Update 8. April: Über ihren Twitter-Account behaupten die Erpresser, sie hätten Geld in Form einer Bitcoin-Transaktion erhalten. Verifiziert wurde der Absender bislang nicht.
Die ursprüngliche Story:
Längst vergessene Hackerangriffe können hässliche Nachwehen haben: Dies demonstriert uns dieser Tage die Erpresserbande Turkish Crime Family.
Die Unbekannten haben angekündigt, sie würden die iPhones von Hunderten Millionen Usern löschen – falls Apple nicht das geforderte Lösegeld (Hunderttausende Dollar in Form von iTunes-Gutscheinen) bezahle.
Das Ultimatum läuft heute Freitag um 20.30 Uhr (MEZ) ab...
7 April 2017 7:30 PM GMT
— Turkish Crime Family (@turkcrimefamily) 6. April 2017
Das Internet reagiert wie zu erwarten:
@turkcrimefamily pic.twitter.com/c9SKAFDbNV
— sorfcu (@shoothinq) 6. April 2017
@turkcrimefamily pic.twitter.com/zRbjJanspB
— Acto App (@ACTOPA) 7. April 2017
Apple sah sich nach alarmierenden Medienberichten zu einer Stellungnahme veranlasst und versicherte den Kunden, die auf den iCloud-Servern gespeicherten Daten seien sicher.
Fakt ist: Die Erpresser sind keine Super-Hacker: Offenbar wollen sie von Dritten erbeutete Login-Daten für eigene Zwecke missbrauchen. In falscher Sicherheit wiegen sollte sich aber niemand.
In den vergangenen Jahren sind verschiedenen Online-Diensten die Login-Daten (E-Mail-Adressen und Passwörter) von Kunden abhanden gekommen. Ein besonderes Risiko geht von Angriffen aus, von denen die Betroffenen nicht gehört haben.
Wenn Hacker fremde Login-Daten erbeuten, finden die «Breaches» früher oder später den Weg ins Internet und die sensiblen Informationen werden über einschlägige Plattformen, Untergrund-Foren und Suchmaschinen weiterverbreitet.
Die Swisscom beschreibt in ihrem aktuellen Sicherheitsbericht (hier als PDF), was mit erbeuteten Daten passiert:
Hier kommen Webseiten wie «Have I Been Pawned» (HIBP) ins Spiel. Das sind kostenlose Dienstleistungen, über die auch Laien herausfinden, ob eigene Login-Daten im Internet kursieren. Aber Vorsicht! Bevor man in einem Online-Formular die eigene Mailadresse übermittelt, sollte man den Anbieter kennen.
watson empfiehlt folgende seriöse Seiten:
Bei beiden lässt sich in kurzer Zeit herausfinden, ob eigene Daten in bekannten Hacking-Listen auftauchen.
Hinter dem Identity-Leak-Checker steht das deutsche Hasso-Plattner-Institut für Softwaresystemtechnik. Das ist ein privat finanziertes Hochschul-Institut. Namensgeber ist einer der (stinkreichen) Mitgründer des Software-Konzerns SAP.
«Have I Been Pawned» ist ein Projekt des Microsoft-Managers Troy Hunt. Er gilt als Vorreiter solcher Services und geniesst über die IT-Sicherheits-Branche hinaus einen guten Ruf.
Und hier schliesst sich der Kreis zu der aktuellen iCloud-Erpresserbande. Troy Hunt konnte nämlich einen kleinen Teil des Datensatzes, den die Kriminellen besitzen, untersuchen. Sein Fazit: Die Turkish Crime Family besitze keinesfalls Hunderte Millionen funktionierende iClouds-Logins von Apple-Kunden.
Zu den Erpressern selbst hat Troy Hunt ebenfalls eine klare Meinung: Er teile die Einschätzung, dass es sich um unreife Persönlichkeiten – möglicherweise «Kinder» – handle.
Immature and naive "hacker" thinks wiping over 200 million iPhones will get him rich, and not bludgeoned to death by an angry mob. How cute. pic.twitter.com/lkysePbuFb
— Zack Whittaker (@zackwhittaker) 27. März 2017
Pluspunkt: Man kann bei HIBP eine automatische Benachrichtigung einrichten, um in Zukunft gewarnt zu werden, falls eine Mailadresse nach einem Datenklau im Web auftaucht.
Zwingend anzuraten ist allen Internet-Nutzern, für verschiedene Online-Dienste unterschiedliche Passwörter zu nutzen.
Falls es bei den oben erwähnten Diensten «Treffer» gibt, sollte man schleunigst alle Logins mit der gleichen Mailadresse prüfen und wenn nötig die Passwörter ändern!
Wenn man für verschiedene Dienste zusätzlich je nach Risiko auch unterschiedliche E-Mail-Adressen verwendet, schafft man zusätzliche Sicherheit und bändigt die Datensammelwut der Anbieter. Denn Kundendaten sind wertvoll und werden gerne weiterverkauft (was in der Regel im Kleingedruckten steht).
Empfehlenswert ist auch die sogenannte Zwei-Faktor-Authentifizierung. Bei der ersten Anmeldung auf einem neuen Computer erhält man einen zusätzlichen PIN auf ein vorher festgelegtes Mobilgerät, in der Regel ist das das Smartphone.
Das schafft zwar zusätzliche Arbeit, schützt aber vor Ärger. Beim Verwalten der Passwörter helfen kostenlose Passwort-Manager wie KeePass, die sich problemlos auf PC, Tablets, Smartphones und mit allen gängigen Betriebssystemen nutzen lassen.
KeePass ist kostenlos und ein Open-Source-Projekt, der Quellcode wird also von unabhängigen Experten geprüft. Als kostenpflichtige Alternative gibt es kommerzielle Dienste wie LastPass oder 1Password. Diese Anbieter reagieren in der Regel viel schneller auf neu entdeckte Schwachstellen.
Mit Material der Nachrichtenagentur SDA
Dadurch habe ich für fast alle Webseiten unterschiedliche Passwörter, und wenn das Basispasswort aus Gross- und Kleinbuchstaben, Zahlen und Sonderzeichen besteht, ist es sehr schwierig, das zugrunde liegende Schema aufzudecken.