Mann hackt Office365-Konten, verdient damit Millionen an der Börse

02.10.2024

Durch den Zugriff auf E-Mail-Konten konnte er früher auf Finanzberichte zugreifen.

Ein Mann wurde in den USA verhaftet, nachdem er die Office365-Konten mehrerer Führungskräfte von Börsenunternehmen knackte. Das verschaffte ihm einen Vorteil beim Aktienhandel.

Mit dem Zugriff auf die Konten konnte der Hacker auch sämtliche E-Mails seiner Opfer lesen. Darunter fanden sich regelmäßige Finanzberichte, die der Öffentlichkeit noch nicht zugänglich waren.

➤ Mehr lesen: FTX-Gründer Sam Bankman-Fried verurteilt: Bis zu 100 Jahre Haft

Passwort zurückgesetzt

Um an die E-Mails zu kommen, nutzte er den Mechanismus zum Zurücksetzen des Microsoft-Passworts. Er vertuschte den Vorgang einfach, indem er die Benachrichtigungen zum Zurücksetzen des Passworts löschte. Außerdem deaktivierte er Warnungen von Microsoft an die Opfer.

Wie genau es dem Angreifer gelang, trotz Sicherheitsmechanismen von Microsoft Zugriff auf die Konten zu erhalten, teilte die Staatsanwaltschaft nicht mit. Die Hürde für das Zurücksetzen des Passworts dürfte aber recht niedrig gewesen sein, etwa lediglich durch die Beantwortung einer Sicherheitsfrage, statt durch 2-Faktor-Authentifizierung.

➤ Mehr lesen: Warum sind Passkeys sicherer als jedes Passwort?

Mit dem Zugriff zu den Konten richtete der Mann Weiterleitungsregeln für bestimmte E-Mails ein. So landeten die Finanzberichte regelmäßig in einem von ihm kontrollierten E-Mail-Postfach.

3,75 Millionen Dollar ergaunert

So verschaffte sich der Mann einen Vorteil beim Aktienhandel. Er konnte anhand der Berichte einschätzen, ob die Aktienpreise fallen oder steigen würden. So konnte er zum richtigen Zeitpunkt profitabel seine Aktien verkaufen. Wie Ars Technica berichtet, verdiente er damit zwischen 2019 und 2020 etwa 3,75 Millionen Dollar (3,39 Millionen Euro).

Das könnte er jetzt zurückzahlen müssen, zusätzlich zu einer Strafe für den Betrug von mindestens 250.000 Dollar. Außerdem droht ihm Haftstrafe von bis zu 20 Jahren. Für den unerlaubten Zugriff auf die Konten könnten zusätzliche 20 Jahre und eine Strafe von 5 Millionen Dollar drohen.