Gestern machte der Fall von WIRED-Autor Mat Honan Schlagzeilen im Netz. Ein Hacker hatte Mat Honan’s digitale Existenz gekapert und am Ende waren wertvolle Daten auf seinem Laptop auf Nimmerwiedersehen verschwunden.
Aber eigentlich ging es bei diesem Fall gar nicht um ein klassisches Hacking, sondern um einen Trickbetrug, der sich Lücken in den Support-Systemen von Apple und Amazon zu Nutze gemacht hat. 

Der Trick war erschreckend simpel: Der Angreifer startete mit nichts als Mat Honan’s Wohnadresse und seiner Standard-Mailadresse. Informationen, wie man sie in jedem Website-Impressum findet. Mit einem Anruf beim Amazon-Telefonsupport verschaffte sich der Betrüger Zugang zu dem Bereich von Mat Honan’s Amazon-Konto, in dem man die Kredikarteninformationen bearbeiten kann. Dort gab er eine neue (gefälschte) Kreditkartennummer ein.

Mit einem weiteren Anruf bei Amazon bekam er ein neues Amazon-Passwort. Er identifizierte sich unter anderem mit den letzten vier Ziffern der Kreditkartennummer, die er eben gefälscht hatte. Damit hatte er alle Informationen für den nächsten Schritt in der Hand.

Der Mensch rief dann beim Apple-Support an und behauptete, er habe sein Passwort vergessen. Auch hier lief die Idenfikation über die letzten vier Stellen der Kreditkartennummer. Da der Angreifer inzwischen das Amazon-Konto geknackt hatte, kannte er jetzt auch die echte Nummer. Und bekam prompt ein neues Passwort. Mit der Apple-ID und über die App „Mein iPhone suchen“, die Mat Honan sowohl auf seinem iPhone als auch auf seinem MacBook installiert hatte, konnte der Angreifer beide Geräte sperren und alle Daten darauf löschen. Bingo.

Ein Ende mit Schrecken

Die Sache ging noch relativ glimpflich aus. Der „Hacker“ war von eher schlichtem Gemüt und trat noch am selben Tag mit Mat Honan in Kontakt und erklärte sein Vorgehen. Es stellte sich heraus, dass er es eigentlich auf das Twitter-Konto von Mat Honan abgesehen hatte.
Mat’s Bankkonto war also zu keiner Zeit in Gefahr. Trotzdem, neben dem Schreck musste Mat Honan alle Daten auf seinem MacBook drangeben. Es gab nur ein Backup bei Apple’s iCloud und dieses Backup ist anscheinend gleich mit verschwunden.

Amazon hat die Lücke im System inzwischen geschlossen, Apple wird hoffenlich nachziehen. Der Angreifer konnte übrigens bei seinem Anruf beim Apple-Support die Sicherheitsfragen nicht beantworten und bekam trotzdem ein neues Passwort. Dieses Passwort wurde offenbar unverschlüsselt und ohne weitere Authentifizierungs-Schleife an Mat Honan’s Mailkonto geschickt.

Nutzerkonten absichern

Mich hat die Geschichte sehr beeindruckt und ich werde in Zukunft ein ein paar Dinge anders handhaben. Mir ist klar geworden, dass nicht nur Onlinebanking-Accounts besonders geschützt werden müssen. Sondern dass die Konten von Google, Apple und Amazon, mit denen man täglich umgeht, ebenfalls sehr empfindliche Stellen darstellen.

  • Niemals (never ever) mehrfach dasselbe Passwort verwenden
    Oder ein Schema, das leicht zu erraten ist.
  • Eine Mailadresse anlegen, die nur für Anmeldungen reserviert ist
    Legt Euch eine Mailadresse an, die Ihr ausschließlich für Anmeldungen bei irgendwelchen Accounts nutzt. Diese Adresse sollte sonst nirgendwo in Erscheinung treten. Gebt diese Adresse nicht weiter und benutzt sie nicht in anderen Zusammenhängen.
  • Wichtige Benutzerkonten von unwichtigen trennen
    Das Bankkonto oder Euer Steuerprofil sollten mit den üblichen Mailadressen nicht verknüpft sein.
    Aber auch andere, sehr zentrale Konten (Amazon, Google, Apple) sollten ein eigenes, voneinander getrenntes „Ökosystem“ an Mailadressen und Passwörtern haben.
  • Lange Passwörter wählen
    Ein Passwort, das „Passwort“ heißt, ist leicht zu knacken, ein kryptisches Passwort wie „sGz75&l1c“ ist schon eine härtere Nuss. Aber so etwas kann sich kein Mensch merken.
    Eine Möglichkeit ist, Software wie 1Password einzusetzen. Wer das nicht möchte, denkt sich lange Passwörter aus. Denn auf die Anzahl der Zeichen kommt es viel mehr an als auf die schräge Kombination. Neun Stellen sollte das Passwort auf jeden Fall haben.
    Eine Aneinanderreihung von mehreren Wörtern – möglichst ohne Sinnzusammenhang – ist eine sichere Sache. Für Passwort „DerHundSingtGerneVolksmusik“ braucht der Hacker einfach zu viel (Rechen-)Zeit.
    Informationen zur Sicherheit von (langen) Passwörtern gibt es hier.
  • Vorsicht mit verketteten Logins
    Das Verketten von LogIns ist zwar bequem, aber man verliert dabei schnell den Überblick.
    Wenn sich ein Angreifer über Google bei Twitter und darüber wiederum ins Website-Backend einloggen kann, ist das nicht so günstig.
  • Das Backup in der Cloud mit einem Backup vor Ort kombinieren
    Ich sichere meine Daten einmal täglich in der Cloud und einmal in der Woche auf einer externen Festplatte auf meinem Schreibtisch.
  • Kreative Sicherheitsfragen
    Bei vielen Anbietern kann man Sicherheitsfragen hinterlegen. Damit soll ausgeschlossen werden, dass sich ein Fremder unter Eurem Namen beim Anbieter meldet.
    Üblicherweise werden solche Dinge wie der Name des ersten Haustiers und der Mädchennamen der Mutter abgefragt. Diese und ähnliche Informationen sind über eine Google-Suche leicht herauszufinden.
    Besser ist es, sich eigene Fragen auszudenken und die dann noch so zu beantworten, dass man aus der Frage nicht auf die Antwort schließen kann. Beispielsweise könnte die Frage lauten: „Was ist der Sinn des Lebens?“ Die Antwort darauf könnte sein: „EsregnetroteRosen“.