Error: no file object

Mit ein bisschen Disziplin ist Doxxing und Datenklau vermeidbar

Unglaublich wie ein 20jähriger Schüler aus der Nestwärme des Elternhauses heraus ein ganzes Land mit 82 Millionen Bürgern in Verunsicherung treiben kann. Wie bekannt hatte er entweder selber über Datenhacks die Daten gesammelt oder sie im Darknet erworben. Das wäre aber vermeidbar gewesen.

Warum ist es so leicht, Facebook-Accounts, Webmail-Accounts und Logins erfolgreich zu hacken?

Die Antwort lautet schlichtweg, weil der Großteil der Internetbenutzer zu bequem ist.

Wie funktionieren unsere Apps und Programme?

Grundsätzlich können wir uns an unseren Geräten (PC, Laptop, Smartphone, Tablet, Router) mittels eines Login (Benutzername plus Passwort) anmelden und haben dann meistens Zugriff auf alle Applikationen, die wir benutzen.
Das Gleiche findet auch in den Social Media und Webmailer-Portalen statt, nur dass meistens hier die eMail-Adresse der Benutzername ist und das Passwort frei wählbar ist. Eines der besten Beispiele ist Facebook, denn mit dem Facebook-Account, hinter dem auch wieder die eMail-Adresse steckt, bekommt man Zugriff auf viele unterschiedliche andere Social Media-Plattformen wie Instagram und viele Apps, die den Facebook-Account nutzen.

Fazit

Ist einmal dem Angreifer Ihre eMail-Adresse inklusive Passwort durch einen Hack solcher Portale in die Hände gefallen, dann sind meistens sehr viele wenn nicht sogar alle Zugänge betroffen.

Und es ist eine Illusion zu glauben "Meine Mailadresse ist zu uninteressant und die Wahrscheinlich des Abgreifens zu klein". Es existieren Dateien mit eMail-Adressen und den dazugehörigen Passwörtern mit teilweise 593 Millionen Datensätzen. Ebenso gibt es für Brute-Force-Attacken Passwort-Dateien mit Millionen Einträgen von Passwortkombinationen zuzüglich des jeweils passenden Hashwertes, so dass die Einträge nur in einer Schleife durchlaufen und getestet werden brauchen.

Soweit der Ist-Zustand, der auch dem Schüler des aktuellen Doxxings offensichtlich zur Verfügung stand.

Ob Ihre Mailadresse darunter ist, können Sie leicht auf https://haveibeenpwned.com/

https://haveibeenpwned.com

nachvollziehen.

Zwar waren diesmal nur Personen betroffen, die im Licht der Öffentlichkeit stehen, prinzipiell kann ein solches Doxxing aber jeden treffen. Dabei kann man sich mit ein paar einfachen Tricks und ein bisschen Fleißarbeit wirksam schützen.

1. Schutz der eMail-Konten

Wie bereits erwähnt, ist der neuralgische Punkt des digitalen Lebens das eMail-Konto:
Denn bekommt ein Hacker hier den Zugang, so kann er leicht herausfinden, welche Webdienste und sozialen Netze Sie nutzen und mit wem Sie darüber hinaus im Alltag kommunizieren. Und nebenbei muss der Hacker noch nicht einmal die Passwörter für diese Dienste kennen, denn die eMail-Adresse fungiert in den meisten Fällen wie erwähnt als Login, mit der fatalen Folge, dass er sich auch gleich das Passwort zurücksetzen kann. Damit lassen sich von einem eMail-Konto nahezu alle Aspekte Ihrer digitalen Online-Identität kontrollieren.

2. Sichere Passwörter verwenden

Direkt aus dem Punkt folgt die Notwendigkeit mehrerer sicherer Passwörter. Wenn Sie sich auch nur die Mühe machen, sich ein wirklich gutes Passwort auszudenken, dann ist das Mail-Konto der richtige Ort dafür.
Hierfür gibt es unter Linux unter Anderem den Befehl "pwgen", aber auch für Windows und Mac gibt es Passwörter-Generatoren. Gute Passwörter bestehen aus mindestens 8 bis 12 Zeichen, besser sogar 16-20 Zeichen. Dabei sollte Klein- und Großschreibung eine Rolle spielen, genauso wie die Verwendung von Ziffern und Sonderzeichen.

Das bedeutet jetzt nicht, dass Sie alle Logins bei allen Webseiten und Programmen zu ändern hätten. Aber ermitteln Sie für sich die wichtigsten Angriffspunkte – so in etwa das eMail-Konto – und tragen Sie Sorge dafür, dass an für diese für Hacker besonders begehrten Ziele sehr gute Passwörter Verwendung finden.

Um die Zettelwirtschaft am Monitor, unterm Keyboard oder im Geldbeutel, ob der vielen komplexen Passwörter zu vermeiden, gibt es inzwischen sehr gute Passwort-Manager wie KeePass2. Damit lassen sich Ihre Passwörter durch ein einzelnes Masterpasswort gezielt schützen und Sie brauch jedes Mal nur dieses Masterpasswort. Die gleiche Datenbank kann auch auf dem Smartphone mit der dazugehörigen App genutzt werden.
Es geht aber auch Old-School mit Papier, besser aber in PGP-verschlüsselten Kalkulationstabelen.
Und besonders schützenswert sind vor allem Ihre Online-Banking-Passwörter.

3. Nutzung von Zwei-Faktor-Anmeldungen

Das ist zwar unständlicher, wenn zu dem Login ein Code via SMS ans Smartphone geschickt wird, erschwert die Arbeit des Hackers aber kolossal. Zumindest beim Online-Banking und auch bei dem Mail-Postfach sollte das Anwendung finden.

4. Regelmässiges Updaten der Software

Sie sollten nicht nur Online-Dienste, sondern auch Ihre lokalen Computer, Smartphone, Router schützen. Unabdingbar sind neben einem funktionierenden Virenscanner ist es, die verwendete Software regelmässig zu updaten. Ihr Betriebssystem, sowie alle Browser und auch etwaige lokale Mailclients sollten sich alle selbstständig per automatischer Updates aktuell halten, um neuentdeckte Sicherheitslücken rechtzeitig zu schliessen.
Denn die beste Verteidungssoftware und -strategie ist hinfällig, solange der Angreifer sich auf bekannte Sicherheitslücken in der Software stützen kann. Das betrifft auch die Software Ihrer Router. An dieser sei auch erwähnt, dass Sie die Default-Passwörter der Router-Hersteller gleich bei Inbetriebnahme austauschen, denn auch hier existieren im Internet riesige Datenbanken mit eben diesen nach Hersteller und Modell sortiert.

Hier sollte besonders betont werden, dass Sie neue Software nur aus vertrauenswürdigen Quellen installieren sollten. Also am besten aus offiziellen App Stores des Betriebssystem-Herstellers oder von der Webseite des Herstellers. Überprüfen Sie lieber zweimal, ob es auch die Webseite Ihres Vertrauens ist. Denn viele Opfer holen sich den Trojaner auf diesem Wege nämlich selbst auf den Rechner, nachdem sie unter einem Vorwand auf gefälschte Webseiten gelockt wurden. Verzichten Sie im Zweifel lieber auf die neue Software, die so einmalig sein soll, bevor Sie bereit sind, sich einem Verschlüsselungstrojaner auszusetzen.

5. Faktor Mensch

Wer ein wenig nachdenkt, bevor er klickt, gehört zu dem einen Prozent, dass deutlich sicherer im Netz unterwegs ist als die Massen. Denn die meisten großen Hackerangriffen sind nicht darauf zurückzuführen, dass die ursprüngliche Schwachstelle eine Software-Lücke ist, sondern auf menschliches Verhalten. Wer mit etwas gesundem Menschenverstand im Netz unterwegs ist, kann sich viele Probleme ersparen.

Heute erfolgen die meisten Einbrüche in private Computersysteme finden dieser Tage über Phishing-Angriffe statt. Hacker senden mehr oder weniger gezielte und unterschiedlich raffinierte Mails aus, die bösartige Links oder Dateien enthalten. Die Links locken das Opfer auf Webseiten, die ihm dann persönliche Informationen aus den Haaren ziehen sollen oder es wird versucht, Schadsoftware zu installieren.
Auch in den Dateianhängen ist sich oft Schadcode versteckt, den der Hacker auf dem System ausführen will. Dazu braucht er in der Regel die Mithilfe des Opfers, welches er davon zu überzeugen versucht, den selbigen auszuführen. Also auch hier lieber der Versuchung zu widerstehen oder die Software von anderer sicherer Quelle beziehen und in jedem Fall vor durch den Virenscanner checken lassen.

Wenn wir aber vermehrt vor solchen Klicks nachdenken und die Quelle der eMail respektive das Ziel des Links kritisch hinterfragen, umso sicherer und selbstbewusster werden wir im Umgang mit Software aller Art. Gesunder Menschenverstand bedeutet hier nichts weiter als vor einem Klick innehalten und darüber reflektieren:
Von wem erhalte ich diese Mail? Warum geschieht das? Und erreicht mich diese Mail wirklich von der Person, die hier vorgibt zu schreiben? Im Zweifelsfall wird ein Anruf bei dieser Person aufzeigen, dass dass entweder die Mail tatsächlich korrekt ist, es wird der Versuch des Phishing aufgedeckt.

Ein kritisches Augenmaß sollte man bezüglich der URLs von Links haben und lieber genau prüfen. Denn mit mit Sonderzeichen wird gerne getrickst. Und zuletzt gilt es zu prüfen, ob diese Domain wirklich der Firma gehört, die mir schreibt. Auch die Top-Level-Domains (TDL) geben bereits Auskunft wo eine Mail herkommt, zum Beispiel .ru, .tw etc. Denn haben Sie dorthin Kontakte oder nicht? Je nachdem kann man solche TDLs getrost sofort löschen.