13.02.2024 - Immer wieder erreichen das BACS Meldungen zu gehackten Konten auf sozialen Medien oder ungewollten Bestellungen in Webshops. In vielen Fällen kann der Betrug auf ein gehacktes E-Mail-Konto zurückgeführt werden. Die Bedeutung des Schutzes von E-Mail-Konten wird leider häufig unterschätzt.
Eine ungewollte Bestellung…
Bürgerinnen und Bürger melden immer wieder, dass sie Rechnungen für Bestellungen erhalten, die sie nie getätigt haben. Es handelt es sich beispielsweise um digitale Geschenkkarten. Betrüger machen sich hierbei zu Nutze, dass diese Geschenkkarten nicht per Post gesendet werden müssen, sondern in digitaler Form nach dem Bestellvorgang einfach heruntergeladen werden können. Das Opfer hat so den Schaden und sitzt auf einer Rechnung für ein Produkt, das es nie bestellt hat. Die Angreifer müssen dabei im Vorfeld Zugang zum Webshop erlangt haben.
… oder ein gehacktes Social-Media-Konto
Immer wieder melden sich Inhaber von Social-Media-Konten beim BACS, denen die Zugangsdaten zu ihrem Social-Media-Konto von Betrügern gestohlen worden sind. Über diese Konten werden dann zum Beispiel Bekannte aus den Kontakten angeschrieben und unter einem Vorwand um Geld gebeten, oder es wird betrügerische Werbung aufgeschaltet. Leider ist es in vielen Fällen schwierig und langwierig, die Kontrolle über das Social-Media-Konto wieder zu erlangen. In einigen Fällen kann das Konto gar nicht mehr reaktiviert werden.
Die Drehscheibe
Häufig werden diese Konten nicht direkt angegriffen, sondern die Betrüger nutzen den Umweg über einen gekaperten E-Mail-Zugang. Vielfach handelt es sich nämlich bei einem E-Mail-Konto um eine wahre Fundgrube für Angreifer. Die Betrüger erhalten so einen Abriss über den Alltag und die Kontakte des Inhabers. Der Angreifer hat aber so auch Hinweise auf die Existenz von Konten bei verschiedenen Providern, sozialen Medien, Webshops und weiteren Online-Diensten, die sich in der Inbox, im Papierkorb und im Archiv befinden. Meistens wird die Täterschaft fündig und kann sich je nach deren Fokus auf die Ziele konzentrieren, die sie interessieren. Andernfalls kann sie den Zugang immer noch im Darknet weiterverkaufen.
Das Problem mit der Passwortrückstellung
Für den Zugang zu den Online-Dienstleistern benötigt der Angreifer das Passwort des Ziel-Kontos nicht: Es reicht, wenn der Angreifer auf der Webseite des Dienstleisters die E-Mail-Adresse eingibt und dann den Link «Passwort vergessen» drückt.
Dabei wird entweder ein neues Passwort oder ein Link zur Passwortrückstellung generiert. Beides wird praktischerweise an genau die Mailbox geschickt, auf die der Betrüger bereits Zugriff hat.
Es ist offensichtlich: Ein gehacktes E-Mail-Konto kann sehr viel wert sein. Der Angreifer braucht dazu initial ein Passwort, an das er mit verschiedenen Möglichkeiten gelangen kann:
- Über einen Phishing-Angriff gibt der Eigentümer des Kontos das Passwort selber bekannt.
- Das Passwort ist zu kurz und zu einfach und ist für einen Angreifer leicht zu erraten oder mit Durchprobieren zu finden.
- Bei einem Datenabfluss eines Online-Dienstleisters werden E-Mail-/Passwort-Kombinationen gestohlen. Die Betrüger werden ausprobieren, ob sie mit diesem Passwort auf das E-Mail-Konto zugreifen können.
Vorsichtsmassnahmen
Um das eigene E-Mail-Konto vor Verlust zu schützen, empfiehlt das BACS folgende Massnahmen.
- Verwendung eines Passwortes mit mindestens 12 Zeichen, bestehend aus Gross- und Kleinbuchstaben, Zahlen und möglichst auch Sonderzeichen.
- Keine Mehrfachverwendung von Passwörtern.
- Einsatz von 2-Faktor-Authentisierung. Damit wird zusätzlich zum Passwort zum Beispiel ein Zahlencode abgefragt, welcher in einer App («Authenticator-App») erzeugt und angezeigt wird. Keine Angst: der Aufwand zur Einrichtung ist einmalig und minimal, und in vielen Fällen muss der Code nicht jedes Mal eingegeben werden, sondern nur dann, wenn man sich von einem unbekannten Gerät aus einloggt. Mit einem zweiten Faktor steigt der Aufwand für Angreifer massiv, um das Konto übernehmen zu können.
- Das Passwort für den E-Mail-Account sollte einzig im Webmail (URL kontrollieren) oder in den E-Mail-Programmen auf PC und Handy eingegeben werden. Kommen Sie keiner Aufforderung nach, das Passwort auf Webseiten einzugeben, die Sie über Links in E-Mails geöffnet haben.
- Verwenden Sie nach Möglichkeit mehrere E-Mail-Adressen für verschiedene Einsatzzwecke.
Weiterführende Informationen finden Sie auf den Seiten des BACS:
Ob Ihre E-Mail-Adresse je in einem (bisher bekannten) Datenabfluss enthalten war, können Sie selber auf der Seite des «Have I Been Pwned»-Projektes (https://haveibeenpwned.com/) prüfen. Erschrecken Sie nicht: Die Wahrscheinlichkeit ist hoch, dass dies der Fall ist. Die entscheidende Frage ist, was mit der Adresse sonst noch für Daten abgeflossen sind. Ist ein Passwort abgeflossen, empfiehlt das BACS, das Passwort zu ändern.
Prüfen Sie nach Möglichkeit auch auf einem anderen Tool, ob Ihre E-Mail-Adresse Teil eines Datenlecks war, z. B. auf dem «Identity Leak Checker» des Hasso-Plattner-Instituts, Potsdam/DE. Denn wenn Ihre E-Mail-Adresse in einem Tool nicht als geleakt anzeigt wird, bedeutet dies nicht zwingend, dass das auch in anderen Tools der Fall ist.
Aktuelle Zahlen und Statistiken
Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:
Letzte Änderung 13.02.2024