Wenn die Polizei mit einem Durchsuchungsbefehl bei Ihnen zu Hause ankommt, müssen Sie ihn öffnen. In den Vereinigten Staaten haben Hacker dies ausgenutzt, um Kundendaten von Unternehmen zu stehlen. Apple und Meta, zwei Tech-Giganten, sind beide auf den Trick hereingefallen.
Internetnutzer haben schon lange verstanden, dass man nicht allem vertrauen sollte, was man in einer E-Mail liest. Ein Blick auf den Absender ist jedoch keine Garantie für eine vertrauenswürdige E-Mail. Dies deutet auf eine neue Angriffswelle in den Vereinigten Staaten hin. Dort gelang es Hackern, über Polizeinetzwerke betrügerische Durchsuchungsbefehle an Unternehmen zu übermitteln und sich Zugang zu enormen Mengen an Kundendaten zu verschaffen.
Möglich wird dies durch eine juristische Marotte in den Vereinigten Staaten. Auch dort müssen Durchsuchungsbefehle, ähnlich wie Datenanfragen, sogenannte Subpoenas, von einem Gericht genehmigt werden. Es gibt eine Ausnahme: Im Notfall gelten die Forderungen der Behörden auch dann, wenn ein Richterspruch ausbleibt. Und genau das machen sich Hacker derzeit zunutze, so der Sicherheitsexperte Brian Krebs in einem Blogbeitrag.
Falsche Durchsuchungsbefehle, die von legitimen Polizeiadressen ausgestellt wurden
Demnach würden die Angreifer zunächst Websites und E-Mail-Konten von Regierungsorganisationen und Polizeidienststellen stehlen und diese zum Starten von Notfallanwendungen nutzen. Nach Angaben des Unternehmens stammen die Anfragen von staatlichen Stellen und werden seriös behandelt und ordnungsgemäß bearbeitet.
Die Beute ist vielfältig. Laut Krebs und „Bloomberg“ gingen die angeblichen Anfragen bei Apple, der Facebook-Muttergesellschaft Meta, dem Snapchat-Betreiber Snap und verschiedenen Mobilfunkanbietern ein. Infolgedessen gaben die Organisationen sensible Informationen wie die vollständigen Kontaktinformationen von Einzelpersonen, einschließlich Adresse und Telefonnummer, sowie ihre IP-Adresse preis.
Was auf den ersten Blick harmlos aussieht, ist für eine Vielzahl von kriminellen Machenschaften Gold wert. Wenn beispielsweise die E-Mail-Adresse der gefälschten Bank den Benutzer direkt mit korrekten Daten in der E-Mail kontaktieren kann, ist es weit weniger wahrscheinlich, dass der versuchte Betrug entdeckt wird. Sie können auch verwendet werden, um Kontosicherheitsmaßnahmen zu umgehen.
Geschickte Fälschungen
Laut “Bloomberg” gingen die Kriminellen unter Berufung auf Insider bei der gesamten Fälschung äußerst akribisch vor. Infolgedessen wurden sogar echte Unterschriften der Polizeibeamten gefälscht. Sie scheinen gültige Anfragen von den gehackten Polizeikonten als Modell verwendet zu haben.
Dadurch seien die Fälschungen für die Firmen kaum wiederzuerkennen, meint Sicherheitsexpertin Allison Nix gegenüber dem Magazin. „Hinter jedem soliden Scheitern stand eine Person, die dachte, das Richtige zu tun“, sagt sie. „Ich kann Ihnen nicht sagen, wie viele Leben gerettet wurden, weil Sicherheitspersonal von Unternehmen unter traurigen Umständen schnell eingreifen konnte.“
Auf Anfrage mehrerer Medien verwiesen Apple und Facebook jeweils auf die Nutzungsbedingungen, die die Weitergabe von Daten regeln. Meta betonte, dass es jede Anfrage prüfen und Regierungskonten verbieten würde, bei denen der Verdacht besteht, dass sie wegen ähnlicher Anfragen gehackt wurden.
Schwer zu vermeiden
Wie viele Nutzer betroffen sind, ist nicht bekannt. Den Transparenzberichten der Unternehmen zufolge erhalten sie jedes Jahr Tausende von Fragen von Behörden aus der ganzen Welt, von denen die große Mehrheit geprüft und als gültig beantwortet wird. Sie haben die Aufgabe, die Gültigkeit von Tausenden von Behördenadressen aus der ganzen Welt zu bestimmen.
Experten zufolge ist es nicht sehr schwierig, an diese Orte zu gelangen. Laut dem Sicherheitsforscher Gene Yoo werden gehackte Polizeikonten wie andere Mailkonten im Dark Web ausgetauscht. Die Kosten liegen oft zwischen 10 und 50 Dollar.