Google: Account-Hijacking ist eine der größten Gefahren im Internet

Am 8. Februar findet der Safer Internet Day unter dem Motto „Together for a better Internet“ zum 19. Mal statt. Im Fokus steht der sichere und verantwortungsvolle Umgang mit digitalen Medien.

In Zeiten der Pandemie ist das von großer Bedeutung, da sich viele Alltagssituation in das Internet verlagern, angefangen vom Homeoffice bis zu freizeitlichen Beschäftigungen. Cyberkriminelle machen sich diese Umstände zunutze, wie Sicherheitsexperte Jeroen Kemperman vom Google Safety Engineering Center hinweist.

Einer der größten Gefahren für Organisationen und individuelle Nutzer*innen sei „Account-Hijacking“. Allein im vergangenen Jahr stiegen die Suchanfragen nach „Wie stoppt man Identitätsdiebstahl“ um mehr als 110 Prozent weltweit, wie Kemperman in einem Blogpost schreibt. Cyberkriminelle übernehmen dabei durch gestohlene Daten das E-Mail-Konto, Benutzerkonto oder andere Accounts, die mit einem Gerät oder Online-Dienst verknüpft sind und nutzen diese für ihre kriminellen Vorhaben.

Verlust von Kontrolle und Daten

Solche Angriffe kann sowohl das Opfer direkt als auch ihr Umfeld betreffen. So könnte jemand mit Zugang zum Netzwerk des Unternehmens an vertrauliche Daten kommen, Freund*innen und Familie im privaten Umfeld um Geld bitten oder sie zu dem nächsten Opfer machen. Je nachdem, welche Zugänge und Daten der Cyberkriminelle hat, kann der Angriff unterschiedliche Ausmaße annehmen. Um auf ein Konto zuzugreifen, gibt es verschiedene Methoden, die zum Teil die ungewollte und aktive Mitarbeit der Opfer benötigen.

So wird beim Phishing versucht, über gefälschte Webseiten, E-Mails oder Kurznachrichten an die Login-Daten zu kommen. Dabei werden visuelle Täuschungen, wie eine fast idente Login-Seite, und emotionale Einflussnahme eingesetzt. Laut Kemperman versuchen Angreifende Dringlichkeit zu vermitteln und nutzen die Verlustangst von User*innen.

Neben Phishing-Attacken gibt es für den Kontozugang auch eigens programmierte Malware und die Möglichkeit Daten bei einschlägigen Plattformen im Darknet zu kaufen. Daten können also nicht nur durch Phishing in falsche Hände geraten.

Sicherer Zugang

Daher muss das Passwort sicher sein. Unter anderem darf es nicht einfach zu knacken sein. Google empfiehlt hier mindestens 8 Zeichen und keine persönlichen Angaben oder häufig verwendete Wörter.

Außerdem: „Ein einzelnes Passwort für alle Dienste reicht nicht mehr aus“, sagt Kemperman. Kommen Daten einer Webseite oder eines Unternehmens abhanden, wäre ein einzelnes Universalpasswort der Schlüssel zu allen Konten. Mehrere individuelle Passwörter können durch Passwortmanager-Anwendungen gespeichert und verwaltet werden, um sie nicht zu verlieren und zu schützen.

Ein weiteres Muss sei laut Kemperman die Zwei-Faktor-Authentifizierung bzw. eine zusätzliche Sicherheitsebene für den Identitätsnachweis. Die sicherste Variante wäre ein FIDO-Sicherheitsschlüssel, der in physischer Form einem USB-Stick ähnelt und mit dem Rechner verbunden wird, um Fremdzugang zusätzlich zu erschweren.

Um Sicherheitslücken in der Software zu schließen, sollte man die Programme regelmäßig updaten.

So erkennt man Phishing-Attacken

Die häufigste Form von Phishing sind E-Mails. Diese geben etwa vor, von Banken, Amazon oder Apple zu sein. Sehr beliebt sind derzeit auch Phishing-Kampagnen per SMS. Diese versuchen ihre Opfer auf gefälschte Webseiten zu locken, um dort ihre Login-Daten einzugeben oder schädliche Apps herunterzuladen.

„Jeder kann Opfer von Phishing werden“, sagt Kemperman. Laut ihm sind 45 Prozent aller Nutzer*innen von Phishing betroffen. Bei 20 Prozent dieser Fälle machen sich die Cyberkriminellen schon innerhalb von 30 Minuten die erbeuteten Daten zunutze – etwa um die Opfer aus ihren eigenen Konten auszusperren oder um Abbuchungen zu tätigen.

Um solche Phishing-Nachrichten zu erkennen, sollte man immer beachten, woher die Nachricht kommt. Dazu sollte man nicht nur auf den Namen des Absenders achten, sondern auf die genaue Adresse. Statt „support@apple.com“ ist etwa „apple-service-liveapple.com“ zu lesen. Vorsicht: Bei dem Absender kann es sich auch um die Kontaktdaten eines Familienmitglieds oder Freundes handeln, der selbst Opfer eines Identitätsdiebstahls wurde.

Klingt der Nachrichteninhalt zu gut oder zu schrecklich, um wahr zu sein, kann man den Text in eine Suchmaschine kopieren und sehen, ob bereits etwas darüber gemeldet wurde. Typische Köder sind etwa die Millionenerbschaft oder eine großzügige Spende.

Ebenfalls versuchen Betrüger mit Zeitdruck ihre Opfer in die Falle zu locken. So werde angeblich das Bankkonto gesperrt, wenn man nicht einen Link folge, um die Anmeldedaten einzugeben. Rechtschreib- und Grammatikfehler sind auch ein guter Indikator dafür, dass die Nachricht nicht echt ist.

Abweichende Webseiten- oder Logo-Designs eines Unternehmens sind ebenfalls verräterisch.

Einen Link in einem verdächtigen Mail oder einer SMS sollte man nie direkt öffnen: Stattdessen im Browser die Webseite des Unternehmens direkt ansteuern. Anhänge im E-Mail sollte man nur öffnen, wenn diese aus vertrauenswürdiger Quelle sind und man sie erwartet.