How to Hack a Facebook Account oder: Warum es ohne Sicherheitsfrage sicherer ist.

Facebook: Hast du auf dies keinen Zugriff mehr? (Gastartikel von Julian Oscewski): Um es gleich vorweg zu nehmen: Ich schreibe hier über keine Geheimwissenschaft, sondern zeige den Normalen Benutzer das, was ein halbwegs guter Hacker bereits weiß. Die größte Schwachstelle jeder Internetseite ist die „Passwort vergessen?“-Funktion. Diese habe ich mir bei Facebook einmal genauer angesehen und kam zu den Schluss, dass Facebook dort einige Sicherheitslücken versteckt ohne dass wir dies wissen. Noch interessanter fand ich es, dass durch das Erstellen einer „Sicherheitsfrage“, die ganze Prozedur noch mehr Sicherheitslücken enttarnt. Unsicherheit durch Sicherheitsfrage klingt zuerst Paradox, jedoch werde ich euch in den folgenden Zeilen einmal genauer erklären, wie ich dies meine.

Als erstes Bitte ich euch um zwei Dinge.

1. Nehmt es zur Kenntnis, dass eine einmal eingegebene Sicherheitsfrage, weder geändert noch gelöscht werden kann.

2. Probiert es einmal selber bei euren Account aus*.

*) Anmerkung mimikama.at: Macht dies nur wenn Ihr Euch wirklich auskennt und wenn Ihr keinerlei Bedenken habt. Alles was Ihr ab hier macht, macht Ihr auf "Eigenen Gefahr"

Im Folgenden nun eine kommentiere Anleitung zur „Passwort vergessen?“ – Funktion auf Facebook.

1. Ihr loggt euch aus euren Facebook Account aus. (Für einige wird dies gleich eine neue Erfahrung sein. Ihr findet diese Funktion unter dem Umgedrehten Dreieck oben rechts und dann auf Abmelden. Nun klickt ihr unter dem Feld für die Passwortabfrage auf „Passwort vergessen?“.

Facebook: Passwort vergessen

2. Ihr kommt nun auf folgende Seite:

Facebook: Identifiziere dein Konto

Auf dieser Seite könnt ihr verschiedene Angaben machen, wie ihr euren Account identifizieren wollt. Entweder über die hinterlegte E-Mail-Adresse, die hinterlegte Telefonnummer, den Facebook Benutzernamen oder, und hier kommen wir zu der ersten Sicherheitslücke, indem Ihr euren Namen und den Namen eines Freundes angebt. Die letzte Möglichkeit der Identifikation ist bereits eine Gefahr für jeden, der ein öffentliches Profil hat oder zumindest seine Freundesliste öffentlich Anzeigen lässt. Probiert ihr nun die letzte Variante einmal aus kommt ihr auf die nächste Seite.

3. Auf der nächsten Seite wird euch nun Angeboten euch ein Code zum Passwort zurücksetzen zuzusenden. Entweder per E-Mail, per SMS oder per automatisierten Anruf. Hier sollte man als bedenklich sehen, dass die E-Mail-Adresse, zwar mit Sternchen unkenntlich gemacht, angezeigt wird. Für jeden Hacker bereits ein fast offenes Buch, da der Herr Max Mustermann nun sieht, dass seine E-Mail-Adresse m************n@w*b.de ist.

Facebook: Passwort zurücksetzten?

Was kann man mit dieser Information anfangen? Eigentlich ganz einfach, jeder der euren Benutzernamen kennt, kann sehen, ob ihr wie die meisten Internetnutzer eine E-Mail-Adresse im Format Vorname.Name@Anbieter.de habt. Und auch der Hacker weiß nun, dass eure E-Mail-Adresse Max.Mustermann@web.de ist und könnte versuchen, ebenfalls über die „Passwort vergessen?“-Funktion eures E-Mail Anbieters, eure E-Mail zu hacken. Wir machen allerdings nochmal weiter und klicken unter der unkenntlich gemachten Telefonnummer auf „Hast du auf diese keinen Zugriff mehr?“.

4. Auf der neuen Seite wirst du nun aufgefordert, eine neue E-Mail-Adresse anzugeben.

5. Solltest du dies getan haben scheiden sich die Wege. Bei einem Mitgliedskonto indem keine Sicherheitsfrage hinterlegt ist, ist nun Schluss. Man bekommt nur noch die Information, dass keine Sicherheitsfrage hinterlegt ist und man deshalb mit der Prozedur nicht weitermachen kann.
Sollte eine Sicherheitsfrage hinterlegt sein, wird diese abgefragt.
Hier gibt es bei Facebook nur drei verschiedene Möglichkeiten:

5.1) In welcher Stadt ist deine Mutter geboren? (Achtung, solltest du deine Mutter als Freundin bei Facebook haben und sie hat ein öffentliches Profil, könnte diese Frage für dich nicht geeignet sein, da die unbefugte Person dort einfach nachsehen kann.)

5.2) In welcher Straße hast du gewohnt als du 8 Jahre alt warst?

5.3) Welchen Lehrer hattest du in der Grundschule?

Man sollte davon ausgehen, dass mindestens eine diese Information irgendwie zu erlangen ist. Entweder über Facebook Posts oder über Google.

Wie werden Facebook Betrüger auf euch Aufmerksam?

Im Prinzip, kann dies durch jede Aktion passieren. Eine angenommene Freundschaftsanfrage von jemanden den ihr nicht kennt, ein Post auf einer Nachrichten Seite oder das wahrscheinlichste, indem ihr bei einer Seite auf gefällt mir klickt, die euch IPADs oder Gutscheine verspricht.

Was kann mit den gewonnen Daten passieren?

Ausgehend vom Worst-Case hat nun der Hacker Zugriff auf euer Facebook Konto und/oder eure E-Mail-Adresse.

Die Daten die er nun von euch hat, kann er entweder dazu verwenden, ebenfalls die Daten eurer Freunde auszuspähen (denn ein gehackter Account gefährdet ALLE anderen Accounts mit) oder, wenn er es tatsächlich geschafft hat auch eure E-Mail-Adresse einzunehmen. Kann er für euch Accounts auf jeder möglichen Seite anlegen. Die beliebtesten Seiten wären hier eBay und Paypal.

Welche Sofortmaßnahmen solltet ihr ergreifen?

  • Sollte es noch nicht geschehen sein, distanziert euch von der Idee eine Sicherheitsfrage anzulegen.
  • Benutzt unterschiedliche Benutzernamen für Facebook und eure E-Mail-Adresse. Am besten wählt ihr dafür nicht euren richtigen Namen.
  • Nutzt unterschiedliche Passwörter für jede Seite. Somit sind im Falle von Phishing, nicht gleich alle Accounts betroffen.
  • Speichert eure Anmeldedaten nie auf öffentlichen Computern oder euren Smartphones (letzteres kann bei Verlust des Smartphones tierisch in die Hose gehen).
  • Stellt eure Datenschutz Einstellungen so ein, dass nur Freunde Informationen über euch bekommen.
  • Nehmt niemanden, den ihr nicht kennt als Freund an oder schreibt mit der Person ein paar Mal um sicher zu gehen, dass Sie euch wirklich kennt.
  • Und das wichtigste: Zuerst denken, dann Klicken.

Alles in Allen ist die „Passwort vergessen?“-Funktion von Facebook nicht sehr gut durchdacht,…

…da ein geübter Hacker hier recht schnell euren Account hacken kann bzw. auch eure registrierte E-Mail-Adresse herausfindet. Und spätestens die „Passwort vergessen?“-Funktion der meisten Freemail Anbieter, sind noch um einiges schlechter als bei Facebook.

Noch einfacher kommen Hacker allerdings an Informationen, wenn ihr auf Phishing oder Spoof hereinfallt. Hier gibt euch Facebook allerdings schon ein paar nützliche Tipps und Hilfen auf der Facebook Hilfeseite zum Thema Sicherheit.


Julian Oscewski Dieser Artikel wurde von Julian Oscewski geschrieben. 
Nach seiner kaufmännischen Ausbildung hat Julian Oscewski eine Menge ausprobiert und seine Leidenschaft zum Thema Betrug entdeckt. Für verschiedene deutsche und internationale Unternehmen hat er in der Abteilung Betrugsprävention gearbeitet und dort gelernt Sachverhalte zu analysieren. Das Thema Betrugsprävention ist facettenreicher als auf den ersten Blick gedacht.  Derzeit ist er zwar nicht mehr in diesen Bereich tätig, freut sich aber, mimikama mit seiner Erfahrung weiterhelfe zu können.

Kontakt:
www.facebook.de/Julian.Oscewski
gast_autor@arcor.de
Bitte bei E-Mails immer als Betreff: ZDDK: Name des Artikels angeben.

Anmerkung:

1. Aufgrund gesetzlicher Bestimmungen sind meine Beiträge weder als Rechtsberatung zu deuten noch kann ich die Vollständigkeit und Richtigkeit meiner Beiträge gerade in Bezug auf rechtliche Themen garantieren. Meine Beiträge versuche ich bestmöglich zu schildern und sofern bekannt den gängigen Usus wiederzugeben.

2. Ich versuche Anfragen möglichst innerhalb von 24 Stunden zu bearbeiten. Je nach Rechercheaufwand kann sich die Zeitspanne auch Verlängern."


Weitere Artikel von Julian Oscewski

>> Was tun, wenn es zu spät ist


Kommentare


Über uns

mimikama.at ist eine internationale Koordinationsstelle zur Bekämpfung von Internetmissbrauch und zentrale Anlaufstelle für Internetuser, die verdächtige Internetinhalte melden möchten.

An einen Freund weiterleiten...










Submit
An einen Freund weiterleiten...










Submit
Ein Service von www.mimikama.at | Danke an: Palmers | easyname Österreich | Baumax / Baumarkt | Zeolith-Bentonit-Versand