Vorsicht, Identitätsdiebstahl! Betrüger haben es auf Nutzerkonten abgesehen

Weihnachtszeit ist Shoppingzeit – in den Tagen vor Heiligabend hat nicht nur der Einzelhandel Hochkonjunktur. Auch Betrüger sind jetzt besonders aktiv. Die Zahl sogenannter Identitätsdiebstähle steigt rapide an. Verbraucher können sich jedoch vor der Übernahme ihrer Nutzerkonten durch Betrüger schützen.

Vorsicht, Identitätsdiebstahl! Betrüger haben es auf Nutzerkonten abgesehen. pixabay.com ©vickygharat (Creative Commons CC0)

Meist sind für die Nutzung von Online-Diensten nur zwei Dinge nötig: Ein selbst gewähltes Pass­wort und ein Benutzername. Oft ist der Benutzername eine E-Mail-Adresse. Kennen Angreifer diese, müssen sie lediglich noch das Passwort knacken, um uneingeschränkten Zugriff auf das Nutzerkonto zu erhalten. Richtet sich die Attacke gegen das E-Mail-Postfach, können sie darüber sogar auf weitere Konten zugreifen. In dem Fall funktioniert es wie ein öffentlich zugänglicher Briefkasten – Angreifer können oft unbemerkt mitlesen. Sie erfahren, welche Dienste das Opfer verwendet, können Passwörter zurücksetzen und sich so Zugang zu weiteren Diensten verschaffen.

Experten sprechen in solchen Fällen von Account Takeover. Gemeint ist damit die missbräuchliche Verwendung eines Nutzerkontos durch Dritte. Anders als in Hollywood-Streifen sind dabei selten Hacker am Werk. Die für die Übernahme fremder Konten nötigen Daten sowie Werkzeuge können vergleichsweise einfach beschafft werden: Im Darknet kursieren unzählige Listen mit E-Mail-Adressen und Passwörtern, die wie in einem Onlineshop gekauft werden können. Die Daten stammen oft aus größeren Datenlecks bekannter Unternehmen. Diese Zugangsdaten werden von den Tätern anschließend automatisiert auf weiteren Plattformen ausgetestet (Credential Stuffing).

Der Schaden entsteht erst später – Betrüger nutzen die Konten, um damit auf Shoppingtour zu gehen. Sie greifen persönliche Daten wie Personalausweiskopien, Adressen und Bankverbindungen ab, die in den Konten hinterlegt sind und nutzen diese für ihre Zwecke. Häufig nehmen sie auch die Identität des Kontoinhabers an und treten selbst als Verkäufer auf. Sie bieten Waren an, die nicht existieren und spekulieren auf Vorkasse-Zahlungen argloser Interessenten.

Enormer Anstieg der Anfragen zu widerrechtlichen Übernahmen von Nutzerkonten

Bei eBay Kleinanzeigen stieg die Zahl der Nutzeranfragen im Zusammenhang mit solchen Nutzerkonto-Übernahmen innerhalb eines Jahres um 250 Prozent. „In den vergangenen Monaten drehte sich zeitweise nahezu die Hälfte aller Anfragen an unseren Kundenservice um Account Takeover. Meist melden sich die eigentlichen Kontoinhaber bei uns, wenn sie merken, dass über ihr Nutzerkonto plötzlich Dinge angeboten werden, die sie selbst nicht eingestellt haben“, erklärt Jöran Rieß von eBay Kleinanzeigen. Der Sicherheitsexperte kümmert sich mit seinem Team um Maßnahmen, die solche Fälle verhindern sollen. „Etwas später melden sich dann weitere Geschädigte bei uns, die Geld überwiesen und vergeblich auf die Ware gewartet haben. Häufig gibt es somit mehrere Geschädigte in Folge einer Kontoübernahme.“ Die Zahl der aufgrund von Übernahmen gesperrten Nutzerkonten stieg binnen eines Jahres um 200 Prozent.

Leichtes Spiel für Betrüger: ein Passwort für mehrere Konten

Nicht immer nutzen Angreifer erbeutete Datensätze. Häufig verwenden sie lediglich Wörterbücher, die besonders beliebte und einfache Passwörter – beispielsweise Zahlenfolgen oder häufig genutzte Worte wie „Passwort“ – enthalten. Mit Brute-Force-Attacken lassen sich vor allem kurze Passwörter schnell knacken. Programme spielen dabei alle möglichen Kombinationen durch. Die Opfer des Identitätsmissbrauchs machen es den Betrügern zudem oft sehr leicht, indem sie für unterschiedliche Anwendungen ein- und dasselbe Passwort nutzen.

Tipps für sichere Passwörter

Um sich wirkungsvoll vor einer Übernahme eigener Nutzerkonten zu schützen, sollten beim Anlegen eines Kontos bei einem Online-Dienst folgende Hinweise berücksichtigt werden.

  1. Individualität: Nutzer sollten für jeden Dienst ein eigenes Pass­wort vergeben.
  2. Länge: Je länger das Passwort, desto besser – acht Zeichen gelten aktuell als Minimum.
  3. Komplexität: Kryptische Buchstaben-/Zeichenfolgen verhindern Wörterbuch-Attacken.

Sichere Passwörter lassen sich mithilfe von Passphrasen bilden. Dabei werden die Anfangsbuchstaben der Worte eines eingängigen Satzes für die Bildung eines Passwortes genutzt. Fortgeschrittene Anwender nutzen Passwortmanager, diese generieren sichere Passwörter und speichern diese – Nutzer müssen sich dann nur ein starkes Generalpasswort merken. Entsprechende Software gibt es als kostenfreie Open-Source-Lösungen. Vor allem kostenpflichtige Abo-Dienste ermöglichen den komfortablen Zugriff auf gespeicherte Passwörter über Gerätegrenzen hinweg.

Marktplaats B.V
Beitrag teilen: