Linus

Die Angreifer haben aber ja dann trotzdem einmaligen Zugriff auf die Kontakte und die Gruppen.

Und

Das finde ich relativ interessant, wie man damit umgeht.

Kurzer Exkurs.

Eine Sache, die man so im Bereich des Hacking-

öfter sieht und behandelt, wenn man jetzt so Incidents managt und so, ist der sogenannte Business E-Mail Compromise, wo also ein E-Mail Account einer angestellten Person kompromittiert wird.

Und was machen die Angreifer dann?

Sie haben jetzt Zugriff auf den E-Mail-Verlauf einer Person.

Jetzt könnten sie natürlich versuchen, im Namen dieser Person irgendwelche Anweisungen zu verteilen.

Auf jeden Fall werden sie natürlich alle diese E-Mails lesen.

Was du aber jetzt in letzter Zeit häufig siehst, ist, dass sie spezifisch nicht im Namen dieser Person agieren.

sondern mitunter quasi existierende E-Mail-Threads weiterführen.

von einem anderen, von einem eigenen Angreifer kontrollierten Server unter einer Domain, die sehr ähnlich aussieht und damit dann der betroffenen Person quasi vorgaukeln, dass ein Gespräch weitergeht.

Stell dir vor, du hast einen Chat mit vier Leuten, du hast einen E-Mail-Austausch mit vier Leuten und in diesem Thread antwortet eine dieser vier Personen dir wieder, ja?

Wenn du jetzt weiter, wenn du den Thread weiterführst, dann drückst du natürlich auch wieder auf Reply All.

Na klar, weil du willst ja wieder mit diesen vier Leuten weiterschreiben.

Und was die Angreifer jetzt tun, ist, die schreiben dir, haben aber die anderen zwei Leute auch ausgetauscht.

Sie schreiben dir von einer Fake-Adresse, führen sie den Thread weiter.

Sie haben aber alle anderen Kommunikationsteilnehmenden ausgetauscht mit quasi so Lookalike-E-Mail-Adressen unter einer anderen Domain.

Sockpuppets.