Wenn es etwas Wertvolles gibt, wird es gehackt

Haben Sie sich schon einmal gefragt, was ein gehackter Computer, eine gestohlene E-Mail-Adresse oder ein kompromittiertes Online-Konto eigentlich wert ist? Bei gehackten Online-Banking-Konten oder PayPal-Accounts ist es klar, dass ein

Haben Sie sich schon einmal gefragt, was ein gehackter Computer, eine gestohlene E-Mail-Adresse oder ein kompromittiertes Online-Konto eigentlich wert ist? Bei gehackten Online-Banking-Konten oder PayPal-Accounts ist es klar, dass ein gewisser Wert darin steckt, doch was ist mit Facebook und Skype oder den Myriaden anderer Online-Dienste?

value_title_de

Es gibt mindestens zwei Arten, wie man deren Wert beziffern kann. Eine davon ist die finanzielle: Wie hoch ist der Marktwert eines gehackten Online-Kontos? Daneben sind diese Konten aber auch für Social Engineering einiges wert. Anders gesagt: Wie gut können sie in Phishing-Attacken verwendet werden, mit denen die anderen Dinge kompromittiert werden, auf die Kriminelle scharf sind?

Glücklicherweise hat der frühere Washington-Post-Reporter Brian Krebs, einer der angesehensten Journalisten der Security-Branche, vor ein paar Jahren auf seiner Seite eine Übersicht veröffentlicht, die den Wert gehackter Computer illustriert. Er hat sich über die Jahre immer wieder mit dem Thema beschäftigt, inklusive dem Wert gehackter E-Mail- und anderer Konten. Aufbauend auf den Daten von Krebs hat das SANS Institute dieses Thema in verschiedenen Sprachen verarbeitet – auch auf Deutsch. Hier die SANS-Übersicht:

STH-Poster-YouAreATarget-LowResolution-German

Beginnen wir mit dem direkten monetären Wert verschiedener Konten. Brian Krebs hat diesen geschätzt, basierend auf den Preisen in Schwarzmarkt-Foren, in denen gehackte Konten verkauft werden. Er sagt, dass ein bekannter Verkäufer solcher Konten 8 Dollar für ein iTunes-Konto, 6 Dollar für Online-Konten bei Fedex.com, Continental.com und United.com, 5 Dollar für ein Groupon-Profil, 4 Dollar für ein Konto bei Godaddy und nur 2,50 Dollar für aktive Facebook- und Twitter-Profile verlangt. Ich bin überzeugt, dass diese Preise etwas höher liegen, sobald es um das Konto eines wertvollen Ziels geht – etwa bei Diplomaten, prominenten Geschäftsleuten, Berühmtheiten, militärischen Firmen und ähnlich lohnenswerten Zielen. In einer zweiten Zusammenstellung , die auf einem anderen Marktplatz basiert, hat Krebs Konten von Online-Shops wie Dell, Overstock, Walmart, Tesco, BestBuy, Target und anderen gefunden – der Wert lag hier zwischen 1 und 3 Dollar.

Das Seltsame bei gehackten PayPal- und Banking-Konten ist, dass ihr Wert nicht so klar festzulegen ist, wie man denken möchte. Sagen wir, sie haben 2.000 Euro auf Ihrem Bankkonto, Ihrer Kreditkarte oder bei PayPal. Der Wert des Kontos läge also bei 2.000 Euro, richtig? Nunja, eher nicht. Die Kriminellen, die solche Konten hacken, tun dies im großen Stil. Sie leeren die gehackten Konten normalerweise nicht selbst. Das wäre zu viel Aufwand und auch zu risikoreich. Statt dessen hacken Sie das Konto und verkaufen die Zugangsdaten auf den genannten Schwarzmarkt-Foren.

Ich habe einige Anklageschriften und Forschungsarbeiten gelesen, in denen die Preisbereiche bestimmter krimineller Gruppen aufgelistet waren, die verschiedene Betrügereien durchführten, von gefälschten Kreditkarten (Carding) bis zum Verkauf gehackter PayPal-Konten. Die Preise sind dabei sehr unterschiedlich ausgefallen. Generell kann man aber sagen, dass der Preis höher liegt, wenn es sich um Konten von amerikanischen oder europäischen Bürgern handelt. Zudem spiegelt der Preis auch wider, wieviel Geld auf dem Konto zu finden ist. Dienste, die mit Bankkonten, Kreditkarten oder E-Mail-Bestätigungen verlinkt werden können, steigern den Wert des Kontos zusätzlich. Der bekannte Security-Forscher Dancho Danchev hat einen großartigen Artikel geschrieben, der zeigt, wie diese Faktoren den Wert eines kompromittierten PayPal-Kontos im Februar beeinflussten.

Eine andere beliebte Art, Geld mit kompromittierten Konten zu machen, ist die Verwendung so genannter Money Mules. In diesen Fällen ist Ihr Konto ziemlich genau das wert, was darauf zu finden ist, allerdings ist das Vorgehen ganz anders. Immer wieder bewerben Cyberkriminelle Money-Mule-Jobs – leichte Arbeit mit sehr guter Bezahlung: Der angeheuerte „Geldesel“ soll dabei Geld, das auf sein Konto kommt auf ein anderes Konto überweisen, meist in dem Land, in dem der Kriminelle wohnt. Natürlich suchen die Betrüger nicht offen nach Money Mules, doch jeder, der so ein Job-Angebot annimmt, arbeitet unwissentlich als Mittelsmann für die Cyberkriminellen. Meist werden sie dann nicht einmal bezahlt, nachdem sie das Geld transferiert haben.

E-Mail- und finanzielle Konten sind schwerer zu bewerten, denn ihr Wert hängt stark von ihrem Inhalt und der Identität ihres rechtmäßigen Besitzers ab. Deshalb ist nun auch ein guter Zeitpunkt, einmal den nicht-finanziellen Wert gehackter Konten anzusehen. Über E-Mail-Konten werden oft andere Konten verwaltet und kontrolliert. Wenn Sie ein Passwort vergessen, können Sie es über Ihr E-Mail-Konto zurücksetzen lassen. Meine Passwörter sind oft so einzigartig und gut, dass ich immer wieder mal eines davon per E-Mail zurücksetzen lassen muss, weil ich mich nicht mehr daran erinnere.

Ich schütze meine E-Mail-Konten recht gut, und das sollten Sie auch tun. Denn wenn das Konto, über das all Ihre Online-Zugänge zurückgesetzt werden können, gehackt wird, sitzen Sie wahrscheinlich ganz schön in der Tinte. Ich empfehle Ihnen, Ihre Passwörter vierteljährlich zu ändern und wirklich jede Sicherheitsfunktion zu nutzen, die Ihnen zur Verfügung steht. Eine Zwei-Faktoren- und/oder mobile Authentifizerung ist ein Muss. Ich kann mein E-Mail-Passwort über ein mobiles Gerät zurücksetzen und habe ein geheimes E-Mail-Konto, mit dem ich mein eigentliches E-Mail-Konto retten kann, falls das Unwahrscheinliche eintritt und jemand mein Konto hackt und mein Smartphone stiehlt. Das gleiche gilt für mein Online-Banking-Konto, das einen zweiten Authentifizierungsschritt erfordert und ein unpraktisch kompliziertes Passwort hat.

Ein gehacktes E-Mail-Konto ist zudem eine Gefahr für all Ihre Kontakte. Das gilt auch für Ihre verschiedenen Konten bei Sozialen Netzwerken. Die Menschen, mit denen Sie sich dort verbinden, trauen Ihnen. Wenn ein schädlicher Link in einer Phishing-Mail von Ihrem E-Mail-Konto kommt, öffnen Sie diesen wahrscheinlich, und Sie sind daran schuld. Dann müssen Sie damit leben, dass Ihre lockere Einstellung zur Sicherheit jemand anderem ganz schönen Ärger gemacht hat – und das sollte Ihnen zu denken geben! Keine Angst, ich bin sicher, Sie achten auf die Sicherheit und werden solche Probleme niemals haben.

Tipps