Passwörter sind oft das Einzige, was zwischen einem Cyberkriminellen und den persönlichen und finanziellen Daten des Nutzers steht, weshalb sie heutzutage eines der Hauptziele ihrer kriminellen Praktiken sind.
Diese Passwörter sind die Achillesferse des digitalen Lebens vieler Menschen, zumal sich der durchschnittliche Nutzer heute hundert Anmeldedaten merken muss, und die Zahl ist in den letzten Jahren noch gestiegen.
Das Cybersicherheitsunternehmen ESET hat die fünf gängigsten Methoden zusammengestellt, mit denen Cyberkriminelle an die Passwörter von Personen gelangen, um auf deren Konten zuzugreifen.
1. Phishing und Social Engineering
Die am häufigsten eingesetzte Angriffstechnik nutzt die menschliche Neigung aus, schlechte Entscheidungen zu treffen, vor allem wenn sie in Eile getroffen werden. Cyberkriminelle nutzen diese Schwächen durch Social Engineering aus, einen psychologischen Trick, der darauf abzielt, Menschen dazu zu bringen, etwas zu tun, was sie nicht tun sollten. Phishing ist eines der bekanntesten Beispiele.
Phishing ist eines der bekanntesten Beispiele. In diesem Fall geben sich die Kriminellen als legitime Personen aus, z. B. als Freunde, Familienangehörige, Unternehmen, mit denen der Nutzer Geschäfte gemacht hat, usw.
Diese E-Mails oder Texte scheinen echt zu sein, enthalten aber einen bösartigen Link oder Anhang, der, wenn er angeklickt wird, Malware herunterlädt oder zu einer Seite führt, auf der persönliche Daten angegeben werden müssen.
2. Malware
Eine weitere beliebte Methode, um an Passwörter zu gelangen, ist Malware. Phishing-E-Mails sind ein Hauptvektor für diese Art von Angriffen, aber Sie können auch Opfer werden, indem Sie auf eine bösartige Werbung klicken („Malvertising“) oder sogar eine kompromittierte Website besuchen („Drive-by-Download“).
Wie ESET hervorgehoben hat, kann sich Malware sogar in einer legitim aussehenden mobilen App verstecken, die oft in App-Shops von Drittanbietern zu finden ist.
Es gibt verschiedene Arten von Malware, die Informationen stehlen, aber einige der häufigsten sind so konzipiert, dass sie die Tastenanschläge des Benutzers auf der Tastatur aufzeichnen oder Screenshots des Geräts machen und an Angreifer senden.
3. Brute-Force-Angriffe
Die durchschnittliche Anzahl der Passwörter, die eine Person verwalten muss, wird bis 2020 schätzungsweise um 25 % im Vergleich zum Vorjahr ansteigen. Viele Menschen verwenden leicht zu merkende Passwörter und verwenden sie auf mehreren Websites wieder, was jedoch so genannten Brute-Force-Techniken Tür und Tor öffnen kann.
Einer der häufigsten Angriffe ist die Überprüfung von Anmeldeinformationen. In diesem Fall geben die Angreifer große Mengen zuvor gestohlener Kombinationen von Benutzernamen und Passwörtern in eine automatisierte „Software“ ein.
Das Tool testet sie dann auf einer großen Anzahl von Websites, in der Hoffnung, eine Übereinstimmung zu finden. Auf diese Weise können Kriminelle mehrere Konten mit einem einzigen Passwort freischalten.
Einer Schätzung zufolge gab es im vergangenen Jahr weltweit 193 Milliarden Angriffsversuche dieser Art. Eines der bemerkenswertesten Opfer war kürzlich die kanadische Regierung.
Eine weitere Brute-Force-Technik ist das Testen von Passwörtern nach dem Zufallsprinzip. In diesem Fall verwenden „Hacker“ automatisierte „Software“, um eine Liste häufig verwendeter Passwörter mit einem Konto zu testen.
4. Passwort-Rätsel
Zwar stehen Cyberkriminellen automatisierte Tools zur Verfügung, um die Ableitung von Passwörtern zu erzwingen, doch sind diese manchmal gar nicht notwendig: Auch durch einfaches Raten – im Gegensatz zu dem systematischeren Vorgehen bei Brute-Force-Angriffen – kann das Ziel erreicht werden.
Das häufigste Passwort im Jahr 2020 war „123456“, gefolgt von „123456789“. An vierter Stelle steht das Wort „Passwort“ selbst.
5. Über die Schulter schauen
Obwohl es viele Möglichkeiten gibt, ein Passwort virtuell zu stehlen, sollte man nicht vergessen, dass es auch in der physischen Welt Wege gibt, ein Passwort zu erfahren, die ein Risiko darstellen.
Dies wird als „Schulter-Surfen“ bezeichnet, oder einfach als „über die Schulter schauen“. Dies betrifft nicht nur die Kreditkarten-Pin, und ESET hat Experimente durchgeführt, die zeigen, wie einfach es ist, ein Snapchat-Passwort durch Schulter-Surfen herauszufinden.
Schutzmaßnahmen
Um Internetnutzer zu schützen, hat ESET eine Reihe von Empfehlungen veröffentlicht, die verhindern sollen, dass ihre Passwörter gestohlen werden.
Einige dieser Tipps sind wiederkehrend, wie z. B. die Verwendung von sicheren, eindeutigen Passwörtern oder Phrasen für alle Konten, insbesondere für Bank-, E-Mail- und Social-Media-Konten. Dazu gehört auch die Vermeidung der Wiederverwendung von Berechtigungsnachweisen.
Eine weitere Empfehlung ist die Aktivierung der Zwei-Faktor-Authentifizierung (2FA) oder die Verwendung eines Passwortmanagers, der sichere und eindeutige Passwörter für jede Website und jedes Konto speichert. Es ist auch wichtig, Passwörter sofort zu ändern, wenn ein Anbieter einen Datendiebstahl meldet.
Nutzer sollten darauf achten, sich nur über HTTPS-Websites anzumelden, nicht auf Anhänge in unaufgeforderten E-Mails zu klicken oder diese zu öffnen und Anwendungen nur aus offiziellen Shops herunterzuladen.
Die Nutzer sollten außerdem Cybersicherheitssoftware verwenden, immer aktuelle Betriebssysteme und Anwendungen einsetzen, sich vor potenziellen „Spähern“ in öffentlichen Räumen in Acht nehmen und niemals über öffentliche WiFi-Netzwerke eine Verbindung zu Konten herstellen, wobei die Verwendung von VPN-Tools empfohlen wird.
