Tastefejl låste 60.000 mails hos Hillary Clintons kampagnechef op for hackere

En simpel tastefejl lader til at have givet russiske hackere adgang til 60.000 mails hos Demokraternes kampagnechef.

Et statsstøttet cyberangreb er ikke nødvendigvis ensbetydende med et superavanceret cyberangreb. Det er i hvert fald det umiddelbare indtryk, som en passage i en længere historie hos New York Times efterlader.

Blandt andet The Register er faldet over passagen.

Historien har titlen The Perfect Weapon: How Russian Cyberpower Invaded the U.S.

Fortællingen handler overordnet set om, hvordan det amerikanske parti Demokraterne i forbindelse med flere hændelser fik kompromitteret sine it-systemer og efterfølgende lækket en masse mails. Det mener nogen, kan have påvirket udfaldet af det amerikanske præsidentvalg. Flere - blandt andet den amerikanske efterretningstjeneste CIA - har peget på, at hackerne bag kompromitteringen reelt set har været støttet af Rusland.

Læs også: Ikke bare en ip: Derfor mistænker sikkerhedsfolk Rusland for hack mod Demokraterne

Men tilbage til passagen. Her fremgår det, at Billy Rinehart, som arbejdede for Hillary Clintons kampagne, en dag modtog en mail i Gmail med emnet 'Someone has your password'. Og herefter fulgte en opfordring til at skifte kodeord til Gmail-kontoen omgående. I den forbindelse fremstod en stor blå knap med teksten 'Skift kodeord'.

Et Wikileaks-opslag viser at linket bag knappen i en lignende mail ikke fører til et Google site, men til en url, der er lavet, så den skal se ud som om, den har noget med google.com at gøre.

Afsenderen på mailen stod som 'The Gmail Team'.

Her ville flere Version2-læsere nok fatte mistanke om, at der muligvis var tale om et phishing-forsøg. Det gjorde Rinehart dog ikke. Han klikkede i stedet på knappen med 'Skift kodeord', og indtastede et nyt kodeord, som han erindrer det.

Måneder senere gik det op for ham, at han i den forbindelse havde udleveret til Gmail-kodeord til, hvad New York Times kalder russiske hackere.

Hundredvis af mails

Hundredvis af lignende mails blev sendt til amerikanske politiske mål. Herunder en identisk lydende mail til John Podestas personlige Gmail-konto, sendt 19. marts. Podesta var chef for Hillary Clintons kampagne.

Eftersom kampagnechefen modtog en del mails på sin personlige mail-konto, havde flere assistenter også adgang til kontoen. En af assistenterne bed mærke i mailen med advarslen om, at Gmail-kodeordet til kontoen var kompromitteret.

Assistenten videresendte herefter mailen til en computer-tekniker for at afklare, hvorvidt der var tale om en fup-mail (hvilket jo var tilfældet).

En assistent på Clinton-kampagnen, Charles Delavan, endte med at svare i forhold til den falske mail.

»Dette er en legitim mail.«

Svaret fra Delevan fortsætter:

»John bliver nødt til omgående at skifte hans kodeord og sikre sig, at to-faktor autentifikation er slået til.«

Og dernæst følger et legitimt link til Gmails sikkerhedskonfiguration - https://myaccount.google.com/security

Ordet »legitimate« bevirkede imidlertid, at der blev klikket på det ondsindede link bag den blå knap, hvilket resulterede i at Podestas kodeord havnede i hænderne på folkene bag phishing-kampagnen.

Og dermed blev der åbnet op for, at hackerne fik adgang til de i alt 60.000 mails, som havde akkumuleret sig på Podestas Gmail-konto gennem ti år.

Sidenhen har Delevan forklaret, at han vidste, det var en phishing-mail, og at han ville have skrevet »uægte (eng. illegitimate)« i stedet for legitimate. En fejltastning, som Delevan fortæller til New York Times, har plaget ham lige siden.

Mails fra angrebene mod Demokraterne er efterfølgende blevet lækket via Wikileaks og en entitet med hacker-handlet Guccifer 2.0.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (7)
Ole Knudsen

Man kan undre sig over at Demokraterne benytter Gmail til deres følsomme mails, når nu deres topkandidat trues med fængsel fordu hun havde en privat server.

Godt nok er Demokraternes korrespondance ikke U.S. Goverment, men der er næppe mange uden for NSA's hjemland der ville benytte Gmail til den slags.

Finn Thøgersen

Er der nogen der tror på at svaret kun vil variere med 2 bogstaver ved rigtig hhv fake email link ?

Generelt læser folk ofte ikke brødteksten, så hvis der er noget galt med linket vil enhver fornuftig It/support medarbejder skrive det højt og tydeligt med fed skrift som fx DO NOT FOLLOW THIS LINK !!! osv (blinkende ville være endnu bedre)

Det lugter mere af at nogen skal bruge lidt CYA, enten medarbejderen der missede det sjove link eller snarere chefen der blamerede sig offentligt

Ove Larsen

Der er mange aktørere der kunne være interesseret i John Podesta. John Podesta var - samtidig med hans rolle i DNC også en meget højt betalt 'agent' for Saudi Aribien - og registreret i US som 'agent for en fremmed regering'.

Samtidig har WikiLeaks gentagne gange sagt - at det ikke var et hack - men et leak - at kilden til enten John Podesta e-mails eller DNC e-mails kommer fra en insider. Men siger ikke at det nødvendigvis de begge er leak.

https://www.craigmurray.org.uk/archives/2016/12/cias-absence-conviction/

Lars Lundin

Enig, men Delavan's forklaring er endnu mere søgt.

Det kan ikke ses af den danske oversættelse, men Delavan påstår ifølge NYT[1] at han kom til at skrive 'a legitimate email', mens han faktisk ville skrive 'illegitimate'.

Som bekendt er det så nødvendigt med et 'an', altså 'an illegitimate email'.

Så hvis man går ud fra at manden havde nået sin assistentstilling fordi hans grammatik var så nogenlunde i orden, så kræver det altså en mere omfattende slåfejl for at opnå den omvendte mening.

Men bortforklaringen ser ud til at virke på flertallet.

[1]
http://www.nytimes.com/2016/12/13/us/politics/russia-hack-election-dnc.h...

Mathias Samuelsen

»John bliver nødt til omgående at skifte hans kodeord og sikre sig, at to-faktor autentifikation er slået til.«

Når manden fortsætter sit svar på denne måde, så kan der vel aldrig blive tale om at han godt vidste det var en phishing-mail og at det bare var en tastefejl?

Michael Thomsen

Det kan ikke ses af den danske oversættelse, men Delavan påstår ifølge NYT[1] at han kom til at skrive 'a legitimate email', mens han faktisk ville skrive 'illegitimate'.

Som bekendt er det så nødvendigt med et 'an', altså 'an illegitimate email'.


Hvis vi antager, at manden har været under lidt tidspres og stress, så er det en meget sandsynlig fejl, at man automatisk skriver 'a' når man fortsætter med det forkerte ord. Hvis det ikke bare er fordi, at noget auto-korrektur har været i gang. Hvis du læser hans næste sætning vil du finde endnu en fejl, som iøvrigt også kunne skyldes autokorrektur.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017