Kriminelle Doppelgänger

Teil 2: Identitätsdiebstahl

  1. Identitätsdiebstahl
  2. Teil 2: Identitätsdiebstahl
  3. Teil 3: Identitätsdiebstahl

Angriffe auf eBay

Bevorzugtes Ziel von Online-Angriffen sind die Nutzerdaten der eBay-Mitglieder. Nach einer Meldung des Sicherheitsunternehmens Aladdin Knowledge Systems wurden offenbar im August und September diesen Jahres Angriffe auf eBay ausgelöst. Dabei handelte es sich um Botnet-Angriffe, die äußerst komplex vorbereitet wurden.

Identitätsdiebstahl

© Archiv

Die Täter manipulierten zunächst über Sicherheitslücken die Server populärer Webseiten. Dazu sollen populäre Preissuchmaschinen, Maklerportale und Nutzerforen zählen - vor allem in Israel, Italien und den USA. Wer diese manipulierten Webseiten aufrief, wurde zum Server des Betrügers weitergeleitet. Dort untersuchte ein Tool das System des Anwenders nach Sicherheitslücken und installierte einen passenden Trojaner.

Dieser Trojaner auf den PCs der Opfer lud weitere schädliche Tools aus dem Netz nach und verwandelte die Rechner in so genannte Zombies, das heißt in fremdgesteuerte Mitglieder eines Botnets. Die Zombie- Rechner probierten dann bei eBay verschiedene Kombinationen aus Benutzernamen und Passworten durch. Dabei griffen sie direkt auf eine Programmierschnittstelle von eBay zu und testeten jeweils nur ein paar Kombinationen, um nicht aufzufallen. Mit den Zugangsdaten für die eBay-Konten ließen sich dann Einkäufe zu Lasten der rechtmäßigen eBay-Nutzer tätigen oder nicht existierende Artikel verkaufen. Außerdem sind unter Umständen über die Zugangsdaten auch PayPal-Konten zugänglich.

Das Schweigen der Opfer

Aladdin hatte laut eigenen Angaben seine Erkenntnisse an eBay gemeldet, jedoch keine Antwort erhalten. Von Seiten eBays ist zu solchen Vorfällen grundsätzlich kaum etwas zu erfahren. Das Unternehmen möchte damit sicher keine potenziellen Nachahmer auf dumme Ideen bringen. Vor allem aber setzt eBay alles daran, das Vertrauen der Kunden zur Sicherheit des Marktplatzes nicht zu erschüttern.

Das Beispiel der Jobbörse Monster.com hat allerdings gezeigt, dass eine solche Informationspolitik viel Schaden anrichten kann. Im August wurde das Portal gehackt und die Nutzer der Jobbörse fingen sich beim Besuch der Seite einen Trojaner ein. Damit wurden alle Eingaben im Browser protokolliert und die Täter gelangten an Benutzernamen, E-Mail-Adressen, Telefonnummern, Bankverbindungen und Kreditkartendaten. Nachdem Monster den Angriff bemerkt hatte, versäumte es das Unternehmen, seine Nutzer über den Vorfall zu informieren. So erhielten die Mitglieder ohne Vorwarnung teilweise sehr realistische Spam-Mails im Namen von Monster.com, die auch persönliche Daten enthielten. Darin wurden sie aufgefordert, ein Tool zur Jobsuche herunterzuladen. Mit einer Suchmaschine hatte das Programm allerdings nichts zu tun. Vielmehr verschlüsselte es Dateien auf der Festplatte des Rechners und hinterließ die Nachricht, dass die Daten gegen Zahlung einer gewissen Summe wieder entschlüsselt würden. Die Beschwerden der Nutzer von Monster.com häuften sich, die Aktie verlor umgehend an Wert.

Monster - Lebenslaufdatenbank

© Archiv

Aus der Lebenslaufdatenbank von Monster.

Datendiebstahl offline

Die Bedrohung geht jedoch nicht nur von geknackten Webseiten, manipulierten Servern und Phishing-Mails aus. Das jüngste Beispiel aus Großbritannien belegt, dass auch jenseits der Online- Welt ein riesiger Datenschaden entstehen kann.

Im Oktober hatte ein Angestellter der Steuerbehörde, offenbar aus Unkenntnis über die Sicherheitsbestimmungen, zwei CDs mit der Hauspost und per TNT-Courier verschickt. Auf den CDs waren Daten von rund 7 Millionen Kindergeldempfängern in Großbritannien gespeichert. Dabei enthielt die Datenbank nicht nur Adressen und Kontoverbindungen, sondern auch Online-Passworte und PINs der betroffenen Familien.

Ein Bürger ist gegen solche Schlampereien machtlos. Sollten sich die Diebe zufällig seine Daten aussuchen und auf sein Konto zugreifen, kann er nur schnell reagieren und die Transaktion bei der Bank rückgängig machen. Aufmerksamkeit ist allerdings auch hier gefragt, darin unterscheidet sich das Offlinenicht vom Online- Risiko.

So schützen Sie sich: 10 goldene Regeln

10 Goldene Regeln gegen Identitätsdiebstahl

  1. Lassen Sie die Finger von verdächtigen Webseiten, Links oder E-Mail-Anhängen. Gefälschte Seiten sehen ziemlich echt aus.
  2. Verwenden Sie aktuelle Sicherheits- Software. Installieren Sie am besten eine Security-Suite, die Ihren Rechner umfassend schützt und überwacht.
  3. Laden Sie regelmäßig Updates für Ihr Betriebssystem, den Browser und die Sicherheits-Tools herunter.
  4. Vorsicht vor Phishing-Mails: Ignorieren Sie Aufforderungen zur Eingabe von Login- Daten per E-Mail. Seriöse Anbieter verschicken solche E-Mails nicht.
  5. Achten Sie bei der Eingabe von Zugangsdaten auf sichere Verbindungen. Sie werden in der Statusleiste des Browser durch das "s" in "https://" vor der Internetadresse angezeigt.
  6. Halten Sie sich beim Download von Programmen aus zweifelhaften Quellen zurück. Kostenlose Software kann Spyoder Adware enthalten.
  7. Löschen Sie Spam-Mails generell ungeöffnet und aktivieren Sie - soweit vorhanden - die Spam-Filter Ihrer Mail-Provider.
  8. Seien Sie wachsam gegenüber veränderten Leistungen ihres PCs. Reduzierte Geschwindigkeiten und hohes Online-Datenaufkommen können auch Indizien für einen infizierten PC sein.
  9. Achten Sie darauf, wem Sie welche Daten geben. Füllen Sie in Webformularen nur obligatorische Felder aus.
  10. Arbeiten Sie auch an fremden oder gar an öffentlichen Rechnern, hinterlassen Sie dort möglichst keine Spuren. Löschen Sie beispielsweise den Verlauf des Browsers.

Mehr zum Thema

festplatte, hardware, pc, hdd
Gelöschte Dateien wiederherstellen

Wir zeigen Ihnen, wie Sie verloren geglaubte Daten retten können - etwa mit dem kostenlosen Tool Recuva.
Windows 10 Sicherheit: Symbolbild
Computer ohne Werbung

Wir zeigen, wie Sie Adware vermeiden, damit Sie sich im Anschluss an die Installation nicht mühsam entfernen müssen.
Sicherheit im Urlaub
Diebstahlschutz, offene WLANs und Co.

Diebstahlschutz für Smartphones, Schutz in offenen WLANs und Co: Worauf Sie beim Reisen achten sollten, um böse Überraschungen zu vermeiden.
Facebook-Betrug mit Fake-Profilen
Gefälschte Facebook-Konten

Betrüger nutzen gefälschte Facebook-Profile, um Geld zu ergaunern. Wir zeigen, wie Sie sich und auch Ihre Facebook-Kontakte gegen die Betrugsmasche…
Festplatte Verschlüsselung
Windows

Wir vergleichen den mittlerweile eingestellten Marktführer TrueCrypt mit dem Nachfolger Veracrypt und der Alternative Bitlocker.