Sich in den persönlichen E-Mail-Account einer Person einzuhacken, ist die beste Art, ihr Online-Dasein zu kontrollieren. Jetzt hat eine neue Untersuchung auch noch gezeigt, wie erschreckend einfach das ist.
Die Studie, durchgeführt von Lucas Lundgren, Spezialist der Sicherheitsfirma IOActive, zeigt, dass man nur wenig benötigt, um sich Zutritt zu privaten E-Mails zu verschaffen: Ein gutes Verständnis darüber, wie Websites mit Benutzer-Anfragen zu neuen Passwörtern umgehen, und die Geduld, etwas im Online-Leben des Opfers herumzuwühlen, um wichtige Informationen zu finden. Und jeder, der Informationen über Bank- oder Kreditkarten online erhält oder Arbeitsunterlagen im persönlichen E-Mail-Konto gespeichert hat – von allen anderen privaten Informationen ganz zu schweigen – weiß, wie unheimlich eine solche Perspektive ist.
Bei dem Versuch, sich in das Gmail-Konto eines Freundes (mit dessen Erlaubnis) einzuhacken, fing Lundgren damit an, ein neues Passwort anzufordern. Das führte zu der Erkenntnis, dass sein Freund ein alternatives Hotmail-Konto hatte, auch wenn er nicht die genaue Adresse herausfand. Also durchsuchte Lundgren das Facebook-Konto seines Opfers und erstellte ein falsches Konto mit dem Namen einer Person, von der er herausgefunden hatte, dass sie ein guter Freund des Opfers war. Er schickte von dem falschen Konto eine Freundschaftseinladung an das Opfer, das diese Einladung annahm und ihm damit die Informationen auf Facebook freigab. Und schon hatte Lundgren seine Hotmail-Adresse.
Um ein neues Passwort für den Hotmail-Account zu beantragen, untersuchte Lundgren die Facebook-Seite seines Opfers, um die Sicherheitsfrage beantworten zu können (der Geburtsname seiner Mutter), wonach ihm nur noch ein kleiner Schritt bis zu seinem letzten Ziel – sich in das Gmail-Konto seines Freundes einzuhacken, fehlte. Er beantragte ein neues Passwort für das Gmail-Konto und Gmail schickte die notwendige Mail an den Hotmail-Account, in den sich Lundgren bereits eingehackt hatte. So einfach griff Lundgren das Gmail-Konto seines Freundes an.
Nur zum Spaß probierte Lundgren mit ähnlichen Methoden, sich in das Facebook-Konto seines Freundes einzuhacken. Lundgren kontrollierte somit das komplette Online-Dasein seines Opfers und konnte durch die Informationen, die er in dem Gmail-Account fand, nun in seinem Namen einkaufen (etwa bei i-Tunes oder einem Elektronikgeschäft).
Gmail bietet ein Zwei-Schritte-Login an, das den Benutzern eine mobile Anwendung zur Verfügung stellt, bei der sie in Echtzeit Sicherheitscodes erhalten, die zusätzlich zum normalen Passwort verwendet werden müssen. Aber dies ist eben nur optional und viele Websites bieten solche Anwendungen gar nicht an.
Da es erschreckend einfach ist, notwendige Informationen zu finden, um die Online-Identität einer Person zu stehlen, schlägt Lundgren vor, alle Informationen, die man im Internet veröffentlicht, stark zu beschränken, vor allem bei Facebook. Für den weiteren Schutz sollte man keine wichtigen Informationen in seinen E-Mails speichern – Kontoauszüge, Rechnungen, etc. sollte man ausdrucken und damit auf Papier speichern und die Datei oder E-Mail anschließend löschen.
Man kann schließlich nie sicher genug sein.