Die Kompromittierung von Passwörtern ist eines der frustrierendsten Probleme des heutigen digitalen Zeitalters. Auf den ersten Blick mag dies nicht sehr wichtig erscheinen. Wen kümmert es schon, wenn jemand das Kennwort für ein altes E-Mail-Konto kennt, das selten benutzt wird und keinen Wert hat?
Bis Ihnen einfällt, dass eben diese E-Mail-Adresse nicht nur mit den Konten Ihrer sozialen Netzwerke, sondern auch mit Ihrem Online-Banking-Konto und anderen Anwendungen verknüpft ist und sich nun in den Händen von Cyberkriminellen befindet. Neben dem Ärger über den Verlust von Geld und Daten kann ein solches Leck auch Ihren Freunden, Verwandten und Kollegen erhebliche Kopfschmerzen bereiten. Schließlich können kompromittierte Konten dazu verwendet werden, in Ihrem Namen Phishing- und betrügerische E-Mails an all Ihre Kontakte zu senden.
In diesem Artikel erläutern wir, wie Anmeldedaten gestohlen werden können und wie man das Risiko eines solchen Datenlecks verringern kann. Natürlich sind Vorsicht und Wachsamkeit wichtig, aber Hightech-Lösungen, die speziell zur Verhinderung von Daten-Leaks entwickelt wurden, erkennen Bedrohungen oft viel besser als das bloße Auge.
Trojan Stealer
Sobald diese Spione Ihr Gerät infiltriert haben, zeigen sie in der Regel keine sichtbaren Anzeichen von Aktivität. Denn je länger sie unentdeckt bleiben, desto mehr Daten können sie stehlen und an ihre Handlanger weitergeben, z. B. Passwörter für Banking-Apps oder Gaming-Dienste.
Trojaner gelangen auf Ihren Computer oder Ihr Smartphone, wenn eine von einem anderen Benutzer gesendete Schaddatei geöffnet, von einer Website heruntergeladen oder von einem externen Medium kopiert wird. Denken Sie daran, dass ausführbare Dateien im Internet immer eine potenzielle Gefahr darstellen.
Aber auch Dateien, die nicht ausführbar zu sein scheinen, sind mit Vorsicht zu genießen. Cyberkriminelle geben sich große Mühe, ihre Opfer zu täuschen, indem sie bösartige Dateien als Fotos, Videos, Archive, Dokumente usw. tarnen, und haben damit oft Erfolg. Sie ändern zum Beispiel ihr Icon oder verwenden clevere Dateinamen, die geschützte Formate imitieren. Unter bestimmten Bedingungen können jedoch auch gewöhnliche Office-Dokumente zur Falle werden. Bösartige Skripte in einem Dokument können Schwachstellen in dem Programm ausnutzen, mit dem Sie das Dokument öffnen.
Um solche Lecks zu bekämpfen, empfehlen wir daher die Installation einer Sicherheitslösung, die Spyware-Trojaner erkennen und blockieren kann. Wenn Sie Kaspersky verwenden, sind Sie bereits mit folgenden Komponenten ausgerüstet:
- Datei-Anti-Virus: Untersucht den Inhalt Ihres Geräts und aller verbundenen Medien und erkennt schädliche Dateien;
- E-Mail-Anti-Virus: Blockiert schädliche Links und Anhänge in E-Mails.
Phishing
Phishing-E-Mails gibt es in vielen Formen, aber ihr Ziel ist es immer, Sie auf eine gefälschte Website zu locken und Sie zur Eingabe Ihrer Anmeldedaten zu bewegen. Das kann eine Nachricht sein, die Ihnen mitteilt, dass Ihr Bankkonto gesperrt wurde, oder ein unwiderstehliches Angebot für einen beliebten Streaming-Dienst. Es könnte aber auch ein Phishing-Link von einem attraktiven Fremden auf Tinder, einem potenziellen Käufer Ihres Produkts auf Amazon oder sogar einem engen Freund sein (wenn er von einem Betrüger gehackt wurde).
Ein Standardtipp in solchen Fällen besteht darin, sich die URL genauer anzusehen. Einige Fake-Websites enthalten zusätzliche Zeichen in der Adresse oder doppelte Domainnamen. Dies ist jedoch nicht immer hilfreich, da moderne Cyberkriminelle gelernt haben, ihre Fälschungen gut zu tarnen. Bei Browser-in-the-Browser-Angriffen zum Beispiel kann eine Phishing-Website mit einer authentischen Adresse erscheinen.
Gehen Sie also lieber auf Nummer sicher und verwenden Sie eine Sicherheitslösung, die Phishing-Angriffe erkennt und Sie davor warnt. In Ihrer Kaspersky-App funktioniert dies über folgende Komponenten:
- Modul zur Link-Untersuchung: Vergleicht die URL mit einer Cloud-Datenbank, die Adressen gefährlicher Seiten beinhaltet;
- Sicheres Browsen: Untersucht den Inhalt von Websites auf schädliche Elemente.
Browser-Angriffe
In vielen Fällen werden Passwörter durch Sicherheitslücken in Browsern oder Erweiterungen gestohlen. Im ersten Fall wird durch speziell gestalteten Code auf einer Website Spyware auf Ihrem Gerät installiert. Im zweiten Fall wird ein bösartiges Skript unter dem Deckmantel eines praktischen Browser-Plug-ins installiert. Wenn Sie dann z. B. eine Bank-Website besuchen, leitet dieses Skript den gesamten Datenverkehr über den Proxy des Hackers um und gibt Ihre Anmeldedaten preis.
- Das Feature Sicherer Zahlungsverkehr in Premium bietet Ihnen Schutz vor derartigen Angriffen. Der Sichere Browser wird beim Besuch von Onlineshops und Banking-Seiten oder beim Gebrauch von Online-Zahlungssystem automatisch aktiviert.
Öffentliches WLAN
Angreifer können auch Daten (einschließlich Passwörter) abfangen, die über das Netzwerk übertragen werden, wenn unverschlüsseltes oder altes WEP-geschütztes Wi-Fi verwendet wird. Auf andere Weise können Hacker öffentliche WLAN-Hotspots mit Namen einrichten, die denen bestehender Netzwerke ähneln (in der Regel in nahe gelegenen Cafés, Hotels, Geschäftszentren usw.). Wenn ein unvorsichtiger Benutzer eine Verbindung zu einem gefälschten Hotspot herstellt, geht der gesamte Internetverkehr direkt an den Cyberkriminellen.
Sie können solche Lecks vermeiden, indem Sie die Netzwerknamen sorgfältig überprüfen, verdächtige Zugangspunkte meiden und die automatische Verbindung zum WLAN deaktivieren. Noch besser: Stellen Sie sicher, dass Ihr gesamter Datenverkehr verschlüsselt ist. Selbst wenn Sie sich mit dem falschen Hotspot verbinden, können Spione so nicht herausfinden, was oder wohin Sie etwas senden.
- Sie können das Kaspersky VPN in den Einstellungen unter „Privatsphäre“ aktivieren. Mit den Versionen Plus und Premium verfügen Sie über unlimitierten VPN-Traffic.
Passwörter wohin man schaut
Und natürlich gibt es diejenigen, die das Kennwort auf einen Zettel oder ein Stück Papier schreiben und es an einer für Passanten sichtbaren Stelle hinterlassen. Vermeiden Sie solche Praktiken unter allen Umständen! Es ist auch gefährlich, Ihr Passwort in eine ungesicherte Textdatei auf Ihrem Computer oder Smartphone zu schreiben oder Ihr Passwort in einem Browser mit automatischer Auto-Fill-Funktion zu speichern.
Was kann man also stattdessen tun? Schließlich betonen Sicherheitsexperten immer wieder die Notwendigkeit von sicheren Passwörtern, die nicht geknackt werden können. Darüber hinaus bekräftigen sie, dass Kennwörter unter keinen Umständen doppelt oder gar dreifach verwendet werden sollten. Besteht die Lösung also darin, einen Gedächtnisspeicher voller langer, komplexer Passwörter anzulegen? Aber nur wenige Menschen haben einen so genialen Verstand.
Eine einfachere Möglichkeit ist die Verwendung eines Passwortmanagers, der durch eine starke Verschlüsselung geschützt ist. Geben Sie einfach all Ihre Benutzernamen und Passwörter ein und merken Sie sich nur ein Master-Passwort für den Manager selbst.
- In Ihrer Kaspersky-App erfolgt dies durch den Password Manager. Aber bitte, schreiben Sie Ihr Masterpasswort nicht auf ein Post-it, das dann am Monitor selbst klebt!
Externe Leaks
Alle oben genannten Punkte beziehen sich auf die Sicherheit von Passwörtern auf der Client-Seite, aber auch bei Remote-Internetdiensten kommt es häufig zu Lecks. Online-Shops, soziale Netzwerke, Krypto-Börsen oder andere Ressourcen, die Anmeldedaten erfordern. Durch das Hacken solcher Websites können Cyberkriminelle an große Benutzerdatenbanken und somit persönliche Informationen wie Passwörter gelangen.
Hinzu kommt, dass die Eigentümer solcher Websites derartige Hacks nicht immer melden. In der Zwischenzeit könnten Ihre Daten dann im Dark Web kursieren oder zum Verkauf angeboten werden. Infosec-Experten überwachen die Veröffentlichung solcher Datenbanken und warnen Nutzer.
Vorsicht ist dennoch geboten. Auch hier können sich Betrüger als „Experten“ ausgeben. Dabei handelt es sich um eine gängige Phishing-Methode, bei der Benutzer eine Nachricht erhalten, in der sie darüber in Kenntnis gesetzt werden, dass ihre Daten gestohlen wurden. Im Anschluss werden sie dazu aufgefordert einen Link zu öffnen, der dann die Eingabe ihrer Anmeldedaten verlangt. Fällt der Nutzer auf diesen Trick herein, werden Passwort & Co. den Kriminellen in die Hände gespielt.
- Die Kaspersky-App bietet einen Dienst, mit dem Sie überprüfen können, ob tatsächlich ein Leck vorliegt. Die Datenleckprüfung finden Sie im Tab „Privatsphäre“. So können Sie überprüfen, ob Ihre E-Mail irgendwo in der gestohlenen Datenbank auftaucht. Wenn dies der Fall ist, erhalten Sie eine Liste der Daten, die kompromittiert wurden, die Art der Daten, die kompromittiert wurden (z. B. persönliche Daten, Bankdaten, Verlauf der Online-Aktivitäten), und Ratschläge, was in dieser Situation zu tun ist.
Rundum-Schutz
Natürlich ist der Diebstahl von Passwörtern nicht das einzige Problem, das Ihrem digitalen Ich droht. Angreifer verwenden eine Vielzahl von Methoden, um Schaden anzurichten, vom Diebstahl wertvoller Daten bis hin zur Räumung von Online-Bankkonten, Spyware, Ransomware, Fake-Websites, Miner – die Liste ist endlos.
Aber keine Sorge, wir verfolgen die kreative Arbeit von Cyberkriminellen unentwegt und verbessern unsere Produkte ständig, um den weltweit besten Schutz vor allen digitalen Bedrohungen zu bieten. Kaspersky warnt Sie frühzeitig vor Bedrohungen und blockiert schädliche Objekte, um Probleme zu verhindern, bevor sie entstehen können.