Hacking-Vortrag: Identitätsdiebstahl, Trojaner, WLAN-Missbrauch …

Ich wusste gar nicht, wie einfach das Hacking ist. Bis ich gestern dem Profi-Hacker Götz Schartner auf einem Vortrag live dabei zusah. Ich habe fleißig mitgeschrieben und gebe Ihnen die 5 konkreten Sicherheitstipps gerne weiter, die ich notiert habe.

Hacking ist auch für Normal-User eine echte Gefahr

Man denkt ja immer, dass sich doch niemand für die eigenen Daten so sehr interessiert, dass er sie extra ausspäht. Das tut auch tatsächlich niemand. Die Angriffe laufen komplett automatisiert und fischen einfach ab, was geht. und es geht echt viel:

Identitätsdiebstahl: gar nicht so lustig!

Gleich zu Beginn der Veranstaltung, die vom Rotary-Club Marktoberdorf organisiert wurde und in der Aula des Gymnasiums Marktoberdorf stattfand, verschickte Schartner kompromittierende SMS-Nachrichten vom Handy eines Zuhörers aus auf das einer anderen Teilnehmerin. Die Nachrichten („Schatz, ich muss dich sehen!“ Antwort: „Nicht hier, mein Mann ist misstrauisch geworden …“) sorgten für allgemeine Erheiterung.

Götz Schartner beim Live-Hacking

Etliche Anwesende schalteten daraufhin aber sofort ihre Smartphones aus. Natürlich war es da schon viel zu spät, um sich zu schützen – Schartners Server hatte einfach die Signale der Geräte aufgefangen, die ständig nach bekannten WLAN-Netzen suchen und sich als vermeintlich bekannter Partner angeboten.

Kommentar des Experten: „Ich musste dazu gar nichts hacken – Ihre Handys schreien schließlich ganz von selbst in die Umgebung hinaus!“

Sicherheitstipp Nr. 1: Deaktivieren Sie das WLAN an Ihrem Handy, wenn Sie es gerade nicht benötigen.

Es folgte ein kurzer Ausflug zu einem Webshop, der dazu diente, den Benutzernamen und das Passwort auszulesen, das der jeweilige Kunde eingab. Schartner illustrierte an einem Passwort, das er von einer seiner Töchter abgefischt hatte, wie es dann weitergeht: Ein spezielles Programm testet automatisch alle möglichen Webshops darauf, ob diese Zugangsdaten dort auch funktionieren. Bei PayPal, Ebay, Zalando & Co. Tatsächlich ergaben sich bei den Daten seiner Tochter fünf weitere Datenbanken, in denen sie funktionierten.

Wiederverkaufswert für einen kriminellen Hacker: 10 US-Dollar pro Datensatz. Wenn man bedenkt, dass der vollautomatische Fischzug in einer halben Stunde leicht ein paar tausend Datensätze dieser Art ergibt, ist das ein lukratives Geschäft.

Und was machen die Käufer mit diesen per Hacking erworbenen Daten? Zum Beispiel klauen sie die Ebay-Identität eines Opfers, bieten über dessen Konto 500 nagelneue Smartphones oder Notebooks zu einem Schnäppchenpreis an, lassen das Geld der Käufer auf ihre eigenes Konto überweisen und tauchen wieder ab. Der eigentliche Account-Inhaber merkt davon nichts – bis die Mahnungen wegen nicht gelieferter Geräte ins Haus flattern oder gleich die Polizei vor der Tür steht.

Sicherheitstipp Nr. 2: Verwenden Sie ein Internet-Passwort immer nur einmal.

Trojaner: Virenschutz schützt nur bedingt

Richtig gruselig wurde es, als Götz Schartner mit Hilfe eines speziellen „Baukastensystems“ in rund 30 Sekunden einen Trojaner bastelte und per E-Mail an einen Laptop schickte, den ein Zuhörer hielt. Beim ersten Hacking-Versuch meldete die Virenschutzsoftware brav, dass sie einen Trojaner erkannt hatte. Dann nutzte Schartner ein anderes Programm, um seinen Trojaner so zu „verpacken“, dass er nicht auf Anhieb zu erkennen ist. Prompt meldete sich McAfee bei der nächsten E-Mail nicht. Dafür konnten wir alle das erstaunte Gesicht der Person, die das Laptop hielt, auf der großen Leinwand vor uns sehen. Der Trojaner hatte die Kamera aktiviert, die daraufhin ihre Bilder an den Server des Auftraggebers schickte. Am Laptop selbst war das nicht zu erkennen.

Schartner erzählte dazu eine Anekdote: Ein Freund von ihm hatte zu Weihnachten ein Smart-TV-Gerät bekommen und zeigte es stolz her. Es stand in seinem Schlafzimmer. Kommentar des Experten: „Vielleicht möchte man doch lieber nicht, dass alles, was man im Schlafzimmer spricht und tut, irgendwohin übertragen wird?“

Sicherheitstipp Nr. 3: Überlegen Sie, wohin Sie Ihr Handy und sonstige „smarte“ Geräte mitnehmen möchten und wohin lieber nicht (Schlafzimmer? Bad? Toilette?). Kleben Sie Webcams ab.

Götz Schartner beim Vortrag über Hacking

Natürlich kann ein Trojaner auch zu anderen Zwecken eingesetzt werden. Hacking kann etwa dazu dienen, Ihre Zugangsdaten zu diversen Konten auszulesen, Ebay-Betrügereien zu begehen, Spam zu versenden oder Kundendaten bzw. Geschäftsgeheimnisse zu stehlen.

Gezielte Attacken auf Unternehmen gibt es allerdings vergleichsweise selten. Die allermeisten Web-Fischzüge laufen vollautomatisch ab und zielen gar nicht auf bestimmte Opfer, sondern auf möglichst große Mengen an für Kriminelle brauchbaren Daten.

Kommentar Schartner: „Dass Sie zum Opfer werden, hat mit Ihnen persönlich gar nichts zu tun.“

Sicherheitstipp Nr. 4: Verlassen Sie sich nicht blind auf Ihre Antivirensoftware, insbesondere nicht auf die Kostenlos-Varianten auf dem Markt. Überprüfen Sie Ihren Rechner regelmäßig mit Hilfe einer Boot-CD, um getarnte Trojaner zu finden, die Ihre Schutzsoftware überlistet haben.

WLAN-Missbrauch: leicht gemacht, schwere Folgen

Viele Router sind für Kriminelle leicht zu knacken. Dann können sie über das WLAN ihrer Opfer Dinge erledigen, die ihnen im heimischen Netz zu riskant wären – illegale Downloads zum Beispiel.

Götz Schartner zeigt, wie einfach Hacking ist

Der Profi erzählte dazu einen Fall, bei dem mir endgültig das Lachen vergangen ist: Ein Hacker hatte über das WLAN einer jungen Familie – zwei kleine Kinder, der Vater Freiberufler – kinderpornographisches Material verbreitet. Die Familie war völlig überrascht, als die Polizei kam, den Vater verhaftete und die Kinder dem Jugendamt übergab. Zwar stellte sich bald heraus, dass sie Opfer von Hacking geworden waren. Die Verhaftung und der Verdacht „das sind Kinderschänder“ hatten aber in der gesamten Nachbarschaft und darüber hinaus so viel Aufsehen erregt, dass die Familie umziehen musste und inzwischen sogar ins Ausland gegangen ist.

Sicherheitstipp Nr. 5: Schützen Sie Ihren Router. Sorgen Sie dafür, dass die Router-Software immer aktuell ist und sichern Sie den Zugang mit einem eigenen, schwer zu knackenden Passwort.

Die offizielle Berufsbezeichnung eines „guten“ Hackers lautet übrigens „Penetrationstester“. Da würde ich mich auch lieber „Hacker“ nennen 🙂

Teilen Sie diesen Beitrag

2 Kommentare Schreibe einen Kommentar

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.