Abo
  • IT-Karriere:

Über die Hotline zum E-Mail-Konto

IT-Sicherheit wird meist mit technischen Details und Sicherheitslücken in Software und Hardware gleichgesetzt, eine Sicherheitslücke wird dabei oft übersehen: der Mensch. Mit einer guten Geschichte, den richtigen Fragen und einer Vorrecherche lassen sich Menschen leichter zur Herausgabe sensibler Daten bewegen, als hinlänglich angenommen wird. Diese Angriffsart wird Social Engineering genannt.

Stellenmarkt
  1. Bau- und Liegenschaftsbetrieb NRW, Düsseldorf
  2. Neveling Reply, Hamburg, Lübeck

Auf diese Weise konnten ein Teenager und seine Komplizen 2015 das private AOL-Mail-Konto des damaligen CIA-Chefs John Brennan übernehmen. Dieses soll er auch für dienstliche Zwecke genutzt haben. Zuerst hatten sie sich bei dem US-Telekommunikationsanbieter Verizon als Techniker ausgegeben und Daten von Brennan, wie die letzten vier Stellen seiner Bankkartennummer, abgefragt. Anschließend riefen sie bei der AOL-Telefonhotline an, gaben sich als Brennan aus und erklärten, sie hätten sich ausgesperrt. Mit den zuvor gesammelten Daten konnten sie das Konto zurücksetzen lassen - und hatten vollen Zugriff auf das E-Mail-Konto des CIA-Chefs.

Brennan ist jedoch nur ein Beispiel von vielen. Auch der Politikerhacker 0rbit fragte im Namen des bekannten Youtubers Unge nett beim Twitter-Support nach, ob sie nicht dessen Zwei-Faktor-Authentifizierung auf Twitter ausschalten könnten. Twitter kam dem nach und schaltete das Sicherheitsfeature einfach aus - 0rbit konnte Unges Twitter-Konto übernehmen. Dabei soll die Zwei-Faktor-Authentifizierung genau vor diesem Szenario schützen.

Die Angriffe können aber auch von der Hotline aus geschehen. Beispielsweise von einer fingierten Apple-Hotline, die sogar unter der authentischen Telefonnummer anruft. Die Angreifer versuchen mit dem Voice-Phishing genannten Angriff, an persönliche Daten des Angerufenen zu gelangen. Voice-Phishing ist zum Teil so ausgereift, dass selbst Digital Natives den Mädchennamen der Mutter, die Sicherheitsnummer und den PIN zu ihrer Kreditkarte verrieten - die laut dem vermeintlichen Bankangestellten gesperrt wurde und die Daten zum Ausstellen einer neuen Karte benötigt würden.

Hilfe zur Selbsthilfe

Insbesondere Personen, die einem höheren Angriffsrisiko ausgesetzt sind, kann das einfache und komfortable Verfahren des Passwortzurücksetzens also teuer zu stehen kommen. Das können neben Journalisten, Politikern oder Promis auch ganz normale Internetnutzer sein. Manchmal reichen schon Äußerungen in sozialen Netzwerken, um in den Fokus zu geraten. Auch Stalker, Kriminelle oder der eifersüchtige Ex-Freund können sich für das Konto interessieren. Es gibt viele Möglichkeiten. Umso bedauernswerter ist es, dass man sich bei den gängigen E-Mail- und Social-Media-Anbietern kaum gegen derlei Angriffe schützen kann.

Zuerst sollten Nutzer dafür Sorge tragen, dass sie ihr Passwort wirklich nie vergessen. Ein Passwortmanager hilft. Von der Passwortdatenbank sollte unbedingt regelmäßig ein externes Backup erstellt werden. Wird die Handynummer entfernt, fällt dieser Angriffsvektor weg. Bleibt eine Rücksetz-Mailadresse. Telekom-Sprecher Fischer rät, hierfür lieber keinen Freemium-Anbieter zu verwenden - oder zumindest eine E-Mail-Adresse zu wählen, die niemand erraten kann.

Wichtig ist vor allem, keinen Anbieter zu wählen, der das Passwort leicht zurücksetzen lässt oder das Konto nach einem gewissen Zeitraum löscht. Sinnvoll wäre eine Einstellung à la: Setze nie mein Passwort zurück, egal, was ich dann sage - oder nur über diese E-Mail-Adresse und nicht mit einer schönen Geschichte über die Hotline. Würde sich ein Nutzer für diese Option entscheiden, wäre im Falle des Falles das Konto weg.

Auch eine Zwei-Faktor-Authentifizierung kommt zur Absicherung des Kontos infrage. Insbesondere, wenn als zweiter Faktor nicht SMS zum Einsatz kommt. Fällt der zweite Faktor aus, kann er mit einem beim Einrichten erstellten Recovery Key zurückgesetzt werden. Doch ob eine Zwei-Faktor-Authentifizierung beim Kontozurücksetzen wirklich zusätzliche Sicherheit bringt, ist vom Anbieter abhängig. Bei Twitter scheint dies nicht der Fall zu sein, Facebook und Google äußerten sich auch auf mehrfaches Nachfragen von Golem.de nicht zu dem Thema.

Neben standardisierten Passwort-Policies wäre es auch wünschenswert, wenn die Anbieter ihre Passwort-Rest-Verfahren vereinheitlichen. Bisher ist für die Nutzer kaum nachzuvollziehen, welche Risiken bei welchem Anbieter vorliegen, solange sie das Verfahren nicht selbst intensiv testen.

 Eine SMS und der Zugriff steht
  1.  
  2. 1
  3. 2
  4. 3


Anzeige
Top-Angebote
  1. ab 0,89€ (u. a. enthalten Distraint 2, Rusty Lake Paradise, Nex Machina, Shantae: Half-Genie Hero)
  2. (u. a. The Division 2 für 36,99€, Just Cause 4 für 17,99€, Kerbal Space Program für 7,99€)
  3. (u. a. Sandisk Plus 1-TB-SSD für 88,00€, WD Elements 4-TB-Festplatte extern für 79,00€)
  4. ab 419,00€

Some0NE 07. Mär 2019

Facebook hat die Lösung schon seit irgendwann 2012: https://www.facebook.com/notes...

FreiGeistler 02. Mär 2019

Es bezeichnet die Generation, die mit Breitbandinternet, Cloud und Asocial Media...

IchBIN 27. Feb 2019

Ich würde mal spekulieren: Wenn sie den Nutzer durch entsprechend im Browser gesetzte und...

itnewsprofi 26. Feb 2019

... hier mal eine ordentliche Regelung zu finden, da wir schon gezwungen werden, uns...

plutoniumsulfat 26. Feb 2019

Und viele machen es einem schwer, schwierige Passwörter zu vergeben ;)


Folgen Sie uns
       


Akku-Recycling bei Duesenfeld

Das Unternehmen Duesenfeld aus Peine hat ein Verfahren für das Recycling von Elektroauto-Akkus entwickelt.

Akku-Recycling bei Duesenfeld Video aufrufen
In eigener Sache: Golem.de bietet Seminar zu TLS an
In eigener Sache
Golem.de bietet Seminar zu TLS an

Der Verschlüsselungsexperte und Golem.de-Redakteur Hanno Böck gibt einen Workshop zum wichtigsten Verschlüsselungsprotokoll im Netz. Am 24. und 25. September klärt er Admins, Pentester und IT-Sicherheitsexperten in Berlin über Funktionsweisen und Gefahren von TLS auf.

  1. In eigener Sache Zweiter Termin für Kubernetes-Seminar
  2. Leserumfrage Wie können wir dich unterstützen?
  3. In eigener Sache Was du schon immer über Kubernetes wissen wolltest

Erasure Coding: Das Ende von Raid kommt durch Mathematik
Erasure Coding
Das Ende von Raid kommt durch Mathematik

In vielen Anwendungsszenarien sind Raid-Systeme mittlerweile nicht mehr die optimale Lösung. Zu langsam und starr sind sie. Abhilfe schaffen können mathematische Verfahren wie Erasure Coding. Noch existieren für beide Techniken Anwendungsgebiete. Am Ende wird Raid aber wohl verschwinden.
Eine Analyse von Oliver Nickel

  1. Agentur für Cybersicherheit Cyberwaffen-Entwicklung zieht in den Osten Deutschlands
  2. Yahoo Richterin lässt Vergleich zu Datenleck platzen

In eigener Sache: Neue Workshops zu agilem Arbeiten und Selbstmanagement
In eigener Sache
Neue Workshops zu agilem Arbeiten und Selbstmanagement

Wir haben in unserer Leserumfrage nach Wünschen für Weiterbildungsangebote gefragt. Hier ist das Ergebnis: Zwei neue Workshops widmen sich der Selbstorganisation und gängigen Fehlern beim agilen Arbeiten - natürlich extra für IT-Profis.

  1. In eigener Sache ITler und Board kommen zusammen
  2. In eigener Sache Herbsttermin für den Kubernetes-Workshop steht
  3. Golem Akademie Golem.de startet Angebote zur beruflichen Weiterbildung

    •  /