Jennifer Lawrence & Co.: Wie Hacker Details aus unserem Leben ausnutzen

Die Nacktfotos der Promis und Social Engineering : Wie Hacker Details aus unserem Leben ausnutzen

Die Fahndung nach dem Hacker der Nacktbilder läuft. Hunderte betroffene Promis wie Jennifer Lawrence oder Kirsten Dunst sind schokiert. Dieser Fall zeigt: Social Engineering ist nicht zu unterschätzen. Dabei nutzen Hacker bekannte Details aus dem Leben ihrer Opfer aus, um ihre Accounts zu hacken.

Wie ist der (oder sind die) Hacker an die Fotos gekommen? Sicherheitslücken bei "Find my iPhone" oder anderen Web-Diensten, unsichere Passwörter sowie Social Engineering - diese Methoden werden derzeit für den massiven Fotoklau für möglich gehandelt, der die Intimsphäre von Stars wie Jennifer Lawrence, Kate Upton, Kirsten Dunst, Rihanna, Hayden Panettiere, Hope Solo oder Kim Kardashian empfindlich verletzte.

Vor allem Social Engineering ist noch nicht im Bewußtsein der Allgemeinheit angekommen. Nicht nur Prominente, sondern auch normale Internet-Nutzer können Opfer von Social Engineering werden. Hierbei handelt es sich um eine spezielle Form des Identitätsdiebstahls. Social Engineering lässt sich mit sozialer Manipulation übersetzen. Im Bereich der Industriespionage versuchen Hacker Mitarbeiter unter dem Vorspielen falscher Tatsachen sensible Informationen zu entlocken. Auch Phishingmails sind eine Form von Social Engineering.

Wie Social Engineering beim Fotoklau geholfen haben kann

Die Hacker könnten sich an den Techniken des Social Engineerings bedient haben, um an die AppleIDs und die dazugehörigen Passwörter zu kommen. So erhielten sie Zugang zur iCloud, in der die Fotos der Stars abgelegt waren. Dazu haben die Hacker zuvor Informationen über die betroffenen Stars gesammelt.

Wenn Informationen wie eine E-mail-Adresse, der Name der Mutter, das Geburtsdatum oder der Geburtsort zur Verfügung stehen, können Hacker in Windeseile nicht nur Zugang zu wichtigen Accounts erhalten, sie können sogar das komplette digitale Leben einer Person übernehmen. Das Problem sind die Sicherheitsabfragen bei den Passwort-Erinnerungen.

Wenn ein Prominenter das gleiche Passwort bei verschiedenen Accounts nutzt, macht er es den Hackern besonders einfach. Selbst wenn die Promis ein sicheres Passwort bei der iCloud hinterlegt haben und sich komplizierte Antworten für den Passwortschutz ausgedacht haben, könnten die Hacker mit Geduld und über Unwege an die Daten kommen.

Der Fall von Mat Honan

Selbst Experten sind nicht vor Social Engineering geschützt. Der amerikanische Autor Mat Honan ist Opfer einer viel beachteten Attacke geworden. Innerhalb von einer Stunde ist sein komplettes digitales Leben zerstört worden. Die Hacker haben zunächst seinen Google-Account übernommen und dann gelöscht. Darüber erhielten sie Zugang zu Twitter -dort verbrieteten sie fremdenfeindliche Nachrichten unter seinen Namen- sowie zu seiner AppleID. Mit diesem Zugang haben sie per Fernwartung alle Daten von seinem iPhone, iPad und MacBook gelöscht.

Die Hacker haben eine Schwachstelle bei Amazon ausgenutzt, die am Ende Zugang zur AppleID verschaffte. Zu dieser Aktion gehörte eine Kreditkartennummer, die bei Amazon ablesbar war und bei Apple als Identifikation genutzt wurde, sowie zwei Anrufe bei den Support-Hotlines der Unternehmen. Am Ende stand den Hackern das digitale Leben von Mat Honan komplett offen. Seine ganze Geschichte ist auf englisch bei der WIRED nachlesbar.

Schutz bietet die Zwei-Faktor-Authentifzierung

Sowohl Mat Honan als auch die Netzpromis hätte sich durch die Zwei-Faktor-Authentifizierung schützen können. Accounts die mit diesem Schutz ausgestattet sind, werden nicht nur mit einem Passwort, sondern auch mit einer temporären PIN geschützt. Sobald der Nutzer sich einloggt, schickt der Dienst eine SMS auf das persönliche Handy. In dieser Nachricht steht die PIN-Nummer, die nur für eine kurze Zeit gültig ist.

Da Hacker in der Regel das private Handy nicht in der Hand haben, gilt die Zwei-Faktor-Authentifizierung als sicher. Viele Anbieter machen es möglich, dass Nutzer nicht bei jeden Login eine PIN per SMS erhalten, sondern nur, wenn sie sich das erste Mal von einem fremden Gerät einloggen.

Hier können Sie die Zwei-Faktor-Authentifizierung bei Facebook, Google, Apple, Dropbox, Evernote und Twitter für Ihre Accounts einrichten.

Hier geht es zur Infostrecke: Hackerangriff auf die Promis - "Danke, iCloud"

(dafi)
Mehr von RP ONLINE