Naoki Hiroshima war bis vor knapp einer Woche noch Besitzer des extrem wertvollen Twitter-Accounts @N. Bis zu 36.600 Euro seien ihm laut eigener Angaben für den Account bereits geboten worden. Mit ein paar einfachen Tricks brachte ihn ein Hacker um seinen wertvollen Besitz.
Hiroshima beschreibt den Vorfall in einem Blogpost so:
Im ersten Schritt verschaffte sich der Angreifer Zugriff auf Hiroshimas PayPal-Account. Durch einen geschickten Anruf bei der Paypal-Service-Hotline, gelang es dem Angreifer den Mitarbeiter so zu manipulieren, dass er die letzten vier Zahlen von Hiroshimas Kreditkartennummer verriet. Diese Art der sozialen Manipulation wird in der IT-Sicherheit auch als "Social Engineering" bezeichnet.
Mit Hilfe dieser Nummer hat sich der Angreifer dann bei der Service-Hotline des Webhosting-Betreibers Godaddy als Hiroshima ausgegeben. Dort überzeugte er den Mitarbeiter, dass er seine Kreditkarte verloren hätte.
Da der Angreifer die letzten vier Zahlen der auch dort hinterlegten Kreditkarte kannte, hatte ein Mitarbeiter von Godaddy dem Angreifer die Zugangsdaten zu Hiroshimas E-Mail-Account gegeben.
Der E-Mail-Account ist der Schlüssel für Alles
Auf den meisten Internetseiten werden E-Mail-Adressen für das Überprüfen des Logins benutzt. Hat ein Angreifer also Zugriff auf einen E-Mail-Account erlangt, kann er das Passwort des Benutzers auf vielen Internetseiten zurücksetzen.
Der Angreifer kann so die Kontrolle über jedes mit dieser E-Mail-Adresse verknüpfte Konto erlangen. Egal ob bei Facebook, Twitter, Instagram oder Paypal.
Ist das erst mal geschehen, ist es sehr schwer für den eigentlichen Besitzer die Kontrolle wieder zurück zu erlangen. Das musste auch Hiroshima erleben. Der Angreifer hätte die Kreditkartennummer bereits geändert, als er versucht habe bei der Service-Hotline von Godaddy anzurufen, schreibt Hiroshima. Deshalb zweifelte Godaddy an, dass er wirklich Hiroshima sei.
Am Ende muss Hiroshima aufgeben
Als er merkte, dass jemand versuchte ihn zu hacken, änderte Hiroshima noch rechtzeitig die mit seinem Twitter-Account verknüpfte E-Mail-Adresse. Doch das half ihm wenig. Der Angreifer hatte Zugriff auf den Login seiner Websites erlangt und erpresste ihn damit alle Daten zu löschen.
Hiroshima sah keine Möglichkeit, als klein bei zu geben und seinen Twitter-Namen in @N_was_stolen zu ändern. Der Angreifer gab ihm daraufhin freiwillig all seine Accounts zurück und erklärte ihm per E-Mail noch, wie er sich in Zukunft besser schützen könnte.
Hiroshimas Erlebnis war kein Einzelfall
Auch andere Besitzer von beliebten Account-Namen, meldeten sich nach Hiroshimas Veröffentlichung mit Erzählungen von ähnlichen Erlebnissen zu Wort. Josh Bryant, Besitzer des Twitter und Instagramm Accounts „jb“, beklagte, „dass die Sicherheit der größten Unternehmen der Welt, oft nur so gut ist, wie ein auf Mindestlohn-Niveau bezahlter Servicehotline-Mitarbeiter.“
Bryant bestätigt, dass es völlig normal sei, dass Kriminelle versuchen auf diesem Weg Zugriff auf wertvolle Twitter- oder Instagram-Accounts zu erhalten. Als Schwachstelle nennt er das Eigeninteresse von Unternehmen.
Ein Unternehmen, wie der Versandhändler Amazon, wäre leicht zu überzeugen, übers Telefon den Account wieder frei zu geben. Sonst würde die Firma das Risiko eingehen, dass der Kunde einfach den Einkauf bei einem Konkurrenten fortsetzt.
Von einem Account zum Nächsten
Desto mehr Informationen ein Angreifer über sein Opfer sammelt, desto leichter ist es für ihn, auch andere Firmen davon zu überzeugen, dass er der rechtmäßige Inhaber eines Accounts ist. So kann er sich von Account zu Account durchhangeln, bis er das eigentliche Ziel erreicht.
Weil Firmen einfach ein neues Passwort vergeben, bringe auch ein besonders gutes Passwort gegen diese Form des Angriffs nichts.
Vorfälle wie dieser zeigen, wie gefährlich es ist, wenn Firmen übers Telefon Kundeninformationen weiter geben oder den Login ihrer Kunden einfach wieder frei schalten. Dies ist zwar für uns angenehm, zeugt aber nicht von einem hohen Sicherheitsstandard.
Hiroshima beschreibt den Vorfall in einem Blogpost so:
Im ersten Schritt verschaffte sich der Angreifer Zugriff auf Hiroshimas PayPal-Account. Durch einen geschickten Anruf bei der Paypal-Service-Hotline, gelang es dem Angreifer den Mitarbeiter so zu manipulieren, dass er die letzten vier Zahlen von Hiroshimas Kreditkartennummer verriet. Diese Art der sozialen Manipulation wird in der IT-Sicherheit auch als "Social Engineering" bezeichnet.
Mit Hilfe dieser Nummer hat sich der Angreifer dann bei der Service-Hotline des Webhosting-Betreibers Godaddy als Hiroshima ausgegeben. Dort überzeugte er den Mitarbeiter, dass er seine Kreditkarte verloren hätte.
Da der Angreifer die letzten vier Zahlen der auch dort hinterlegten Kreditkarte kannte, hatte ein Mitarbeiter von Godaddy dem Angreifer die Zugangsdaten zu Hiroshimas E-Mail-Account gegeben.
Der E-Mail-Account ist der Schlüssel für Alles
Auf den meisten Internetseiten werden E-Mail-Adressen für das Überprüfen des Logins benutzt. Hat ein Angreifer also Zugriff auf einen E-Mail-Account erlangt, kann er das Passwort des Benutzers auf vielen Internetseiten zurücksetzen.
Der Angreifer kann so die Kontrolle über jedes mit dieser E-Mail-Adresse verknüpfte Konto erlangen. Egal ob bei Facebook, Twitter, Instagram oder Paypal.
Ist das erst mal geschehen, ist es sehr schwer für den eigentlichen Besitzer die Kontrolle wieder zurück zu erlangen. Das musste auch Hiroshima erleben. Der Angreifer hätte die Kreditkartennummer bereits geändert, als er versucht habe bei der Service-Hotline von Godaddy anzurufen, schreibt Hiroshima. Deshalb zweifelte Godaddy an, dass er wirklich Hiroshima sei.
Am Ende muss Hiroshima aufgeben
Als er merkte, dass jemand versuchte ihn zu hacken, änderte Hiroshima noch rechtzeitig die mit seinem Twitter-Account verknüpfte E-Mail-Adresse. Doch das half ihm wenig. Der Angreifer hatte Zugriff auf den Login seiner Websites erlangt und erpresste ihn damit alle Daten zu löschen.
Hiroshima sah keine Möglichkeit, als klein bei zu geben und seinen Twitter-Namen in @N_was_stolen zu ändern. Der Angreifer gab ihm daraufhin freiwillig all seine Accounts zurück und erklärte ihm per E-Mail noch, wie er sich in Zukunft besser schützen könnte.
Hiroshimas Erlebnis war kein Einzelfall
Auch andere Besitzer von beliebten Account-Namen, meldeten sich nach Hiroshimas Veröffentlichung mit Erzählungen von ähnlichen Erlebnissen zu Wort. Josh Bryant, Besitzer des Twitter und Instagramm Accounts „jb“, beklagte, „dass die Sicherheit der größten Unternehmen der Welt, oft nur so gut ist, wie ein auf Mindestlohn-Niveau bezahlter Servicehotline-Mitarbeiter.“
Bryant bestätigt, dass es völlig normal sei, dass Kriminelle versuchen auf diesem Weg Zugriff auf wertvolle Twitter- oder Instagram-Accounts zu erhalten. Als Schwachstelle nennt er das Eigeninteresse von Unternehmen.
Ein Unternehmen, wie der Versandhändler Amazon, wäre leicht zu überzeugen, übers Telefon den Account wieder frei zu geben. Sonst würde die Firma das Risiko eingehen, dass der Kunde einfach den Einkauf bei einem Konkurrenten fortsetzt.
Von einem Account zum Nächsten
Desto mehr Informationen ein Angreifer über sein Opfer sammelt, desto leichter ist es für ihn, auch andere Firmen davon zu überzeugen, dass er der rechtmäßige Inhaber eines Accounts ist. So kann er sich von Account zu Account durchhangeln, bis er das eigentliche Ziel erreicht.
Weil Firmen einfach ein neues Passwort vergeben, bringe auch ein besonders gutes Passwort gegen diese Form des Angriffs nichts.
Vorfälle wie dieser zeigen, wie gefährlich es ist, wenn Firmen übers Telefon Kundeninformationen weiter geben oder den Login ihrer Kunden einfach wieder frei schalten. Dies ist zwar für uns angenehm, zeugt aber nicht von einem hohen Sicherheitsstandard.