BACS warnt vor gekaperten Mail-Konten

Beim BACS gehen immer wieder Meldungen darüber ein, dass Bürgerinnen und Bürger Rechnungen für Bestellungen erhalten, die sie nie getätigt haben. Dabei würde es sich beispielsweise um digitale Geschenkkarten handeln. Betrüger machten sich hierbei zu Nutze, dass diese Geschenkkarten nicht per Post gesendet werden müssen, sondern in digitaler Form nach dem Bestellvorgang einfach heruntergeladen werden können. Das Opfer habe so den Schaden und sässe auf einer Rechnung für ein Produkt, das es nie bestellt habe. Die Angreifer müssten dabei im Vorfeld Zugang zum Webshop erlangt haben, erläutert das Bundesamt in seinem wöchentlichen Newsletter.

Immer wieder melden sich aber auch Inhaber von Social-Media-Konten beim BACS, denen die Zugangsdaten zu ihrem Social-Media-Konto von Betrügern gestohlen worden sind. Über diese Konten würden dann zum Beispiel Bekannte aus den Kontakten angeschrieben und unter einem Vorwand um Geld gebeten, oder es werde betrügerische Werbung aufgeschaltet. In vielen Fällen sei es ein schwieriger und langwieriger Prozess, die Kontrolle über das Social-Media-Konto zurückzuerlangen. In einigen Fällen könne das Konto sogar gar nicht mehr reaktiviert werden.

Fundgrube

Häufig würden diese Konten nicht direkt angegriffen, sondern die Betrüger nutzten den Umweg über einen gekaperten E-Mail-Zugang, so das BACS weiter. Viele E-Mail-Konten seien eine wahre Fundgrube für Angreifer. Die Betrüger erhielten so einen Abriss über den Alltag und die Kontakte des Inhabers.

Zudem habe der Angreifer aber auch Hinweise auf die Existenz von Konten bei verschiedenen Providern, sozialen Medien, Webshops und weiteren Online-Diensten, die sich in der Inbox, im Papierkorb und im Archiv befinden. Meistens werde die Täterschaft fündig und kann sich je nach deren Fokus auf die Ziele konzentrieren, die sie interessieren. Andernfalls könne sie den Zugang immer noch im Darknet weiterverkaufen.

Passwortrückstellung problematisch

Weiterhin hebt das BACS hervor, dass Angreifer für den Zugang zu Online-Dienstleistern das Passwort des Ziel-Kontos nicht benötigen. Es reiche, wenn der Angreifer auf der Webseite des Dienstleisters die E-Mail-Adresse eingibt und dann den Link «Passwort vergessen» drückt.

In der Folge wird entweder ein neues Passwort oder ein Link zur Passwortrückstellung generiert. Beides wird praktischerweise an genau die Mailbox geschickt, auf die der Betrüger bereits Zugriff hat.

Vorsichtsmassnahmen

Um das eigene E-Mail-Konto vor Verlust zu schützen, empfiehlt das BACS folgende fünf Massnahmen:

1. Verwendung eines Passwortes mit mindestens 12 Zeichen, bestehend aus Gross- und Kleinbuchstaben, Zahlen und möglichst auch Sonderzeichen.

2. Keine Mehrfachverwendung von Passwörtern.

3. Einsatz von 2-Faktor-Authentisierung. Damit wird zusätzlich zum Passwort zum Beispiel ein Zahlencode abgefragt, welcher in einer App («Authenticator-App») erzeugt und angezeigt wird. Keine Angst: der Aufwand zur Einrichtung ist einmalig und minimal, und in vielen Fällen muss der Code nicht jedes Mal eingegeben werden, sondern nur dann, wenn man sich von einem unbekannten Gerät aus einloggt. Mit einem zweiten Faktor steigt der Aufwand für Angreifer massiv, um das Konto übernehmen zu können.

4. Das Passwort für den E-Mail-Account sollte einzig im Webmail (URL kontrollieren) oder in den E-Mail-Programmen auf PC und Handy eingegeben werden. Kommen Sie keiner Aufforderung nach, das Passwort auf Webseiten einzugeben, die Sie über Links in E-Mails geöffnet haben.

5. Verwendung mehrerer E-Mail-Adressen für verschiedene Einsatzzwecke.

Check in Eigenregie

Abschließend gibt das BACS noch folgende beiden Hinweise dazu, wie User prüfen können, ob sie bereits von Mail-Hacks betroffen waren:

1. Ob Ihre E-Mail-Adresse je in einem (bisher bekannten) Datenabfluss enthalten war, können User selber auf der Seite des «Have I Been Pwned»-Projektes (https://haveibeenpwned.com/) prüfen. Erschrecken Sie nicht: Die Wahrscheinlichkeit ist hoch, dass dies der Fall ist. Die entscheidende Frage ist, was mit der Adresse sonst noch für Daten abgeflossen sind. Ist ein Passwort abgeflossen, empfiehlt das BACS, das Passwort zu ändern.

2. Prüfen Sie nach Möglichkeit auch auf einem anderen Tool, ob Ihre E-Mail-Adresse Teil eines Datenlecks war, z. B. auf dem «Identity Leak Checker» des Hasso-Plattner-Instituts, Potsdam/DE. Denn wenn Ihre E-Mail-Adresse in einem Tool nicht als geleakt anzeigt wird, bedeutet dies nicht zwingend, dass das auch in anderen Tools der Fall ist.