Wie hat jemand mein Passwort bekommen?

Haben Sie jemals eine "Sextortions" -E-Mail erhalten, in der Sie darüber informiert werden, dass Ihr Computer gehackt wurde, und die Sie warnt, dass Videos intimer Art auf Ihrer gesamten Kontaktliste veröffentlicht werden, wenn Sie nicht zahlen? Enthält die E-Mail ein altes Passwort von Ihnen als "Beweis" dafür, dass ihre Behauptungen wahr sind? Haben Sie sich gefragt, wie sie an Ihr Passwort gekommen sind?

Was ist Phishing?

Statistisch gesehen stammte dies wahrscheinlich aus einer Phishing-E-Mail. Im Jahr 2018 begannen 93% aller Verstöße weltweit mit einem Phishing- oder Vorwandangriff.

Phishing-E-Mails sind sehr häufig und sehr effektiv. Sie verwenden Emotionen wie Angst und Scham (in Sextortions-E-Mails oder "Anzeigen zur männlichen Verbesserung"), Dringlichkeit (mein Chef braucht das jetzt!) Oder Gier (ich habe ein neues Auto gewonnen?).

Sie können auch per SMS (SMiShing), Voice (Vishing), E-Mail (Phishing) und Social Media Phishing gesendet werden.

Je mehr Menschen sich anpassen, desto mehr ändern sich die Reaktionen der Hacker - ihre Taktik entwickelt sich ständig weiter.  

Normalerweise enthalten Phishing-E-Mails einen Link oder einen Anhang. Sobald Sie auf den Link klicken oder den Anhang öffnen, wird möglicherweise Malware auf Ihrem Gerät installiert oder Sie werden dazu verleitet, Ihre Anmeldeinformationen in eine gefälschte Site einzugeben (die genau wie die reale Site aussieht). Die Malware prüft, ob sie nicht gepatchte Sicherheitslücken ausnutzen kann, um mehr Malware auf Ihrem System zu installieren (die dann Kennwörter stehlen, Keylogger installieren kann, um alle Ihre Tastenanschläge - und damit Ihre Kennwörter! - aufzuzeichnen usw.).

Sobald der Hacker Ihre Anmeldeinformationen gestohlen hat, kann er beispielsweise Ihre persönlichen Finanzdaten oder Kontoinformationen oder die Ihrer Kunden filtern, wenn dies auf dem Gerät Ihres Unternehmens geschieht.

Phishing verdient einen eigenen Artikel. Wenn Sie also Phishing lernen möchten, lesen Sie diesen Artikel.

Wie können Sie verhindern, dass Phishing Sie beeinflusst?

Die Verteidigung gegen Phishing ist ebenfalls schwierig. Das Beste, was Sie als Einzelperson tun können, ist, beim Öffnen von E-Mails Vorsicht walten zu lassen - seien Sie vorsichtig bei E-Mails, die Ihre Emotionen beeinflussen, bitten Sie Sie, schnelle Entscheidungen zu treffen, oder scheinen Sie zu gut, um wahr zu sein.

Achten Sie auf ungewöhnliche Absender (erkennen Sie die Person, die Ihnen eine E-Mail sendet? Ist dies dieselbe E-Mail-Adresse, die sie zuvor verwendet haben?) Oder unerwartete Links oder Anhänge. Wenn Sie sich nicht sicher sind, ob eine E-Mail legitim ist, bestätigen Sie, dass sie mit dem Absender über eine andere Kommunikationsmethode verbunden ist.

Sie sollten auch Antiviren- und Endpoint Protection-Software verwenden. Die kostenpflichtige Version ist besser als die kostenlose Version, da sie aktualisiert wird, sobald neue Malware identifiziert wird. Aber die kostenlose Version ist normalerweise besser als nichts. Ich mag Malwarebytes für Laptops.

Sicherheitsteams werden eine Vielzahl von Tools verwenden:

  • E-Mail-Filtermechanismen, die versuchen, die Phishing- und Spam-E-Mails zu reduzieren, die in die Posteingänge des Benutzers gelangen.
  • Maßnahmen wie SPF, DKIM und DMARC, mit deren Hilfe authentifiziert werden kann, dass eine E-Mail die Wahrheit darüber sagt, woher sie stammt,
  • Schulung zur Sensibilisierung der Benutzer,
  • und Endpunktschutzmechanismen.

Endpunktschutzmechanismen können von einfachem Antivirenprogramm bis zu auf jedem Gerät installierten Agenten reichen. Diese versuchen, die Ausführung bekannter Malware zu verhindern, ungewöhnliches Verhalten zu identifizieren und die Ausführung bösartiger Prozesse zu verhindern, indem sie ein Sicherheitsoperationsteam alarmieren oder das Programm zum Beenden zwingen.

Auf diese Weise verhindert der Endpunktschutz, dass die Malware den Computer tatsächlich beschädigt, selbst wenn die E-Mail durch die Filter gelangt und der Benutzer nichts Falsches bemerkt.

Wie sonst hätte jemand mein Passwort bekommen können?

Wenn ein Hacker gegen ein Unternehmen verstößt, verkauft er häufig die Benutzernamen und Passwörter, die er im dunklen Internet erhalten hat.

Surface Web: Was Sie bei Google oder anderen beliebten Suchmaschinen finden können. Dies ist wahrscheinlich das meiste, was Sie als Internet betrachten. Im Vergleich zum Deep Web ist dies ein sehr kleiner Teil der Informationen, die "online" sind. Deep Web: Informationen, die online sind, aber von Google und anderen gängigen Browsern nicht indiziert (durchsuchbar) werden. Dies sind Informationen, wie sie beispielsweise in Regierungs- oder Universitätsdatenbanken enthalten sind. Oft sind diese Informationen hinter einer Paywall oder einem anderen Beschränkungsmechanismus verborgen. Dark Web:Für das dunkle Web sind bestimmte Browser erforderlich, z. B. ein TOR-Browser. Einige, wenn auch nicht alle dieser Inhalte sind illegal. Dies ist oft ein Ort, an dem sich Kriminelle versammeln, um in Foren zu sprechen, illegale Dienstleistungen und Waren zu verkaufen, und manchmal versammeln sich Aktivisten, die unter repressiven Regimen leben, um zu kommunizieren.

Wenn Sie Kennwörter und Benutzernamen zwischen verschiedenen Websites wiederverwenden (insbesondere, da Ihre E-Mail-Adresse wahrscheinlich für viele Websites als Benutzername verwendet wird), verfügt ein Hacker möglicherweise bereits über Ihren Benutzernamen und Ihr Kennwort.

Der Hacker führt dann etwas aus, das als "Ausfüllen von Anmeldeinformationen" bezeichnet wird. Das Ausfüllen von Anmeldeinformationen erfolgt, wenn ein Angreifer diese Benutzernamen und Kennwörter in einen automatisierten "Account Checker" einfügt, der im Grunde genommen die Kombination aus Benutzername und Kennwort auf vielen, vielen verschiedenen Websites im Internet versucht, von Social-Media-Anmeldungen bis hin zu Bankkonten. Wenn das Passwort funktioniert, hat der Hacker jetzt Zugriff auf das Konto und kann ein Konto entleeren, die Daten verkaufen usw.

Eine bessere Beschreibung finden Sie im XKCD-Comic unten.

Wie verteidigen Sie sich gegen das Ausfüllen von Anmeldeinformationen?

Verwenden Sie Ihre Passwörter nicht wieder. Verwenden Sie einen Passwort-Manager wie 1Password oder LastPass. KeePass ist (meiner Meinung nach) weniger benutzerfreundlich, aber kostenlos!

Passwortmanager können Ihre Passwörter sicher speichern und verfügen häufig über Browsererweiterungen und Apps, sodass sie Ihre Passwörter über viele Konten hinweg automatisch ausfüllen können. Außerdem müssen Sie sich auf diese Weise nur ein Hauptkennwort merken. Ihr Master-Passwort gewährt jetzt Zugriff auf alle anderen Passwörter. Stellen Sie also sicher, dass es sehr sicher ist!

Sie können Ihnen auch dabei helfen, sehr sichere Passwörter automatisch zu generieren, und einige haben sogar Tresore, sodass Sie andere vertrauliche Informationen (Bankkontodaten, Versicherungsinformationen usw.) speichern können.

Ich persönlich verwende 1Password, weil mir die Option für das Familienkonto gefällt. Wenn jemand in Ihrer Familie jemals gesperrt wird, kann jemand anderes sein Kontokennwort zurücksetzen (hat jedoch keinen Zugriff auf Ihren individuellen Tresor).

Sie können auch kostenlose Benachrichtigungen mit Have I Been Pwned einrichten. Diese Website sammelt Informationen aus Datenverletzungen und bietet Verbrauchern die Möglichkeit, diese Informationen zu verwenden, um sich selbst zu schützen. Sie können oben zur Registerkarte "Benachrichtigen" navigieren und Ihre E-Mail-Adresse eingeben.

Nachdem Sie die von Ihnen eingegebene E-Mail-Adresse bestätigt haben (wo Ihre aktuelle Bekanntheit angezeigt wird), sendet Ihnen die Website eine E-Mail, sobald Ihre E-Mail in einen Datenverstoß verwickelt ist. Das heißt, jeder Verstoß, auf den die Website aufmerksam gemacht wird - ihre Abdeckung ist sehr gut, aber keine einzelne Quelle enthält jeden durchgesickerten Datenverstoß. Auf diese Weise können Sie einfach das betroffene Kennwort ändern und müssen sich keine Sorgen mehr machen, dass es sich auf eines Ihrer anderen Konten auswirkt.

Wenn Sie an der Sicherheit eines großen Unternehmens arbeiten, ist die Kennwortverwaltungssoftware für Unternehmen (dieselben oben aufgeführten Unternehmen bieten diese Dienste an) eine gute Idee sowie strenge Kennwortrichtlinien (die vorschreiben, dass Ihre Mitarbeiter ausreichend sichere Kennwörter verwenden). Have I Been Pwned hat auch einen Dienst, mit dem der Domaininhaber auf Verstöße überwachen kann, die E-Mails auf der Domain betreffen (und die kostenlos sind!).

Wie sonst bekommen Hacker Passwörter?

Es gibt noch einige andere Möglichkeiten - Schulter-Surfen oder im Grunde beobachten, wie Sie Ihr Passwort eingeben - obwohl dies unwahrscheinlich ist, da die Person Sie physisch beobachten muss.

Dann gibt es Diebstahl von notierten Passwörtern oder nur Bilder von notierten Passwörtern, die auf Fotos sichtbar sind. Dies ist wiederum viel weniger wahrscheinlich als jede der oben genannten Optionen, da es sich normalerweise um einen gezielten Angriff handelt (der von Natur aus weniger häufig ist als Gelegenheitsverbrechen).

Das Vermeiden dieser beiden ist ziemlich einfach - lassen Sie nicht zu, dass jemand Sie bei der Eingabe Ihres Passworts beobachtet, und notieren Sie sich Ihr Passwort nicht. Verwenden Sie stattdessen einen Passwort-Manager! Wenn Sie es einfach aufschreiben müssen, bewahren Sie es an einem Ort auf, den wahrscheinlich niemand versehentlich durchsucht oder findet. Ich würde den Boden einer Schachtel Tampons vorschlagen. Viel sicherer als eine Haftnotiz auf Ihrem Monitor.

Es scheint wirklich leicht zu sein, gehackt zu werden. Sollte ich besorgt sein?

Das Wichtigste beim Hacken ist, dass niemand mehr arbeiten möchte als er. Zum Beispiel ist es viel schwieriger, in Ihr Haus einzubrechen, um Ihr Passwort-Notizbuch zu stehlen, als Phishing-E-Mails von der anderen Seite der Welt zu senden. Wenn es einen einfacheren Weg gibt, an Ihr Passwort zu gelangen, wird dies wahrscheinlich zuerst ein schändlicher Schauspieler versuchen.

Das bedeutet, dass das Aktivieren grundlegender Best Practices für Cybersicherheit wahrscheinlich der einfachste Weg ist, um Hackerangriffe zu verhindern. Tatsächlich hat Microsoft kürzlich berichtet, dass nur die Aktivierung der Zwei-Faktor-Authentifizierung 99,9% der automatisierten Angriffe blockiert.  

Aktivieren Sie also 2FA, verwenden Sie einen Passwort-Manager, um lange, komplexe und eindeutige Passwörter für jedes Konto automatisch zu generieren, und überlegen Sie, bevor Sie klicken! Vermeiden Sie es, auf skizzenhafte oder unerwartete Links und Anhänge zu klicken, und bleiben Sie wachsam.