Wenn von Hackerangriffen und IT-Sicherheitslücken die Rede ist, denken viele Menschen zunächst an das klassische Problem: Schlechte Passwörter. Dass manchmal aber auch die perfektesten Passwörter keine grosse Hürde für geschickte Hacker und Cracker darstellen, zeigte sich in den letzten Monaten verstärkt an einigen prominenten und beunruhigenden Angriffen, die vor allem unzureichende Sicherheitsprozesse und nicht zuletzt menschliche Schwächen ausnutzten. Dabei verwendeten die Hacker vor allem Tricks aus dem Bereich des so genannten „Social Engineering“: Menschen werden auf geschickte Weise so manipuliert, dass sie sensitive persönliche Daten von sich selbst oder anderen Personen preisgeben.

Die typischen Opfer des „Social Engineerings“ sind oftmals Mitarbeitende von Grossunternehmen, die unter Vortäuschung falscher Tatsachen dazu verleitet werden sollen, einen USB-Stick einer unbekannten Person in den Firmen-PC zu stecken. Der USB-Stick ist oftmals mit einem Trojaner infiziert, der dann den Angreifern den eigentlichen Zugang zu sensitiven Firmendaten liefert. Aus diesem Grund sollten Mitarbeitende immer dazu instruiert werden, gefundene USB-Sticks oder sonstige Datenträger von unbekannten Personen auch nicht auf freundliche Bitten auf Firmen-PCs zu installieren („Ich habe meine Bewerbungsunterlagen verschmutzt, könnten Sie die bitte nochmal von meinem USB-Stick ausdrucken?“).

In den vergangenen Wochen wurden einige Fälle bekannt, bei denen First-Level-Support-Mitarbeiter bei grossen IT-Unternehmen wie Apple, Papypal, Amazon und GoDaddy Opfer von telefonischen Social-Engineering-Angriffen wurden und persönliche Account-Daten von anderen Kunden preisgaben.

Der Webentwickler Naoki Hiroshima wurde zum Beispiel durch geschickte Angriffe um seine populäre Twitter-Adresse „@N“ erpresst, wie er detailliert auf Medium.com erläutert. Erschreckend ist hierbei vor allem, wie einfach es dem Angreifer möglich war, die digitale Identität von Hiroshima zu übernehmen. Dazu rief der Hacker laut Hiroshimas Erkenntnissen zunächst bei Paypal an und konnte durch geschickte Lügen die letzten vier Ziffern der Kreditkarte von dem nichtsahnenden Hiroshima von einem Paypal-Kundendienst-Mitarbeiter erfragen (Paypal bestreitet allerdings, dass es die Daten herausgegeben habe). Daraufhin setzte sich der unbekannte Hacker mit dem Kundensupport des Webhosters GoDaddy in Verbindung und gab sich wohl als Hiroshima aus unter dem Vorwand, er habe sein GoDaddy-Kundenpasswort vergessen. Der GoDaddy-Mitarbeiter forderte als einzige Authentifizierung eine aktuelle Anschrift von Hiroshima sowie die letzten vier Ziffern seiner Kreditkarte. Beides konnte der Hacker vorweisen und erhielt dadurch den Zugang zu Hiroshimas GoDaddy-Account. Damit hatte der Angreifer Zugriff auf alle Domains und somit in einem weiteren Schritt potentiell auch E-Mail-Konten von Hiroshima. Damit hätte er auch die Möglichkeit gehabt, bei Twitter ein neues Passwort zu beantragen und somit in den Besitz von „@N“ zu kommen. Konkret wählte der Angreifer aber einen anderen Weg: Er nahm direkt Kontakt mit Hiroshima auf und erpresste direkt das Twitter-Passwort in Austausch gegen die Wiederherstellung des Zugangs zum GoDaddy-Account.

Ein früherer bekannter Fall ist der von Mat Honan, der auf WIRED ausführlich beschreibt, wie es einem Hacker dank ähnlicher Strategien und der Ausnutzung der Auskunftsfreundlichkeit von Apple und Amazon gelang, seinen Google-Mail-Account mit allen E-Mails zu löschen, sowie sein MacBook, iPad und iPhone per Fernwartungsfunktion ebenfalls komplett zu löschen. Andere Nutzer berichten von ähnlichen Fällen.

Diese jüngsten Fälle zeigen, wie wichtig es ist, möglichst wenig persönliche Daten wie Adressen im Web öffentlich zu machen und insbesondere sehr vorsichtig mit Kreditkartendaten umzugehen. Ferner sollte man möglichst darauf verzichten, zu viele Dienste miteinander zu verknüpfen — also GoogleMail oder Hotmail & Co. nicht für alle Facebook/Twitter/Amazon/GoDaddy-Accounts als einzige Recovery-Adresse verwenden. Insbesondere Inhaber von eigenen Domains, die auch selbst einen Mailserver und/oder DNS-Server betreiben, sollten darauf achten, ob auch ihr Provider/Hoster möglicherweise allzu freigiebig mit Kundendaten umgeht.

Der ebenfalls vor einiger Zeit betroffene Josh Bryant fasst die Problematik recht gut zusammen: „Some of the biggest companies in the world have security that is only as good as a minimum-wage phone support worker who has the power to reset your account. And they have valid business reasons for giving them this power.

(Foto itsmeritesh @ flickr)