Echte neue Angriffe sind auch bei Hacker selten. Gang und gäbe ist es, bekannte Attacken auf neue Bereiche auszubauen. Ein junger Tom Van de Wiele, inzwischen Principal Security Consultant bei F-Secure, kennt zum Beispiel noch die Übernahme von IRC-Chatkanälen und -konten. „Jetzt vertreiben sich die Leute die Zeit mit dem Hacken von Social Media-Zugängen und Bestechung.“
Sie haben ein Konto bei Facebook, Twitter, Instagram, Pinterest oder Snapchat, mit vielen Fans und guten Inhalten? Dann laufen Sie Gefahr, Opfer eines Hacking-Versuchs mit anschließender Erpressung zu werden. Je nachdem, wie versiert der Hacker ist, gilt das auch für kleinere Konten – immer abhängig davon, wie viel Ihr Account Ihnen wert ist.
Wenn Sie auf 2FA – eine Zwei-Faktor-Authentifizierung – verzichten, ist der Angriffsweg relativ einfach: „Jemand wird ihr Kennwort erraten“, sagt Tom.
„Kriminelle gehen durch alle Konten und E-Mail-Adressen, die Sie besitzen. Sie sehen sich Kennwörter an, die Sie in der Vergangenheit genutzt haben. Anschließend probieren die Angreifer diese Kennwörter mit verschiedensten Veränderungen und versuchen so, Ihr aktuelles Passwort zu erraten.“
Doch woher bekommen die Hacker Ihre alten Kennwörter?
Die Antwort sind Datenleaks. „Webseiten wie Have I been Pwned? zeigen genau, wann Ihre Nutzerdaten wo im Web aufgetaucht sind. Die Listen, die diese Seiten nutzt, lassen sich aus dem Web herunterladen. Geknackte Passwörter in diesen Leaks werden online gehandelt.“
Was kann man tun, um die eigenen Social Media Account zu schützen?
Tom hat mehrere Tipps, wie sich diese Konten (und andere Online-Dienste) gegen Hacker schützen lassen:
- Setzen Sie auf eine Passphrase statt auf ein Passwort. Je länger, desto besser.
- Benutzen Sie einmalige Passphrases für jeden einzelnen Online-Account. Das bedeutet wirklich einzigartig, nicht etwa spiderman2017, batman2016. Die Kriminellen sind vielleicht heimtückisch, aber nicht dumm.
- Verwenden Sie einen Passwort-Manager und schützen Sie dessen Zugang mit einer langen Passphrase.
- Wenn Sie sich die Passphrase aufschreiben, legen Sie diese zu Hause an einem sicheren Ort ab. Die meisten der Angriffe erfolgen (1) aus dem Internet und (2) von Leuten, die eher auf Masse statt Klasse setzen. Gezielte Attacken sind eher selten. Es ist unwahrscheinlich, dass diese Leute bei Ihnen zu Hause ein- und ausgehen. Schützen Sie die Passphrase und überlegen Sie sich einen Backup-Plan.
- Aktivieren Sie 2FA wo möglich. Dabei sollten Sie eine App wie dem Google Authenticator gegenüber SMS vorziehen. Diese funktionieren auch ohne Netzverbindung und sind, anders als SMS, gegen Attacken auf den Anbieter geschützt.
- Überprüfen Sie regelmäßig die Zugriffe auf Ihre Konten. Nahezu jeder Online-Dienst zeigt, woher die letzten Login-Versuche kamen. Wenn Sie sich beispielsweise in Deutschland aufhalten und plötzlich Zugriffsversuche aus Russland oder China erfolgen, sollten Sie misstrauisch werden.
Wenn sonst nur Zugriffe aus Deutschland erfolgen sticht ein Login-Versuch aus der Türkei klar heraus.
- Achten Sie auf Phishing-Angriffe. Ein erfolgreicher Angriff kann unter Umständen den 2-Faktor-Schutz umgehen. Klicken Sie auf keine Links in E-Mails, tippen Sie die Adresse lieber per Hand ein oder nutzen Sie ein Lesezeichen. Wenn die E-Mail legitim ist, dann wird Sie der jeweilige Dienst beim Login auf ein bestehendes Problem hinweisen.
Kategorien