Drei reale Vorfälle: Wie man hackt, stiehlt und jemandem über das Internet das Leben zur Hölle macht

5 Apr 2016

Die Erfahrung zeigt, dass selbst Internetveteranen daran scheitern, sich vor gezielten Hackerangriffen zu schützen. Da unser tägliches Leben immer mehr mit dem Internet und anderen Netzwerken verbunden ist, ist Onlinesicherheit zu einer dringlichen Notwendigkeit geworden.

ominous-targeted-hacks-featured

Nahezu jeder besitzt eine E-Mail-Adresse und nutzt Social-Media-Accounts und Onlinebanking. Man bestellt Waren online, benutzt mobiles Internet zur persönlichen Identifikation (zum Beispiel für Zwei-Faktor-Authentifizierungsverfahren) und für viele andere wichtige Dinge. Leider ist keines dieser Systeme vollkommen sicher.

Je mehr wir online interagieren, umso mehr werden wir zum Ziel für clevere Hacker. Sicherheitsexperten nennen dies „Angriffsfläche“. Je größer sie ist, desto leichter kann man angegriffen werden. Wenn Sie einen Blick auf diese drei Vorfälle der vergangenen drei Jahre werfen, werden Sie verstehen wie das funktioniert.

Wie man einen Account stiehlt: per Hackerangriff oder über einen Telefonanruf?

Eines der stärksten Tools, dass von Hackern benutzt wird, ist das „Human Hacking“ oder Social Engineering. Am 26. Februar 2016 entschied Kevin Roose, Nachrichtendirektor der Fusion, zu überprüfen ob Human Hacking wirklich so mächtig ist. Die auf Social Engineering spezialisierte Hackerin Jessica Clark und der Sicherheitsexperte Dan Tentler nahmen seine Herausforderung an.

Jessica Clark wettete die E-Mail-Adresse von Kevin Roose per Telefonanruf hacken zu können, was ihr auch gelang. Zuerst erstellte ihr Team ein dreizehnseitiges Profil von Roose, aus dem hervorgeht, was er mag und was nicht und so weiter. All diese Daten wurden aus öffentlich zugänglichen Quellen zusammengestellt.

Nachdem alles vorbereitet worden war, manipulierte Jessica Clark die Handynummer von Kevin Roose und rief seinen Mobilfunkanbieter an. Um den Druck noch zu erhöhen, ließ sie im Hintergrund ein Video mit Babygeschrei mitlaufen.

Jessica Clark gab sich als Ehefrau von Kevin Roose aus. Ihrer Geschichte zufolge, wollten sie und ihr „Ehemann“ einen Kredit beantragen, jedoch hatte die junge und erschöpfte Mutter die gemeinsame E-Mail-Adresse vergessen. Mithilfe des Babygeschreis im Hintergrund gelang es Clark schnell den Kundenservice zu überzeugen, das Passwort der E-Mail-Adresse zurückzusetzen und erhielt vollen Zugriff auf die E-Mail ihrer Zielperson.

Dan Tentler bewältigte seine Aufgabe mithilfe des guten alten Phishings. Zuerst bemerkte er, dass Kevin Roose einen Blog auf Squarespace besaß und sandte ihm eine gefälschte offizielle E-Mail der Bloggingplattform. In der E-Mail von Squarespace wurde der Nutzer von offizieller Seite aufgefordert, aus „Sicherheitsgründen“ sein SSL-Zertifikat zu aktualisieren. Anstatt den PC von Kevin Roose zu schützen gewährte das Update Dan Tentler Zugriff. Tentler erstellte mehrere falsche Pop-ups, die Roose nach den spezifischen Zugangsdaten fragten — und damit war alles getan.

Tentler bekam Zugriff auf Rooses Bankdaten, E-Mail- und Onlineshop-Zugangsdaten, sowie zu Kreditkartendaten und Sozialversicherungsnummer. Darüber hinaus erhielt Tentler Fotos von Roose und dessen Bildschirm, die über einen Zeitraum von 48 Stunden automatisch alle zwei Minuten aufgenommen wurden.

Wie man einen Softwareentwickler in einer Nacht ausraubt

Im Frühling 2015 verlor Softwareentwickler Partap Davis 2.650 EUR. In nur wenigen Stunden verschaffte sich ein unbekannter Hacker Zugriff zu seinen zwei E-Mail-Konten, seiner Telefonnummer und seinem Twitter-Account. Der Täter umging geschickt das Zwei-Faktor-Authentifizierungs-System und entleerte Davis‘ Bitcoin-Depot. Wie Sie sich bestimmt vorstellen können, hatte Partap Davis einen sehr unangenehmen Start in den Tag.

Es half nicht, dass Davis ein sehr erfahrener Internetnutzer ist: er wählt immer verlässliche Passwörter aus und klickt niemals auf bösartige Links. Sein E-Mail-Konto ist mit dem Zwei-Faktor-Authentifizierungs-System von Google geschützt, das ihn nach einem sechsstelligen Code fragt, der an sein Handy geschickt wird, sobald er sich von einem neuen Computer einloggt.

Partap Davis hatte seine Ersparnisse in drei verschiedenen Bitcoin-Wallets deponiert, die wiederum mit einem weiteren Zwei-Faktor-Authentifizierungs-System geschützt sind, das von der mobilen App Authy zur Verfügung gestellt wird. Obwohl Davis all diese wirkungsvollen Sicherheitsmaßnahmen nutzte, schützten ihn diese nicht vor dem gezielten Hackerangriff.

Nach dem Angriff war Davis sehr verärgert und suchte einige Wochen nach dem Kriminellen. Er kontaktierte The Verge und gewann die Hilfe der Redakteure. Gemeinsam konnten sie herausfinden, wie der Hackerangriff vonstattenging.

Als Haupt-E-Mail-Adresse nutzte Davis „Patrap@mail.com“. Alle E-Mails wurden an eine Gmail-Adresse, die weniger einprägsam war, weitergeleitet (da „Patrap@gmail.com“ bereits vergeben war).

Für einige Monate konnte jeder der wollte auf Hackforum ein spezielles Skript erwerben, das dem Käufer ermöglichte, eine Schwachstelle in der Passwort-vergessen-Seite von Mail.com auszunutzen. Offensichtlich wurde dieses Skript dazu benutzt, die Zwei-Faktor-Authentifizierung zu umgehen und Davis‘ Passwort zu ändern.

Anschließend forderte der Hacker ein neues Passwort bei Davis‘ AT&T-Account an und beantragte beim Kundenservice, dass die eingehenden Anrufe an eine Telefonnummer aus Long Beach umgeleitet wurden. Der Kundendienst erhielt eine Bestätigungs-E-Mail und stimmt daraufhin zu, dem Täter die Kontrolle über die Anrufe zu geben. Mit diesem mächtigen Tool war es nicht mehr schwer, die Zwei-Faktor-Authentifizierung von Google zu umgehen und Zugriff auf Davis‘ Gmail-Account zu bekommen.

Da Textnachrichten nach wie vor an Davis‘ alte Telefonnummer gesendet wurden, nutzte der Hacker die barrierefreie Version von Google für Personen mit schlechtem Sehvermögen. Diese bietet die Möglichkeit, den Bestätigungscode über das Telefon laut vorgelesen zu bekommen. Nun war auch Gmail gehackt und es stand nur noch die Authy-App zwischen dem Hacker und seiner Entlohnung.

Um dieses Hindernis zu überwinden, setzte der Kriminelle einfach die App auf seinem Telefon zurück, indem er eine Mail.com-Adresse und einen neuen Bestätigungscode benutzte, der ebenfalls durch einen Sprachanruf gesendet wurde. Als er alle Sicherheitsmaßnahmen in der Hand hatte, änderte der Hacker die Passwörter eines Bitcoin-Wallets von Partap Davis, indem er die Authy-App und die Mail.com-Adresse benutzte und transferierte so das gesamte Geld.

Das Geld der beiden anderen Konten blieb unangetastet. Einer der Services erlaubt keine Finanzüberweisungen innerhalb der ersten 48 Stunden, nachdem das Passwort geändert wurde. Der andere Service verlangte den eingescannten Führerschein von Davis, den der Hacker nicht vorweisen konnte.

Hackerangriffe wirken sich auf das echte Leben aus

Im Oktober 2015 berichtete das Magazin Fusion über die Familie Strater und wie deren Leben durch Pizza ruiniert wurde. Vor einigen Jahren überfluteten lokale Cafés und Restaurants ihren Garten unaufgefordert mit Pizzas, Kuchen und anderen Gerichten aller Art. Paul und Amy Strater mussten sich entschuldigen und die Bestellungen zurückweisen.

Kurze Zeit später folgten Blumensträuße, zusammen mit großen Sand- und Kiesmengen, Abschleppwagen und andere ungewollte Waren und Dienstleistungen. Dies stellte sich nur als die Spitze des Eisberges heraus, denn die nächsten drei Jahre waren ein wirklicher Albtraum.

Paul Strater, leitender Rundfunktechniker eines lokalen Fernsehsenders, und seine Frau Amy Strater, ehemalige Verwaltungsangestellte eines Krankenhauses, fielen einem unbekannten Hacker oder einer Hackergruppe zum Opfer, die nicht gut auf ihren Sohn Blair zu sprechen war. Behörden erhielten Bombendrohungen im Namen der Straters. Die Hacker veröffentlichen im Namen von Amy den Plan eines Anschlags auf eine Grundschule. Das Begleitschreiben trug den Titel: „Ich werde Ihre Schule niedermetzeln“. Die Polizei stattete häufig Besuche bei ihnen Zuhause ab, was das Verhältnis zu den Nachbarn nicht gerade verbesserte, da diese sich wunderten, was es mit damit auf sich hatte.

Kriminelle schafften es sogar den offiziellen Account von Tesla Motors zu hacken und veröffentlichten eine Nachricht, die Fans dazu aufforderte, die Straters anzurufen und dadurch ein Gratisauto von Tesla zu bekommen. Dieses Wochenende verbrachten die Straters am Telefon, da Amy und Blair pro Minute bis zu fünf Telefonanrufe von Tesla-Bewunderern bekamen, die ein „Gratisauto“ ergattern wollten. Ein Mann stattete den Straters sogar einen Besuch ab und verlangte einen Blick in deren Garage zu werfen, da er vermutete, dass dort sein Gratis-Tesla-Auto versteckt war.

Paul Strater versuchte die Belagerung zu beenden, indem er die Passwörter aller seiner Konten änderte und den örtlichen Restaurantleitern Anweisungen gab, keinerlei Essen an seine Adresse zu liefern, sofern dieses vorher nicht komplett bezahlt worden war. Er kontaktierte auch die Polizeistation von Oswego und bat diese, sich durch einen Telefonanruf zu vergewissern ob es sich um einen echten Notfall handelte, bevor sie ihre Einsatzkräfte schickten. Im Zuge all dieser Schwierigkeiten zerbrach die Ehe von Paul und Amy Strater.

Die Attacken hörten aber damit nicht auf. Die Social-Media-Accounts von Amy Strater wurden gehackt, um dort eine Reihe von rassistischen Parolen zu veröffentlichen. Kurze Zeit später verlor sie ihren Arbeitsplatz. Sie wurde entlassen, obwohl sie bereits im Vorfeld ihren Chefs mitgeteilt hatte, dass jemand fortlaufend ihr und ihrer Familie das Leben zur Hölle macht.

Gerade noch rechtzeitig konnte Amy die Kontrolle über ihr LinkedIn-Konto zurückerlangen und ihren Twitter-Account löschen. Vor diesem Hintergrund konnte sie jedoch für einige Zeit keine neue Arbeitsstelle in ihrem Berufszweig finden. Sie sah sich gezwungen, bei Uber zu arbeiten, um über die Runden zu kommen, aber das Geld reichte nicht aus und sie stand kurz davor, ihr Haus zu verlieren.

„Wenn Sie früher ihren Namen in Google suchten, fanden Sie all ihre wissenschaftlichen Artikel und die guten Dinge, die sie getan hat“, sagte ihr Sohn Blair gegenüber dem Fusion-Magazin. „Jetzt finden Sie nur noch Hacker, Hacker, Hacker.“

Viele gaben Blair Strater die Schuld, da sich dieser in verschiedenen Kreisen von Cyberkriminellen aufhielt und sich in keinem dieser Kreise Freunde machte. Allerdings mussten im Falle der Familie Strater die Eltern für die Sünden ihres Sohnes büßen, obwohl sie selbst nichts mit den Hackern zu tun hatten.

Ist es überhaupt möglich sich zu schützen?

Diese Fälle zeigen, dass es praktisch unmöglich ist, sich vor gezielten Hackerangriffen zu schützen. Wenn Sie also etwas verbergen wollen, speichern Sie es nicht online. Glücklicherweise sind hochqualifizierte Hacker an der Mehrheit der Internetnutzer nicht interessiert. Schützen müssen wir uns dagegen alle vor Cyberkriminellen, die auf die große Masse abzielen. Es gibt viele dieser „Spezialisten“ im Internet und glücklicherweise nutzen sie einfachere Methoden.

Deswegen empfehlen wir Ihnen Folgendes: