Über die Hotline zum E-Mail-Konto

IT-Sicherheit wird meist mit technischen Details und Sicherheitslücken in Software und Hardware gleichgesetzt, eine Sicherheitslücke wird dabei oft übersehen: der Mensch. Mit einer guten Geschichte, den richtigen Fragen und einer Vorrecherche lassen sich Menschen leichter zur Herausgabe sensibler Daten bewegen, als hinlänglich angenommen wird. Diese Angriffsart wird Social Engineering genannt.

Stellenmarkt
  1. Mitarbeiter (m/w/d) im IT-Support
    KRAFT Baustoffe GmbH, München-Aubing
  2. Systemmanager (m/w/d) SAP BW
    Flughafen Köln/Bonn GmbH, Köln
Detailsuche

Auf diese Weise konnten ein Teenager und seine Komplizen 2015 das private AOL-Mail-Konto des damaligen CIA-Chefs John Brennan übernehmen. Dieses soll er auch für dienstliche Zwecke genutzt haben. Zuerst hatten sie sich bei dem US-Telekommunikationsanbieter Verizon als Techniker ausgegeben und Daten von Brennan, wie die letzten vier Stellen seiner Bankkartennummer, abgefragt. Anschließend riefen sie bei der AOL-Telefonhotline an, gaben sich als Brennan aus und erklärten, sie hätten sich ausgesperrt. Mit den zuvor gesammelten Daten konnten sie das Konto zurücksetzen lassen - und hatten vollen Zugriff auf das E-Mail-Konto des CIA-Chefs.

Brennan ist jedoch nur ein Beispiel von vielen. Auch der Politikerhacker 0rbit fragte im Namen des bekannten Youtubers Unge nett beim Twitter-Support nach, ob sie nicht dessen Zwei-Faktor-Authentifizierung auf Twitter ausschalten könnten. Twitter kam dem nach und schaltete das Sicherheitsfeature einfach aus - 0rbit konnte Unges Twitter-Konto übernehmen. Dabei soll die Zwei-Faktor-Authentifizierung genau vor diesem Szenario schützen.

Die Angriffe können aber auch von der Hotline aus geschehen. Beispielsweise von einer fingierten Apple-Hotline, die sogar unter der authentischen Telefonnummer anruft. Die Angreifer versuchen mit dem Voice-Phishing genannten Angriff, an persönliche Daten des Angerufenen zu gelangen. Voice-Phishing ist zum Teil so ausgereift, dass selbst Digital Natives den Mädchennamen der Mutter, die Sicherheitsnummer und den PIN zu ihrer Kreditkarte verrieten - die laut dem vermeintlichen Bankangestellten gesperrt wurde und die Daten zum Ausstellen einer neuen Karte benötigt würden.

Hilfe zur Selbsthilfe

Golem Karrierewelt
  1. Elastic Stack Fundamentals – Elasticsearch, Logstash, Kibana, Beats: virtueller Drei-Tage-Workshop
    14.-16.02.2023, Virtuell
  2. Grundlagen für Virtual Reality mit Unreal Engine: virtueller Drei-Tage-Workshop
    05.-07.12.2022, Virtuell
Weitere IT-Trainings

Insbesondere Personen, die einem höheren Angriffsrisiko ausgesetzt sind, kann das einfache und komfortable Verfahren des Passwortzurücksetzens also teuer zu stehen kommen. Das können neben Journalisten, Politikern oder Promis auch ganz normale Internetnutzer sein. Manchmal reichen schon Äußerungen in sozialen Netzwerken, um in den Fokus zu geraten. Auch Stalker, Kriminelle oder der eifersüchtige Ex-Freund können sich für das Konto interessieren. Es gibt viele Möglichkeiten. Umso bedauernswerter ist es, dass man sich bei den gängigen E-Mail- und Social-Media-Anbietern kaum gegen derlei Angriffe schützen kann.

Zuerst sollten Nutzer dafür Sorge tragen, dass sie ihr Passwort wirklich nie vergessen. Ein Passwortmanager hilft. Von der Passwortdatenbank sollte unbedingt regelmäßig ein externes Backup erstellt werden. Wird die Handynummer entfernt, fällt dieser Angriffsvektor weg. Bleibt eine Rücksetz-Mailadresse. Telekom-Sprecher Fischer rät, hierfür lieber keinen Freemium-Anbieter zu verwenden - oder zumindest eine E-Mail-Adresse zu wählen, die niemand erraten kann.

Wichtig ist vor allem, keinen Anbieter zu wählen, der das Passwort leicht zurücksetzen lässt oder das Konto nach einem gewissen Zeitraum löscht. Sinnvoll wäre eine Einstellung à la: Setze nie mein Passwort zurück, egal, was ich dann sage - oder nur über diese E-Mail-Adresse und nicht mit einer schönen Geschichte über die Hotline. Würde sich ein Nutzer für diese Option entscheiden, wäre im Falle des Falles das Konto weg.

Auch eine Zwei-Faktor-Authentifizierung kommt zur Absicherung des Kontos infrage. Insbesondere, wenn als zweiter Faktor nicht SMS zum Einsatz kommt. Fällt der zweite Faktor aus, kann er mit einem beim Einrichten erstellten Recovery Key zurückgesetzt werden. Doch ob eine Zwei-Faktor-Authentifizierung beim Kontozurücksetzen wirklich zusätzliche Sicherheit bringt, ist vom Anbieter abhängig. Bei Twitter scheint dies nicht der Fall zu sein, Facebook und Google äußerten sich auch auf mehrfaches Nachfragen von Golem.de nicht zu dem Thema.

Neben standardisierten Passwort-Policies wäre es auch wünschenswert, wenn die Anbieter ihre Passwort-Rest-Verfahren vereinheitlichen. Bisher ist für die Nutzer kaum nachzuvollziehen, welche Risiken bei welchem Anbieter vorliegen, solange sie das Verfahren nicht selbst intensiv testen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Eine SMS und der Zugriff steht
  1.  
  2. 1
  3. 2
  4. 3


Some0NE 07. Mär 2019

Facebook hat die Lösung schon seit irgendwann 2012: https://www.facebook.com/notes...

FreiGeistler 02. Mär 2019

Es bezeichnet die Generation, die mit Breitbandinternet, Cloud und Asocial Media...

IchBIN 27. Feb 2019

Ich würde mal spekulieren: Wenn sie den Nutzer durch entsprechend im Browser gesetzte und...

itnewsprofi 26. Feb 2019

... hier mal eine ordentliche Regelung zu finden, da wir schon gezwungen werden, uns...



Aktuell auf der Startseite von Golem.de
25 Jahre Mars Attacks!
"Aus irgendeinem merkwürdigen Grund fehl am Platz"

Viele Amerikaner fanden Tim Burtons Mars Attacks! nicht so witzig, aber der Rest der Welt lacht umso mehr - bis heute, der Film ist grandios gealtert.
Von Peter Osteried

25 Jahre Mars Attacks!: Aus irgendeinem merkwürdigen Grund fehl am Platz
Artikel
  1. NIS 2 und Compliance vs. Security: Kann Sicherheit einfach beschlossen werden?
    NIS 2 und Compliance vs. Security
    Kann Sicherheit einfach beschlossen werden?

    Mit der NIS-2-Richtlinie will der Gesetzgeber für IT-Sicherheit sorgen. Doch gut gemeinte Regeln kommen in der Praxis nicht immer unbedingt auch gut an.
    Von Nils Brinker

  2. Artemis I: Orion-Kapsel ist in Mondorbit eingeschwenkt
    Artemis I
    Orion-Kapsel ist in Mondorbit eingeschwenkt

    Die Testmission für Mondlandungen der Nasa Artemis I hat den Mond erreicht. In den kommenden Tagen macht sich die Orion-Kapsel auf den Rückweg.

  3. Apple-Auftragsfertiger: Unruhen bei Foxconn und 30 Prozent iPhone-Produktionsverlust
    Apple-Auftragsfertiger
    Unruhen bei Foxconn und 30 Prozent iPhone-Produktionsverlust

    Foxconn soll Einstellungsprämien an Arbeiter nicht gezahlt haben, weshalb es zu Unruhen kam. Nun gab es Massenkündigungen. Für Apple ist die Situation gefährlich.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Black Friday bei Mindfactory, MediaMarkt & Saturn • Prime-Filme leihen für je 0,99€ • WD_BLACK SN770 500GB 49,99€ • GIGABYTE Z690 AORUS ELITE 179€ • Seagate FireCuda 530 1TB 119,90€ • Crucial P3 Plus 1TB 81,99 & P2 1TB 67,99€ • Alpenföhn Wing Boost 3 ARGB 120 3er-Pack 42,89€ [Werbung]
    •  /