DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bild

Wenn die eigene E-Mail-Adresse in einem Datenleck auftaucht, sollte die Warnlampe angehen. bild: shutterstock

IT-Experte stellt Hackern eine Falle – dann schnappt sie zu

Ein spannendes Experiment zeigt: So schnell können Cyberkriminelle das eigene Nutzerkonto übernehmen, wenn man ein geleaktes Passwort nach einem Datenleck weiterhin verwendet.



Sicherheitsexperten, Behörden und Medien warnen seit Jahren: Wenn die eigenen Login-Daten nach einem Hack in einem Datenleak auftauchen, ist das Passwort quasi wertlos. Es sollte unverzüglich ersetzt und nie mehr verwendet werden – und zwar auch bei allen anderen Konten, wo es aus Bequemlichkeit eingesetzt wird.

Ist das paranoid?

Wie schlimm ist es wirklich, wenn die Kombination aus E-Mail-Adresse und Passwort in einem Datenleck auftaucht? Und wie lange dauert es in einem solchen Fall, bis man tatsächlich gehackt wird?

Ein Schweizer IT-Sicherheits-Experte, auf Twitter unter dem Namen @ant0inet aktiv, hat die Probe aufs Exempel gemacht.

Für sein Sicherheits-Experiment hat er bei populären Plattformen wie Instagram und Ebay mit geleakten Anmeldedaten neue Nutzerkonten eingerichtet, die als Lockmittel für Kriminelle dienen. Die Konten sind also Köder, die mit bekannten E-Mail- und Passwortkombination aus Datenlecks erstellt werden.

Gehackt innerhalb einer Woche

Zunächst braucht es einen Zugang zu einem geleakten Datensatz. Wer weiss, wo suchen, findet im Netz Datensätze mit Millionen von offengelegten Zugangsdaten.

Eine von Kriminellen in den letzten Jahren häufig genutzte Liste beinhaltet 593 Millionen eindeutige E-Mail-Adressen, viele davon mit mehreren dazugehörenden Passwörtern, die von verschiedenen Online-Diensten erbeutet wurden. Die Liste wird für «Credential Stuffing» verwendet, d.h. Angreifer nutzen sie, um andere Online-Konten zu identifizieren, bei denen der Kontoinhaber sein Passwort wiederverwendet hat.

In eben dieser Liste finden sich auch rund 140'000 gmx.ch-Adressen. Davon wird nun eine nicht mehr genutzte bzw. für einen neuen Nutzer wieder verfügbare E-Mail-Adresse, ausgewählt. Der IT-Experte hat sich für GMX entschieden, weil sich beim deutschen Mail-Anbieter die Verfügbarkeit von Adressen «recht bequem prüfen» lässt. Natürlich könnte man auch einen anderen E-Mail-Anbieter nehmen.

Bild

Bei GMX und anderen E-Mail-Anbietern lässt sich die Verfügbarkeit von Adressen automatisiert prüfen. bild: blog.ant0i.net

Die automatisierte Prüfung liefert eine Reihe von gmx.ch-Adressen, die von ihren Besitzern aufgegeben und inzwischen wieder verfügbar sind. Mit einer dieser geleakten E-Mail- und Passwortkombinationen lassen sich nun neue Nutzerkonten bei Instagram, Ebay etc. registrieren.

Der Köder ist ausgeworfen, nun heisst es abwarten.

Wenige Tage später:

Bild

Unbekannte Angreifer spüren das Instagram-Konto, dessen Passwort in einschlägigen Listen im Netz zu finden ist, nach wenigen Tagen auf und übernehmen es. bild: blog.ant0i.net

Es dauert keine Woche, bis das neue Instagram-Konto, das als Köder bzw. Honeypot (Honigtopf) dient, von mindestens einem Angreifer gehackt wird.

Der Angreifer «loggte sich in das Honigtopf-Konto ein und begann seltsame Dinge zu tun, z.B. das Profil zu ändern, viele Follower hinzuzufügen und das Konto im Wesentlichen in einen Bot zu verwandeln», schreibt der IT-Experte.

Bild

Das gehackte Instagram-Profil wird in einen Social Bot verwandelt. bild: blog.ant0i.net

Das Experiment zeigt exemplarisch: Wer nach einem Datenleck offengelegte Login-Daten weiter nutzt, dürfte bald ungebetenen Besuch erhalten.

So schützt du dich

  1. Verwende für jedes Konto ein eigenes Passwort (insbesondere für das E-Mail-Konto)
  2. Du kannst dir nicht so viele Passwörter merken? Nutze einen Passwort-Manager.
  3. Aktiviere wenn immer möglich die Mehrfaktor-Authentifizierung (Anmelden per SMS-Code, Authenticator-App etc.)
  4. Abonniere den Warndienst von HaveIBeenPwned.com. (Notify me). Bei einem künftigen Leak wirst du informiert, wenn deine E-Mail-Adresse betroffen ist.

Und so findest du heraus, ob dein Passwort bereits kompromittiert ist

Eine relativ bekannte und sichere Möglichkeit, herauszufinden, ob eigene Internet-Konten gehackt wurden, ist die Webseite «Have I Been Pwned?» (wurde ich gehackt?) von Troy Hunt. Der australische Sicherheitsexperte sammelt seit über einem Jahrzehnt durchgesickerte Passwörter von Dutzenden von kompromittierten Online-Diensten. Von gehackten Dating-Plattformen über Social Networks bis zu Hotel-Webseiten ist alles dabei.

Nutzer und Nutzerinnen können mit seinem Online-Dienst testen, ob die eigene E-Mail-Adresse von einem Datenabfluss betroffen ist und das entsprechende Passwort offengelegt wurde. Wer einen Passwort-Manager nutzt, also für jedes Konto ein eigenes, sicheres Passwort hat und zusätzlich die Zwei-Faktor-Authentifizierung (2FA) bzw. Mehrfaktor-Authentifizierung aktiviert, erschwert Angriffe massiv.

Gut zu wissen: Chrome und Firefox bieten Troy Hunts Passwort-Check «Have I Been Pwned?» direkt im Browser an. Tippt man auf einer Webseite ein Passwort ein, das nach einem Datenleck offengelegt und somit unsicher ist, wird man bei der Eingabe vom Browser gewarnt.

Datensätze mit Millionen von Zugangsdaten (Kombinationen von Nutzernamen und Kennwörtern) werden auf professionellen Marktplätzen im Internet sowie im Darknet zu Schnäppchenpreisen gehandelt und für vielfältige Betrügereien genutzt: Kreditkarten- und E-Banking-Betrug, Erpressung, Identitätsdiebstahl, Industriespionage, Datenmanipulation etc. etc. Diese Untergrund-Industrie liefert sich mit Sicherheits-Experten ein ewiges Katz-und-Maus-Spiel.

DANKE FÜR DIE ♥
Würdest du gerne watson und Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.

Sieben eindrückliche Hacker-Attacken

Du willst Bitcoin kaufen? Dann schau zuerst dieses Video

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Die unglaubliche Geschichte des Mannes, der 9 Jahre tot in seiner Wohnung lag

Das Massaker von Utøya, Donald Trump, dann die Corona-Krise. Auch in Norwegen nahm das Leben in den letzten Jahren seinen Lauf. Die ganze Zeit lag Michael tot in einem grauen Block östlich von Oslo.

Das Leben schreibt die verrücktesten Geschichten. Und auch die traurigsten. So wie die von Michael.

Michael lag fast zehn Jahre tot in der Wohnung. Neun Jahre und acht Monate, um genau zu sein. Dass er plötzlich nicht mehr da war, störte niemand. Weder die Nachbarn, noch die Behörden. Und auch seine Familie nicht.

Wobei Michael gar nie so hiess. Es ist ein Pseudonym, das er post mortem von der norwegischen Journalistin Henriette Mordt erhielt. Ihre online veröffentlichte Recherche hat grosse …

Artikel lesen
Link zum Artikel