Identitätsdiebstahl Wie Online-Kriminelle mit erbeuteten Nutzerdaten auf Shopping-Tour gehen
Mithilfe erbeuteter Zugangsdaten können Online-Kriminelle im Internet auf Shopping-Tour gehen. Eine Studie zeigt jetzt: Es gehen sogar die allermeisten Log-in-Versuche in Online-Shops auf versuchten Identitätsdiebstahl zurück.
Wenn die Bank auf einmal Geld für eine fremde Amazon-Bestellung abbucht, oder wenn alle gesammelten Bonusmeilen fehlen, könnte ein Fall von Identitätsdiebstahl vorliegen. Das passiert viel häufiger, als die meisten Internetnutzer wahrscheinlich ahnen.
Wie das Tech-Portal "Golem.de" berichtet, gehen durchschnittlich 80 bis 90 Prozent der Zugangsversuche in Online-Shops auf Angriffe durch Unbefugte zurück. Am zweithäufigsten betrifft es Fluggesellschaften mit etwa 60 Prozent unerlaubter Zugangsversuche. "Golem.de" beruft sich auf eine Auswertung der Sicherheitsfirma Shape Security.
Käse auf fremde Kosten
Doch woher haben Kriminelle vertrauliche Kontoinformationen? Wahrscheinlich von sogenannten Daten-Leaks. Dabei dringen Hacker in Datenbanken von Firmen ein und erbeuten unter anderem Kontonamen und Passwörter. Letztere sollten Anbieter im Normalfall unlesbar speichern, Kriminelle können sie aber mithilfe spezieller Software entschlüsseln. Das beweist ein Daten-Leak beim sozialen Netzwerk LinkedIn von 2012. Ein besonders krasses Beispiel liefert ein Hackerangriff auf die Plattform "Yahoo" im Jahr 2013: Unbekannte gelangten an Daten aller drei Milliarden Nutzer.
Laut Shape Security sollen im Jahr 2017 2,3 Milliarden Nutzernamen und Passwörter von 51 Organisationen veröffentlicht worden sein. Die erbeuteten Daten verkaufen Hacker unter anderem im Darknet. Angreifer nutzen die Informationen, um in die Konten ihrer Opfer einzudringen und auf ihre Kosten einzukaufen. Laut dem Bericht von Shape Security geschieht das vor allem bei Webseiten von Elektronikhändlern, von Fluggesellschaften und Händlern teurer Käsesorten.
- Identitätsdiebstahl: Online-Betrüger bestellte Waren im Wert von 90.000 Euro
- Landeskriminalamt: So erkennen Sie Fake-Shops im Netz
- Polizei warnt: Vorsicht vor falschen Freunden auf Facebook
Problem sind dieselben Passwörter
Angreifer nutzen dabei Software, die automatisch versucht, sich bei vielen verschiedenen Plattformen einzuloggen, berichtet Shape Security. Die Methode lohnt sich vor allem deshalb, weil viele Nutzer für verschiedene Accounts dasselbe Passwort verwenden. Sobald die Software erfolgreich ist, können Angreifer die Zugangsdaten nutzen. "Credential stuffing" ist der Fachbegriff für so einen Angriff.
Embed
Ein anderer Fall, bei dem Kriminelle gestohlene Passwörter nutzten: Unbekannte behaupten per Mail, dass sie Opfer beim Porno-Gucken gefilmt haben. Sie drohen, das Video Freunden und Bekannten zu schicken – es sei denn, das Opfer zahlt ein "Schweigegeld". Seit neuestem unterstreichen Kriminelle ihre Drohung, indem sie ein Passwort des Opfers der Erpressungs-Mail beifügen.
Wie Sie sich schützen können
Auf die IT-Sicherheit von Konzernen hat der Nutzer keinen Einfluss. Allerdings kann jeder durch folgende Tipps seine Konten schützen.
1. Nutzen Sie ein starkes Passwort. Das sollte unter anderem aus Groß- und Kleinbuchstaben bestehen. Sinnvoll sind auch Sonderzeichen und Zahlen. Mehr Tipps zu sicheren Passwörtern finden Sie hier.
2. Hüten Sie sich vor Phishing. Dabei gelangen Betrüger durch beispielsweise falsche Webseiten an persönliche Daten. Die Webseiten ähneln dabei Internetauftritten bekannter Seiten wie Amazon oder PayPal. Mehr Tipps zum Schutz gegen Phishing und was Sie als Opfer tun können, finden Sie hier.
3. Überprüfen Sie, ob Ihre Daten in der Hand von Kriminellen sein könnten. Eine gute Adresse dafür ist das Angebot "Have I Been Pwned". Hier lässt sich einsehen, ob E-Mail-Adresse oder Passwort Opfer eines Daten-Leaks geworden sind. Mehr Informationen dazu finden Sie hier.
4. Lassen Sie wichtige Konten durch Zwei-Faktor-Authentifizierung schützen. Dabei wird Ihnen beispielsweise für den Log-In ein Einmal-Code zugeschickt, mit dem Sie sich identifizieren müssen. Mehr Informationen zur Zwei-Faktor-Authentifizierung finden Sie hier.
5. Und besonders wichtig: Verwenden Sie niemals dasselbe Passwort für verschiedene Accounts. Das gilt vor allem für Dienste, die mit Zahlungsverkehr zu tun haben. Beispielsweise Online-Shops oder Zugänge für Online-Banking.
- Webseite von "Have I Been Pwned"
- Eigene Recherchen