Digital
Datenschutz

IT-Experte stellt Hackern eine Falle – das steckt dahinter

Wenn die eigene E-Mail-Adresse in einem Datenleck auftaucht, sollte die Warnlampe angehen.
Wenn die eigene E-Mail-Adresse in einem Datenleck auftaucht, sollte die Warnlampe angehen. bild: shutterstock

IT-Experte stellt Hackern eine Falle – dann schnappt sie zu

Ein spannendes Experiment zeigt: So schnell können Cyberkriminelle das eigene Nutzerkonto übernehmen, wenn man ein geleaktes Passwort nach einem Datenleck weiterhin verwendet.
08.04.2021, 13:4509.04.2021, 08:56
Mehr «Digital»

Sicherheitsexperten, Behörden und Medien warnen seit Jahren: Wenn die eigenen Login-Daten nach einem Hack in einem Datenleak auftauchen, ist das Passwort quasi wertlos. Es sollte unverzüglich ersetzt und nie mehr verwendet werden – und zwar auch bei allen anderen Konten, wo es aus Bequemlichkeit eingesetzt wird.

Ist das paranoid?

Wie schlimm ist es wirklich, wenn die Kombination aus E-Mail-Adresse und Passwort in einem Datenleck auftaucht? Und wie lange dauert es in einem solchen Fall, bis man tatsächlich gehackt wird?

Ein Schweizer IT-Sicherheits-Experte, auf Twitter unter dem Namen @ant0inet aktiv, hat die Probe aufs Exempel gemacht.

Für sein Sicherheits-Experiment hat er bei populären Plattformen wie Instagram und Ebay mit geleakten Anmeldedaten neue Nutzerkonten eingerichtet, die als Lockmittel für Kriminelle dienen. Die Konten sind also Köder, die mit bekannten E-Mail- und Passwortkombination aus Datenlecks erstellt werden.

Gehackt innerhalb einer Woche

Zunächst braucht es einen Zugang zu einem geleakten Datensatz. Wer weiss, wo suchen, findet im Netz Datensätze mit Millionen von offengelegten Zugangsdaten.

Eine von Kriminellen in den letzten Jahren häufig genutzte Liste beinhaltet 593 Millionen eindeutige E-Mail-Adressen, viele davon mit mehreren dazugehörenden Passwörtern, die von verschiedenen Online-Diensten erbeutet wurden. Die Liste wird für «Credential Stuffing» verwendet, d.h. Angreifer nutzen sie, um andere Online-Konten zu identifizieren, bei denen der Kontoinhaber sein Passwort wiederverwendet hat.

In eben dieser Liste finden sich auch rund 140'000 gmx.ch-Adressen. Davon wird nun eine nicht mehr genutzte bzw. für einen neuen Nutzer wieder verfügbare E-Mail-Adresse, ausgewählt. Der IT-Experte hat sich für GMX entschieden, weil sich beim deutschen Mail-Anbieter die Verfügbarkeit von Adressen «recht bequem prüfen» lässt. Natürlich könnte man auch einen anderen E-Mail-Anbieter nehmen.

Bei GMX und anderen E-Mail-Anbietern lässt sich die Verfügbarkeit von Adressen automatisiert prüfen.
Bei GMX und anderen E-Mail-Anbietern lässt sich die Verfügbarkeit von Adressen automatisiert prüfen. bild: blog.ant0i.net

Die automatisierte Prüfung liefert eine Reihe von gmx.ch-Adressen, die von ihren Besitzern aufgegeben und inzwischen wieder verfügbar sind. Mit einer dieser geleakten E-Mail- und Passwortkombinationen lassen sich nun neue Nutzerkonten bei Instagram, Ebay etc. registrieren.

Der Köder ist ausgeworfen, nun heisst es abwarten.

Wenige Tage später:

Unbekannte Angreifer spüren das Instagram-Konto, dessen Passwort in einschlägigen Listen im Netz zu finden ist, nach wenigen Tagen auf und übernehmen es.
Unbekannte Angreifer spüren das Instagram-Konto, dessen Passwort in einschlägigen Listen im Netz zu finden ist, nach wenigen Tagen auf und übernehmen es. bild: blog.ant0i.net

Es dauert keine Woche, bis das neue Instagram-Konto, das als Köder bzw. Honeypot (Honigtopf) dient, von mindestens einem Angreifer gehackt wird.

Der Angreifer «loggte sich in das Honigtopf-Konto ein und begann seltsame Dinge zu tun, z.B. das Profil zu ändern, viele Follower hinzuzufügen und das Konto im Wesentlichen in einen Bot zu verwandeln», schreibt der IT-Experte.

Das gehackte Instagram-Profil wird in einen Social Bot verwandelt.
Das gehackte Instagram-Profil wird in einen Social Bot verwandelt.bild: blog.ant0i.net

Das Experiment zeigt exemplarisch: Wer nach einem Datenleck offengelegte Login-Daten weiter nutzt, dürfte bald ungebetenen Besuch erhalten.

So schützt du dich

  1. Verwende für jedes Konto ein eigenes Passwort (insbesondere für das E-Mail-Konto)
  2. Du kannst dir nicht so viele Passwörter merken? Nutze einen Passwort-Manager.
  3. Aktiviere wenn immer möglich die Mehrfaktor-Authentifizierung (Anmelden per SMS-Code, Authenticator-App etc.)
  4. Abonniere den Warndienst von HaveIBeenPwned.com. (Notify me). Bei einem künftigen Leak wirst du informiert, wenn deine E-Mail-Adresse betroffen ist.

Und so findest du heraus, ob dein Passwort bereits kompromittiert ist

Eine relativ bekannte und sichere Möglichkeit, herauszufinden, ob eigene Internet-Konten gehackt wurden, ist die Webseite «Have I Been Pwned?» (wurde ich gehackt?) von Troy Hunt. Der australische Sicherheitsexperte sammelt seit über einem Jahrzehnt durchgesickerte Passwörter von Dutzenden von kompromittierten Online-Diensten. Von gehackten Dating-Plattformen über Social Networks bis zu Hotel-Webseiten ist alles dabei.

Nutzer und Nutzerinnen können mit seinem Online-Dienst testen, ob die eigene E-Mail-Adresse von einem Datenabfluss betroffen ist und das entsprechende Passwort offengelegt wurde. Wer einen Passwort-Manager nutzt, also für jedes Konto ein eigenes, sicheres Passwort hat und zusätzlich die Zwei-Faktor-Authentifizierung (2FA) bzw. Mehrfaktor-Authentifizierung aktiviert, erschwert Angriffe massiv.

Gut zu wissen: Chrome und Firefox bieten Troy Hunts Passwort-Check «Have I Been Pwned?» direkt im Browser an. Tippt man auf einer Webseite ein Passwort ein, das nach einem Datenleck offengelegt und somit unsicher ist, wird man bei der Eingabe vom Browser gewarnt.

Datensätze mit Millionen von Zugangsdaten (Kombinationen von Nutzernamen und Kennwörtern) werden auf professionellen Marktplätzen im Internet sowie im Darknet zu Schnäppchenpreisen gehandelt und für vielfältige Betrügereien genutzt: Kreditkarten- und E-Banking-Betrug, Erpressung, Identitätsdiebstahl, Industriespionage, Datenmanipulation etc. etc. Diese Untergrund-Industrie liefert sich mit Sicherheits-Experten ein ewiges Katz-und-Maus-Spiel.

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Sieben eindrückliche Hacker-Attacken
1 / 10
Sieben eindrückliche Hacker-Attacken
2014 wurden private Fotos – vor allem Nacktbilder – von über 100 Prominenten im Netz veröffentlicht, die von Apples Online-Speicher iCloud gestohlen wurden. Auch Jennifer Lawrence war davon betroffen.
quelle: jordan strauss/invision/ap/invision / jordan strauss
Auf Facebook teilenAuf X teilen
Du willst Bitcoin kaufen? Dann schau zuerst dieses Video
Video: watson
Das könnte dich auch noch interessieren:
15 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
RealAnd1
08.04.2021 14:07registriert März 2021
Ich frage mich welcher Online Anbieter seine Passwörter unverschlüsselt speichert.
1187
Melden
Zum Kommentar
avatar
dmark
08.04.2021 18:22registriert Juli 2016
Schade...ich dachte eigentlich schon an ein Happy End, bei dem der IT'ler anschliessend den Rechner des Hackers übernahm ;-)
990
Melden
Zum Kommentar
avatar
xTuri
08.04.2021 14:43registriert Januar 2015
Ich habe vor einem oder zwei Monaten eine E-Mail von Ubisoft erhalten, dass sich ein Chinese in meinen Account eingeloggt hat. Wusste gar nicht mal, dass ich jemals einen Ubisoft Account gemacht habe. 😂 Das muss irgendwie ein letztes Überbleibsel aus der Spielezeit Anno, Die Siedler oder Rainbow Six Games gewesen sein. In den letzten 10 Jahren ist mir kein Ubisoftspiel untergekommen, auch weil meine PC Gamerzeit bis auf die Ausnahme LoL weit zurückliegt. Jedenfalls hab ich nun das Passwort des Ubisoft Accounts geändert, für was auch immer 🤷🏻‍♂️.
636
Melden
Zum Kommentar
15
Gemini statt Siri? Apple verhandelt angeblich mit Google über KI-Technologie

Apple verhandelt einem Medienbericht zufolge mit Google über die Integration von KI-Technologie des Internet-Konzerns in seine iPhones. Dabei gehe es um die neue Google-Software mit dem Namen Gemini, berichtete der Techjournalist Mark Gurman für den Finanzdienst Bloomberg in der Nacht zum Montag (siehe Quellen).

Zur Story