Benutzer werden gehackt?! Phishing auf multiplen Plattformen

Wörki
16. Februar 2023
0 Kommentare
5.036 Mal gelesen
11 Minuten

Uns sind Aktivitäten aufgefallen, wo sich jemand ausländischer Herkunft den Zugriff auf mehrere Accounts verschafft hat. Wie wir dagegen vorgehen, erfahrt ihr hier.

Inhaltsverzeichnis [Verbergen Anzeigen]

Die Masche und der Verlauf
Enteignung & Aktivierung der Zwei-Faktor-Authentisierung
1. Beispiel: Gibt's da Hilfe von Instagram?
Und zuletzt ...
Und was hat das mit der OMSI-WebDisk zu tun?
Wie schütze ich meinen Account?

Liebe Community,

ihr habt sicherlich alle schon vom sogenannten Phishing gehört. Aber klären wir zunächst einmal allgemein auf...

Oftmals wird Euch eine gefälschte E-Mail eines größeren Anbieters (z.B. Instagram, Facebook, aber auch Banken und Kreditinstitute [z.B. PayPal oder ortsansässige Bankinstitute], Versandunternehmen [z.B. FedEx, UPS, DHL], Online-Händler [z.B. Amazon], aber auch polizeiliche Dienste [z.B. das Bundeskriminalamt oder gar Interpol] etc.) geschickt mit einem Link darin. Die ganze E-Mail ist im Regelfall Müll (also Spam und zugleich ein Scam-Versuch), denn egal wohin ihr klickt, alles verweist auf denselben Link, inklusive des "Subscribe"-Buttons zum Abmelden.

Wenn ihr einmal in den Absender der Mail reinschaut, seht ihr, dass der Absender gar nicht der jeweilige Anbieter ist, sondern es sich um eine andere "gehackte" Absender-Adresse handelt (von Privatpersonen bis hin zu Firmen ist alles dabei, was zuvor bereits von Dritten gephisht wurde). Teils steht ihr nicht mal selbst im Empfänger, sondern ihr habt nur eine Kopie (CC) oder Blindkopie (BCC) erhalten, was im Regelfall niemals so praktiziert wird!

Doch genau darauf schauen leider nur die Wenigsten, obwohl es in Eurer eigenen Verantwortung liegt, die eigene Account-Sicherheit zu gewährleisten und dahingehend zu prüfen, bevor ihr auf eine Fälschung hereinfallt.

Nach dem Anklicken des Links landet ihr meist auf einer Homepage, die gar nicht der Internet-Adresse des originalen Anbieters entspricht, sondern im Regelfall eine Subdomain mit Kauderwelsch aus Zahlen und Buchstaben ist. Diese Homepage sieht aber oft täuschend echt aus und das einzige Indiz, dass es sich um eine Fälschung handelt, ist nur die Internetadresse im Browser. Dies ist eine von vielen Formen der Cyber-Kriminalität.

Auf dieser gefälschten Internetseite werdet ihr zur Eingabe Eurer Daten aufgefordert: Manchmal werden Login-Daten verlangt, andere Male Kreditkartendaten, oftmals auch Beides.

Habt ihr eure Daten eingegeben, war's das auch schon, denn mehr als eine Fehlermeldung bekommt ihr an dieser Stelle nicht. Der "Hacker" hat Eure Daten an dieser Stelle längst übermittelt bekommen ... und könnte sofort loslegen.

Die Masche und der Verlauf

Sobald der Fake-Anbieter (alias "Hacker") Eure Zugangsdaten hat, kontaktiert er Euch. Seine Absicht ist es, etwas zu verkaufen (z.B. Follower auf Instagram) oder ein anderes unseriös-dubioses Angebot zu machen (z.B. "Du bekommst 1.000 Euro per PayPal, wenn du für uns Videos machst, um XYZ zu promoten." - nur um damit an Eure Paypal-Adresse zu kommen, wobei er Euch den Betrag über - zuvor gestohlene - Kreditkartendaten schickt, jeodoch sich der ursprüngliche Kreditkarten-Inhaber das Geld ein paar Tage später von PayPal zurückholt und ihr kommt dann in Bedrouille) oder er kommt mit irgendwas Ähnlichem an. Fakt ist, dass der Phantasie keine Grenzen gesetzt sind, um Euch Honig um's Maul zu schmieren!

Ihr habt bestimmt auch schon vom Enkel-Trick oder der aktuell beliebten WhatsApp-Betrugsmasche gehört; letztlich alles Scam auf ihre eigene Art und Weise ... und sie beginnt via Telemedien.

Wenn der "Hacker" mit der Kontaktaufnahme keinen Erfolg hat, geht es mit der "Ausbeutung" der Zugangsdaten weiter. Zuerst loggt er sich in den Account ein und durchstöbert diesen nach privaten Informationen. So sucht er nach Hinweisen, wo ihr registriert seid und probiert auch bei weiteren Websites (so auch uns) Eure bekannten Zugangsdaten aus. Mit etwas Glück knackt er auch den Jackpot: Eure E-Mail-Adresse, worüber er viele weitere Infos und potentielle Internetseiten erhält, unter Umständen einschließlich der PayPal-Adresse und und und ... womit er Euch mehr und mehr schaden kann.

Darüber hinaus kontaktiert er oft etwaige Freunde, Follower und/oder sonstige Kontakte. Er versucht, auch deren Daten irgendwie auszuspähen bzw. abzugreifen, indem er dort seine Phishing-Links (oftmals via bit.ly oder anderen Kurzlink-Anbietern verkürzt) unter falschem Vorwand verbreitet, wo die Dritten - aus falschem Vertrauen Euch gegenüber, - Blindlinks ebenso in die Falle tappen. So nimmt der Domino-Effekt seinen Lauf: Einer nach dem Anderen fällt darauf rein...

Enteignung & Aktivierung der Zwei-Faktor-Authentisierung

Wenn der "Dieb" alle nennenswerten Infos über Euch gesammelt hat (wenn er damit nicht von Anfang an beginnt), geht er zum nächsten Schritt: Er ändert

- euer Passwort,

- eure E-Mail-Adresse,

- ggf. die Handynummer

- und, wenn keine eingerichtet wurde, aktiviert er außerdem eine 2-Faktor-Authentifizierung für den Account.

Er tut eben alles, um sich den Account anzueignen (Identitätsdiebstahl).

Mit der eingerichteten 2FA hat er nun die absolute Kontrolle über den Account, denn diese deaktiviert zu bekommen, ohne dabei selbst Zugriff auf das zugehörige Endgerät (bspw. das Handy mit installiertem "Google Authenticator") oder hilfsweise mittels Backup-Codes, zu bekommen, ist nur über den Support des jeweiligen Anbieters der Plattform möglich. Aber diese stellen sich quer, obwohl anhand der IP-Adressen regulär absolut offensichtlich sein sollte, dass die Zwei-Faktor-Authentifizierung zum Zeitpunkt eines Account-Fremdzugriffs eingerichtet wurde. Höchst "professionelle Hilfe" nennt sich das ... Nicht!

Viele Anbieter schicken aber auch E-Mails heraus, wenn das Passwort, die E-Mail-Adresse oder gar Handynummer im Account geändert wurden. Diese Änderung lässt sich häufig, wenn ihr denn schnell genug seid, rückgängig machen. Dennoch kommt ihr über die Eingabe des Codes für die (von einem Fremden eingerichtete) 2-Faktor-Authentifizierung nicht mehr hinaus!

Also was nun?

Beispiel: Gibt's da Hilfe von Instagram?

Instagram verlangt Fotos von Euch, was sie mit den Bildern auf Eurem Instagram-Account abgleichen. Nur wenn die auf den Bildern dargestellten Personen (eben ihr selbst) übereinstimmen, helfen sie bei der Deaktivierung der 2FA, aber ansonsten nicht!

Wenn ihr auf Eurem Insta-Account aber immer nur Bilder aus Euren Spielen gepostet habt, oder der Account lediglich auf einer virtuelle Figur (aus bspw. einem Rollenspiel, eine Leitstelle/Spedition, Spielergemeinschaft etc.) basiert, dann habt ihr folglich auch nichts, womit es abgeglichen werden kann.

Und genau ab diesem Zeitpunkt kommt ihr zur Einsicht, dass ihr Euch vom Account verabschieden könnt. Die durch den "Hacker" eingerichtete 2-Faktor-Authentifizierung hindert Euch an der Nutzung Eures eigenen Accounts. Und obwohl es Euer Account ist, könnt ihr das dann auf die Art, die es Instagram wünscht, eben nicht nachweisen.

Und zuletzt ...

Wenn alles an Informationen aus dem Account geholt und so vielen Dritten wie möglich damit geschadet wurden, schaltet der "Hacker" oft zum Ende noch Werbung für sich bzw. seine Partner. Im Regelfallt handelt es sich dabei um Kryptowährung (also Bitcoin & Co.), entweder um die Generierung oder um den Handel damit ... und nicht selten steht dies auch in Verbindung mit Online-Glücksspiel.

Am Ende schwingt die Plattform schließlich den Bann-Hammer (Account permanent gesperrt) wegen Verstoßes gegen die eigene Netiquette.

Und was hat das mit der OMSI-WebDisk zu tun?

Der guten Arbeit unserer Admins ist zu verdanken, dass auch Accounts bei uns aufgefallen sind, wo sich jemand mit einer IP-Adresse aus Moldawien (wobei der Anbieter Offshore-Natur ist, also eine Briefkastenfirma mit anonymen kryptobasierten Zahlungsmethoden), in gleich mehrere Benutzer-Accounts eingeloggt hat.

Die Admins haben alle betroffenen Benutzer mit der Begründung "verdächtige Aktivitäten" vorsorglich gesperrt. Manche dieser User haben sich bereits zur Entsperrung per Ticket gemeldet, mussten ein neues Passwort setzen und haben - hoffentlich - daraus gelernt.

Gleichzeitig wurde der komplette IP-Adressblock des Anbieters (genannt "IP-Range") in unserem Server blockiert, so dass zukünftig gar keine Verbindung zur WebDisk, nicht einmal zum Server, aufgebaut werden kann. Dies hindert den "Hacker" aber nicht daran, zu einem anderen Offshore-Anbieter zu wechseln (diese gibt's wie Sand am Meer), um seine skrupellos-illegalen Tätigkeiten fortzusetzen.

Über eine polizeiliche Anzeige zur Strafverfolgung brauchen wir uns gar keine Gedanken zu machen, denn da bei Offshore-Anbietern die Anonymität im Vordergrund steht, ist es kaum möglich, den "Hacker" zu identifizieren und zur Rechenschaft zu ziehen. Solche Leute agieren von überall auf der Welt und anonymisieren sich durch die Nutzung von VPN-Dienstleistern, womit sie sich auf ihre Server verbinden und darüber ihre kriminellen Machenschaften ausüben.

Wir tun aber trotzdem unser Bestes, um Euch zu schützen und Euch bei Eurer eigenen Account- und Datensicherheit zu unterstützen. Wir stehen hinter Euch!

Wie schütze ich meinen Account?

Auch wenn diese Tipps überall im Internet zu finden sind, betonen wir nochmal:

Nutzt am besten für alle Eure Website-Zugänge ein eigenes Kennwort. Ja, sich unzählige Kennwörter zu merken ist kaum möglich, aber das ist eben der sicherste Weg, dass sich nach erfolgreichem Phishing eines Passwortes nicht in zig weitere Websites eingeloggt werden können. Erst recht für das E-Mail-Postfach und etwaige Bankinstitute (einschl. PayPal) sollte ein alternatives Passwort verwendet werden, alles andere ist schlicht dumm!
Nutzt als Kennwort nicht so einen Unsinn wie ein Mix aus eurem Vornamen mit eurem Geburtsdatum (z.B. Vorname6799 - also der eigene Vorname mitsamt Geburtsdatum 06.07.1999) oder simpel den Namen Eures Haustieres, den ihr bereits millionenfach (auf z.B. Instagram) zeigt und auch benennt! Nutzt besser unaussprechliche Wörter, wo ihr noch etwas mit den Buchstaben in Groß- und Kleinschreibung spielt, ein paar Zahlen noch dran, am besten noch 1-2 Sonderzeichen hinzu (Komma, Ausrufezeichen, Prozentzeichen, etc.) und das ganze in einer Gesamtlänge von MINDESTENS 8 Buchstaben/Zeichen/Zahlen. So käme man z.B. auf 0msI-wEbdIsk%2015: Das erste "O" (in Omsi) wurde durch eine Null ersetzt, alle Umlaute sind groß und die restlichen Buchstaben klein geschrieben, zwischen "Omsi-Webdisk" (was selbst ein Bindestrich als Sonderzeichen enthält) und der Jahreszahl 2015 (Start der Webdisk für die Öffentlichkeit) folgt noch ein Prozentzeichen. Natürlich solltet ihr dieses Kennwort nicht verwenden; es ist nur ein Beispiel für die eigene Kreativität bei der Wahl des Passwort ... und dabei ist es auch noch gut zu merken.
Damit kein Dritter eine 2-Faktor-Authentifizierung in Eurem Account aktivieren kann, solltet ihr sie SELBST aktivieren!! Wenn jemand an Eure Zugangsdaten herankäme, würde er über die Eingabeseite des 2FA-Codes trotzdem nicht hinaus kommen, da er diesen Code nur mit Eurem eigenen Endgerät (also im Regelfallt das eigene Handy) ablesen und eingeben kann.
Gebt NIEMALS Euren generierten Code aus der 2-Faktor-Authentifizierung an Dritte heraus! Und die eigenen Zugangsdaten nicht an Dritte herauszugeben, muss wohl nicht gesondert erwähnt werden.