• IT-Karriere:
  • Services:

Über die Hotline zum E-Mail-Konto

IT-Sicherheit wird meist mit technischen Details und Sicherheitslücken in Software und Hardware gleichgesetzt, eine Sicherheitslücke wird dabei oft übersehen: der Mensch. Mit einer guten Geschichte, den richtigen Fragen und einer Vorrecherche lassen sich Menschen leichter zur Herausgabe sensibler Daten bewegen, als hinlänglich angenommen wird. Diese Angriffsart wird Social Engineering genannt.

Stellenmarkt
  1. Insight Health GmbH & Co. KG, Waldems
  2. Hottgenroth Software GmbH & Co. KG, Münster

Auf diese Weise konnten ein Teenager und seine Komplizen 2015 das private AOL-Mail-Konto des damaligen CIA-Chefs John Brennan übernehmen. Dieses soll er auch für dienstliche Zwecke genutzt haben. Zuerst hatten sie sich bei dem US-Telekommunikationsanbieter Verizon als Techniker ausgegeben und Daten von Brennan, wie die letzten vier Stellen seiner Bankkartennummer, abgefragt. Anschließend riefen sie bei der AOL-Telefonhotline an, gaben sich als Brennan aus und erklärten, sie hätten sich ausgesperrt. Mit den zuvor gesammelten Daten konnten sie das Konto zurücksetzen lassen - und hatten vollen Zugriff auf das E-Mail-Konto des CIA-Chefs.

Brennan ist jedoch nur ein Beispiel von vielen. Auch der Politikerhacker 0rbit fragte im Namen des bekannten Youtubers Unge nett beim Twitter-Support nach, ob sie nicht dessen Zwei-Faktor-Authentifizierung auf Twitter ausschalten könnten. Twitter kam dem nach und schaltete das Sicherheitsfeature einfach aus - 0rbit konnte Unges Twitter-Konto übernehmen. Dabei soll die Zwei-Faktor-Authentifizierung genau vor diesem Szenario schützen.

Die Angriffe können aber auch von der Hotline aus geschehen. Beispielsweise von einer fingierten Apple-Hotline, die sogar unter der authentischen Telefonnummer anruft. Die Angreifer versuchen mit dem Voice-Phishing genannten Angriff, an persönliche Daten des Angerufenen zu gelangen. Voice-Phishing ist zum Teil so ausgereift, dass selbst Digital Natives den Mädchennamen der Mutter, die Sicherheitsnummer und den PIN zu ihrer Kreditkarte verrieten - die laut dem vermeintlichen Bankangestellten gesperrt wurde und die Daten zum Ausstellen einer neuen Karte benötigt würden.

Hilfe zur Selbsthilfe

Insbesondere Personen, die einem höheren Angriffsrisiko ausgesetzt sind, kann das einfache und komfortable Verfahren des Passwortzurücksetzens also teuer zu stehen kommen. Das können neben Journalisten, Politikern oder Promis auch ganz normale Internetnutzer sein. Manchmal reichen schon Äußerungen in sozialen Netzwerken, um in den Fokus zu geraten. Auch Stalker, Kriminelle oder der eifersüchtige Ex-Freund können sich für das Konto interessieren. Es gibt viele Möglichkeiten. Umso bedauernswerter ist es, dass man sich bei den gängigen E-Mail- und Social-Media-Anbietern kaum gegen derlei Angriffe schützen kann.

Zuerst sollten Nutzer dafür Sorge tragen, dass sie ihr Passwort wirklich nie vergessen. Ein Passwortmanager hilft. Von der Passwortdatenbank sollte unbedingt regelmäßig ein externes Backup erstellt werden. Wird die Handynummer entfernt, fällt dieser Angriffsvektor weg. Bleibt eine Rücksetz-Mailadresse. Telekom-Sprecher Fischer rät, hierfür lieber keinen Freemium-Anbieter zu verwenden - oder zumindest eine E-Mail-Adresse zu wählen, die niemand erraten kann.

Wichtig ist vor allem, keinen Anbieter zu wählen, der das Passwort leicht zurücksetzen lässt oder das Konto nach einem gewissen Zeitraum löscht. Sinnvoll wäre eine Einstellung à la: Setze nie mein Passwort zurück, egal, was ich dann sage - oder nur über diese E-Mail-Adresse und nicht mit einer schönen Geschichte über die Hotline. Würde sich ein Nutzer für diese Option entscheiden, wäre im Falle des Falles das Konto weg.

Auch eine Zwei-Faktor-Authentifizierung kommt zur Absicherung des Kontos infrage. Insbesondere, wenn als zweiter Faktor nicht SMS zum Einsatz kommt. Fällt der zweite Faktor aus, kann er mit einem beim Einrichten erstellten Recovery Key zurückgesetzt werden. Doch ob eine Zwei-Faktor-Authentifizierung beim Kontozurücksetzen wirklich zusätzliche Sicherheit bringt, ist vom Anbieter abhängig. Bei Twitter scheint dies nicht der Fall zu sein, Facebook und Google äußerten sich auch auf mehrfaches Nachfragen von Golem.de nicht zu dem Thema.

Neben standardisierten Passwort-Policies wäre es auch wünschenswert, wenn die Anbieter ihre Passwort-Rest-Verfahren vereinheitlichen. Bisher ist für die Nutzer kaum nachzuvollziehen, welche Risiken bei welchem Anbieter vorliegen, solange sie das Verfahren nicht selbst intensiv testen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Eine SMS und der Zugriff steht
  1.  
  2. 1
  3. 2
  4. 3


Anzeige
Spiele-Angebote
  1. 31,99€
  2. (u. a. Star Wars: The Force Unleashed - Ultimate Sith Edition für 4,20€, Star Wars: Knights of...

Some0NE 07. Mär 2019

Facebook hat die Lösung schon seit irgendwann 2012: https://www.facebook.com/notes...

FreiGeistler 02. Mär 2019

Es bezeichnet die Generation, die mit Breitbandinternet, Cloud und Asocial Media...

IchBIN 27. Feb 2019

Ich würde mal spekulieren: Wenn sie den Nutzer durch entsprechend im Browser gesetzte und...

itnewsprofi 26. Feb 2019

... hier mal eine ordentliche Regelung zu finden, da wir schon gezwungen werden, uns...

plutoniumsulfat 26. Feb 2019

Und viele machen es einem schwer, schwierige Passwörter zu vergeben ;)


Folgen Sie uns
       


Todesfall: Citrix-Sicherheitslücke ermöglichte Angriff auf Krankenhaus
Todesfall
Citrix-Sicherheitslücke ermöglichte Angriff auf Krankenhaus

Ein Ransomware-Angriff auf die Uniklinik Düsseldorf, der zu einem Todesfall führte, erfolgte über die "Shitrix" genannte Lücke in Citrix-Geräten

  1. Datenleck Citrix informiert Betroffene über einen Hack vor einem Jahr
  2. Shitrix Das Citrix-Desaster
  3. Perl-Injection Citrix-Geräte mit schwerer Sicherheitslücke und ohne Update

Burnout im IT-Job: Mit den Haien schwimmen
Burnout im IT-Job
Mit den Haien schwimmen

Unter Druck bricht ein Webentwickler zusammen - zerrieben von zu eng getakteten Projekten. Obwohl die IT-Branche psychische Belastungen als Problem erkannt hat, lässt sie Beschäftigte oft allein.
Eine Reportage von Miriam Binner


    Zwischenzertifikate: Zertifikatswechsel bei Let's Encrypt steht an
    Zwischenzertifikate
    Zertifikatswechsel bei Let's Encrypt steht an

    Bisher war das Let's-Encrypt-Zwischenzertifikat von Identrust signiert. Das wird sich bald ändern.
    Von Hanno Böck

    1. CAA-Fehler Let's-Encrypt-Zertifikate werden nicht sofort zurückgezogen
    2. TLS Let's Encrypt muss drei Millionen Zertifikate zurückziehen
    3. Zertifizierung Let's Encrypt validiert Domains mehrfach

      •  /