Wenn es einen Online-Account gibt, den man wie Kronjuwelen hüten sollte, dann ist das der persönliche E-Mail-Account. Praktisch jeder andere Dienst erlaubt es, das Passwort über die Haupt-Mailadresse zurückzusetzen. Das heißt: Wer den E-Mail-Account eines anderen kontrolliert, kontrolliert dessen gesamte Online-Existenz.
Man könnte also denken, dass es im Sinne des Kunden ist, wenn E-Mail-Provider den Account so streng wie möglich sichern. Ist es aber nicht: Wer schon einmal das Passwort seines Mailkontos vergessen hat, weiß zu schätzen, dass es eine Option zur Wiederherstellung gibt. Bei Gmail, dem Maildienst von Google, ist eine dieser Optionen die Wiederherstellung per SMS: Google sendet dem Nutzer einen Zahlencode per SMS auf dessen Handy, der damit den Besitz des Handys und damit seine Identität „beweist“ – und ein neues Passwort wählen darf.
SMS werden abgefangen
Zu dumm nur, dass der Empfang einer SMS an eine bestimmte Nummer nicht unbedingt an den Besitz des entsprechenden Telefons gekoppelt ist. Über eine schon seit langem bekannte Sicherheitslücke können Angreifer, die auf das Glasfasernetz der Telekommunikationsanbieter Zugriff haben, SMS abfangen und beliebig umleiten. Wie genau dies funktioniert, haben Sicherheitsanalysten der Firma Positive Technologies in diesem YouTube-Video demonstriert:
Für diese Art des Hacks muss der Angreifer nicht einmal die Gmail-Adresse des Opfers kennen – Gmail akzeptiert auch Vor- und Nachnamen in Kombination mit der Telefonnummer. Letztere kann leicht über die Service-Hotlines der Telefongesellschaft herausgefunden werden, wenn der Angreifer auf einen wenig sicherheitsbewussten Callcenter-Mitarbeiter trifft, wie Reporter herausgefunden haben.
(Böse Zungen könnten einwenden, dass gewisse deutsche Telefonprovider gegen diese Art des Angriffs immun sind, weil man in der Hotline nie ein menschliches Wesen zu sprechen bekommt – stimmt, aber Telefonnummern lassen sich auch durch Social Engineering oder offen zugängliche Quellen im Netz herausfinden.)
Eroberte Accounts einfach zu Geld machen mit Bitcoin
Wieso geht es im Titel des obigen Videos um Bitcoin und nicht um Gmail? Ganz einfach: Wenn sich jemand Zugriff auf das Gmail-Konto eines Bitcoin-Investors verschafft, dann lässt sich dieser Zugriff sofort und unmittelbar zu Geld machen. Bitcoin-Transaktionen – also der Transfer von Bitcoin von einer Adresse zur anderen – lassen sich nicht rückgängig machen, auch wenn sie ganz klar nicht legitim sind. Der Anreiz ist für einen Angreifer also am höchsten, in solche Gmail-Accounts einzubrechen, die Bitcoin-Usern gehören (oder auch Ether- oder Litecoin-Besitzern).
Das heißt nicht, dass diese Sicherheitslücke irgend etwas mit Bitcoin zu tun hätte. Sie hat nicht einmal hauptsächlich mit Gmail zu tun – sie ist vielmehr ein Überbleibsel aus alten SMS-Zeiten – und ist seither nicht repariert worden. Schon 2015 haben wir in unserem Buch „Gut gerüstet gegen Überwachung im Web“ darauf hingewiesen, dass SMS nicht sicher sind, sondern unverschlüsselt übermittelt werden und mit sogenannten IMSI-Catchern abgefangen werden können.
Aber während es früher mühsam war, einen Diebstahl von Informationen – oder einen kompletten Identitätsdiebstahl – zu Geld zu machen, kommt den Angreifern jetzt der Trend in Richtung Kryptowährungen zur Hilfe. Wenn die Besitzer der Bitcoins eine sogenannte Online-Wallet verwenden, also eine Art Online-Konto, das einen Zugriff auf die Währungstransaktionen per Browser erlaubt, dann lässt sich in sehr kurzer Zeit sehr viel Geld unwiderruflich stehlen – besser noch als beim Kreditkartenbetrug, denn die Opfer haben keine Möglichkeit, ihre Bitcoin zurückzufordern.
Mehrere Unternehmer und Investoren im Bereich der Kryptowährungen haben auf diese Art und Weise schon Bitcoin und Ether mit einem Gegenwert von jeweils Hunderttausenden von Dollar verloren.
Fazit
Unsere Online-Accounts werden für unser Leben immer wichtiger, aber die Sicherheitsmaßnahmen bei vielen Providern halten nicht Schritt. Und dort, wo sichere Optionen zur Verfügung stehen – etwa durch ein kleines Stück Hardware wie den YubiKey – sind wir oft aus Bequemlichkeit nicht bereit, sie zu benutzen.
Wie schaut eine Endnutzerin auf dieses Problem – und (wie) lässt es sich lösen? Mehr dazu bald hier im Blog!