmte Assoziationen verbinden und diese damit zu unvorsichtigem Verhalten animieren.

Bei vielen Webmail-Anbietern ist der Benutzername für den Zugriff auf die Postfächer identisch mit der E-Mail-Adresse bzw. lässt sich daraus einfach ableiten. Wenn dann das Passwort nicht gut genug gewählt worden ist oder beliebig viele Fehleingaben möglich sind, kann ein Angreifer durch simples Ausprobieren das Passwort herausbekommen und hat dann freien Zugriff auf das Benutzerkonto.

Durch falsch verstandene Benutzerfreundlichkeit wird es potentiellen Angreifern auch teilweise sehr einfach gemacht, sich ein Passwort und damit vollen Zugriff für ein fremdes Postfach geben zu lassen. Ein typisches Beispiel ist ein Mailprovider, der auf der Einstiegsseite schon einen Link "Passwort vergessen?" anbietet, durch den man dann zu einer Seite weitergeleitet wird, auf der nach einem vorher vereinbarten, nicht schwer zu erratenen Angabe des Postfach-Inhabers gefragt wird. Beliebt ist hier das Geburtsdatum, bei dessen Erraten auch noch durch Angaben wie "Der Monat ist nicht korrekt" weitergeholfen wird.

Beispiele:

  • In dem Beispiel in G 5.40 Abhören von Räumen mittels Rechner mit Mikrofon und Kamera wird geschildert, wie eine deutsche Politikerin in einer gefälschten Virenwarnung per E-Mail aufgefordert wurde, ein als Anlage mitgeschicktes Schutzprogramm zu öffnen, welches aber ein Trojanisches Pferd enthielt. Diese E-Mail hatte den Absender support@xyz.de und kam aus der Domain ihres E-Mail-Providers XYZ. Eine E-Mail von einem Absender, den sie als unbekannt eingestuft hätte, hätte sie wahrscheinlich nicht geöffnet.
  • Im Webmail-Angebot Hotmail sind bereits mehrmals Sicherheitslücken bekannt geworden. Zu Problemen führt insbesondere in E-Mails eingebettetes Javascript, das dann beim Lesen der E-Mail im Browser des Empfängers ausgeführt wird. Dadurch kann der Benutzer beispielsweise durch einen Angreifer dazu aufgefordert werden, sein Passwort erneut einzugeben und dieses anschließend an den Angreifer übermittelt wird. Da Javascript auf mehrere unterschiedliche Arten in HTML-formatierte E-Mails eingebettet werden kann, gab es in der Vergangenheit Lücken beim Herausfiltern dieser aktiven Inhalte.

Bei aktuellen Virenwarnungen kann es einige Stunden dauern, bis die Hersteller der Virenschutzprogramme die ersten wirksamen Updates bereit stellen können und diese erfolgreich auch auf allen IT-Systemen installiert sind. E-Mails, die in dieser Zeit auf dem E-Mail-Server eintreffen, können dort solange in Quarantäne genommen werden. Wenn nicht gleichzeitig auch verhindert wird, dass E-Mails über Webmail-Accounts abgerufen werden, können hierüber PCs und Server im LAN infiziert werden.

Beispiel:

  • Ende September 2001 verursachte der Virus Nimda etliches an Ärger und Aufregung. Nimda ist ein Wurm mit mehreren Schadfunktionen. Er verbreitet sich mittels Anhang von E-Mails, über eine bekannte Schwachstelle des Internet Information Server (IIS) von Microsoft sowie über freigegebene Laufwerke. Es dauerte teilweise bis zu 24 Stunden, ehe nach Bekanntwerden des ersten Auftretens wirksame Signaturen für Virenschutzprogramme zur Verfügung standen. In einigen großen Unternehmen infizierten Benutzer ihre PCs über Webmail mit Nimda. Über diese wurden dann IIS-Webserver innerhalb des Firmennetzes infiziert, was wiederum zu erheblichen Beeinträchtigungen im LAN führte.

Stand: Stand 2005

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK