WiWo App Jetzt gratis testen
Anzeigen

Cyberkriminalität Der Hacker, der vermutlich gerade Ihr Passwort verkauft

Innerhalb von vier Wochen sind über eine Milliarde Nutzerdaten von Seiten wie LinkedIn, Tumblr oder Myspace gehackt worden. Veröffentlicht von demselben Anbieter. Jetzt hat der Hacker seinen nächsten Coup gelandet.

Wie die digitale Parallelwelt funktioniert
Tor-Browser
Die Zwiebel mit ihren vielen Schalen: Die Abkürzung TOR steht für: The Onion Router – das Zwiebel-Netzwerk. Die kostenlose Open-Source-Software, einst vom US-Militär entwickelt, dient dazu, die eigene IP-Adresse zu verschleiern, indem sie Anfragen nicht direkt an die Zieladresse im Netz schickt, sondern über eine Kette von Proxyservern leitet. Jeder Proxy kennt nur seinen Vorgänger und Nachfolger, aber keiner kennt den ursprünglichen Absender der Anfrage und gleichzeitig den Empfänger. Das sieht in der Praxis dann so aus. 
Seitenadressen bestehen im anonymen Web aus einer zufällig gewählten, und ständig wechselnden Kombination von Zahlen und Buchstaben. Das erschwert das surfen. Deswegen bieten einige Seiten wie „The Hidden Wikki“, Orientierungshilfe. DeepDotWeb ist auch über das freie Internet zugänglich. Hier finden sich Foren, Fragen und Übersichten rund um das Thema Deepweb/Darknet. 
Tor ist nicht nur zum surfen auf nicht frei zugänglichen Websites nützlich. Auch ganz "normale" Seiten können hier anonym und datensicher angesteuert werden. Gleichzeitig lassen sich auch einige Unternehmen mit einer speziellen .onion Adresse registrieren. So hat zum Beispiel Facebook 2014, als erste große Firma einen offen sichtbaren Tor-Dienst mit eigener Adresse im Anonymisierungsnetz Tor aufgesetzt. 
Grams ist die gängigste Suchmaschine für Drogenmärkte im Darknet. Zwar ist der Drogenmarkt im Internet gegenüber dem Straßenhandel (mit einem geschätzten Umsatz von 320 Milliarden Dollar pro Jahr weltweit) noch klein, aber bereits hart umkämpft. Die Betreiber leben gut von der Verkaufsprovision, die sie für jeden Deal erhalten, der auf ihrer Seite geschlossen wird. Laut FBI sollen beim damals 29-jährigen Marktführer Dread Pirate Roberts von der Seite Silkroad, Bitcoins im Wert von 150 Millionen Dollar sichergestellt worden sein. Im Oktober 2013 wurde der US-Amerikaner Ross Ulbricht, der angebliche Silk-Road-Betreiber, ausfindig gemacht und vom FBI verhaftet. Der heute 32-Jährige wurde zu lebenslanger Haft ohne Bewährung verurteilt. 
Aufgrund der steigenden Konkurrenz haben sich Nachfolger wie Alphabay oder Nucleus vom anarchischen Neunzigerjahre-Look verabschiedet und orientieren sich nun an der Optik des legalen Onlinehandels. Da Vertrauen auf anonymen Marktplätzen ein knappes Gut ist, reagieren die Kunden stärker auf die üblichen Onlinereize wie einprägsame Logos, erkennbare Marken, hochauflösende Produktfotos und Marktstandards wie Kundenprofil, Konto-Übersicht und ausführliche Angebotslisten. Drogen sind auf fast jedem Marktplatz der größte Posten, daneben lassen sich hier jedoch auch Waffen, Hacker, Identitäten, Kreditkarten und andere Dinge erwerben. In den dunkelsten Ecken, die allerdings auch im Darknet nicht ohne weiteres zugänglich sind, finden sich sogar Menschenhandel, Kinderpornographie und Live-Vergewaltigungen. 
Ob gehackte Paypal, Amazon oder Ebay-Konten, eine neue Kreditkarte oder die Dienste eines Hackers, der mit Hilfe einer DDoS-Attacke (Distributed Denial of Service) eine Seite lahmlegen soll. Im Darknet werden Angriffe bzw. Daten jeglicher Art angeboten. Für nur ein Pfund, könnte man hier eine russische Kreditkarte mit hohem Verfügungsrahmen erwerben. Auch persönliche Daten wie Namen, Geburtsdaten, Adressen, EMails und alle erdenklichen Zugänge einer bestimmten Person werden hier für wenige Dollar angeboten. Zur Zeit vor der US-Wahl besonders beliebt: personenbezogene Daten, aufgelistet nach Bundesstaaten in Amerika.

Eine Woche, nachdem der US-Telekomkonzern Verizon verkündete, das Kerngeschäft von Yahoo für knapp fünf Milliarden zu übernehmen, tauchen auf einem Marktplatz im Darknet 200 Millionen Nutzerdaten des E-Mail-Anbieters auf. Für drei Bitcoins, umgerechnet aktuell 1484 Euro, können E-Mails, inklusive Passwörter und Zweit-E-Mail Adressen von Kunden aus der ganzen Welt erworben werden. Unter ihnen befinden sich auch Daten von zwei Yahoo-Konten aus Deutschland.

Angeboten werden sie von dem Pseudonym: peace_of_mind (Peace). Seine Bewertungen aus bisherigen Verkäufen: 100 Prozent positiv.

Hinter dem Hacker „Peace“ scheint mehr zu stecken, als jemand, der wahllos einzelne Nutzerkonten knackt. Über die wahre Identität hinter dem Pseudonym ist nicht viel bekannt, aber dem US-Magazin "Wired" ist es kürzlich gelungen, mit der Person oder der Gruppe hinter „Peace“ ein Interview zu führen. Demnach sei er oder sie Teil einer russischen Hackergruppe gewesen, zuständig für große Technologie-Konzerne.

Die Zugangsdaten von 200 Millionen Yahoo-Accounts stehen im Dark Web zum Verkauf. Quelle: Screenshot

Nachdem sich die Gruppe aufgelöst hatte, tauchten in den vergangenen Wochen gleich mehrere ungewöhnlich große Datenpakete auf Marktplätzen im Darknet auf. Unter anderem zu 160 Millionen LinkedIn Accounts, 100 Millionen Nutzerdaten der russischen Social-Media-Plattform VK.com und 360 Millionen Login-Informationen von Myspace-Konten.

Das letzte Angebot: Daten von 71 Millionen Twitter-Accounts. Unter den gehackten Konten waren prominente Namen wie Mark Zuckerberg, Twitter-Gründer Ev Williams und Popstars wie Drake und Katie Perry. Nach eigenen Aussagen verdiente „Peace“ mit diesen Leaks rund 65.000 US-Dollar.

In einer kurzen Beschreibung des aktuellen Angebots von Yahoo-Nutzerkonten weist der Hacker selbst darauf hin, dass die Daten vermutlich aus dem Jahr 2012 stammen, und einige Accounts deswegen mittlerweile gelöscht sein könnten. Unter der Anzeige wird eine Auswahl der gehackten E-Mail-Adressen gelistet. Bei einer kleinen Stichprobe konnte die WirtschaftsWoche keine inaktiven Accounts finden. Alle E-Mails wurden zugestellt. Yahoo bestätigte in einer Pressemitteilung, dass das Unternehmen um den potenziellen Leak wisse, wollte die Authentizität der Daten aber nicht bestätigen.

Wie gefährlich die sensiblen Informationen in den falschen Händen sind, sei den wenigsten Kunden bewusst, warnt IT-Sicherheitsexpertin Patricia Tulinska von der PSW-Group. „Heutzutage geben Nutzer fast all ihre persönlichen Daten in ihrem E-Mail-Konto preis“, sagt die Expertin. Da genüge eine Bestellbestätigung von Amazon oder Paypal: „Kriminelle können das Passwort bei jedem Account zurücksetzen lassen und so ungehemmt Schaden anrichten“, so Tulinska.

Die dümmsten Passwörter der Welt
"Dadada"Nein, die Rede ist hier nicht von dem Neue-Deutsche-Welle-Song von Trio, sondern dem Passwort des Facebook-Gründers Mark Zuckerberg in Netzwerken wie Twitter, LinkedIn und Pinterest - zumindest wenn man den Hackern Glauben schenkt, die im Anfang Juni 2016 mehrere seiner Profile gehackt haben. Beim Foto-Dienst Pinterest gelang es den Hackern mithilfe des Passworts, das sie nach eigener Auskunft in den gestohlenen des Karriere-Netzwerks LinkedIn gefunden haben, den Profiltext für kurze Zeit durch den Text „gehackt vom OurMine Team“ zu ersetzen. Bei Twitter gab es eine verdächtige Aktivität auf Zuckerbergs Account mit dem Namen „@finkd“, in dem er seit Januar 2012 nichts mehr veröffentlicht hatte. Und bei Pinterest wurde das angebliche Passwort sogar öffentlich gemacht: "dadada". Damit wählte der Facebook-Entwickler scheinbar nicht nur ein ziemlich simples Passwort (übrigens nicht besser als "12345" oder "password"), sondern benutzte das Passwort gleich für mehrere Profile - ebenfalls absolute No-Gos, die aber immer wieder vorkommen, wie die folgenden Beispiele zeigen. Quelle: Screenshot
Simple Zahlen- oder BuchstabenfolgenSicherheitsforscher des Hasso-Plattner-Instituts (HPI) haben 2015 fast 35 Millionen geraubte Identitätsdaten aufgespürt. Wie die Potsdamer Sicherheitsforscher anhand der gesammelten Daten analysierten, stehen bei den Internetnutzern in aller Welt immer noch Zahlenreihen oder Zeichenfolgen auf der Tastatur (z.B. qwerty auf der amerikanischen Tastatur) an der Spitze der Beliebtheitsskala bei Passwörtern. Gern werden auch Vornamen oder andere simple Begriffe verwendet, etwa das Wort "password". "Unangefochten weltweit auf Platz 1 liegt leider nach wie vor die Zahlenreihe 123456, obwohl automatische Cracker solche simplen Passwörter als erstes und blitzschnell ermitteln", sagte HPI-Direktor Christoph Meinel. Dass Passwörter dieser Art überhaupt nicht sicher sind, ändert nichts an ihrer Beliebtheit: Schon 2014 wurden mehr als 3,3 Millionen Passwörter geknackt, auf dem ersten Platz landet auch da schon "123456". Auch wenn die Länge variiert wird, hilft das nicht: Auf dem dritten und vierten Platz finden sich "12345" und "12345678". "123456789" landet auf Rang sechs, gefolgt von "1234" auf Platz sieben. Auf Rang elf liegt "1234567". Nachfolgend ein Überblick der meistgeknackten Passwörter 2014: Quelle: dpa
Passwort: "Password"Wer sich für ganz schlau hält und einfach "password" als Zugangscode verwendet sei hiermit gewarnt: Die vermeintlich simple und sichere Lösung liegt auf Rang zwei der meistgeknackten Passwörter. Quelle: dpa
FantasiewörterSie denken sich, kein Mensch weiß was "qwerty" ist? Falsch gedacht. Die Buchstabenfolge, die auf einer amerikanischen Tastatur nebeneinander liegt, landet auf Platz fünf. Auf deutschen Tastaturen wäre es übrigens "qwertz". Quelle: REUTERS
Das sportliche PasswortSport-Fans müssen sich etwas besseres einfallen lassen, als nur den Namen ihrer Lieblingssportart: Auf Platz acht der meistgeknackten Passwörter landet "baseball". Quelle: AP
Mystische GestaltenAuch Drachen-Fans gibt es einfach zu viele. Das Passwort "dragon" ist jedenfalls alles andere als originell. Es findet sich auf Rang neun. Quelle: REUTERS
Sport, die zweiteAnhänger des Football sind auch nicht besser dran als Baseball-Freunde: Das Passwort "football" findet sich auf Rang zehn der gehackten Zugangsdaten. Quelle: AP

In seinem Interview mit „Wired“ kündigte Peace an, noch eine Milliarde weiterer Nutzerdaten von verschiedenen Social-Media-Seiten und E-Mail-Anbietern zu veröffentlichen. „Um den Schaden in Grenzen zu halten, sollte man darauf achten, überall unterschiedliche und möglichst komplizierte Passwörter zu verwenden“, rät Tulinska. Hundertprozentigen Schutz gebe es aber nicht. „Es wird immer diesen einen ambitionierten Hacker geben“, sagt die IT-Sicherheitsexpertin. Und überhaupt, der Kunde habe sich schließlich mittlerweile schon an Datenskandale gewöhnt.

© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%