Mitten in den Sommerferien schlug die israelische IT-Sicherheitsforscherin Coral Tayar Alarm: Hacker könnten in kurzer Zeit die Konten von LinkedIn-Nutzerinnen und -Nutzern übernehmen und damit deren jahrelanges Engagement auf der Social-Media-Plattform zunichtemachen.
Es seien bereits einige Fälle bekannt, in denen User unter Druck gesetzt wurden, ein Lösegeld zu zahlen, um die Kontrolle über ihren Account zurückzugewinnen. Andere hätten die unwiderrufliche Löschung hinnehmen müssen.
Sicher scheint, dass der Online-Support von LinkedIn während Wochen komplett überlastet war, was für zusätzliche Irritationen sorgte. Und das Unternehmen trug mit ungenügender Kommunikation zur Verunsicherung bei
watson hat sich auf Spurensuche begeben.
Das Ausmass der Angriffe ist nicht bekannt. Die LinkedIn-Führung beantwortet keine konkreten Fragen (siehe unten).
Tatsache ist: Wir wissen nicht, ob und wie viele Login-Daten von LinkedIn-Mitgliedern in falsche Hände gefallen sind, etwa durch einen bis dato unbekannten Hackerangriff. Als börsenkotiertes Unternehmen ist LinkedIn gesetzlich verpflichtet, über entsprechende Vorfälle zu informieren.
Die Verantwortlichen weichen entsprechenden Fragen aus und verweisen auf LinkedIn-Postings, in denen die allgemeinen Schutzmassnahmen erklärt werden.
Was auffällt: Vor zwei Wochen wurde über das Profil des hochrangigen LinkedIn-Managers Oscar Rodriguez ein entsprechender Beitrag veröffentlicht, der die Angriffswelle zumindest indirekt zu bestätigen schien.
Darin heisst es:
In einem letzte Woche veröffentlichten Beitrag bestätigte dann der LinkedIn-Manager Hobson Powell, zuständig für den globalen Support, «dass immer mehr bösartige Akteure versuchen, Konten im Internet zu kompromittieren».
Bei Google Trends zeigt sich, dass ab Juli vermehrt nach einschlägigen Begriffen wie «LinkedIn-Konto gehackt» oder «LinkedIn Kontowiederherstellung» gesucht wurde.
Betroffene waren offenbar so verzweifelt, dass sie bei der Online-Plattform X (vormals Twitter) um Hilfe baten. Häufig kam der offizielle LinkedIn-Support schlecht weg.
Hier drei (übersetzte) Beispiele:
Entsprechende Rückmeldungen stammen von Twitter-Profilen, die zum Teil wenige Follower haben. Und es fällt auf, dass in User-Reaktionen auf fragwürdige IT-Dienstleister verlinkt wird, die angeblich sofort helfen können. Es versuchten also sogenannte «Scammer», die Verzweiflung der Betroffenen auszunutzen und ihnen ein mehr als fragwürdiges Hilfsangebot zu machen – natürlich gegen Bezahlung.
Auch bei Reddit finden sich zahlreiche Rückmeldungen von mutmasslich Betroffenen. Aus diversen Ländern. Und auch hier zeigt sich ein Muster: Häufig wird die Kritik geäussert, LinkedIn habe keine richtige Unterstützung angeboten. Dies veranlasste ein Opfer, das seinen Humor behielt, zum Vorschlag, das Unternehmen solle seinen Namen ändern.
Wie die Cyberkriminellen an die Login-Daten von LinkedIn-Mitgliedern gekommen sind, ist nicht klar. Wir erinnern uns, dass es in der Vergangenheit verschiedene gravierende Vorfälle gab, seien dies Hackerangriffe oder das unerwünschte Abgreifen von ungeschützten User-Daten (Scraping).
Was bei der jüngsten Angriffswelle auffällt:
Auslöser seien «möglicherweise Brute-Force-Attacken», schreibt IT-Sicherheitsforscherin Coral Tayar. Bei solchen Angriffen versuchen Hacker, sich durch wiederholtes und systematisches Ausprobieren von Passwörtern Zugriff zu verschaffen. Oder dann könnten die Täter versuchen, den Zwei-Faktor-Authentifizierungsschutz (2FA) zu umgehen.
Auch in solchen Fällen dürfte das Sperren des Profils ein vorsorglicher Schritt der Plattformbetreiber sein. Er erfolgt jeweils automatisch, wenn mehrere Versuche registriert werden, in ein fremdes Konto einzudringen.
Dass Kriminelle die Login-Daten kennen, muss nicht unbedingt mit einem grossangelegten Hackerangriff auf die LinkedIn-Server zu tun haben. Dies kann auch auf einen perfiden Typ von Schadsoftware zurückgeführt werden: Sogenannte «Information Stealer» nisten sich unbemerkt auf dem PC ein, zum Beispiel wenn man ein vermeintliches Gratis-Game oder Hilfsprogramm aus einer dubiosen Online-Quelle herunterlädt und auf dem eigenen Rechner installiert.
Daraufhin lesen die «Mini-Spione» bei allen Texteingaben auf dem Computer mit, auch, wenn man sich im Browser-Fenster bei LinkedIn anmeldet. Und die entsprechenden Login-Daten werden dann flugs an einen von Kriminellen betriebenen Server übermittelt und weiterverkauft.
Damit kommen wir zu einer Besonderheit der Angriffswelle: Unmittelbar nach der erfolgreichen Kompromittierung eines LinkedIn-Kontos wird die damit verknüpfte legitime E-Mail-Adresse offenbar automatisch oder jedenfalls blitzschnell durch eine andere ersetzt, die bei rambler.ru registriert wurde. Dabei handelt es sich um einen grossen russischen Suchmaschinen-Dienst, der auch Webmail anbietet.
Anschliessend ändern die LinkedIn-Hacker in der Regel das Passwort des gekaperten Kontos und aktivieren die Zwei-Faktor-Authentifizierung (2FA), um die rechtmässige Eigentümerin respektive den Eigentümer auszusperren.
Das ist höchst unterschiedlich.
Manchmal fordern die Cyberkriminellen offenbar ein Lösegeld, verbunden mit dem Versprechen, gekaperte Kontos gegen Bezahlung wieder zurückzugeben.
In anderen Fällen sollen gehackte Konten auch dazu verwendet worden sein, um die rechtmässigen Eigentümerinnen und Eigentümer zu verunglimpfen oder andere LinkedIn-User mit Spam-Nachrichten zu bombardieren.
Manchmal würden die Hacker übernommene Konten aber auch einfach löschen, heisst es in Berichten.
Wie aus diversen Medienberichten hervorgeht, hat das US-Unternehmen während längerer Zeit nicht auf konkrete Fragen von Journalistinnen und Journalisten reagiert.
Und auch eine Anfrage eines Reddit-Moderators, der den entsprechenden LinkedIn-Subreddit betreut, blieb unbeantwortet. Dieser hatte sich per Chat direkt an den LinkedIn-Vizepräsidenten Oscar Rodriguez gewendet wegen der dramatischen Zunahme an kompromittierten Konten.
Auch eine Medienanfrage von watson blieb zunächst unbeantwortet. Auf Nachfrage verwies die Medienstelle in Deutschland auf ein LinkedIn-Posting des Managers Hobson Powell. Er ist zuständig für den globalen Support.
Das gleiche Kommunikations-Muster war auch schon bei der Anfrage des Reddit-Moderators zu beobachten. LinkedIn-Manager Rodriguez ging nicht auf konkrete Fragen ein, sondern verlinkte auf ein Posting seines Kollegen Powell.
Und damit schliesst sich der Kreis: Auch Powel bestätigt lediglich, dass LinkedIn Konten vorübergehend sperrt:
Konkrete Fragen zu den Hackerangriffen werden hingegen auch vom obersten LinkedIn-Supporter nicht beantwortet.
Powell verweist auf den Online-Support und ein Formular im Hilfezentrum, das bei Problemen auszufüllen sei. Wenn möglich, solle man dieselbe E-Mail-Adresse verwenden, die man für das LinkedIn-Konto verwende. «Wenn Sie das bereits getan haben, müssen Sie nichts weiter unternehmen.»
Bei der Online-Plattform X (vormals Twitter) war schon Ende Juni über den offiziellen Twitter-Support-Kanal @LinkedInHelp eingeräumt worden, dass es wegen eines Anstiegs der User-Fragen zu längeren Antwortzeiten komme.
Wer keinen Zugriff auf das eigene LinkedIn-Konto hat, muss damit rechnen, die Identität mit einem amtlichen Ausweis dokumentieren zu müssen.
Powell schreibt dazu:
Ein sicheres und einzigartiges Passwort, gebildet aus einer langen Kombination von Buchstaben, Zahlen und Sonderzeichen, genügt nicht! Um das eigene LinkedIn-Konto vor feindlichen Übernahmen zu schützen, sollte man zwingend die Zwei-Faktor-Authentifizierung (2FA) aktivieren.
Das geht so:
Ganz wichtig: LinkedIn bietet beim Aktivieren der zweistufigen Authentifizierung zwei Optionen an, wobei allerdings nur eine zu empfehlen ist:
Bekanntlich gehört das US-Unternehmen LinkedIn seit Ende 2016 zum Microsoft-Konzern. Allein in der Schweiz hat das Karrierenetzwerk mittlerweile rund 4 Millionen aktive User (Stand: Mai 2023). Weltweit liegt die Mitgliederzahl laut eigenen Angaben bei weit über 900 Millionen.
Gekaperte und gefälschte LinkedIn-Konten werden seit Jahren von Kriminellen ausgenutzt. Sei dies für Social Engineering, Phishing oder Betrug mit gefälschten Stellenangeboten.
Sicherheitsforscherin Coral Tayar gibt zu bedenken:
Durch Identitätsdiebstahl stellen die Hacker ein gewaltiges Bedrohungspotenzial dar. Und für die Nutzerinnen und Nutzer ist das Risiko ungemein grösser, weil Angriffe über gekaperte Profile je nachdem schwer zu erkennen sind.
Was LinkedIn gefährlicher macht als andere soziale Netzwerke, ist das grosse Vertrauen, das offenbar viele User den Profilen entgegenbringen, insbesondere denen, die viele Verbindungen (Kontakte) und Empfehlungen haben.
Bleeping Computer ruft einen Hackerangriff auf das Online-Spiel Axie Infinity im März 2022 in Erinnerung: Damals konnte die nordkoreanische Hackergruppe Lazarus mit einem gefälschten LinkedIn-Jobangebot einen der Entwickler des populären Online-Spiels aufs Kreuz legen. In der Folge drangen sie in das Netzwerk ein und stahlen Kryptowährungen im Wert von umgerechnet über 600 Millionen Dollar.