{"id":29639,"date":"2023-01-12T10:39:57","date_gmt":"2023-01-12T08:39:57","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=29639"},"modified":"2023-01-12T10:39:57","modified_gmt":"2023-01-12T08:39:57","slug":"how-criminals-can-get-your-password","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/how-criminals-can-get-your-password\/29639\/","title":{"rendered":"So gelangt Ihr Passwort in die falschen H\u00e4nde"},"content":{"rendered":"

F\u00fcr viele von uns ist ein Passwort schlichtweg die g\u00e4ngigste Authentifizierungsmethode bei unz\u00e4hligen Online-Diensten. Doch f\u00fcr Cyberkriminelle ist es viel mehr als das \u2013 es dient als Mittel, sich den Weg in das Leben fremder Personen zu bahnen, ein Tool von zentraler Bedeutung und eine Ware, die verkauft werden kann. Wenn Kriminelle ein Passwort kennen, k\u00f6nnen sie nicht nur auf Ihre Konten, Daten, Geld und sogar Ihre Identit\u00e4t zugreifen, sondern Sie zudem als schwaches Glied nutzen, um Ihre Online-Freunde, Verwandten oder sogar das Unternehmen, f\u00fcr das Sie arbeiten oder das Sie leiten, anzugreifen. Um das zu verhindern, m\u00fcssen Sie verstehen, wie Au\u00dfenstehende \u00fcberhaupt in den Besitz Ihres Passworts gelangen k\u00f6nnen.<\/p>\n

Wie gelangen Cyberkriminelle an Ihr Passwort?<\/h2>\n

Es ist ein weit verbreiteter Irrglaube, dass Cyberkriminelle nur an ein Passwort gelangen k\u00f6nnen, wenn man selbst einen Fehler begeht \u2013 der Download und das Ausf\u00fchren einer ungepr\u00fcften Datei aus dem Internet, das \u00d6ffnen eines Dokuments von einem unbekannten Absender oder die Eingabe der Anmeldedaten auf einer verd\u00e4chtigen Website: Ja, all diese Verhaltensmuster k\u00f6nnen Angreifern das Leben sehr erleichtern, aber es gibt durchaus noch andere Szenarien. Im Anschluss folgen die h\u00e4ufigsten Methoden, \u00fcber die Cyberkriminelle Zugriff auf Ihre Konten erhalten.<\/p>\n

Phishing<\/h3>\n

Phishing ist in der Tat eine der Methoden zum Abfangen von Anmeldeinformationen, die haupts\u00e4chlich auf menschlichen Fehlern beruhen. T\u00e4glich erscheinen Hunderte von Phishing-Seiten, die von unz\u00e4hligen Schad-Mails unterst\u00fctzt werden, indem in den Nachrichten auf sie verlinkt wird. Wenn Sie glauben, dass Sie niemals in die Phishing-Falle tappen werden, liegen Sie vermutlich falsch. Denn diese altbew\u00e4hrte Methode ist fast so alt wie das Internet selbst und hat Cyberkriminellen somit die notwendige Zeit gegeben, zahlreiche Social-Engineering-Tricks und Verschleierungstaktiken zu entwickeln. Selbst Experten k\u00f6nnen eine Phishing-E-Mail nicht immer auf den ersten Blick von einer legitimen Nachricht unterscheiden.<\/p>\n

Malware<\/h3>\n

Eine weitere g\u00e4ngige Methode, die zum Diebstahl Ihrer Anmeldedaten genutzt wird, ist der Einsatz von Malware. Unseren Statistiken zufolge besteht ein gro\u00dfer Teil der aktiven Malware aus Trojanern, deren prim\u00e4rer Zweck darin besteht, darauf zu warten, dass sich ein Nutzer bei einer Website oder einem Dienst anmeldet, um die dort eingegebenen Passw\u00f6rter zu kopieren und an ihre urspr\u00fcnglichen Entwickler zu \u00fcbermitteln. Sollten Sie keine entsprechenden Schutzl\u00f6sungen verwenden, k\u00f6nnen sich Trojaner jahrelang unentdeckt auf Ihrem Computer verstecken \u2013 und das unbemerkt! Denn sie richten keinen sichtbaren Schaden an, sondern verrichten still und leise ihre Arbeit.<\/p>\n

Und Stealer-Trojaner sind nicht die einzige Malware, die auf der Jagd nach Passw\u00f6rtern ist. Manchmal best\u00fccken Cyberkriminelle Webseiten mit sogenannten Web-Skimmern, die alle Eingaben der Besucher stehlen, einschlie\u00dflich ihrer Anmeldedaten, Namen, Kartendaten usw.<\/p>\n

Datenlecks von Dritten<\/h3>\n

Der Fehler muss \u00fcbrigens nicht von Ihnen selbst gemacht werden. Es reicht aus, Nutzer eines unsicheren Internetdienstes oder Kunde eines Unternehmens zu sein, dessen Kundendatenbank kompromittiert wurde. Unternehmen, die Cybersicherheit ernst nehmen, speichern Passw\u00f6rter nat\u00fcrlich gar nicht oder zumindest verschl\u00fcsselt. Aber man kann nie sicher sein, dass ausreichende Ma\u00dfnahmen getroffen wurden. Ein gutes Beispiel daf\u00fcr war das diesj\u00e4hrige Leck bei SuperVPN bei dem pers\u00f6nliche Daten und Anmeldeinformationen von 21 Millionen Nutzern offengelegt worden waren.<\/p>\n

\u00a0<\/u><\/p>\n

Au\u00dferdem gibt es einige Unternehmen, die dazu gezwungen sind, Passw\u00f6rter zu speichern. Ja, wir sprechen \u00fcber den ber\u00fcchtigten Hack von LastPass, einem Passwortmanager. Nach neuesten Informationen konnte sich ein unbekannter Angreifer Zugriff auf einen Cloud-Speicher verschaffen, der einige Kundendaten enthielt, einschlie\u00dflich ihrer Backups. Ja, die Speicher waren ordnungsgem\u00e4\u00df verschl\u00fcsselt und LastPass hat die Entschl\u00fcsselungsschl\u00fcssel nie gespeichert und kannte sie auch nicht. Was aber, wenn LastPass-Kunden ihren Manager mit einem Passwort gesichert haben, das bereits aus einer anderen Quelle bekannt war? Bei Wiederverwendung eines unsicheren Passworts k\u00f6nnten Cyberkriminelle nun auf alle Konten gleichzeitig zugreifen.<\/p>\n

Initial Access Brokers<\/h3>\n

Dies f\u00fchrt uns zu einer weiteren Quelle gestohlener Passw\u00f6rter \u2013 dem Schwarzmarkt. Moderne Cyberkriminelle ziehen es vor, sich auf bestimmte Bereiche zu spezialisieren. Sie k\u00f6nnen Ihre Passw\u00f6rter stehlen, m\u00fcssen sie aber nicht unbedingt verwenden: Denn es ist viel profitabler, diese zu verkaufen! Der Kauf solcher Kennwortdatenbanken ist f\u00fcr Cyberkriminelle besonders attraktiv, weil sie damit eine Komplettl\u00f6sung erhalten: Benutzer verwenden in der Regel dieselben Passw\u00f6rter f\u00fcr zahlreiche Plattformen und Konten und verkn\u00fcpfen sie oft mit derselben E-Mail-Adresse. Mit dem Passwort einer Plattform k\u00f6nnen sich Cyberkriminelle also Zugang zu vielen anderen Konten des Opfers verschaffen \u2013 von dessen Gaming-Konten bis hin zu seinen pers\u00f6nlichen E-Mails oder sogar privaten Konten auf \u00dc18-Websites.<\/p>\n

\"Eine

Eine Anzeige aus einem Hackerforum: Jemand bietet 280.000 Benutzernamen und Passw\u00f6rter f\u00fcr verschiedene Gaming-Plattformen f\u00fcr nur 4.000 Dollar an.<\/p><\/div>\n

\u00a0<\/p>\n

Auf demselben Schwarzmarkt werden auch geleakte Unternehmensdatenbanken mit oder ohne Zugangsdaten verkauft. Der Preis f\u00fcr solche Datenbanken h\u00e4ngt von der Datenmenge und der Branche des Unternehmens ab. Einige Passwort-Datenbanken kosten mehrere hundert Dollar.<\/p>\n

Es gibt Dienste im Darknet, die geleakte Passw\u00f6rter und Datenbanken sammeln und kostenpflichtige Mitgliedschaften oder einen einmaligen Zugang zu ihren Sammlungen anbieten. Im Oktober 2022 hackte<\/a> die ber\u00fcchtigte Ransomware-Gruppe LockBit eine medizinische Einrichtung und stahl die medizinischen Daten der Nutzer. Sie verkauften nicht nur Abonnements f\u00fcr diese Informationen im Darknet \u2013 vermutlich kauften sie auch den Erstzugang auf demselben Schwarzmarkt.<\/p>\n

\"Ein

Ein Darknet-Dienst, der gegen Bezahlung Zugang zu Datenbanken mit gestohlenen Daten bietet.<\/p><\/div>\n

\u00a0<\/p>\n

Brute-Force-Angriffe<\/h3>\n

In einigen F\u00e4llen k\u00f6nnen Cyberkriminelle Ihr Passwort herausfinden und Ihr Konto kompromittieren, ohne eine gestohlene Datenbank zu verwenden; n\u00e4mlich via Brute-Force-Angriff, bei dem Tausende von ty pischen Passwortvarianten ausprobiert werden, bis eine erfolgreich ist. Ja, das klingt nicht sehr zuverl\u00e4ssig. Es ist jedoch nicht notwendig, alle m\u00f6glichen Kombinationen zu ber\u00fccksichtigen. Es gibt spezielle Tools (Wordlist Generators<\/em>), die auf der Grundlage der pers\u00f6nlichen Daten des Opfers eine Liste m\u00f6glicher g\u00e4ngiger Passw\u00f6rter (das so genannte Brute-Force-W\u00f6rterbuch) erstellen k\u00f6nnen.<\/p>\n

Solche Programme sehen aus wie ein Mini-Fragebogen \u00fcber das Opfer. Sie fragen nach dem Namen, Nachnamen, Geburtsdatum, pers\u00f6nlichen Informationen \u00fcber Partner, Kinder und sogar Haustiere. Die Angreifer k\u00f6nnen sogar zus\u00e4tzliche Schl\u00fcsselw\u00f6rter hinzuf\u00fcgen, die sie \u00fcber die Zielperson wissen und die in den Mix geworfen werden k\u00f6nnen. Mit dieser Mischung aus verwandten W\u00f6rtern, Namen, Daten und anderen Daten erstellen Wortlistengeneratoren Tausende von Kennwortvarianten, die die Angreifer sp\u00e4ter bei der Protokollierung ausprobieren.<\/p>\n

\"Ein

Ein Dienst, der basierend auf den \u00fcber ein Opfer bekannte Informationen ein W\u00f6rterbuch f\u00fcr Brute-Force-Angriffe erstellen kann.<\/p><\/div>\n

\u00a0<\/p>\n

Um solche Techniken einzusetzen, m\u00fcssen Cyberkriminelle zun\u00e4chst Nachforschungen anstellen, wobei sich geleakte Datenbanken als sehr n\u00fctzlich erweisen k\u00f6nnen. Diese k\u00f6nnen Informationen wie Geburtsdaten, Adressen und Antworten auf \u201eGeheimfragen\u201c enthalten. Eine weitere Datenquelle ist das \u201eOversharing\u201c (\u00fcberm\u00e4\u00dfiges Teilen von Informationen) in den sozialen Medien, wie z. B. die Bildunterschrift f\u00fcr ein Foto vom 6. Dezember: \u201eMein bester Freund mit vier Pfoten hat heute Geburtstag\u201c, was v\u00f6llig banal erscheint.<\/p>\n

\u00a0<\/p>\n

Folgen eines geleakten oder per Brute Force entwendeten Passworts<\/h2>\n

Die m\u00f6glichen Konsequenzen liegen auf der Hand: Cyberkriminelle k\u00f6nnen Ihr Konto in ihre Gewalt bringen und L\u00f6segeld daf\u00fcr verlangen, es f\u00fcr Betrugsmaschen mit Ihren Kontakten und Online-Freunden nutzen oder, wenn es ihnen gelingt, das Passwort f\u00fcr Ihr Online-Banking herausfinden und dann Ihr Konto pl\u00fcndern. Manchmal sind ihre Absichten jedoch nicht so einfach zu erkennen.<\/p>\n

Da zum Beispiel immer mehr Spiele In-Game-W\u00e4hrungen und Mikrotransaktionen einf\u00fchren, haben immer mehr Nutzer ihre Zahlungsmittel mit ihren Konten verkn\u00fcpft. Das macht die Gamer zu einem interessanten Zielobjekt f\u00fcr Hacker. Indem sie sich Zugang zum Gaming-Konto verschaffen, k\u00f6nnen sie spielinterne Wertgegenst\u00e4nde wie Skins, seltene Items oder interne Spielw\u00e4hrung stehlen oder die Kreditkartendaten des Opfers missbrauchen.<\/p>\n

Die geleakten Datenbanken und Informationen, die beim Durchsuchen Ihrer Konten erlangt werden k\u00f6nnen, k\u00f6nnen nicht nur f\u00fcr finanziellen Gewinn, sondern auch f\u00fcr Rufsch\u00e4digung und andere Arten von sozialem Schaden, einschlie\u00dflich Doxing, verwendet werden. Prominente k\u00f6nnen beispielsweise erpresst werden und stehen vor der Wahl: Weitergabe pers\u00f6nlicher Informationen (die Ihren Ruf sch\u00e4digen k\u00f6nnten) oder Geldverlust.<\/p>\n

Man muss allerdings kein Prominenter sein, um Opfer eines Doxing-Angriffs zu werden (Ver\u00f6ffentlichung von Informationen \u00fcber eine Person im Internet, wie z. B. deren richtiger Name, Wohnanschrift, Arbeitsplatz, Telefonnummer oder Finanzdaten). Doxing-Angriffe k\u00f6nnen dazu f\u00fchren, dass man in zahllose Mailing-Listen aufgenommen wird oder gef\u00e4lschte Pizzabestellungen in Ihrem Namen get\u00e4tigt werden. Obwohl sie in den meisten F\u00e4llen relativ harmlos sind, k\u00f6nnen sie in Form von Cybermobbing, Identit\u00e4tsdiebstahl oder sogar Identit\u00e4tsstalking auch deutlich gef\u00e4hrlicher werden.<\/p>\n

Wenn Sie dasselbe Passwort f\u00fcr private und berufliche Konten verwenden, k\u00f6nnen Cyberkriminelle Ihren Firmen-Account zudem in ihre Gewalt bringen und diesen f\u00fcr Kompromittierungen von Gesch\u00e4fts-E-Mails oder sogar f\u00fcr zielgerichtete Angriffe nutzen.<\/p>\n

\u00a0<\/p>\n

So sch\u00fctzen Sie Ihre Konten vor ungewollten Zugriffen<\/h2>\n

Besonders wichtig ist es, auf die Passworthygiene zu achten:<\/p>\n