Hilfe, ich wurde gehackt! Was mache ich nach einer Accountüberahme?

Eine Bekannte von mir muss sich momentan leider mit genau dieser Frage auseinandersetzen. Da ich bedauerlicherweise einschlägige Erfahrung mit Cyberattacken auf einen meiner Kunden habe, bat ein gemeinsamer Freund mich darum, dass ich mich mit Ihr hinsetze und durchgehe, was man in so einem Fall machen sollte.

Da ich momentan krank im Bett liege und die Zeit dafür habe, habe ich das Ganze gleich in einen Blogpost verwandelt. Schließlich habe ich hier auch ewig nichts geschrieben. Und da die intendierte Rezipientin eine Deutsche ist, ist dieser Post auch mal auf Deutsch verfasst.

“Gehackt” ist ein sehr schwammiger Begriff. Im Folgenden geht es spezifisch um die Übernahme eines Accounts, z. B. auf einer Social-Media-Seite, durch einen Angreifer. Es macht übrigens generell wenig Sinn, mit den Angreifern zu verhandeln, oder auf deren Forderungen einzugehen. Ohne zu tief in die philosophischen Hintergründe einsteigen zu wollen: Sowohl bei den Nazis als auch bei der Hamas hat man eindrucksvoll gesehen, dass Appeasement nicht wirkt.

Überblick

  1. Angriffsvektor
  2. Anzeige
  3. Betroffene Accounts
  4. Checkliste für Recovery
  5. Prophylaxe
  6. Fazit

Angriffsvektor

Wie könnte der Angreifer Accountzugriff bekommen haben? Es gibt viele Möglichkeiten, aber die folgenden drei sind weit verbreitet.

  1. Credential-Stuffing.
  2. Malware.
  3. Social-Engineering.

Es ist gut sich darüber Gedanken zu machen, damit man einerseits weiß, an welchen Stellen man Lücken stopfen muss und andererseits, was man in Zukunft besser machen sollte (vgl. Prophylaxe).

Credential-Stuffing

Beim Credential-Stuffing nutzt ein Angreifer ein Datenleck, bei dem E-Mail-Adressen oder Nutzernamen und die dazugehörigen Passwörter bekannt wurden. Mit diesen Zugangsdaten meldet er sich dann für die Anmeldung auf anderen Webseiten.

  • Nutze ich dieselben Passwörter auf verschiedenen Seiten?
  • Waren meine Passwörter Teil eines Datenlecks?
    Ein gutes Tool, um das zu prüfen, ist Have I Been Pwned.

Malware

Schadsoftware gibt es in verschiedensten Varianten. Sie könnte z. B. die Tastatureingaben mitschneiden und so die benutzten Passwörter erfahren, oder Passwörter oder Sessions, die im Browser gespeichert sind, direkt aus diesem klauen.

  • Wurden gecrackte Programme installiert?
  • Hat sich die Browser-Homepage, bzw. Suchfunktion verändert?
  • Sind plötzlich unbekannte Programme installiert?
  • Gab es komische Fehlermeldungen?

Gerät wechseln

Wenn eine Malware-Infektion nicht ausgeschlossen ist, sollte die Account-Wiederherstellung und sonstige Schritte auf einem anderen Gerät erfolgen. Ansonsten kann man es sich eigentlich gleich sparen.

Geupdatete Smartphones mit aktuellem Betriebssystem sind in der Regel weniger anfällig für Malware als Rechner. Das bedeutet, dass wenn dein Computer gehackt wurde, du im Zweifelsfall erstmal dein Smartphone nutzen kannst, um Kontrolle zurückzuerlangen.

Notfalls, d. h. wenn kein weiteres Gerät verfügbar ist, kann man in diesem Fall in ein Internet-Cafe gehen.
Wer wirklich paranoid ist, nutzt dort dann Tails.

Nuke it from Orbit

Bei mit Malware infizierten Systemen ist die beste Vorgehensweise “[to] nuke the entire site from orbit”, also komplette atomare Zerstörung über den Feind (das Virus) bringen.

Ripley, aus dem Film "Alien", die auf Englisch sagt "It's the only way to be sure."
Ripley weiß, wovon sie redet!

In der Praxis bedeutet das, dass bei einem infizierten System immer das Betriebssystem neu installiert werden sollte. Die Wiederherstellung von Vertrauen ist viel aufwändiger und fehleranfälliger, als das System in einen bekannten Grundzustand zu versetzen.

Die Nutzerdaten auf dem System sollten natürlich vorher gesichert werden. Dafür kann bspw. eine externe Festplatte und ein USB-Stick mit dem SystemRescue Image genutzt werden.

Social-Engineering

Die am schwierigsten zu verhindernde Form von Angriff. Hier wurdest du von jemandem gezielt ausgespäht, der dir z. B. vorgegaukelt hat jemand zu sein, den du kennst.

  • Kennt jemand dein Passwort oder die Antworten auf deine Sicherheitsfragen?
  • Sind Passwort oder die Antworten auf deine Sicherheitsfragen erratbar?
  • Wurdest du in letzter Zeit von alten Bekannten oder in anderer komischer Weise kontaktiert?

All diese Dinge sind natürlich nur Indizien und es ist selten hilfreich jeden in seinem Umfeld zu verdächtigen.

Anzeige

Auch wenn die Polizei wahrscheinlich nicht helfen kann, ist es wichtig den Vorfall zu dokumentieren. Das hilft möglicherweise später bei der Account-Wiederherstellung und sorgt dafür, dass der Fall in der Statistik landet und die Polizei langfristig Ressourcen aufbaut, um mit Cyberkriminalität umzugehen.

  • Kann online erfolgen.
  • Kopie der Anzeige behalten.

Betroffene Accounts

Welche Accounts sind vermutlich betroffen? Hier ist eine Liste mit Links zu den Account-Wiederherstellungsseiten einiger beliebter Anbieter.

Checkliste für Recovery

Nachdem man weiß, welche Accounts betroffen sind, sollte man versuchen diese wieder unter seine Kontrolle zu bringen. Die E-Mail-Adresse ist hier besonders wichtig, da man mit Kontrolle über diese immer wieder Zugriff erlangen kann.

  • Besteht E-Mail-Zugriff für dich?
    • Ja:
      1. Passwort ändern.
      2. Andere Geräte abmelden.
      3. Hintertüren entfernen.
        • Wurde eine Recovery-Adresse durch Angreifer gesetzt?
          • (Optional) Eine “tote” Recovery-Mail-Adresse anlegen.
          • Recovery-Mail anpassen.
        • Sind Weiterleitungen gesetzt? Entfernen.
      4. 2FA aktivieren.
      • Mailanbieter Bescheid geben (optional ?).
    • Nein: Recovery-Prozedur einleiten. (Die Kopie der Anzeige ist hier möglicherweise hilfreich.)
      Vgl. Links in “Betroffene Accounts
  • Anschließend für jeden weiteren Account,
    • auf den du Zugriff hast:
      1. Passwort ändern.
      2. Andere Geräte abmelden.
      3. Recovery-Mail überprüfen.
      4. 2FA aktivieren.
      5. Account auf Fake-Aktionen überprüfen und ggf. entfernen (Posts, Nachrichten, Follower etc.)
    • auf den du keinen Zugriff hast:
      • Recovery-Prozedur einleiten.

Prophylaxe

Hoffentlich besteht nun wieder Kontrolle über die attackierten Accounts, aber was nun? Wie vermeidet man in Zukunft solche Attacken? Das Ganze sollte ja bestenfalls nicht nochmal vorkommen.

Was immer gut ist, ist 2FA oder MFA (Zwei- bzw. Multi-Faktor-Authentifizierung) für seine Accounts zu aktivieren.

2FA funktioniert, indem es zwei (oder bei MFA mehr) Dinge gibt, die für eine Anmeldung notwendig sind. Normalerweise etwas, das (nur) du weißt (dein Passwort) und etwas, das (nur) du hast (z. B. dein Handy).

Weitere empfehlenswerte Maßnahmen unterscheiden sich, je nach Angriffsvektor.

Credential-Stuffing

Das Credential-Stuffing funktioniert nur, wenn dasselbe Passwort mehrfach verwendet wird. Dementsprechend ist es vergleichsweise leicht zu verhindern.

  • Passwörter sollten nicht wiederverwendet werden. Benutz einen Passwortmanager!
  • Die Passwörter, die mehrfach genutzt werden, sollten geändert werden.

Passwortmanager

Wenn man einen Passwortmanager nutzt, ist es deutlich leichter sichere und für jede Seite unterschiedliche Passwörter zu wählen. Auch der Umgang mit diesen wird leichter, da viele Passwortmanager z. B. bekannte Passwörter automatisch für einen eintragen.

Ein gutes (Master-) Passwort für den Passwortmanager wählen und dann für jeden Account ein eigenes sicheres Passwort nutzen. Gut hat hier zwei Bedeutungen:

  1. Man kann es sich merken! (Dieser Punkt wird häufig maßlos vernachlässigt.)
  2. Es ist schwer zu knacken. (Durch einen Menschen der viel über mich weiß mit einem schnellen Computer.)

Das Master-Passwort kann man sich auch erstmal auf Papier notieren und sicher irgendwo (z. B. im Schreibtisch und nicht am Bildschirm) verwahren.

Beispielsweise könnte ein relativ gutes Master-Passwort das Folgende sein:

Ich bin ein Programmierer mit einem mittelmäßigen Blog!

Noch besser ist Diceware (hier eine deutsche Wortliste). Man setzt sich dabei mit einem Würfel hin und würfelt vier oder mehr Worte aus einer Wort-Liste aus. Diese sind leicht(er) zu merken (als zufallsgenerierter Müll oder “Wo war jetzt nochmal großgeschrieben, bzw. die Ziffer?”).

Achtung:

  • Kein Master-Passwort → Kein Zugriff!
  • Master-Passwort bekannt → Voller Zugriff auf alle Accounts! Kann mit 2FA eingeschränkt werden.
  • Anfällig bei Malware-Infektion. Kann mit 2FA eingeschränkt werden.
  • Von der Passwortdatenbank sollten regelmäßige Sicherungskopien angelegt werden. Nicht so relevant bei externen Anbietern.

Malware

Bei einer Malware Infektion ist es bereits zu spät, aber man kann Infektionen zumindest vorbeugen.

  • Geräte und Software müssen regelmäßige Updates bekommen.
  • Lade Software nur aus offiziellen Quellen runter.
  • Installiere keine Dinge, ohne vorher kurz nachzuforschen.
  • Man sollte es vermeiden unnötige Software zu installieren.
  • Benutz lieber Open Source Alternativen als gecrackte Programme.

Open Source Alternativen

Für viele gerne raubkopierte Programme gibt es kostenlose und sichere Alternativen.

Diese können manchmal nicht alles, was die Bezahlvariante kann und unterscheiden sich etwas in der Anwendung, aber sie reichen in 98 % der Fälle vollkommen aus.
Und wer auf einem Level mit diesen Programmen arbeitet, dass er in den 2 % landet, wo es nicht ausreicht, der arbeitet wahrscheinlich in einem professionellen Kontext damit und sollte (seine Firma) dafür bezahlen (lassen).

Programm(e)Alternative(n)Kategorie
PhotoshopGimpBildbearbeitung (Photos)
IllustratorInkscape oder KritaBildbearbeitung (Vektorgrafiken)
PremiereKdenlive, Shotcut oder OliveVideobearbeitung
LightroomDigikamBildbearbeitung und -verwaltung
Ableton oder FL-StudioLMMS oder ArdourMusikproduktion

Social-Engineering

Es ist leider echt schwer etwas gegen Social-Engineering zu machen. =(

  • Teile absolut niemals Passwörter oder Accounts mit anderen.
  • Behandle Sicherheitsfragen als wären sie Passwörter. D. h. die Antworten sind zufällig gewählt und kommen in den Passwortmanager.
  • Teile keine persönlichen Informationen mit anderen, wenn es keinen guten Grund dafür gibt. (“Ich bin einfach interessiert” ist kein guter Grund.)
  • Wenn dir etwas komisch vorkommt, tritt einen Schritt zurück und betrachte die Gesamtsituation kritisch.

Gerade die letzten beiden Punkte sind in der Realität häufig schwer umzusetzen.

Fazit

Alles in allem ist eine Account-Überahme eine echt bescheidene Situation in die man am besten garnicht erst gerät.

An ounce of prevention is worth a pound of cure.

Someone important – probably