Die Einrichtung eines Kontos für einen Online Dienst hat mehr Konsequenzen, als auf den ersten Blick offensichtlich ist. Ein Konto ist schnell eingerichtet. Normalerweise wird so ein Konto eingerichtet, dann wird es benutzt und später vielleicht auch vergessen – auf alle Fälle ist es zu spät, wenn etwas passiert. Irgendwann wird so ein benutztes Konto, so ein benutzter Dienst, kompromittiert (aka gehackt) und der Kriminelle (aka Hacker) kann auf dein Konto und auf alle verbundenen Konten zugreifen. Die meisten Benutzer haben überhaupt keine Ahnung, wie wertvoll so ein gehacktes E-Mail-Konto für einen Hacker sein kann und wie sehr es aber auch das eigene Leben beeinflussen, wenn nicht sogar ruinieren, kann.
Warum ist deine E-Mail für Hacker so wertvoll?
Wenn du ein Benutzerkonto bei einem Online Dienst erstellst, z. B. ein Abonnement, um Filme anzuschauen, oder um etwas kaufen oder verkaufen zu können, wirst du aufgefordert, deine E-Mail-Adresse an- und einzugeben.
Auf diese Weise ist deine Email Adresse jetzt mit deinem Konten verknüpft. Du verwendest aber nicht für jeden Online Dienst ein getrenntes, eigenes Konto, sondern immer die selbe Email Adresse. Die selbe Emailadresse für Online-Banking und deine Kreditkarten, um mit deinen Kunden und deinen Freunden zu kommunizieren, deine Zahlungen abzuwickeln, dich auf Videokonferenz Plattformen anzumelden und natürlich auch um die Social-Media-Konten zu benutzen.
Wenn ein Hacker deine persönliche E-Mail besitzt, dann hat er sie möglicherweise als Momentaufnahmen von einer Datenbank (vgl.: database dump – Listenauszug, Datenbankenabbild) gekauft. Was der Hacker dann mit diesen vielen Adressen, Benutzernamen, Passwörtern, und noch vieles mehr, vorhat, ist die Verletzungen der Datensicherheit (vgl.: Konsistenz-Integrität-Verfügbarkeit). Wenn die gewonnen Informationen personenbezogene Daten enthält und der Hacker diese noch in Beziehung setzt, dann haben wir auch eine Datenschutzverletzung. Aber die Diskussion ist eher abstrakt, weil der Hacker weder eine Datenschutzfolgenabschätzung macht, noch die Verarbeitung in einem Verzeichnis dokumentiert, geschweige denn eine Stellungnahme der Datenschutzbehörde einholt. Sehr wohl wird der Verantwortliche der Verarbeitung – von dem die Daten stammen – im europäischen Wirtschaftsraum (vgl.: EWR) eine Datenschutzverletzung der zuständige Behörde melden müssen.
Plötzlich hat der Hacker jetzt Zugriff auf alle deine Online-Daten und kann deine Passwörter zurücksetzen, um dich zu blockieren. Blockieren heisst in dem Fall dich aus deinem Online Konto auszusperren, indem er ein neues Passwort vergibt, dass du nicht kennst.
Leider verwendet ein Großteil aller Menschen den selben Benutzernamen in Kombination mit dem selben Passwort, für verschiedene Konten. Die Leute wissen zwar, dass sie es nicht sollten, aber viele haben buchstäblich so viele Konten, dass es uns fast unmöglich wird ohne Hilfsmittel diese zu verwalten und vor allem eine eigenes Passwort und einen eigenen Benutzernamen zu vergeben. Diese Schwäche wird, wenn sie von Hackern ausgenutzt wird, als „credential stuffing“ bezeichnet. Anmeldeinformationen, wie Benutzernamen und Passwort, werden als Füllmaterial benutzt. Mit diesem Füllmaterial werden dann verschiedene Dienste abgefragt, ob dort der Benutzernamen bekannt ist und wenn ja, ob das selbe Passwort verwendet wird. Das ist leider so einfach und die Trefferquote ist nicht zu unterschätzen.
Das ist auch der Fall – credential stuffing -, wenn ein Hacker alle deine alten Login-Passwörter von einem Konto bei allen anderen Konten versucht, in der Hoffnung das Passwort zu erraten. Diesen Vorgang als knacken zu bezeichnen ist vielleicht etwas überzogen. Es gibt Passwort Richtlinien, die vorsehen, dass Passwörter nicht in einem bestimmten Zyklus nicht wiederverwendet werden dürfen. Aus diesem Grund ist es notwendig auch alte Passwörter zu speichern.
Brain Krebs hat bereits 2013 auf Krebs on Security erwähnt, dass ein kompromittiertes Apple itunes-Konto für nur 8 US Dollar angeboten wird. Kontoinformationen von united.com gibt es um schlanke 6 US Dollar. Kontoinformationen, wie die von groupon, können für 5 US Dollar gekauft werden. Aktive kompromittierte Konten von Facebook und Twitter können für etwa 2,50 US Dollar pro Konto gekauft werden. Mit so einem „Kauf“ erwirbt man aber nicht die Exklusivrechte an der Information. Diese Informationen werden sehr oft verkauft. Die Preise sind nicht gestiegen in den Jahren bis heute. Die nutzbare Qualität der Information, in und über kompromittierte Konten, drückt sich im Preis aus. Das geht vom verfügbaren Haushaltseinkommen bis hin zu Bewegungsprofilen.
Welche anderen bösen Taten führt so ein Hacker nun im Schilde?
Wenn ein Hacker einen Zugang zu deinem E-Mail-Konto bekommen kann, wird er dein Konto nicht nur verwenden, um Spam in deinem Namen zu versenden und damit deine Freunde zu ärgern. Er konzentriert sich in der Regel darauf, seine Empfängerliste für seinen Versand von Spam zu erweitern, indem er diese Details aus deiner Kontaktliste sammelt. Damit ist aber seine Arbeit aber leider noch lange nicht zu Ende.
Da die von deinem Konto gesendeten E-Mails legitim aussehen (wie es für Freunde/Familie üblich ist), werden sie von den Empfängern nicht als Spam-E-Mails erkannt und auch nicht ignoriert. Meist geben solche Spam Mails vor, dass du sie in einer Notlage geschrieben hast und behaupten, in Schwierigkeiten zu sein… vor allem brauchst du Geld. Der Empfänger, wird gebeten, Geld per Überweisung zu senden… alles, während du, als eigentlicher Betroffener, keine Ahnung hast, was los ist.
Wenn du es gewohnt bist, E-Mails für eine gute Buchhaltung zu speichern, wie E-Mails mit Quittungen, Zugangsinformationen und Links, Software-Lizenzschlüsseln usw. in einem Ordner abzulegen, dann solltest du das bitte überdenken.
Sobald der Hacker Zugang erhält, kann und wird er diese Informationen in der Regel stehlen und verkaufen oder einfach nur verwenden, auch um deine anderen Konten zu übernehmen. Sobald dein E-Mail-Konto gehackt wurde, kann zum Beispiel auch dein Google-Konto jetzt aufgrund des E-Mail-Verifizierungsprozesses zum Zurücksetzen von Passwörtern leicht gehackt werden. Neben Google ist es bei so ziemlich allen Diensten möglich eine alternative Email Adresse zu hinterlegen. Das ist dann der Fall, wenn du dein privates Mailkonto und seine Adresse als alternative Adresse hinterlegt hast.
Der besorgniserregendste Punkt eines E-Mail-Hacks ist, dass es buchstäblich so viele Informationen gibt, die jetzt aus deinen zugänglichen Informationen gewonnen werden können. Alles was online gespeichert ist, ist in Gefahr – auch deine Bankkonten können jetzt gehackt werden und mit Social Engineering sind dann die Konten – zumindest Mailkonten – deiner Freunde die nächsten Ziele und Opfer.
Wie hackt ein Hacker mein E-Mail-Konto?
Hacker sind (normalerweise) ein erfinderischer und kluger Haufen. Sie werden aber auch gelegentlich abfällig Skript-Kiddies genannt, die gerne zum Spaß hacken. Das trifft aber nicht auf die Mehrheit zu, viele von ihnen sind professionelle Kriminelle, die davon leben. Für Kriminelle geht es nicht um persönliche Interessen, wie soziale Anerkennung und dergleichen, sondern es ist schlicht und einfach ihr eigenes wirtschaftliches Interesse. Wenn so ein Krimineller dein Konto nicht übernehmen kann, wird er nicht bezahlt… also ist so ein Krimineller ziemlich entschlossen.
Zuerst musst du sicherstellen, dass dein E-Mail-Anbieter sicher ist. Standardmäßig sind kostenlose, webbasierte Online-E-Mail-Konten nicht sehr sicher. Alles, was es auf der Seite des Kriminellen braucht, ist es das schwächste Glied in der Kette zu finden. Der Kriminelle kann auch die Kontrolle über deine E-Mails übernehmen, indem er deinen lokalen Computer, von dem du auf deine E-Mails am (sicheren) Mailserver zugreifst, mit einem RAT (Remote Access Tool) oder Spyware infiziert, um dein Passwort zu abzugreifen.
Unabhängig davon, wie der Kriminelle dein E-Mail-Konto hackt, kann der Kriminelle dein Arbeitsumfeld, deine Freunde und Kollegen und andere Online-Konten zumindest (ver-)stören. Du solltest gute Vorsichtsmaßnahmen treffen, bevor es zu spät ist. Das betrifft auch nicht mehr verwendeten Konten, wie der Gratis Website Hoster mit deinen ersten Gehversuchen einer eigenen Homepage. Gerade solche Informationen sind ein willkommenes Fressen für diese Bagage.
Mit einer E-Mail Adresse kann jeder eine umgekehrte E-Mail-Suche durchführen und überprüfen, welche Social-Media-Websites du verwendest.
Wenn deine Sicherheitseinstellungen auf Facebook als öffentlich festgelegt sind – standardmäßig ist öffentlich festgelegt -, kann jeder, der deine E-Mail-Adresse, Telefonnummer oder deinen Benutzernamen kennt, dich finden und deine gesamte Facebook-Aktivitäten sehen.
Denke jetzt an alle deine alten Konten, die du vor einiger Zeit eingerichtet hast. Ich wette, du verwendest nicht mehr als 20 % von ihnen..hoffentlich erinnerst du dich noch an sie! Gab es da nicht einmal foursquare, last.fm und wie sie alle hiessen. Ein Hacker wird Tools wie Reverse-Suchmaschinen verwenden, um alle deine alten Konten zu finden und Informationen über dich zu sammeln. Du kannst das aber leicht verhindern, indem du deine alten Benutzerprofile suchst, schließt und letztendlich löscht. Überprüfe auch, welche E-Mail-Adressen noch aktiv sind, und aktualisiere die Sicherheitseinstellung aller Konten auf ein möglichst hohes Niveau.
Wie schütze ich mein E-Mail-Konto?
Hacker haben unbegrenzte einfallsreiche Möglichkeiten, sich in dein E-Mail-Konto zu hacken. Sie sind gewissermaßen Experten für Computersicherheit. Aber auch Sozialexperten, mit einer guten Ahnung, deine Reaktion auf bestimmte Aktionen vorherzusagen, bevor du es wirklich tust – es ist ein wenig wie Schach spielen.
Du solltest zunächst sehr selektiv sein, wem du deine E-Mail weiter gibst und wo du sie veröffentlichst. Webbasierte Online-E-Mail-Dienste sind standardmäßig nicht sehr sicher und standardmäßig anfällig für Hacking.
Die nächste Überlegung, die du haben solltest, ist die Aktivierung der Multifaktor-Überprüfung für alle Anmeldeversuche und alle mit deinem Konto verknüpften Dienste. Alle webbasierten Online-E-Mail-Konten bieten jetzt eine Multifaktor-Verifizierung an, die du verwenden solltest. Du solltest auch die Online-Konten überprüfen, die du verwendest oder die du vielleicht vergessen hast und die nicht mehr existieren. Könnte schwer werden, weil vergessen ja bedingt, das die relevante Information fehlt…
Handel jetzt! Führe eine umgekehrte Suche nach deiner E-Mail-Adresse durch, um im ersten Schritt deine sozialen Online-Netzwerke abzusichern.
Handel jetzt!