Account Hijacking: Weshalb ein Passwort nicht mehr genügt

Das Leben findet zunehmend online statt. Spätestens seit der Coronapandemie ist es keine Seltenheit mehr, Onlinediensten ein paar der wichtigsten Details über das eigene Leben anzuvertrauen. Kreditkartendaten beim Shopping, Ausweisnummern beim Buchen eines Fluges oder auch private Fotos, um sie mit Freunden und Familie zu teilen. All diese Daten werden hinter einer digitalen Identität geschützt - einem Account. Weil diese Accounts immer mehr Informationen vereinen, werden sie für Cyberkriminelle zunehmend attraktivere Ziele. Mit verschiedenen Mitteln versuchen sie, Accounts unrechtmässig zu kapern. Man spricht in diesem Fall auch von "Account Hijacking".

Genau dies will Jeroen Kemperman verhindern. Kemperman ist Product Lead Account Security für Google Workspace. "Wenn man weiss, worauf man achten muss, ist so eine Account-Übernahme einfach zu erkennen", sagte der Zoogler - so nennen sich die Mitarbeitenden von Google in Zürich. Wie oft Google-Konten gekapert werden, sagte das Unternehmen nicht konkret. Es betreffe aber bedeutend weniger als 1 Prozent der Nutzerinnen und Nutzer, ist Kemperman überzeugt.

Jeroen Kemperman, Product Lead Account Security für Google Workspace. (Source: zVg)

Die ersten Anzeichen von Account Hijacking

Woran erkennt man, dass der eigene Account übernommen wurde? Als Erstes sehe man es in der Geräteübersicht. Plötzlich tauchen da fremde Geräte auf, an denen man sich mit seinem Konto angemeldet haben soll. Oder man sieht verknüpfte Apps, die man nicht kennt.

Sind die Cyberkriminellen in einen Account eingedrungen, wollen sie ihre Kontrolle darüber vergrössern. Sie versuchen, die verknüpfte Telefonnummer durch eine neue zu ersetzen, die sie selbst kontrollieren. So können die Hijacker etwa eine Multifaktor-Authentisierung aushebeln. Ferner versuchen sie auch, die E-Mail-Adresse zur Wiederherstellung zu ändern und den eigentlichen Nutzer oder die eigentliche Nutzerin abzumelden.

Google bietet ein Onlinetool an, mit dem sich ein Konto automatisch auf diese Anzeichen überprüfen lässt.

"Sobald die Cyberkriminellen einen Account in ihren Fingern haben, wollen sie ihn zu Geld machen", sagte Kemperman. In der Regel ist es den Cyberkriminellen egal, wessen Account sie übernehmen; Hauptsache, sie verdienen daran. Es kann jedoch auch sein, dass die Übernahme etwa politisch motiviert ist. In solchen Fällen werden die Opfer sehr wohl gezielt ausgesucht.

Die Motivation der Konto-Entführer

Wie macht man die Kontrolle über ein Konto zu Geld? Für Cyberkriminelle lukrativ ist es natürlich, wenn mit dem Konto irgendwelche Kreditkartendaten oder Kryptowährungen verknüpft sind. Möglich ist es auch, dass private, heikle Fotos als Druckmittel bei Erpressungen genutzt werden. Gemäss Kemperman würden die Cyberkriminellen oft auch sämtliche Gmail-Kontakte anschreiben. In den E-Mails verschicken sie Links zu Phishing-Seiten oder sie bitten darum, Geld zu überweisen. So erhöhen sie nicht nur die Einnahmen, sondern auch die Einnahmequellen.

Komische Reaktionen von Bekannten, die wissen wollen, weshalb man sie um Geld bittet, sind also ein weiteres Anzeichen dafür, dass der eigene Account gehackt wurde. Allerdings versuchen die Cyberkriminellen, dies aktiv zu verhindern. Sie erstellen laut Kemperman oft Suchfilter. So könnten E-Mails, in denen beispielsweise das Wort "gehackt" vorkommt, automatisch gelöscht werden. Die E-Mail eines Kollegen, der wissen will, ob man gehackt wurde, kommt also gar nie in der Inbox an.

Der Weg in fremde Konten

Wie kommen die Konto-Entführer überhaupt in die Accounts rein? Dies geschieht nicht einfach so. "Die Cyberkriminellen brauchen etwas, um Zugriff auf ein Konto zu erhalten", sagte Kemperman. Das könnte ein Passwort oder ein Cookie oder auch eine andere Information sein. Die Passwörter erhalten sie beispielsweise durch Phishing-Angriffe. Alternativ könnten Cyberkriminelle auch Zugangsdaten im Darknet kaufen, eine Malware installieren, die Passwörter mitliest - oder sie könnten die Daten indirekt stehlen. Die Cyberdiebe könnten etwa einen Sportverein hacken. Viele Menschen nutzen ihre Passwörter für mehrere Accounts. Das heisst, das Passwort des Sportvereins funktioniert bei einigen betroffenen Personen wohl auch für sehr viel wichtigere Konten.

Wie kann man dem vorbeugen? "Es ist 2022 - ein Passwort alleine genügt nicht mehr!", betont Kemperman. "Sogar wenn man ein wirklich geniales und sicheres Passwort hat, muss man nur auf eine einzige Phishing-Attacke hereinfallen und dann ist alles weg." Und das sei keineswegs undenkbar.

Wer wissen will, wie gut sie oder er selbst gegen Phishing-Versuche gewappnet ist, kann dies online testen. Google hat nämlich ein laut Kemperman "anspruchsvolles Phishing-Quiz" erstellt. Bei 8 Beispiel-E-Mails muss man herausfinden, ob es sich um eine echte E-Mail oder um einen Betrugsversuch handelt. "Ich bin Product Lead Account Security und sogar ich habe eine Frage falsch beantwortet, als ich den Test vor zwei Jahren gemacht habe", sagte Kemperman. "Phishing-Mails sind heutzutage teilweise so raffiniert gemacht, dass selbst die technisch versiertesten Menschen darauf hereinfallen können."

Ein Passwort-Manager kann hier helfen. Denn so kann man für jeden Onlinedienst ein individuelles Passwort setzen, ohne dass man sich selbst an alle erinnern muss. Google hat einen Passwort-Manager im Chrome-Browser und im Android-Betriebssystem integriert. Noch besser sei aber eine Multifaktor-Authentisierung. Beim erstmaligen Einloggen auf einem neuen Gerät wird die Nutzerin oder der Nutzer aufgefordert, ausser einem Passwort noch einen weiteren Beweis für die Identität zu liefern.

Ein Titan-Sicherheitsschlüssel von Google kann als zweiter Faktor Accounts vor Übernahmen schützen. (Source: Netzmedien)

Ein zweiter Faktor für mehr Sicherheit

Das Unternehmen aktivierte die Multifaktor-Authentisierung im vergangenen Oktober automatisch für 150 Millionen seiner Kunden. Dies habe die Fälle von Account Hijacking um die Hälfte reduziert. "Wir wissen also, dass es funktioniert", sagte Kemperman. Als Zwang sehe er dies nicht. Schliesslich könnten die betroffenen Personen die Multifaktor-Authentisierung wieder selbst deaktivieren.

Ein zweiter Faktor mache es für Cyberkriminelle schwerer und wirke so abschreckend. "Und genau das wollen wir ja", sagte der Zoogler. "Wir wollen, dass die Hacker aufgeben und sich einen ordentlichen Job suchen." Dieser zweite Faktor könnte ein SMS-Code oder eine App auf dem Smartphone sein. Noch sicherer sei aber ein dedizierter Sicherheitsschlüssel, wie ihn Google etwa auch selbst anbietet. Dieser muss bei erstmaligen Anmeldungen per USB-Schnittstelle an das entsprechende Gerät angeschlossen werden. Handelt es sich um eine Anfrage eines legitimen Google-Dienstes, sendet der Sicherheitsschlüssel ein eindeutiges Signal, um die Identität des Users zu beweisen.

Die Risiken durch Phishing und im Darknet aufgekaufte Zugangsdaten werden so weitestgehend minimiert, erklärte Kemperman. Trotzdem sollte man weiterhin wachsam bleiben. Es ist denkbar, dass nach einer erfolgten Authentifizierung das daraus resultierende Token - ein Cookie - vom Gerät gestohlen wird. So könnte man die Notwendigkeit eines Passworts umgehen. Deshalb ist es nach wie vor wichtig, die grundlegende Cyberhygiene nicht zu vernachlässigen. Das heisst, eine aktuelle Antivirenlösung auf dem Rechner haben, keine komischen Links anklicken und keine Apps herunterladen, die nicht im offiziellen Play Store angeboten werden.