Wie Angreifer tatsächlich „hacken“ und wie Sie sich schützen können
Die Leute reden über "gehackte" Online-Konten, aber wie genau geschieht das Hacken? Die Realität ist, dass Konten auf ziemlich einfache Weise gehackt werden - Angreifer verwenden keine schwarze Magie.
Wissen ist Macht. Wenn Sie wissen, wie Konten tatsächlich gefährdet sind, können Sie Ihre Konten schützen und verhindern, dass Ihre Kennwörter von vornherein „gehackt“ werden.
Wiederverwendung von Passwörtern, vor allem durchgesickerte
Viele Menschen - vielleicht sogar die meisten - verwenden Passwörter für verschiedene Konten. Einige Benutzer verwenden möglicherweise dasselbe Kennwort für jedes Konto, das sie verwenden. Das ist extrem unsicher. Bei vielen Websites - auch großen, bekannten Websites wie LinkedIn und eHarmony - wurden in den letzten Jahren die Kennwortdatenbanken durchgesickert. Datenbanken mit durchgesickerten Passwörtern sowie Benutzernamen und E-Mail-Adressen sind online leicht zugänglich. Angreifer können diese Kombinationen aus E-Mail-Adresse, Benutzername und Kennwörtern auf anderen Websites ausprobieren und erhalten Zugang zu vielen Konten.
Durch die Wiederverwendung eines Passworts für Ihr E-Mail-Konto besteht ein noch größeres Risiko, da Ihr E-Mail-Konto zum Zurücksetzen aller anderen Passwörter verwendet werden kann, wenn ein Angreifer Zugriff auf das E-Mail-Konto erhält.
Unabhängig davon, wie gut Sie Ihre Kennwörter schützen, können Sie nicht kontrollieren, wie gut die von Ihnen verwendeten Dienste Ihre Kennwörter sichern. Wenn Sie Kennwörter wiederverwenden und ein Unternehmen ausfällt, sind alle Ihre Konten gefährdet. Sie sollten überall andere Kennwörter verwenden - ein Passwort-Manager kann dabei helfen.
Keylogger
Keylogger sind bösartige Software, die im Hintergrund ausgeführt werden kann und jeden von Ihnen vorgenommenen Tastendruck protokolliert. Sie werden häufig verwendet, um sensible Daten wie Kreditkartennummern, Passwörter für das Online-Banking und andere Kontoauszüge zu erfassen. Diese Daten senden sie dann über das Internet an einen Angreifer.
Solche Malware kann über Exploits ankommen. Wenn Sie beispielsweise eine veraltete Java-Version verwenden, können Sie, wie die meisten Computer im Internet, durch ein Java-Applet auf einer Webseite gefährdet werden. Sie können jedoch auch in anderer Software getarnt ankommen. Sie können beispielsweise ein Drittanbieter-Tool für ein Online-Spiel herunterladen. Das Tool kann bösartig sein, indem es Ihr Spielkennwort erfasst und es über das Internet an den Angreifer sendet.
Verwenden Sie ein anständiges Antivirenprogramm, halten Sie Ihre Software auf dem neuesten Stand und vermeiden Sie das Herunterladen von nicht vertrauenswürdiger Software.
Soziale Entwicklung
Angreifer verwenden häufig Social-Engineering-Tricks, um auf Ihre Konten zuzugreifen. Phishing ist eine allgemein bekannte Form des Social Engineering - der Angreifer verkörpert im Wesentlichen jemanden und fragt nach Ihrem Passwort. Einige Benutzer geben ihr Passwort ohne weiteres weiter. Hier einige Beispiele für Social Engineering:
- Sie erhalten eine E-Mail mit der Angabe, dass sie von Ihrer Bank stammt, Sie auf eine gefälschte Bank-Website weiterleitet und Sie auffordert, Ihr Passwort einzugeben.
- Sie erhalten auf Facebook oder auf einer anderen sozialen Website eine Nachricht von einem Benutzer, der sich als offizielles Facebook-Konto ausgibt und Sie auffordert, Ihr Kennwort zu senden, um sich zu authentifizieren.
- Sie besuchen eine Website, die Ihnen etwas Wertvolles verspricht, z. B. kostenlose Spiele bei Steam oder kostenloses Gold in World of Warcraft. Um diese falsche Belohnung zu erhalten, benötigt die Website Ihren Benutzernamen und Ihr Kennwort für den Dienst.
Achten Sie darauf, an wen Sie Ihr Passwort vergeben - klicken Sie nicht auf Links in E-Mails und gehen Sie auf die Website Ihrer Bank, geben Sie Ihr Passwort nicht an Personen weiter, die Sie kontaktieren und es anfragen, und geben Sie Ihr Konto nicht unzuverlässig Websites, insbesondere solche, die zu gut erscheinen, um wahr zu sein.
Beantwortung von Sicherheitsfragen
Kennwörter können häufig durch Beantwortung von Sicherheitsfragen zurückgesetzt werden. Sicherheitsfragen sind im Allgemeinen unglaublich schwach - oft Dinge wie „Wo wurdest du geboren?“, „Auf welche Highschool bist du gegangen?“ Und „Wie war der Mädchenname deiner Mutter?“. Es ist oft sehr einfach, diese Informationen auf öffentlich zugänglichen sozialen Netzwerkseiten zu finden, und die meisten Normalbürger würden Ihnen sagen, zu welcher Highschool sie gehen würden, wenn sie gefragt würden. Mit diesen leicht zugänglichen Informationen können Angreifer häufig Kennwörter zurücksetzen und Zugriff auf Konten erhalten.
Im Idealfall sollten Sie Sicherheitsfragen mit Antworten verwenden, die nicht leicht zu erkennen oder zu erraten sind. Websites sollten außerdem verhindern, dass Personen Zugang zu einem Konto erhalten, nur weil sie die Antworten auf ein paar Sicherheitsfragen kennen, und einige tun dies - aber einige tun es immer noch nicht.
E-Mail-Konto und Passwort werden zurückgesetzt
Wenn ein Angreifer eine der oben genannten Methoden verwendet, um Zugriff auf Ihre E-Mail-Konten zu erhalten, haben Sie größere Probleme. Ihr E-Mail-Konto fungiert im Allgemeinen als Ihr Hauptkonto online. Alle anderen Konten, die Sie verwenden, sind mit dem Konto verknüpft. Jeder, der Zugriff auf das E-Mail-Konto hat, kann es verwenden, um Ihre Kennwörter auf einer beliebigen Anzahl von Websites, auf denen Sie sich registriert haben, mit der E-Mail-Adresse zurückzusetzen.
Aus diesem Grund sollten Sie Ihr E-Mail-Konto so weit wie möglich sichern. Es ist besonders wichtig, ein eindeutiges Kennwort zu verwenden und es sorgfältig zu schützen.
Welches Passwort "Hacking" nicht ist
Die meisten Leute stellen sich wahrscheinlich vor, dass Angreifer jedes einzelne mögliche Passwort versuchen, um sich bei ihrem Online-Konto anzumelden. Das passiert nicht. Wenn Sie versucht haben, sich beim Online-Konto einer Person anzumelden und das Erraten von Kennwörtern fortzusetzen, werden Sie langsamer und können nicht mehr als eine Handvoll Kennwörter verwenden.
Wenn ein Angreifer nur durch das Erraten von Passwörtern in ein Online-Konto gelangen konnte, lag das Passwort wahrscheinlich auf der Hand und konnte bei den ersten Versuchen erraten werden, z. B. „Passwort“ oder der Name des Haustiers der Person.
Angreifer können solche Brute-Force-Methoden nur verwenden, wenn sie lokal Zugriff auf Ihre Daten haben. Angenommen, Sie speichern eine verschlüsselte Datei in Ihrem Dropbox-Konto, und Angreifer erhalten Zugriff darauf und laden die verschlüsselte Datei herunter. Sie könnten dann versuchen, die Verschlüsselung brutal zu erzwingen, indem sie im Wesentlichen jede einzelne Kennwortkombination versuchen, bis eines funktioniert.
Personen, die behaupten, dass ihre Konten "gehackt" wurden, sind wahrscheinlich der erneuten Verwendung von Kennwörtern, der Installation eines Schlüsselloggers oder der Weitergabe ihrer Berechtigung an einen Angreifer nach Social-Engineering-Tricks schuldig. Sie sind möglicherweise auch aufgrund von leicht zu erratenden Sicherheitsfragen gefährdet.
Wenn Sie angemessene Sicherheitsvorkehrungen treffen, wird es nicht leicht sein, Ihre Konten zu „hacken“. Die Zwei-Faktor-Authentifizierung kann auch hilfreich sein - ein Angreifer benötigt mehr als nur Ihr Passwort, um sich einzuloggen.
Bildnachweis: Robbert van der Steeg bei Flickr, asenat bei Flickr