Original-URL des Artikels: https://www.golem.de/news/sicherheit-wie-sich-passwort-zuruecksetzen-missbrauchen-laesst-1902-139573.html    Veröffentlicht: 25.02.2019 12:04    Kurz-URL: https://glm.io/139573

Sicherheit

Wie sich "Passwort zurücksetzen" missbrauchen lässt

Passwort vergessen? Kein Problem, viele Anbieter machen es Nutzern leicht, ihr Passwort zurückzusetzen - und damit auch Kriminellen. Wir haben uns angesehen, wie leicht es ist, mit der Funktion an Daten zu gelangen oder ein E-Mail- oder Social-Media-Konto zu übernehmen.

Hat ein Nutzer das Passwort vergessen, mag es sehr komfortabel sein, die Telefonnummer oder E-Mail-Adresse auszuwählen, über die das Passwort zurückgesetzt werden kann. In diesem Fall sind Nutzer auch der Hotline dankbar, wenn diese unkompliziert und schnell wieder einen Zugriff auf das E-Mail- oder Social-Media-Konto ermöglicht. Doch die Einfachheit hat ihren Preis: Für Angreifer ist es auch nicht besonders kompliziert, die Konten zu übernehmen - oder Informationen über die Konteneigentümer zu sammeln. Dafür stehen den Angreifern verschiedene Wege offen: Sie können die hinterlegten E-Mail-Adressen kapern, SMS abfangen, Sicherheitsfragen recherchieren oder der Hotline des Social-Media- oder E-Mail-Anbieters eine gute Geschichte erzählen.

Das Beispiel Facebook zeigt, wie leicht Angreifer mit nichts als einem scharfen Verstand über die Passwort-zurücksetzen-Funktion an persönliche Daten von Nutzern gelangen können. Wie die meisten Freemail- oder Social-Media-Dienste bietet das soziale Netzwerk die Funktion zum Erneuern des Passwortes prominent unter den Login-Feldern an. Damit lässt sich überprüfen, ob eine E-Mail-Adresse oder eine Telefonnummer bei einem Facebook-Account hinterlegt wurde. Hierzu muss nur auf "Konto vergessen?" geklickt werden, eine E-Mail-Adresse oder Telefonnummer eingetragen werden - und schon zeigt Facebook den Namen und das Profilfoto des zur E-Mail-Adresse oder Telefonnummer gehörenden Accounts an - sofern die Daten in einem Konto hinterlegt wurden. Auf die Frage, warum Facebook die Daten anzeige, antwortete ein Facebook-Sprecher ausweichend. Bekannt sei ihm das nicht, das müsse er prüfen. Golem.de hat auch auf weitere Nachfragen keine Antwort erhalten.

E-Mail-Adresse nur ein paar Sternchen entfernt

Über "Konto vergessen?" kann nicht nur ein vergessenes Konto wiedergefunden, sondern auch das Facebook-Passwort zurückgesetzt werden. Das soziale Netzwerk zeigt hierzu die im Konto hinterlegten E-Mail-Adressen oder Telefonnummern an, von denen eine ausgewählt werden kann. Die Zeichen und Ziffern der E-Mail-Adressen beziehungsweise Telefonnummern werden teilweise durch Sternchen ersetzt.

Ein ähnliches Verfahren hat sich auch bei vielen anderen Anbietern von E-Mail-Adressen oder sozialen Netzwerken etabliert. Auch die Freemail-Anbieter Web.de, GMX, Gmail und Telekom (@t-online.de) zeigen nach einem Klick auf "Passwort vergessen" die hinterlegten E-Mail-Adressen und die Telefonnummer mit Sternchen an. Es sei ein Ausgleich zwischen Komfort und Sicherheit, sagt der Telekom-Sprecher Christian Fischer. Entsprechend ist es weder besonders komfortabel noch besonders sicher. Während die Telekom laut Fischer immer wieder mit Kunden zu tun hat, die ihre eigene E-Mail-Adresse hinter den Sternchen nicht mehr erkennen, können Angreifer diese mitunter leicht erraten. In manchen Fällen können sie die Informationen auch bei mehreren Anbietern auslesen und entsprechend kombinieren, was das Erraten noch weiter vereinfacht.

Ratespiel: Wie lautet die E-Mail-Adresse, mit der das Passwort zurückgesetzt werden kann?


Telekom: go*em@*****.**
GMX/Web.de: g****@golem.de
Twitter: go***@g****.**
Facebook: g****@g****.de
Google: go***@go***.**

Gelöschte E-Mail-Adressen neu registrieren

Kann die E-Mail-Adresse, mit der sich das Konto zurücksetzen lässt, erraten oder recherchiert werden, kann ein Angreifer versuchen, das Konto zu übernehmen. Am leichtesten hat er es, wenn die hinterlegten Informationen hoffnungslos veraltet sind und das Konto oder die Konten zum Zurücksetzen schon längst nicht mehr existieren, was nicht selten vorkommen dürfte. Wird eine alte E-Mail-Adresse vergessen, ist aber als Zurücksetz-Adresse eingetragen, haben Angreifer leichtes Spiel: Sie können die E-Mail-Adresse einfach neu registrieren - und anschließend das Passwort des anzugreifenden Kontos über sie zurücksetzen. Dazu braucht es keine großen Hacker-Skills, sondern nur eine kurze Recherche und ein paar Klicks.

Die alte Studi-Mail-Adresse oder die des längst gewechselten Arbeitgebers steht neben dem alten Freemail-Account, der schon ganz in Vergessenheit geraten war. Unbenutzte E-Mail-Adressen werden bei Freemailern zum Teil nach gewissen Zeiträumen gelöscht und können neu registriert werden. "Laut den GMX-AGB (und den Web.de-AGB) ist eine Wiedervergabe der Adresse nach einjähriger Inaktivität möglich. In der Praxis ist der Zeitraum deutlich länger und liegt bei zwei Jahren", erklärt GMX-Pressesprecher Martin Wilhelm. Bei anderen Freemailern funktioniert dieser Trick nicht so einfach: Die Telekom lösche keine E-Mail-Adressen - ob sie benutzt werden oder nicht, sagt Fischer.

Außer mit den hinterlegten E-Mail-Adressen lassen sich die E-Mail- und Social-Media-Konten häufig auch per SMS zurücksetzen. Auch hierdurch ergeben sich interessante Angriffsvektoren, für die zum Teil allerdings etwas mehr Know-how nötig ist.

Eine SMS und der Zugriff steht

Eine neue @t-online.de-E-Mail-Adresse anzulegen, ohne eine Handynummer anzugeben und per SMS-Code zu bestätigen, ist unmöglich. Auch Google verlangt regelmäßig beim erstellen eines Kontos nach der Telefonnummer. GMX und Web.de drängen ihre Nutzer dazu, eine Telefonnummer für den Fall des Passwortvergessens zu hinterlegen. Wird beim Zurücksetzen des Kontos auf die Handynummer zurückgegriffen, wird an diese eine SMS geschickt, mit der der Zugriff auf das Konto erlangt werden kann.

Häufig werden Smartphones oder Handys nur unzureichend gesperrt beziehungsweise SMS auch auf dem Sperrbildschirm angezeigt. Kann ein Angreifer - wenn auch nur für kurze Zeit - Zugriff auf das Mobiltelefon einer Person erlangen, kann er in diesem Moment den Passwort-zurücksetzen-Prozess starten und die SMS mit dem Zurücksetz-Code oder -Link abfangen.

SMS aus der Ferne abfangen

Das Abfangen der SMS ist jedoch auch aus der Ferne möglich: Ein Angreifer muss sich hierzu Zugang zum SS7-Netzwerk (Signalling System #7) verschaffen. Über die SS7-Protokolle vermitteln Provider Anrufe, SMS und Daten von einem Netz in das nächste. Ohne SS7 wäre zum Beispiel Roaming nicht möglich. Ursprünglich hatten nur staatlich kontrollierte Telefonanbieter Zugang zu diesem Netzwerk, mittlerweile können sich Firmen in dieses einkaufen - und ihre Zugänge weitervermieten. Auch Kriminelle können sich Zugang zum Netzwerk verschaffen.

Bereits 2014 wurde auf dem Hackerkongress 31C3 in mehreren Vorträgen gezeigt, was mit einem SS7-Zugang alles möglich ist: Handynutzer orten, SMS mitlesen, Gespräche abhören, Rufnummern umleiten, Telefone blockieren. 2017 wurde das SS7-Netzwerk von Kriminellen dazu genutzt, Bankkonten zu leeren. Sie leiteten die Bestätigungs-SMS mitsamt der mTAN auf ihre eigenen Mobilfunktelefonnummer um. Dieser Trick kann auch zum Zurücksetzen von E-Mail- oder Social-Media-Konten verwendet werden. Hat ein Angreifer Zugriff auf das SS7-Netzwerk, kann er die Zurücksetz-SMS auf seine Mobilfunknummer umleiten und die Konten übernehmen.

Einen anderen Trick verwendeten Kriminelle 2015. Sie gaben sich als Mitarbeiter eines Telekom-Shops aus und bestellten bei der Telekom angeblich abhandengekommene SIM-Karten nach. Über die nachbestellten SIM-Karten konnten sie ebenfalls an die SMS gelangen und die mTANs für das Online-Banking abgreifen. Ähnliches war auch bei E-Plus passiert. Auch mit diesem oder ähnlichen Tricks könnten Konten zurückgesetzt werden.

Wie war der Mädchenname Ihrer Mutter?

Immer seltener werden die sogenannten Sicherheitsfragen von Anbietern verwendet. Fragen nach dem Namen des Hundes, dem Mädchennamen der Mutter oder Ähnlichem lassen sich häufig leicht recherchieren. Können die Fragen beantwortet werden, kann das Konto übernommen werden. Paypal setzt das System bis heute ein, verlangt aber normalerweise auch eine Bestätigung der hinterlegten E-Mail-Adresse.

Auch Google stellt interessante Fragen beim Versuch, ein Konto zurückzusetzen. Eine Frage lautet: "Wann haben Sie dieses Google-Konto erstellt?" und verlangt nach einem Monat und Jahr. Interessanter ist die Aufforderung "Geben Sie das letzte Passwort für dieses Google-Konto ein, an das Sie sich erinnern". Die Aufforderung legt nahe, dass Google alte Kennwörter speichert. Alte Passwörter könnten jedoch bereits kompromittiert sein. Ein Angreifer könnte in einem der unzähligen Datenleaks der letzten Jahre nachsehen - selbst wenn das Passwort nicht mehr aktuell ist, die Frage nach einem alten Passwort lässt sich damit allemal beantworten. Auf eine diesbezügliche Anfrage von Golem.de hat Google bisher nicht geantwortet.

Ob mit der richtigen Antwort auf die beiden Fragen ein Konto zurückgesetzt werden kann, bleibt unklar. Bei einem Versuch durch Golem.de schickte Google uns in eine Endlosschleife: Immer wieder war das Zurücksetzen des Kontos nicht möglich, wir sollten den Prozess von vorne starten und die Fragen beantworten. Soll ein Konto über die hinterlegte Telefonnummer zurückgesetzt werden, wird die Frage nach einem alten Passwort ebenfalls gestellt. Allerdings reichte eine SMS an die hinterlegte Telefonnummer, um das Konto zurückzusetzen - oder zu übernehmen. Ob die Frage beantwortet wurde oder nicht, interessierte Google nicht.

Fragen können auch am Telefon beantwortet werden - oder Geschichten erzählt werden. Eine der ältesten Hacking-Methoden braucht keinen Computer und keine Tastatur, ein Telefonhörer reicht.

Über die Hotline zum E-Mail-Konto

IT-Sicherheit wird meist mit technischen Details und Sicherheitslücken in Software und Hardware gleichgesetzt, eine Sicherheitslücke wird dabei oft übersehen: der Mensch. Mit einer guten Geschichte, den richtigen Fragen und einer Vorrecherche lassen sich Menschen leichter zur Herausgabe sensibler Daten bewegen, als hinlänglich angenommen wird. Diese Angriffsart wird Social Engineering genannt.

Auf diese Weise konnten ein Teenager und seine Komplizen 2015 das private AOL-Mail-Konto des damaligen CIA-Chefs John Brennan übernehmen. Dieses soll er auch für dienstliche Zwecke genutzt haben. Zuerst hatten sie sich bei dem US-Telekommunikationsanbieter Verizon als Techniker ausgegeben und Daten von Brennan, wie die letzten vier Stellen seiner Bankkartennummer, abgefragt. Anschließend riefen sie bei der AOL-Telefonhotline an, gaben sich als Brennan aus und erklärten, sie hätten sich ausgesperrt. Mit den zuvor gesammelten Daten konnten sie das Konto zurücksetzen lassen - und hatten vollen Zugriff auf das E-Mail-Konto des CIA-Chefs.

Brennan ist jedoch nur ein Beispiel von vielen. Auch der Politikerhacker 0rbit fragte im Namen des bekannten Youtubers Unge nett beim Twitter-Support nach, ob sie nicht dessen Zwei-Faktor-Authentifizierung auf Twitter ausschalten könnten. Twitter kam dem nach und schaltete das Sicherheitsfeature einfach aus - 0rbit konnte Unges Twitter-Konto übernehmen. Dabei soll die Zwei-Faktor-Authentifizierung genau vor diesem Szenario schützen.

Die Angriffe können aber auch von der Hotline aus geschehen. Beispielsweise von einer fingierten Apple-Hotline, die sogar unter der authentischen Telefonnummer anruft. Die Angreifer versuchen mit dem Voice-Phishing genannten Angriff, an persönliche Daten des Angerufenen zu gelangen. Voice-Phishing ist zum Teil so ausgereift, dass selbst Digital Natives den Mädchennamen der Mutter, die Sicherheitsnummer und den PIN zu ihrer Kreditkarte verrieten - die laut dem vermeintlichen Bankangestellten gesperrt wurde und die Daten zum Ausstellen einer neuen Karte benötigt würden.

Hilfe zur Selbsthilfe

Insbesondere Personen, die einem höheren Angriffsrisiko ausgesetzt sind, kann das einfache und komfortable Verfahren des Passwortzurücksetzens also teuer zu stehen kommen. Das können neben Journalisten, Politikern oder Promis auch ganz normale Internetnutzer sein. Manchmal reichen schon Äußerungen in sozialen Netzwerken, um in den Fokus zu geraten. Auch Stalker, Kriminelle oder der eifersüchtige Ex-Freund können sich für das Konto interessieren. Es gibt viele Möglichkeiten. Umso bedauernswerter ist es, dass man sich bei den gängigen E-Mail- und Social-Media-Anbietern kaum gegen derlei Angriffe schützen kann.

Zuerst sollten Nutzer dafür Sorge tragen, dass sie ihr Passwort wirklich nie vergessen. Ein Passwortmanager hilft. Von der Passwortdatenbank sollte unbedingt regelmäßig ein externes Backup erstellt werden. Wird die Handynummer entfernt, fällt dieser Angriffsvektor weg. Bleibt eine Rücksetz-Mailadresse. Telekom-Sprecher Fischer rät, hierfür lieber keinen Freemium-Anbieter zu verwenden - oder zumindest eine E-Mail-Adresse zu wählen, die niemand erraten kann.

Wichtig ist vor allem, keinen Anbieter zu wählen, der das Passwort leicht zurücksetzen lässt oder das Konto nach einem gewissen Zeitraum löscht. Sinnvoll wäre eine Einstellung à la: Setze nie mein Passwort zurück, egal, was ich dann sage - oder nur über diese E-Mail-Adresse und nicht mit einer schönen Geschichte über die Hotline. Würde sich ein Nutzer für diese Option entscheiden, wäre im Falle des Falles das Konto weg.

Auch eine Zwei-Faktor-Authentifizierung kommt zur Absicherung des Kontos infrage. Insbesondere, wenn als zweiter Faktor nicht SMS zum Einsatz kommt. Fällt der zweite Faktor aus, kann er mit einem beim Einrichten erstellten Recovery Key zurückgesetzt werden. Doch ob eine Zwei-Faktor-Authentifizierung beim Kontozurücksetzen wirklich zusätzliche Sicherheit bringt, ist vom Anbieter abhängig. Bei Twitter scheint dies nicht der Fall zu sein, Facebook und Google äußerten sich auch auf mehrfaches Nachfragen von Golem.de nicht zu dem Thema.

Neben standardisierten Passwort-Policies wäre es auch wünschenswert, wenn die Anbieter ihre Passwort-Rest-Verfahren vereinheitlichen. Bisher ist für die Nutzer kaum nachzuvollziehen, welche Risiken bei welchem Anbieter vorliegen, solange sie das Verfahren nicht selbst intensiv testen.  (mtr)


Verwandte Artikel:
Telekom-Shop: Kundin erhält fremde Daten auf USB-Stick   
(18.02.2019, https://glm.io/139458 )
Mehr Webseiten gehackt: Weitere 127 Millionen Zugangsdaten im Darknet   
(15.02.2019, https://glm.io/139413 )
Gehackte Webseiten: 620 Millionen Zugangsdaten im Darknet angeboten   
(13.02.2019, https://glm.io/139355 )
Raspberry Pi: Rätselhafter Mikroprozessor im Netzwerkschrank enttarnt   
(19.02.2019, https://glm.io/139168 )
Mailhoster: Angreifer überschreibt Festplatten bei VFEMail   
(12.02.2019, https://glm.io/139344 )

© 1997–2019 Golem.de, https://www.golem.de/