Was man vom Fall @N lernen kann

Die gesamte Story finden Sie hier und sie ist lesenswert. Die kurze Version: Um das Twitter-Konto zu kapern, musste der Angreifer offenbar Kontrolle über das damit verbundene E-Mail-Konto erlangen. Das war mit einer Domain verbunden (die bei GoDaddy gehostet wurde). Der Angreifer nutzte nach eigenen Angaben (die er gegenüber seinem Opfer machte) Methoden des „social engineering“ (Neusicherheitsdeutsch für: überzeugen durch manipulieren), um bei PayPal (angeblich) Teile der Kreditkartennummer von @N zu erhalten, die er dann (angeblich) telefonisch beim Hoster einsetzte, um sich als Domaininhaber zu identifizieren und so die Domainverwaltung und damit das E-Mail-Konto zu übernehmen. Der Besitzer des Twitter-Kontos @N konnte zwar den Twitter-Account rechtzeitig auf andere E-Mail-Adresse umstellen, verlor aber den Zugriff auf seine Domain (der Hoster weigerte sich, ihn als Eigentümer anzuerkennen, weil er es ja tatsächlich formal nicht mehr war) und auch auf andere Systeme (etwa Facebook). Der Angreifer erpresste danach die Zugangsdaten zu Twitter direkt vom Betroffenen, im Austausch gegen den Zugriff auf seine Domain und Facebook (es wurde also nicht das Twitter-Konto „gehackt“, sondern erpresst).

Immerhin kann man ein paar Schlüsse daraus ziehen und vielleicht auch Ratschläge geben.

PayPal meiden?

Naoki schließt nach eigenen Angaben sein PayPal-Konto. Vielleicht keine schlechte Idee, aber wohl eher aus anderen Gründen (siehe etwa Wikipedia).

PayPal bestreitet verständlicherweise, damit zu tun zu haben (PayPal-Infos zur Sicherheit hier). Dass es geradezu unmöglich erscheint, gegen ein Unternehmen wie PayPal einen Prozess mit Beweisführung zu führen, zeigt auch sehr schön ein Dilemma der digitalen Welt: Wir sind Anbietern wie PayPal förmlich ausgeliefert, übrigens auch den Hostern, wie jeder weiß, der mal eine Domain verloren hat. Das einzige, was gegen Dienste, mit denen man persönlich nicht mehr reden kann, hilft, ist, sie zu meiden. Im Fall PayPal gibt es leider keine nennenswerte Alternative, gerade für eBay-Fans.

Allerdings darf ohnehin bezweifelt werden, ob der Angreifer hier PayPal zu Recht den Schwarzen Peter zuschiebt. Wer einen Trick herausbekommen hat, wie er Schokolade aus Opas abgeschlossenen Zimmer stibitzen kann, tut gut daran, auf Omas Anfrage nicht überprüfbare Methoden zu nennen (“die Tür stand offen”) statt die eine Sicherheitslücke, die den Zugang zur Schokolade wirklich ermöglichte (“ich hab n Nachschlüssel”). Denn die würde sonst geschlossen. Kriminellen Hackern darf man nicht glauben, es sind Kriminelle.

Kreditkarteninfos nicht speichern?

Naoki hat nach eigenen Angaben seine Kreditkartennummer aus PayPal entfernt. Im Sinne der Datensparsamkeit kann das generell für jedes Konto empfohlen werden (bei PayPal über: Profil, Kreditkarte hinzufügen oder bearbeiten), wo es nicht unbedingt notwendig ist.

Und hier muss man halt einfach sagen: Es gibt ganz generell überhaupt keinen Grund, Kreditkarteninformationen über die Zeit der eigentlichen Transaktion hinaus zu speichern – außer der Bequemlichkeit. Siehe auch Zahlungsinformationen nicht speichern.

Mehrere E-Mail-Adressen nutzen?

Es schadet sicher nicht, weil es dem Angreifer mehr Arbeit macht, verschiedene Dienste über verschiedene E-Mail-Konten laufen zu lassen. Es macht den einzelnen Dienst nicht sicherer, verhindert aber, dass das Kapern eines Kontos das Kapern zahlreicher Dienste ermöglicht und nach sich zieht.

Nur sagt sich das leichter, als es in der Praxis umzusetzen ist. Denn Alias-Mail-Adresse, wie sie etwa bei Outlook.com/Yahoo Mail leicht möglich sind, helfen da nichts. Und legt man für seine Domain mehrere Usernamen@ an, nützt das nichts, wenn der Angreifer Kontrolle über die komplette Domainverwaltung (etwa bei 1&1) hat.

Man müsste also wirklich mehrere verschiedene Mail-Adressen bei verschiedenartigen Providern/Hostern/Webmail-Anbietern nutzen. Ächz. Das macht niemand. Und zeigt auch, wie leicht Sicherheit am Aufwand scheitern kann.

Was tun Sie?

Und wie machen Sie es? Haben Sie verschiedene Konten für verschiedene Zwecke und Dienste? Ich freue mich auf ihre Kommentare – gerne anonym.

Andreas Winterer

Andreas Winterer ist Journalist, Buchautor und Blogger und beschäftigt sich seit 1992 mit Sicherheitsthemen. Auf unsicherheitsblog.de will er digitale Aufklärung zu Sicherheitsthemen bieten – auf dem Niveau 'normaler Nutzer' und ohne falsche Paranoia. Auf der Nachbarseite passwortbibel.de geht's um Passwörter. Bitte kaufen Sie eines seiner Bücher.

Das könnte dich auch interessieren …