-Mimikama unterstützen -

Gemeinsam gegen Fakes, Fake-News und anderen Unwahrheiten im Internet. Bitte hilf mit!

Facebook-Hack: „[t]his can be game over for your account“

-Produktempfehlung: Kaspersky lab-

Als „Trick“, „Hack“ oder Sicherheitslücke wird ein von einem Briten vorgestelltes Verfahren bezeichnet, mit dem es vermeintlich möglich sein soll, sich das Facebookprofil eines anderen Nutzers zu eigen zu machen. Selbstsicher behauptet besagter Brite, dass Facebook dieses Defizit auch nicht ausbessern könne – droht entsprechend dieser Prognose eine reelle Gefahr für alle Facebookprofile?

Mit den dramatisch gewählten Worten „[t]his can be game over for your account” generiert der Brite Aufmerksamkeit und wird von einigen auch im deutschsprachigen Raum vertretenen Medien rezitiert.

Die angenommene Gefahr des „Facebook-Hacks“ wird dramatisiert, bei vielen Quellen fehlen jedoch mittlerweile relevante Details, die das Abwägen des Sicherheitsrisikos gravierend beeinflussen würden – und vielen Usern wahrscheinlich zeigen würden, dass übertriebene Angst unangemessen ist.

Warum einige Details in den Artikeln, ob beabsichtigt oder unbeabsichtigt, weggelassen werden, kann an dieser Stelle nicht beantwortet werden. Sie werden hier aber explizit angeführt, so dass sich ein eigenes Bild über den vermeintlichen „Facebook-Hack“ gemacht werden darf:

Zunächst etwa die Tatsache, dass potentiell nur diejenigen betroffen sind, die eine veraltete Handynummer in ihrem Profil hinterlegt haben.

Je nach Anbieter ist die gesetzliche Regelung verbindlich, die Rufnummer mindestens 90 Tage für eine eventuelle Portierung freizuhalten, und darüber hinaus ein freier zeitlicher Spielraum, bevor diese neu vergeben wird, vorgesehen.

Beim Wechsel der Rufnummer haben Betroffene also mindestens zwei Monate Zeit, ihre hinterlegte Rufnummer zu erneuern – Facebook fragt sogar sehr offensichtlich, wenn sich von einer Fremdnummer eingeloggt wurde, ob sich die Handynummer erneuert habe und ob die alte durch diese ersetzt werden solle (Selbstverständlich nach Abfragen der sicherheitsrelevanten Merkmale).

Diese veraltete Handynummer muss von Kriminellen übernommen werden – oder mindestens aber einem Menschen, der Böses vorhat.

Der Autor des „Facebook-Hacks“ argumentiert, dass Kriminelle die alten Rufnummern aufkaufen würden – was z.T. passiert, im großen Stil sich jedoch als schwierig gestaltet und auch äußerst ineffizient ist.

Es gibt andere Methoden, um zielgerichtet Social Media Accounts zu hacken. Die Kosten hierfür belaufen sich auf einige wenige tausend Euro.

Das erscheint zunächst einmal als hohe Summe, ist aber deutlich effizienter als beispielsweise 100 Rufnummern durchzuprobieren, bei welcher der Altbesitzer – sofern er überhaupt einen Social Media Account hatte – diesen mit einer Rufnummer verknüpfte UND gleichzeitig vergessen hat seine Rufnummer zu ändern. Wenn dazu noch der User, trotz sensibler Daten, die Facebookauthentifizierung ausschließlich über das Handy laufen lässt, ist das Risiko gegeben.

Das sind sehr viele Faktoren, und selbst wenn es für zwei dieser 100 gekauften Rufnummern gelingt – die Wertigkeit der Informationen ist randomisiert und als solches ein höchst ineffektives Verfahren, um an die von Betrügern benötigten Daten heranzukommen.



Die Wahrscheinlichkeit, dass ein Smartphone gestohlen wird und ein Betrüger sich dadurch Zugang zu Social-Media-Accounts verschafft, ist bedeutend höher und dadurch realistischer.

Selbst der Verkauf eines alten Smartphones und die Wiederherstellung alter Daten ist ein gezielteres und kostengünstigeres Verfahren als das von dem Briten im Artikel vorgestellte.

Fazit:

Nichtsdestotrotz macht es Sinn, bei einem Rufnummernwechsel auch die verknüpften Accounts mitzuändern, und vor allem die Authentifizierung an möglichst viele Orte auszulagern.

Eine Mehr-Faktoren-Authentifizierung wird erst dadurch stark, dass diese durch unterschiedliche Endgeräte oder Konten geschieht.

Des Weiteren sollten die Informationen, die durch die unberechtigte Übernahme eines Accounts zugänglich werden möglichst unverfänglich sein.

Für vertraulichen Austausch empfiehlt sich die verschlüsselte Kommunikation, die Facebook in der mobilen Version anbietet, und ansonsten über diverse Anbieter ermöglicht werden kann.