Skip to content

Identitätsdiebstahl Teil 2 - Identitäten einsammeln

Dass der "Identitätsdiebstahl" ja eigentlich gar keine Diebstahl sondern ein Missbrauch ist habe ich im ersten Teil erklärt. Im Grund ist es aber egal ob man es nun "Identitätsdiebstahl" oder "Identitätsmissbrauch" nennt. Denn alles, was der Cyberkriminelle in Ihrem Namen tut, fällt auf Sie zurück. Und das ist ja das eigentliche Problem.

In dieser Folge schauen wir uns an, wie die Cyberkriminellen die Identitäten "stehlen".

Phishing

Häufig werden die für den Identitätsmissbrauch benötigten Daten über Phishing gesammelt. Das kennen Sie ja sicher: Zum Beispiel eine Bank oder ein Onlinehändler schickt ihnen eine E-Mail, in der Sie über einem möglichen Missbrauch ihres Kontos oder zur Erhöhung dessen Schutzes gebeten werden, ihre Daten erneut einzugeben.

So wenig, wie diese E-Mail vom angeblichen Absender stammt, so wenig landen Sie auf dessen Webserver, wenn sie dem Link zur Eingabe der Daten in der Mail folgen. Stattdessen führt der Link Sie auf eine nachgemachte Seite, die oft täuschend echt aussieht und mitunter sogar eine scheinbar passende Domain verwendet. Womöglich sogar mit gültigen Zertifikat für die HTTPS-Verbindung. Das dann eben nicht auf www.ihre-bank.example ausgestellt ist, sondern auf www.lhre-bank.example. Oder ähnliche Tricks nutzt, um Sie zu täuschen.

Alles, was sie auf dieser Seite eingeben, landet beim kriminellen Absender der Phishing-Mail: Zugangsdaten, Name und Adresse, Geburtsdatum und -ort, Bankverbindung, Kreditkartendaten, früher auch mal 20 TANs der TAN-Liste fürs Onlinebanking auf einmal - die Möglichkeiten sind grenzenlos. Alles, was sich irgendwie verwenden und auf einer Webseite eingeben lässt, lässt sich auch abphischen. Mit diesen Daten kann sich der Kriminelle dann in Ihrem Namen bei der vorgetäuschten Bank oder Webshop anmelden oder anderswo in Ihrem Namen Benutzerkonten einrichten.

Außerdem kann der Kriminelle munter zu Lasten Ihres Bank- oder Kreditkartenkontos einkaufen, in Ihrem Namen Dritte betrügen, beleidigen oder bedrohen, ... - und im Falle einer Anzeige wendet die Polizei sich dann an Sie.

Ganz genauso lassen sich über Phishing auch zum Beispiel die Zugangsdaten zu Social Networks, Packstationen, Foren, ... ausspähen, so dass die Kriminellen sich dort als ihre Opfer ausgeben und in deren Namen agieren können.

Vor Phishing-Angriffen ist niemand sicher, es gibt aber einen ganz einfachen Schutz dagegen, zum Opfer zu werden: Folgen Sie niemals Links in E-Mails (oder aus anderen Quellen), wenn Sie aufgefordert werden, Daten zur Kontrolle einzugeben. Rufen Sie die betreffende Website aus ihren Bookmarks auf oder geben Sie den Ihnen bekannten Link (nicht den aus der E-Mail abtippen!) manuell ein. Wenn der Betreiber der Website etwas von Ihnen will, wird er Ihnen das spätestens nach der Anmeldung mitteilen. Gibt es auch in ihrem persönlichen Bereich keine entsprechende Aufforderung oder ähnliches, war die E-Mail mit Sicherheit gefälscht.

Und verlassen Sie sich nicht darauf, dass Sie in Phishing-Mails nicht persönlich sondern als "Sehr geehrter Kunde" oder ähnliches angesprochen werden, wie es oft noch als Erkennungsmerkmal einer Phishing-Mail genannt wird. Ich erhalte schon seit einiger Zeit immer mal wieder Phishing-Mails, in denen mein Name steht. Und das nicht nur bei Adressen, bei denen sich der Name aus dem Local Part ergibt, sondern auch bei Freemail-Adressen mit davon völlig unabhängigen Local Part.

Ködern

Oft reicht es auch die Opfer mit Geschenken zu locken um an die gewünschten Daten zu kommen: "Nur hier, nur heute: Eine kostenlose Zeitschrift/Buch/Flasche Wein/... - Bitte unten die Daten eintragen, die Lieferung erfolgt kostenlos! Kein Abonnement, keine Kündigung nötig!"

Damit bekommen die Phisher dann zumindest Name, Postanschrift und E-Mail-Adresse, das reicht für den Anfang schon. Mit etwas Geschick lassen sich die Opfer womöglich auch die Bankverbindungen abluchsen, z.B. wenn mit einer kleinen Geldprämie gelockt wird.

Kompromittierte (Web-)server - Identitäten en Masse

Eine andere Möglichkeit, an Informationen über Identitäten zu gelangen, ist die Kompromittierung von Servern, vor allem Webservern, mit dem Ziel, dort die Benutzer- oder Kundendatenbank zu kopieren. Die enthält zumindest Benutzernamen und (hoffentlich kryptografisch geschützte) Passwörter, meist auch Namen und Adressen. Und auch Bank- und Kreditkartendaten, ... sind manchmal zu finden.

Mitunter tauchen die kopierten Datenbanken dann auch irgendwo anders im Internet auf, so dass mehrere Gruppen Krimineller sie unabhängig voneinander missbrauchen können.

So einem Angriff sind Sie als Benutzer natürlich wehrlos ausgesetzt. Sie müssen sich darauf verlassen, dass Ihre Daten überall ausreichend geschützt werden. Wie die vielen Datenlecks der Vergangenheit gezeigt haben ist das bei weitem nicht immer der Fall. Manche Betreiber schaffen es nicht mal, wenigstens die Passwörter ausreichend zu schützen, so dass die Kriminellen Klartext-Passwörter oder einfach zu knackende Hashwerte erbeuten. Und damit sofort oder in kürzester Zeit auf die Benutzerkonten zugreifen können.

Gefährlich wird es dann, wenn der gleiche Benutzername (der viel zu oft ja gezwungenermaßen aus der E-Mail-Adresse besteht) und das gleiche Passwort auch anderswo verwendet werden. Also: Verwenden Sie für jeden Dienst, jede Website, was auch immer, ein eigenes Passwort. Ein Passwortmanager oder -safe hilft bei der Verwaltung der Passwörter. Sie müssen nur aufpassen, dass dessen Passwortdatenbank ausreichend geschützt ist. Falls Schadsoftware auf Ihren Rechner gelangt und sich Zugriff auf die Passwörter in der Datenbank verschaffen kann, sind dann auf einen Schlag alle ihrer digitalen Identitäten gefährdet.

Und kommen Sie bitte nicht auf die Idee, die Daten in der Cloud zu speichern, auch wenn das manche Passwortmanager anbieten und es so schön bequem ist weil man die Daten dann von überall aus nutzen kann. Man kann sie aber auch von überall aus angreifen. Überlegen Sie mal: Was ist für die Cyberkriminellen interessanter als eine Datenbank mit Ihren Zugangsdaten, wie sie der Passwortmanager auf Ihrem Rechner anlegt? Richtig: Eine Datenbank mit ganz vielen solchen Datenbanken!

In der nächsten Folge geht es um weitere Möglichkeiten, Identitäten zu "stehlen".

Carsten Eilers

>

        </div>
                
        <footer class= Kategorien: Grundlagen

Trackbacks

Keine Trackbacks