Ein neuer Trojaner ist im Umlauf: Die aggressive Malware nutzt Login-Informationen des Browsers und verschafft sich so unbemerkt Zugriff zu allen Google-Diensten. Die wichtigsten Hintergründe und Tipps, wie sich Nutzer von Google-Diensten effektiv schützen können.
Es gibt eine eiserne Regel: Wer sich auf dem PC oder Smartphone Malware eingefangen hat – also Schadprogramme, die Daten ausspionieren und missbrauchen –, sollte unverzüglich alle Passwörter ändern. Normalerweise empfehlenswert und effektiv. Doch beim neuen Trojaner namens „Lumma“ ist diese bewährte Maßnahme nicht zielführend: Cyberbetrüger kommen trotzdem noch in alle Google-Dienste.
Grundlage für die neue Art des Angriffs sind Cookies
Alle Google-Dienste betroffen
Betroffen sind potenziell alle Menschen, die Google-Dienste wie Google Mail, Youtube, Google Docs, Google Play Store (etwa auf Android-Smartphones), Google Translator, Google Maps und vor allem die Google-Suche benutzen – und ein Google-Konto verwenden, um sich dort anzumelden und die Dienste individuell zu nutzen.
Durch eine Sicherheitslücke in der Art der Anmeldung („Oauth“ genannt) ist es Betrügern möglich, die auf Festplatten und Smartphones gespeicherten Cookies (kleine Infodateien) abzufangen und damit jederzeit selbständig neue zu generieren und sich Zugang zu allen Diensten zu verschaffen, selbst wenn ein User sein Passwort geändert haben sollte. Sie übernehmen quasi den Schlüsselbund und können alle Türen im Google-Universum damit öffnen.
Identitätsdiebstahl nicht ausgeschlossen
Da auch Google Mail davon betroffen ist, ein durchaus ernsthaftes Problem. Denn wenn sich Betrüger Zugang zum Mail-Postfach verschaffen, können sie nicht nur die E-Mails lesen, sondern schlimmstenfalls auch die Identität übernehmen (Identitätsdiebstahl) und durch Passwort-Reset-Funktion viele andere Online-Dienste kapern.
Verschiedene IT-Sicherheitsexperten haben nicht nur bereits dokumentiert, wie einfach das vorhandene Sicherheitsleck ausgenutzt werden kann, sondern auch, dass seit November 2023 bereits mindestens sechs Malware-Programme (also Trojaner) kursieren, die davon Gebrauch machen. Da es sich um noch eine relativ neue Masche handelt, ist damit zu rechnen, dass es noch mehr Trojaner werden.
Geeignete Gegenmaßahmen: Konten schützen
Die gute Nachricht: Nutzer sind nicht völlig wehrlos. Es ist wichtig, Google-Konten mit einer „Multi-Faktor-Authentifizierung“ abzusichern. Neben Benutzername und Passwort muss dann noch ein zusätzlicher Faktor eingegeben werden, etwa ein Code, der durch eine App erzeugt wird. Ein Verfahren, das normalerweise deutlich mehr Sicherheit bietet.
Ob die Multifaktor-Authentifizierung auch in diesem Fall hilft, ist allerdings noch nicht bestätigt – da die Angreifer den Cookie eines bestätigten Logins verwenden, möglicherweise nicht in jedem Fall.
Daher ist es wichtig, Rechner – und auch Smartphones – durch geeignete Schutz-Software auf Malware und Trojaner zu untersuchen. Noch viel wichtiger ist es, ab sofort im Browser nur im „Safe-Modus“ zu surfen: Dabei werden Cookies missachtet und nach der Arbeit automatisch wieder gelöscht. So hinterlässt man keine Spuren, die die Trojaner verwenden könnten.
Im Zweifel auf allen Geräten abmelden
Hilfreich ist auch, aktuell bewusst nach jeder Verwendung eines Google-Dienstes sich wieder aus dem Konto abzumelden (Logoff). Im Google Dashboard ist das sogar für alle Geräte gleichzeitig möglich. Das ist zwar unbequem, stellt aber sicher, dass die neuen Trojaner keine Möglichkeit zu haben, sich in den Google-Diensten unbemerkt anzumelden.
In jedem Fall sind Nutzer von Google-Diensten gut beraten, im Augenblick auf verdächtige Aktivitäten in ihren Konten zu achten. Unter myaccount.google.com kann man sich einen hervorragenden Überblick verschaffen. Sollten verdächtige Aktivitäten entdeckt werden: Ausnahmslos überall abmelden und alle(!) Browser und Apps schließen.
Google-Kontoaktivitäten überprüfen:
https://myaccount.google.com/data-and-privacy
