Use-After-FreeMail

Identitätsdiebstahl über ehe­malige E-Mail-Adressen

| Redakteur: Peter Schmitz

Abgelegte E-Mail-Adressen öffnen Angreifern oftmals Tür und Tor zu sensiblen Daten bis hin zum Identitätsdiebstahl.
Abgelegte E-Mail-Adressen öffnen Angreifern oftmals Tür und Tor zu sensiblen Daten bis hin zum Identitätsdiebstahl. (© andose24 - 123RF)

IT-Forscher warnen in einem Forschungs­bericht vor den Risiken des Identitäts­diebstahls durch abgelegte und erneut vergebenen kostenlose E-Mail-Adressen. Die Problematik zu früh frei­ge­ge­be­ner E-Mail-Adressen und sich daraus ergebender Sicher­heits­lücken und Angriffs­möglichkeiten wird von den meisten FreeMail-Providern aber bislang unter­schätzt. Vorbildlich handelt hier Google.

Im Internet symbolisiert unsere E-Mail-Adresse unsere Identität. Mit ihr authentifizieren wir uns in Onlineshops, Social-Media-Kanälen und bei Webdiensten. Haben wir das Passwort vergessen, lassen wir uns dorthin ein neues zusenden. Alles ganz einfach, aber bei weitem nicht risikofrei. Im Gegenteil. Viele von uns sammeln im Laufe der Zeit zudem, privat wie beruflich, eine ganze Reihe von E-Mail-Adressen und geben diese beizeiten wieder zurück. Manchmal auch nicht ganz freiwillig, denn einige Anbieter kostenloser E-Mail-Adressen, sog. FreeMail-Provider, geben die bei ihnen angemeldeten Adressen nach einem bestimmten Zeitraum ihrer Nichtnutzung wieder frei und vergeben sie erneut. Je nachdem, wie lange der betreffende Account zu diesem Zeitpunkt bereits brachliegt, bekommt der vorherige Adressinhaber davon unter Umständen nicht einmal etwas mit.

Problematisch hierbei ist, dass genau diese Adressen Angreifern leichtes Spiel bieten, um an sensible Daten ihrer Vorbesitzer, wie zum Beispiel Bankdaten, zu gelangen und diese für kriminelle Machenschaften zu nutzen. „Denn welcher Nutzer hat schon einen vollständigen Überblick darüber, mit welchen Daten er über seine E-Mail-Adresse wo angemeldet ist? Und wer kann somit schon lückenlos Sorge dafür tragen, dass auch jeder jemals auf die abgelegte E-Mail-Adresse angemeldete Webdienst auf die neue Adresse umgestellt oder gekündigt wird“, erläutert Matthias Wübbeling, IT-Sicherheitsexperte und Wissenschaftler am Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE in Bonn. Dies aber stelle eine Sicherheitslücke dar, die sich Angreifer zunutze machen.

Im Rahmen einer Sicherheitskonferenz Anfang Juli 2017 in Bonn sei er mit Kollegen von der Technischen Universität Graz über dieses Thema ins Gespräch gekommen, berichtet Wübbeling. Gemeinsam stellten die Wissenschaftler fest, dass sie an thematisch verwandten Fragestellungen forschen und dass eine Bündelung der Kräfte Aufschluss über die Reich- und Tragweite des soeben diskutierten Problems geben könnte. Das so aus purem Forscherinteresse heraus geborene Projekt wurde jetzt mit der Veröffentlichung eines Berichts unter dem Titel „Use-After-FreeMail: Generalizing the Use-After-Free Problem and Applying it to Email Services“ abgeschlossen.

Die Bezeichnung „Use-After-FreeMail“ ist dabei ein Wortspiel, das sich die Wissenschaftler zunutze machen. Denn der Begriff „Use-After-Free“ stammt eigentlich aus dem Programmierungsbereich. Auf das Szenario der FreeMails übertragen steht es für die Problematik zu früh freigegebener E-Mail-Adressen und sich daraus ergebender Sicherheitslücken und Angriffsmöglichkeiten. Und die sind nach Erkenntnis der Forscher enorm groß und bislang ungelöst: So ergab die Auswertung eines bereits vorliegenden Datenbestands von mehr als 600 Millionen kostenlosen E-Mail-Adressen, dass rund 33,5 Prozent von ihnen nicht mehr gültig sind. Weit mehr als bestätigt wurde dieses Ergebnis durch eine im Rahmen des Projekts durchgeführte Nutzerstudie, bei der sogar rund 60 Prozent der Teilnehmer angaben, über eine E-Mail-Adresse zu verfügen, die sie aktuell nicht mehr nutzen. Ein Testangriff auf diese war in 18 Prozent der Fälle erfolgreich.

Diese und weitere Ergebnisse haben die Forscher den wichtigsten FreeMail-Providern mitgeteilt – zusammen mit Empfehlungen, wie sie ihre Kunden und Kundendaten künftig besser schützen können. Eine wichtige und sehr wirksame Möglichkeit lebt beispielsweise Google vor: Der Konzern vergibt E-Mail-Adressen grundsätzlich nur ein einziges Mal, anschließend sind sie nie wieder erhältlich. Eine weitere effektive Schutzmaßnahme stellt die Zwei-Faktor-Authentifizierung dar. Die ist zwar schon lange bekannt, wird in der Praxis jedoch kaum angewandt. Sicherheitsexperte Wübbeling: „Letztlich ist das ›Use-After-FreeMail‹-Szenario nur eines von vielen. Es lässt sich auf etliche andere Bereiche, wie beispielsweise auf abgelegte Mobilfunknummern oder Kfz-Kennzeichen, übertragen. Angriffe kommen auch hier vor. Für die Einführung geeigneter Schutzmaßnahmen besteht daher dringender Handlungsbedarf.“

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45403244 / Benutzer und Identitäten)