DE | FR | IT

Phishing: 18 Millionen E-Mail-Adressen gehackt – auch Schweizer darunter

08.04.2014 |  Von  |  News

Wie die deutschen Behörden vor einigen Tagen bekanntgaben, haben unbekannte Täter insgesamt 18 Millionen E-Mail-Adressen geknackt.

Darunter sind auch etwa 38’000 Schweizer Adressen. Möglich wurde der digitale Einbruch durch Phishing.Einmal mehr beweist der Fall, wie naiv viele Internetnutzer im Web unterwegs sind. Dabei ist es so einfach, sich vor solchen Attacken zu schützen.


Nachdem vor einigen Tagen das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) mitteilte, dass 18 Millionen E-Mail-Adressen gehackt worden seien, offenbart nun eine Meldung der Koordinationsstelle für Internetkriminalität (Kobik), dass auch Schweizer Adressen betroffen sind, wenn auch mit 38’000 Stück ein geringer Anteil.

Ziel der Attacke war es, Zugang zu dem E-Mail-Konten zu bekommen, um mit deren Hilfe Spam-Mails zu verschicken. Dadurch werde der eigentlich Absender verschleiert, sagte Kobik-Chef Thomas Walther.  Auch merkten die meisten Betroffenen nicht, dass ihr Konto für kriminelle Machenschaften missbraucht werde.

Phishing fischt Passwörter und mehr

Nun stellt sich natürlich die Frage, wie die Cyber-Kriminellen an die Zugangsdaten kamen. Die Antwort: Phishing. Dabei werden an E-Mail-Adressen (deren Existenz zu dem Zeitpunkt noch gar nicht feststeht) Mails verschickt, die vorgeben, von einem vertrauenswürdigen Absender zu stammen. Besonders beliebt sind hier Banken, Versicherungen, Online-Händler wie Amazon oder Bezahlservices wie PayPal.

In der Phishing-Mail enthalten ist stets ein Link, auf den man klicken soll. Angebliche Gründe dafür sind der Verlust von Zugangsdaten oder die Bestätigung des Kontos bzw. der E-Mail-Adresse. Wer den Link anklickt, wird auf eine gefälschte Webseite weitergeleitet, die im Design des vorgeblichen Unternehmens gehalten ist. Wer soweit gekommen ist, hat in jedem Fall schon mal seine E-Mail-Adresse bestätigt – allerdings nicht gegenüber PayPal oder Amazon, sondern gegenüber den Hackern. Noch schlimmer ist es, wenn man jetzt auch noch seine Zugangsdaten eingibt. Damit bekommen die Kriminellen den Schlüssel zum E-Mail-Konto – das Spammen kann beginnen.

Der Fluch des einen Passworts

Doch damit nicht genug. Die Hacker haben ja bereits die E-Mail-Adresse, die bei vielen Webservices auch als Benutzername verwendet wird (falls nicht: per „Vergessen“-Funktion bekommen sie alle Daten in Windeseile). Nun können die Täter das Passwort auch an anderer Stelle ausprobieren, etwa bei PayPal oder Amazon. Leider oft mit Erfolg: Denn viele Nutzer verwenden für alle Anbieter ein und dasselbe Passwort, wie nicht zuletzt auch der Adobe-Skandal Ende vergangenen Jahres ans Tageslicht brachte.

Irgendwie verständlich – und doch gefährlich. Denn dadurch öffnet man Cyberkriminellen Tür und Tor. Die können dann auf Kosten des Gelackmeierten nach Herzenslust shoppen gehen oder Gelder verschieben. Aber mehrere Passwörter merken? „Mehrere“ klingt ja geradezu bagatellisierend – eine Unzahl, müsste man treffender sagen. Da sind die einschlägigen Anwendungen wie E-Mail-Konto, Soziale Netzwerke und Online-Bezahlservice. Hinzu kommen allerdings noch weitere Angebote, die auf persönliche Konten und damit auf Passwörter setzen: Online-Shops (deren Diversität kein Ende kennt, wenn man nicht gerade ein Amazon-Jünger ist), Online-Banking, Mobilfunkanbieter, eventuell firmenbezogene Portale.

Passwörter diversifizieren und sicher machen

Wer soll sich all die Passwörter merken? Klar, dass da jeder Normalsterbliche an seine Grenzen kommt. Eine Lösung könnte so aussehen, dass man zwar das gleiche Passwort verwendet, dieses aber in relativ kurzen Abständen immer wieder ändert – dann aber in allen Anwendungen. Recht aufwändig und nach wie vor unsicher. Besser wäre es natürlich, jedem Online-Service ein eigenes Passwort zuzuordnen. Hierfür empfehlen sich für alle Besitzer eines nicht-fotografischen Gedächtnisses Passwort-Manager wie 1Password. Auch wenn die App etwas kostet: Das bisschen Geld zahlt sich aus, wenn es einen vor Verlust von hunderten, wenn nicht tausenden Franken bewahrt.


Passwörter haben eine zentrale Funktion für die Datensicherheit.

Passwörter haben eine zentrale Funktion für die Datensicherheit. (© Maksim Kabakou – Fotolia.com)


Übrigens: Auch die beste Passwort-Diversifizierung nützt nichts, wenn die Passwörter allesamt zu einfach sind. Inzwischen führen Hacker ganze „Wörterbücher“, in denen die häufigsten Passwörter aufgeführt sind. Diese sind oftmals von schockierender Einfachheit. So zeigte der Adobe-Hack, dass ein nicht unbeträchtlicher Anteil der Nutzer so kreative Schlüssel wie „1234“ oder „password“ verwendet.

Eine sehr gute Regel zur Erstellung schwierig zu knackender Passwörter hat Bruce Schneier in seinem „Schneier scheme“ vorgestellt. Demnach sollte man einen einfachen, emotional bedeutsamen Satz als Grundlage für ein Akrostichon nehmen. So resultiert aus „Als ich 7 Jahre al war, warf meine Schwester meinen Stoffhund ins Klo“ das Passwort „Ai7Jaw,wmSmSiK“ – schwer zu knacken, selbst mit modernster Rechentechnologie.

Viren – die ständige Bedrohung

Doch selbst wer im Passwort-Sektor alles richtig macht, ist noch nicht vor Hackern gefeit. Spreizt sich ein Trojaner oder ähnliches digitales Ungeziefer auf der Festplatte ein, wird man ungeahnt selbst zum Verräter. Denn die Schadsoftware sendet das Passwort an seine Macher, sobald es vom Nutzer in eine Eingabemaske getippt wird. Besonders Windows-Rechner sind für Viren anfällig, hier heisst es immer fleissig updaten. Nutzer von Windows XP wissen diese Tage, dass ihnen sogar diese Möglichkeit genommen wird, da Microsoft für XP keine weiteren Updates zur Verfügung mehr stellt.

Mac-User haben es da etwas besser, sollten sich aber nicht falscher Sicherheit wiegen – selbst Werbebanner können inzwischen eine Trojaner-Quelle sein. Für beide Nutzergruppen ist ein immer aktueller, leistungsfähiger Virenscanner eigentlich Pflicht. Sehr empfehlenswert ist die Kaspersky Internet Security, die auch die Überwachung des Datenverkehrs übernimmt und z.B. warnt, wenn eine Seite möglicherweise Phishing betreibt oder ein unbekanntes SSL-Zertifikat aufweist.

Die Kobik informiert übrigens diese Tage alle betroffenen Schweizer. Wenn Sie darunter sind, sollten Sie die obigen Tipps ernsthaft in Erwägung ziehen.

 

Oberstes Bild: © Jürgen Fälchle – Fotolia