Während "Liebesgrüße aus Moskau" ein Teil der "James Bond"-Romanreihe ist, der 1963 als Film umgesetzt wurde, sehen sich Internetnutzer dieser Tage von dubiosen "E-Mail-Grüßen" aus der russischen Hauptstadt konfrontiert. Doch schlechter Wortwitz beiseite: Es handelt sich um eine Kampagne zur Kaperung von Twitter-Konten, die mit hoher Professionalität umgesetzt wurde.

Wer nicht genau auf die Absenderadresse schaut, könnte von den Botschaften leicht in die Irre geführt werden. Denn tatsächlich sehen sie aus, wie offizielle Benachrichtigungen von Twitter über einen verdächtigen Login in das eigene Twitterkonto. Als angeblicher Standort des Loginversuchs wird dabei wohl nicht zufällig Moskau angegeben, zumal neben dem militärischen Konflikt in der Ukraine auch ein erbitterter Cyberkrieg tobt.

Domain bei Google, Seite in Litauen gehostet

Habe man sich nicht selbst aus Moskau eingeloggt, so solle man einem Link in der Mail folgen, um das eigene Passwort zurückzusetzen, dokumentiert der ARD-Journalist Daniel Laufer auf Twitter. Auf der – freilich gefälschten – Seite, auf der man dann landet, werden dafür der Nutzername, das aktuelle Passwort und schließlich auch noch der aktuelle Zweifaktor-Authentifizierungscode für den Account abgefragt. Gibt man diese Informationen vollständig ein, haben die Angreifer natürlich alles, was sie brauchen, um das Konto zu übernehmen.

Dass in der Phishing-Mail ein Login aus Moskau behauptet wird, bedeutet freilich nicht, dass es sich tatsächlich um eine Attacke russischer Cyberkrimineller handelt, sondern soll der Botschaft lediglich mehr Aufmerksamkeit verschaffen. Erkennbar ist der Fake daran, dass die Mail nicht von einer twitter.com-Adresse kommt, sondern von einer anderen Domain. Verwendet werden hier etwa verify-name.com und setting-user.com. Wer aufmerksam liest, wird zudem einzelne Rechtschreibfehler in der Mail entdecken.

Auch Security-Experten warnen mittlerweile. Die Infrastruktur für die Kampagne haben die Kriminellen auf zwei Anbieter verteilt, so Laufer. Die Domain selbst wurde über Googles Cloudservice angemeldet. Die Webseite zum Abgreifen der Login-Daten liegt auf einem Speicher beim litauischen Dienstleister Hostinger.

Bekanntes Muster

Laufer ist nicht die einzige bekanntere Person, die eine solche Phishing-Mail erhalten hat. Auch die Schweizer Abgeordnete Kathy Riklin hat den Erhalt einer solchen Nachricht dokumentiert. Neu ist diese Angriffsmasche nicht. Schon 2020 versuchten Betrüger mit genau dieser Masche Twitter-Logins abzugreifen, wie Abnormal Security berichtete. Damals wurde der Zweifaktor-Authentifizierungscode noch nicht abgefragt. (gpi, 1.5.2022)