Symantec ausgestellt hat, eine Warnung über das, was zu sein scheint eine erfolgreiche Betrug verübt wird, gegen Benutzer von webmail-Diensten wie Gmail, Outlook und Yahoo.

Der Betrug wird im folgenden kurzen Video von Symantec erklärt.

(Ich sage, es ist ein kurzes Video, und es ist ein kurzes Video bei nur 2 Minuten 17 Sekunden., Aber offensichtlich fühlt Symantec, dass Sie die Aufmerksamkeitsspanne eines Goldfisches haben, also haben sie einen funky Beat im Hintergrund hinzugefügt, um Sie davon abzuhalten, einzudösen).

Für diejenigen, die die Hintergrundmusik nicht ertragen können, finden Sie hier eine Erklärung, wie Sie ein E-Mail-Konto stehlen können, indem Sie einfach die Mobiltelefonnummer Ihres Opfers kennen.

Im folgenden Beispiel stellen wir uns vor, dass ein Angreifer versucht, sich in ein Google Mail-Konto eines Opfers namens Alice zu hacken.,

Alice registriert ihre Handynummer bei Google Mail, sodass Google ihr eine SMS mit einem Rettungs-Bestätigungscode sendet, damit sie auf ihr Konto zugreifen kann, wenn sie jemals ihr Passwort vergisst.

Ein Bösewicht – nennen wir ihn Malcolm – möchte in Alices Konto einbrechen, kennt aber ihr Passwort nicht. Er kennt jedoch Alices E-Mail-Adresse und Telefonnummer.

Also besucht er die Google Mail-Anmeldeseite und gibt Alices E-Mail-Adresse ein. Aber Malcolm kann Alices Passwort natürlich nicht korrekt eingeben (weil er es nicht weiß).,

Also klickt er stattdessen auf das „Need help?“link, normalerweise von legitimen Benutzern verwendet, die ihre Passwörter vergessen haben.

Anstatt eine der anderen Optionen zu wählen, wählt Malcolm “ Get a verification code on my phone:“, um eine SMS-Nachricht mit einem sechsstelligen Sicherheitscode an Alices Mobiltelefon zu senden.

Hier wird es hinterhältig.

Denn zu diesem Zeitpunkt sendet Malcolm Alice einen Text, der vorgibt, Google zu sein, und sagt so etwas wie:

“ Google hat ungewöhnliche Aktivitäten in Ihrem Konto erkannt., Bitte antworten Sie mit dem Code, der an Ihr Mobilgerät gesendet wird, um nicht autorisierte Aktivitäten zu stoppen.“

Alice, die glaubt, dass die Nachricht legitim ist, antwortet mit dem Bestätigungscode Sie wurde gerade von Google gesendet.

Malcolm kann dann mit dem Code ein temporäres Passwort festlegen und die Kontrolle über Alices E-Mail-Konto erlangen.,

Wenn Malcolm darauf bedacht war, keinen Verdacht zu erregen und weiterhin jede E-Mail zu sehen, die Alice auf absehbare Zeit erhält, kann es sein, dass er ihre E-Mail neu konfiguriert, um zukünftige Nachrichten automatisch an ein Konto unter seiner Kontrolle weiterzuleiten, und dann eine SMS an sie senden, die das neu zurückgesetzte Passwort enthält:

„Danke, dass Google-Konto., Ihr temporäres Passwort lautet “

Selbst wenn Alice ihr Passwort zu einem späteren Zeitpunkt ändert, erhält Malcolm weiterhin ihre private E-Mail-Korrespondenz, es sei denn, sie schaut sich die Einstellungen ihres Kontos genau an.

Kurz gesagt-es ist ein böses Stück Social Engineering, das man sich leicht vorstellen kann, gegen viele Menschen zu arbeiten.

Also, was ist die Lösung?

Nun, der einfachste Rat ist, SMS – Nachrichten misstrauisch zu sein, in denen Sie aufgefordert werden, einen Bestätigungscode zurückzuschreiben-insbesondere, wenn Sie überhaupt keinen Bestätigungscode angefordert haben.,

Ich frage mich jedoch, wie viele Menschen, wenn sie mit einer Nachricht konfrontiert werden, von der sie glauben, dass sie von Google oder Yahoo stammt, sofort darauf reagieren würden, ohne an die Konsequenzen zu denken. Schließlich ist es eine der größten Sorgen, die viele Menschen heutzutage haben könnten, von ihrem E-Mail-Konto abgeschnitten zu sein.

Weitere Informationen finden Sie im Blogbeitrag von Slawomir Grzonkowski von Symantec.

Und um Ratschläge zum besseren Schutz Ihres Web-E-Mail-Kontos zu erhalten, hören Sie sich unbedingt diese Episode des Podcasts „Smashing Security“ an:

Fand diesen Artikel interessant?, Folgen Sie Graham Cluley auf Twitter, um mehr über die exklusiven Inhalte zu lesen, die wir veröffentlichen.