Abo
  • IT-Karriere:

Über die Hotline zum E-Mail-Konto

IT-Sicherheit wird meist mit technischen Details und Sicherheitslücken in Software und Hardware gleichgesetzt, eine Sicherheitslücke wird dabei oft übersehen: der Mensch. Mit einer guten Geschichte, den richtigen Fragen und einer Vorrecherche lassen sich Menschen leichter zur Herausgabe sensibler Daten bewegen, als hinlänglich angenommen wird. Diese Angriffsart wird Social Engineering genannt.

Stellenmarkt
  1. ABSOLUTWEB GmbH, Köln
  2. über Tröger & Cie. Aktiengesellschaft, Bielefeld

Auf diese Weise konnten ein Teenager und seine Komplizen 2015 das private AOL-Mail-Konto des damaligen CIA-Chefs John Brennan übernehmen. Dieses soll er auch für dienstliche Zwecke genutzt haben. Zuerst hatten sie sich bei dem US-Telekommunikationsanbieter Verizon als Techniker ausgegeben und Daten von Brennan, wie die letzten vier Stellen seiner Bankkartennummer, abgefragt. Anschließend riefen sie bei der AOL-Telefonhotline an, gaben sich als Brennan aus und erklärten, sie hätten sich ausgesperrt. Mit den zuvor gesammelten Daten konnten sie das Konto zurücksetzen lassen - und hatten vollen Zugriff auf das E-Mail-Konto des CIA-Chefs.

Brennan ist jedoch nur ein Beispiel von vielen. Auch der Politikerhacker 0rbit fragte im Namen des bekannten Youtubers Unge nett beim Twitter-Support nach, ob sie nicht dessen Zwei-Faktor-Authentifizierung auf Twitter ausschalten könnten. Twitter kam dem nach und schaltete das Sicherheitsfeature einfach aus - 0rbit konnte Unges Twitter-Konto übernehmen. Dabei soll die Zwei-Faktor-Authentifizierung genau vor diesem Szenario schützen.

Die Angriffe können aber auch von der Hotline aus geschehen. Beispielsweise von einer fingierten Apple-Hotline, die sogar unter der authentischen Telefonnummer anruft. Die Angreifer versuchen mit dem Voice-Phishing genannten Angriff, an persönliche Daten des Angerufenen zu gelangen. Voice-Phishing ist zum Teil so ausgereift, dass selbst Digital Natives den Mädchennamen der Mutter, die Sicherheitsnummer und den PIN zu ihrer Kreditkarte verrieten - die laut dem vermeintlichen Bankangestellten gesperrt wurde und die Daten zum Ausstellen einer neuen Karte benötigt würden.

Hilfe zur Selbsthilfe

Insbesondere Personen, die einem höheren Angriffsrisiko ausgesetzt sind, kann das einfache und komfortable Verfahren des Passwortzurücksetzens also teuer zu stehen kommen. Das können neben Journalisten, Politikern oder Promis auch ganz normale Internetnutzer sein. Manchmal reichen schon Äußerungen in sozialen Netzwerken, um in den Fokus zu geraten. Auch Stalker, Kriminelle oder der eifersüchtige Ex-Freund können sich für das Konto interessieren. Es gibt viele Möglichkeiten. Umso bedauernswerter ist es, dass man sich bei den gängigen E-Mail- und Social-Media-Anbietern kaum gegen derlei Angriffe schützen kann.

Zuerst sollten Nutzer dafür Sorge tragen, dass sie ihr Passwort wirklich nie vergessen. Ein Passwortmanager hilft. Von der Passwortdatenbank sollte unbedingt regelmäßig ein externes Backup erstellt werden. Wird die Handynummer entfernt, fällt dieser Angriffsvektor weg. Bleibt eine Rücksetz-Mailadresse. Telekom-Sprecher Fischer rät, hierfür lieber keinen Freemium-Anbieter zu verwenden - oder zumindest eine E-Mail-Adresse zu wählen, die niemand erraten kann.

Wichtig ist vor allem, keinen Anbieter zu wählen, der das Passwort leicht zurücksetzen lässt oder das Konto nach einem gewissen Zeitraum löscht. Sinnvoll wäre eine Einstellung à la: Setze nie mein Passwort zurück, egal, was ich dann sage - oder nur über diese E-Mail-Adresse und nicht mit einer schönen Geschichte über die Hotline. Würde sich ein Nutzer für diese Option entscheiden, wäre im Falle des Falles das Konto weg.

Auch eine Zwei-Faktor-Authentifizierung kommt zur Absicherung des Kontos infrage. Insbesondere, wenn als zweiter Faktor nicht SMS zum Einsatz kommt. Fällt der zweite Faktor aus, kann er mit einem beim Einrichten erstellten Recovery Key zurückgesetzt werden. Doch ob eine Zwei-Faktor-Authentifizierung beim Kontozurücksetzen wirklich zusätzliche Sicherheit bringt, ist vom Anbieter abhängig. Bei Twitter scheint dies nicht der Fall zu sein, Facebook und Google äußerten sich auch auf mehrfaches Nachfragen von Golem.de nicht zu dem Thema.

Neben standardisierten Passwort-Policies wäre es auch wünschenswert, wenn die Anbieter ihre Passwort-Rest-Verfahren vereinheitlichen. Bisher ist für die Nutzer kaum nachzuvollziehen, welche Risiken bei welchem Anbieter vorliegen, solange sie das Verfahren nicht selbst intensiv testen.

 Eine SMS und der Zugriff steht
  1.  
  2. 1
  3. 2
  4. 3


Anzeige
Top-Angebote
  1. 19,99€
  2. 124,99€ (Bestpreis!)
  3. 61,80€
  4. (u. a. Football Manager 2019 für 17,99€, Car Mechanic Simulator 2018 für 7,99€, Forza Horizon...

Some0NE 07. Mär 2019

Facebook hat die Lösung schon seit irgendwann 2012: https://www.facebook.com/notes...

FreiGeistler 02. Mär 2019

Es bezeichnet die Generation, die mit Breitbandinternet, Cloud und Asocial Media...

IchBIN 27. Feb 2019

Ich würde mal spekulieren: Wenn sie den Nutzer durch entsprechend im Browser gesetzte und...

itnewsprofi 26. Feb 2019

... hier mal eine ordentliche Regelung zu finden, da wir schon gezwungen werden, uns...

plutoniumsulfat 26. Feb 2019

Und viele machen es einem schwer, schwierige Passwörter zu vergeben ;)


Folgen Sie uns
       


Escape Room in VR ausprobiert

Wir haben uns das Spiel Huxley von Exit VR näher angesehen.

Escape Room in VR ausprobiert Video aufrufen
Bethesda: Ich habe TES Blades für 5,50 Euro durchgespielt
Bethesda
Ich habe TES Blades für 5,50 Euro durchgespielt

Rund sechs Wochen lang hatte ich täglich viele spaßige und auch einige frustrierende Erlebnisse in Tamriel: Mittlerweile habe ich den Hexenkönig in TES Blades besiegt - ohne dafür teuer bezahlen zu müssen.
Ein Bericht von Marc Sauter

  1. Bethesda TES Blades erhält mehr Story-Inhalte und besseres Balancing
  2. Bethesda TES Blades ist für alle verfügbar
  3. TES Blades im Test Tolles Tamriel trollt

Sicherheitslücken: Zombieload in Intel-Prozessoren
Sicherheitslücken
Zombieload in Intel-Prozessoren

Forscher haben weitere Seitenkanalangriffe auf Intel-Prozessoren entdeckt, die sie Microarchitectural Data Sampling alias Zombieload nennen. Der Hersteller wusste davon und reagiert mit CPU-Revisionen. Apple rät dazu, Hyperthreading abzuschalten - was 40 Prozent Performance kosten kann.
Ein Bericht von Marc Sauter und Sebastian Grüner

  1. Open-Source Technology Summit Intel will moderne Firmware und Rust-VMM für Server
  2. Ice Lake plus Xe-GPGPU Intel erläutert 10-nm- und 7-nm-Zukunft
  3. GPU-Architektur Intels Xe beschleunigt Raytracing in Hardware

Motorola One Vision im Hands on: Smartphone mit 48-Megapixel-Kamera für 300 Euro
Motorola One Vision im Hands on
Smartphone mit 48-Megapixel-Kamera für 300 Euro

Motorola bringt ein weiteres Android-One-Smartphone auf den Markt. Die Neuvorstellung verwendet viel Samsung-Technik und hat ein sehr schmales Display. Die technischen Daten sind für diese Preisklasse vielversprechend.
Ein Hands on von Ingo Pakalski

  1. Moto G7 Power Lenovos neues Motorola-Smartphone hat einen großen Akku
  2. Smartphones Lenovo leakt neue Moto-G7-Serie

    •  /