Online-Accounts sind schnell weg, wenn ihr sie nicht richtig absichert. Das musste erst kürzlich ein treuer PlayStation-Fan am eigenen Leib erfahren, denn sein Konto wurde urplötzlich gestohlen.
Trotz aktivierter Zwei-Faktor-Authentifizierung!
Der Unglücksrabe hatte schlicht und ergreifend eine andere Schwachstelle übersehen und die wusste ein äußerst trickreicher Hacker für sich zu nutzen.
Schlechte Passwörter können sogar die beste Zwei-Faktor-Authentifizierung aushebeln
In Zeiten immer weiter steigender Rechenleistung von Computern, wird es zunehmend einfacher, Passwörter zu knacken. Häufig dauert es nur wenige Minuten und der Hacker hat das richtige Passwort identifiziert.
Wohlgemerkt, wenn ihm die entsprechende Datenbank des Dienstes vorliegt. Über den Login der meisten Online-Services geht das nicht, da nach einigen Fehlversuchen eine Zeitsperre aktiviert wird.
Ein (fiktives) Beispiel für das Knacken von Passwörtern: Es gab ein Leck beim E-Mail-Dienstleister Yahoo! und Hacker konnten eine Datenbank mit verschlüsselten Passwörtern erbeuten. Die Passwörter werden dann so lang lokal von einem Programm durchgeprüft, bis die korrekte Kombination entdeckt wurde.
Das passiert in einem unglaublichen Tempo und dauert je nach Passwortstärke ein paar Millisekunden oder gar Millionen von Jahren. Welche Faktoren dabei eine Rolle spielen, hat ein Sicherheitsunternehmen aufgeschlüsselt:
Wieso wir bei unserem Beispiel ausgerechnet Yahoo! nennen? Das ist der E-Mail-Provider des ResetEra-Nutzers Kamek, dessen PSN-Account von einem Hacker entwendet wurde.
Über einen Telegram-Kanal bekam der Schmutzfink Zugriff auf eine Datenbank mit Yahoo-Adressen und bereits geknackten Passwörtern, darunter dem des PlayStation-Fans.
Nun könnte es zu zwei unterschiedlichen Szenarien gekommen sein, die der Hacker sich zunutze machte, von denen aber nicht ersichtlich ist, was tatsächlich passierte:
Möglichkeit Nr. 1 - Der Hacker trickste den Sony-Support aus
Dem PlayStation-Support könnte der Cyber-Dieb ein Problem mit der Zwei-Faktor-Authentifizierung vorgetäuscht haben, um diese zu deaktivieren.
Daraufhin könnte sich die beim Support angestellte Person die Rechnungsnummer der letzten durchgeführten Transaktion auf dem Konto als Verifikation genannt haben lassen und die hätte der Angreifer aufgrund des Zugriffs auf die E-Mail-Adresse direkt vorlesen können.
Möglichkeit Nr. 2 - Die Zwei-Faktor-Authentifizierung wurde ausgetrickst und dann deaktiviert
Kamek hatte die Zwei-Faktor-Authentifizierung in seinem Profil aktiviert, allerdings ließ er sich Zugriffs-Codes per SMS schicken. Mobilnummern können aber vorgetäuscht und die Codes somit an ein anderes Handy geschickt werden! Durch dieses sogenannte Spoofing könnte der Hacker die Zwei-Faktor-Authentifizierung im Handumdrehen bestanden haben.
Was nun der ausschlaggebende Aspekt war oder ob beide Möglichkeiten ineinandergreifen, da scheint sich der Betroffene selbst nicht sicher zu sein, da er die Ursache nicht klar benennen kann.
Gutmütigkeit des Hackers führt zu glücklichem Ausgang
Egal, wie der Hack zustande kam: Der Pechvogel hatte Glück im Unglück. Denn er konnte seinen Yahoo-Account wiederherstellen und so die Kontrolle darüber zurückerlangen.
Sämtliche zuvor abgespeicherten Mails waren zwar gelöscht, über die Suchhistorie konnte er aber nachvollziehen, dass der Hacker Nachrichten auf eine seiner E-Mail-Adressen zur Absicherung weitergeleitet hat.
Über diese Adresse schrieb Kamek den Cyber-Dieb an und konnte seine Situation erklären. Der Hacker reagierte daraufhin wohlwollend und gab den PSN-Account wieder frei.
Wohl auch, da es nicht viel zu erbeuten gab. Kamek hatte laut eigenen Aussagen keine Kreditkartendaten oder ähnliches hinterlegt, er bezahlte stets mit PSN-Guthaben, das er mit Karten aufgeladen hat.
Sony konnte zu keinem Punkt angreifen: Während der ganzen Leidensgeschichte hat der PlayStation-Spieler mehrfach das Unternehmen hinter der Konsole kontaktiert, der Support konnte ihn aber nicht eindeutig seinem Account zuordnen.
Er wurde aufgefordert, die letzte Transaktionsnummer in seinem Konto anzugeben, was eben nicht möglich war, da seine Mails gelöscht wurden. Ein Zahlungsmittel konnte er ebenfalls nicht nennen, da er ja stetig die Guthabenkarten kaufte.
Die einzige Lösung wäre daher die Durchgabe der Seriennummer jener Plattform gewesen, mit der er das Profil erstellte. In dem Fall eine PS3 der allerersten Generation, die allerdings irgendwo im defekten Zustand im Haus seiner Eltern lagerte.
Kurz bevor er sich auf den Weg machte, reagierte der Hacker auf seine Nachricht, er musste sich also nicht mehr durch den Keller oder das Dachgeschoss seiner Jugendheimat wühlen.
So schützt ihr euer PSN-Profil:
Nutzt Zwei-Faktor-Authentifizierung (2FA) im Verbund mit einer App – zumeist Google Authenticator oder Authy – da diese nahezu unmöglich zu knacken sind! 2FA per SMS ist zwar eine solide Hürde, aber keine, die unüberwindbar ist.
Außerdem solltet ihr 2FA auch bei eurer E-Mail-Adresse aktivieren und/oder ein extrem starkes Passwort bestehend aus mindestens zwölf Kleinbuchstaben, Großbuchstaben, Zahlen und Symbolen nutzen.
Könnt ihr euch die Kombination nicht merken, kann sie auch in einem Passwort-Manager wie BitWarden oder KeePassium hinterlegt werden. Das Master-Passwort des Managers sollte dabei extrem sicher sein, also wie zuvor erwähnt aus mindestens (idealerweise mehr als) zwölf Großbuchstaben, Kleinbuchstaben, Zahlen und Symbolen bestehen.
Dann seid ihr auf der sicheren Seite!
Mit starken Passwörtern und einer Zwei-Faktor-Authentifizierung per App reduziert ihr die Wahrscheinlichkeit eines Hacks gewaltig, eure E-Mail-Adresse solltet ihr dabei aber nie vergessen, denn sie könnte zur Schwachstelle werden.
Euch ergeht es dann also hoffentlich nicht wie den armen Kamek, dessen einzige Hoffnung das Gewissen des Hackers war. Und das hat sich zum Glück noch gemeldet.
Schützt ihr eure Online-Accounts? Wie geht ihr dabei vor?
Nur angemeldete Benutzer können kommentieren und bewerten.
Dein Kommentar wurde nicht gespeichert. Dies kann folgende Ursachen haben:
1. Der Kommentar ist länger als 4000 Zeichen.
2. Du hast versucht, einen Kommentar innerhalb der 10-Sekunden-Schreibsperre zu senden.
3. Dein Kommentar wurde als Spam identifiziert. Bitte beachte unsere Richtlinien zum Erstellen von Kommentaren.
4. Du verfügst nicht über die nötigen Schreibrechte bzw. wurdest gebannt.
Bei Fragen oder Problemen nutze bitte das Kontakt-Formular.
Nur angemeldete Benutzer können kommentieren und bewerten.
Nur angemeldete Plus-Mitglieder können Plus-Inhalte kommentieren und bewerten.