Beginnen wir mit einem typischen Szenario: Gestatten? Das ist Craig. Craig sitzt an seinem Schreibtisch und kann nicht fassen, was da passiert. Erst vor wenigen Stunden hat er eine E-Mail von seiner Bank erhalten, in der er auf verdächtige Aktivitäten auf seinem Konto hingewiesen wurde. Jetzt versucht er verzweifelt, sich anzumelden und seinen Kontostand zu prüfen. Doch keine Chance – der Zugriff bleibt ihm verwehrt. Armer Craig. Offenbar ist er Opfer von Account-Hijacking geworden: Sein Konto wurde gekapert.
Aber Internetnutzer wie Craig sind nicht allein. Laut Consumer Impact Report 2022 des Identity Theft Resource Center hat allein das Kapern von Social-Media-Konten in den letzten 12 Monaten epidemische Ausmaße angenommen: So ist die Zahl der Kontoübernahmen um 1.000 % gestiegen.
Was genau ist also „Account-Hijacking“, welche Methoden werden eingesetzt und wie können Sie sich schützen?
Das Phänomen des „Account-Hijacking“ ist so alt wie das Internet selbst. Doch wie verlief seine Entwicklung?
Von Account-Hijacking spricht man, wenn sich jemand unberechtigten Zugriff auf das Online-Konto eines Nutzers verschafft, um die Kontrolle darüber zu übernehmen. Dabei handelt es sich um eine Form des Identitätsdiebstahls, bei der sich ein Cyberkrimineller als Sie ausgibt, um sich bei einem Online-Konto anzumelden – in der Regel, doch nicht zwangsweise, bei einem Finanzkonto. Das ist nichts Neues. Schon in den frühen Tagen des Internets, als die ersten Nutzer im Internet Konten anlegten, um auf verschiedene Dienste wie E-Mail, soziale Medien (Facebook, Twitter, WhatsApp usw.) und Online-Shops zuzugreifen, kam es vor, dass Konten gekapert wurden. Mit der zunehmenden Anzahl von Online-Konten wurde diese Angriffsmethode bei Cyberkriminellen immer beliebter. Ein Online-Konto ist eine virtuelle Schatztruhe mit sensiblen Informationen, die mitunter viel wert sind. Gelangen Hacker an Ihre Anmeldedaten – z. B. Benutzername und Passwort –, so haben sie freie Hand. Sie können ungenehmigte Änderungen vornehmen, Bestellungen aufgeben oder das Konto für weitere Angriffe nutzen. Und da sie sich dabei als Sie ausgeben, bleiben sie anonym – ein bisschen wie Bankräuber in der realen Welt, die während eines Überfalls eine Maske tragen.
Besonders perfide wird es, wenn Cyberkriminelle Ihr Online-Konto dazu nutzen, ahnungslose Personen zu erpressen oder Informationen (über E-Mail, Social Media usw.) zu veröffentlichen, die Ihrem Unternehmen oder Ihrem Ruf schaden. Account-Hijacking ist also nicht bloß eine Unannehmlichkeit, sondern kann echten emotionalen und finanziellen Schaden anrichten.
Der Diebstahl Ihrer Online-Persona: die hinterhältigen Taktiken der Kontodiebe
Übung macht den Meister. Daher sollte es nicht überraschen, dass die Kapertaktiken der Angreifer im Laufe der Jahre immer raffinierter geworden sind. Halten Sie nach den üblichen Verdächtigen Ausschau:
Phishing: „Ihr Bankkonto wurde gesperrt! Bitte melden Sie sich an, um das Problem zu lösen.“ Natürlich stammt diese E-Mail nicht wirklich von der Bank. Vermutlich handelt es sich um einen Social-Engineering-Angriff, bei dem der Angreifer versucht, Sie zur Preisgabe Ihrer Zugangsdaten oder anderer sensibler Informationen zu verleiten. Möglicherweise setzt er dazu eine gefälschte E-Mail oder Website auf, die legitim aussieht, tatsächlich aber ein heimtückischer Versuch ist, die Daten der Zielperson abzugreifen.
Einsatz von Keyloggern: Hierbei handelt es sich um eine Technik, bei der der Angreifer auf dem Computer der Zielperson eine Software installiert, die jede Tasteneingabe aufzeichnet und an den Hacker zurücksendet. So können Ihre Anmeldedaten, Kreditkartennummern und andere sensible Informationen bei der Anmeldung bei den entsprechenden Plattformen abgegriffen werden.
Malware: Malware ist eine Software, die darauf abzielt, Schaden auf dem Zielcomputer anzurichten oder darauf gespeicherte Informationen zu entwenden. Einige Arten von Malware nehmen gezielt Anmeldedaten ins Visier und können eingesetzt werden, um unerwünschten Zugriff auf ein privates Konto zu ermöglichen. Hacker könnten beispielsweise versuchen, Ihr Cloud-Konto (z. B. Google Drive, Dropbox oder iCloud) zu kapern, indem sie Malware in Ihren Laptop, Ihr Tablet oder Ihr Mobiltelefon einschleusen, um Ihre Zugangsdaten automatisch zu erfassen. So können sie sich Zugriff auf Ihre Dateien und andere Dokumente verschaffen.
Geknackte Passwörter: Angreifer setzen spezielle Software ein, um das Passwort einer Zielperson zu erraten – sprich zu „knacken“. Dazu können sie eine Liste gängiger Passwörter ausprobieren. Auch Wörterbuch- und/oder Brute-Force-Angriffe kommen hierfür zum Einsatz – mehr dazu weiter unten. Das ist zwar ein mühsames Unterfangen, aber mit ein wenig persönlichem Bezug lässt sich Ihr Passwort im Handumdrehen knacken. Haben Sie beispielsweise eine Katze? Dann könnten Hacker folgende Kombinationen ausprobieren: „Stubentiger“ oder „Stubentiger12345“. Volltreffer! Schon sind sie drin.
Ein Wörterbuchangriff ist eine Methode zum Knacken von Passwörtern, bei dem alle Optionen einer bestimmten Passwörterliste, z. B. ein Wörterbuch, durchprobiert werden. Diese Listen werden oft durch Zusammenstellung gebräuchlicher Passwörter oder Wörterbuchbegriffe erstellt. Anschließend werden alle Einträge der Liste nach und nach ausprobiert, um das Passwort zu erraten.
Bei einem Brute-Force-Angriff hingegen, ebenfalls eine Methode zum Knacken von Passwörtern, werden alle möglichen Zeichenkombinationen ausprobiert, bis das richtige Passwort gefunden ist. In der Regel arbeitet sich ein automatisiertes Programm durch diese endlosen Zeichenkombinationen, angefangen mit den gebräuchlichsten. Brute-Force-Angriffe können sehr zeitaufwändig sein, aber Hacker haben Geduld, und schließlich machen automatisierte Programme nicht um 17 Uhr Feierabend und brauchen auch keine Pausen.
Physischer Zugang: Manchmal versuchen die Angreifer auch einfach, sich physischen Zugang zu Ihrem Computer oder Gerät zu verschaffen, um die jeweiligen Anmeldedaten zu stehlen oder Malware zu installieren. Gibt es auf Ihrem Desktop ein Dokument mit dem vielsagenden Titel „PASSWÖRTER“, das Ihre gesammelten Zugangsdaten enthält? Ein solches Geschenk ist für Hacker wie Weihnachten und Geburtstag zusammen!
Sie denken, Sie haben wenig zu verlieren? Sind Sie sich da sicher?
Account-Hijacking kann weitreichende Folgen haben, über die Sie im Bilde sein sollten, bevor es zu spät ist. Einige Beispiele gefällig?
- Finanzielle Verluste: Wenn sich ein Angreifer Zugriff auf Ihre Finanzkonten verschafft, kann er etwa unerlaubte Bestellungen tätigen oder Geld auf ein anderes Konto überweisen. Dies kann zu erheblichen finanziellen Verlusten führen, die sich nur schwer kompensieren lassen.
- Identitätsdiebstahl: Sollte ein Angreifer personenbezogene Daten wie Name, Anschrift und Geburtsdatum in Erfahrung bringen, kann er diese Informationen für einen Identitätsdiebstahl nutzen. In Ihrem Namen könnte er beispielsweise neue Konten eröffnen, Darlehen oder Kreditkarten beantragen oder sich sogar an illegalen Machenschaften beteiligen.
- Rufschädigung: Mit Zugriff auf Ihre Social-Media- oder E-Mail-Konten könnte ein Angreifer unangemessene oder beleidigende Inhalte posten oder unangemessene Mitteilungen an Ihre Kontakte senden. Stellen Sie sich vor, was dies für Ihren Ruf und Ihre privaten oder beruflichen Beziehungen bedeuten würde!
- Rechtliche Konsequenzen: Je nachdem, wofür der Angreifer die gekaperten Konten nutzt, kann Account-Hijacking auch rechtliche Konsequenzen haben. Wird Ihr Konto beispielsweise für betrügerische oder andere illegale Zwecke missbraucht, so können Sie zur Rechenschaft gezogen werden.
- Verlust des Kontozugriffs: Manchmal werden Sie von den Drahtziehern aus Ihren eigenen Konten ausgesperrt, sodass Sie bestimmte Aktionen nur noch schwer ausführen können. Dies kann besonders frustrierend sein, wenn Sie für wichtige Aufgaben auf diese Konten angewiesen sind, z. B. für Finanzverwaltung oder Kommunikation.
- Psychische Belastung: Natürlich können der Verlust eines Kontos und die damit einhergehenden Folgen psychisch sehr belastend sein.
Nachdem wir Ihnen die Gefahren im Zusammenhang mit gekaperten Konten nun hoffentlich überzeugend darlegen konnten, finden Sie im Folgenden einige Tipps und Tricks, wie Sie den Kontodieben, die es auf Ihre Zugangsdaten abgesehen haben, aus dem Weg gehen können.
H2: Vereiteln Sie Angriffe auf Ihr Konto durch vorausschauendes Handeln
Lassen Sie nicht zu, dass Ihnen die Angst vor Kontodieben schlaflose Nächte bereitet. Schützen Sie sich stattdessen mit diesen einfachen, aber effektiven Methoden. Mit diesen fünf grundlegenden Schutzmaßnahmen können Sie die Oberhand gewinnen.
- Starke, eindeutige Passwörter: Mit starken, eindeutigen Passwörtern für jedes Ihrer Online-Konten können Sie sich wirkungsvoll vor Account-Hijacking schützen. (Verwenden Sie niemals dasselbe Passwort für mehrere Plattformen, da Cyberkriminelle damit potenziell auf alle Ihre Konten zugreifen könnten!) Ein Passwort-Manager wie Avira Password Manager generiert komplexe Passwörter und hilft, sie sicher zu speichern.
- Aktivieren der Multi-Faktor-Authentifizierung: Viele Institute und Online-Dienste bieten inzwischen Multi-Faktor-Authentifizierung (MFA) an: Dabei müssen sich Nutzer zusätzlich zur Standardabfrage von Benutzername und Passwort auf eine weitere Weise ausweisen, etwa durch die Eingabe eines an ihr Mobiltelefon gesendeten Codes oder die Beantwortung einer Sicherheitsfrage. Durch die Aktivierung der MFA lässt sich die Sicherheit Ihrer Online-Konten maßgeblich erhöhen.
- Achten auf mögliche Phishing-Angriffe: Phishing-Angriffe sind ein gängiger Trick, mit dem sich Angreifer Ihre Zugangsdaten erschleichen. Achten Sie auf verdächtige E-Mails, SMS oder Textnachrichten. Und wenn Sie auf Links klicken oder auf Anfrage persönliche Daten preisgeben, sollten Sie sich ganz sicher sein, dass es sich um eine legitime Anfrage handelt.
- Installieren einer Antivirenlösung: Eine renommierte Antivirenlösung wie Avira Free Antivirus kann Ihren Schutz vor Malware und anderen Cyberbedrohungen, die mitunter zum Erlangen des (unberechtigten) Zugriffs auf Ihre Konten eingesetzt werden, erhöhen. Halten Sie Ihr Antivirus auf dem neuesten Stand und vergewissern Sie sich durch regelmäßige Scans, dass Ihre Geräte virenfrei sind. Für mehrschichtige Sicherheit und Online-Privatsphäre empfehlen wir Avira Free Security oder das noch umfassendere, abonnementbasierte Gegenstück Avira Prime.
- Und schließlich sollten Sie sich stets vergewissern, dass Sie eine sichere Website verwenden. Wenn Sie persönliche Daten auf einer unsicheren Website angeben, ist das Risiko größer, dass Hacker oder andere Kriminelle diese Daten während der Übermittlung über das Internet abfangen, um ihrer habhaft zu werden. Als Faustregel gilt: Achten Sie immer auf das Vorhängeschlosssymbol, das in der Regel neben der Website-Adresse angezeigt wird. Dieses Symbol bedeutet, dass Ihre Daten bei der Übertragung über diese Website verschlüsselt werden.
Fakt ist: Die wenigsten von uns sind gegen Account-Hijacking gefeit. Doch deshalb muss man nicht den Teufel an die Wand malen. Wenn Sie die hier erläuterten Schritte befolgen, können Sie Ihre Sicherheit stärken und potenziellen Kontodieben das Handwerk legen. Darüber hinaus sollten Sie Ihre Konten unbedingt regelmäßig überprüfen und verdächtige Aktivitäten sofort dem jeweiligen Service-Provider oder der Plattform melden.
Dieser Artikel ist auch verfügbar in: EnglischFranzösischItalienisch