Mein Account wurde gehackt ! Was soll ich tun?

Ruhe bewahren. Wenn möglich einen Experten zur Hilfe holen!
Es gibt viele Lösungsmöglichkeiten, auch wenig elegante.
In diesem Beitrag werden "keine konkreten Lösungen" beschrieben für die der Autor die Haftung übernimmt.
Ich gebe Tipps für die Zukunft, zur Vermeidung der Ursache!
Denn es wäre fahrlässig die Gefahr zu unterschätzen und den gleichen Fehler ein zweites Mal zu begehen.

Erste Hilfe: Der Computer der bislang benutzt wurde kann infiziert sein.
Änderungen und Rettungsversuche von einem kompromittierten, infizierten Computer, sind in der Regel nicht sinnvoll. Sobald wie möglich den Netzwerkstecker ziehen, und den infizierten Computer nicht wieder das Internet anschließen!
Eine sinnvolle Lösung ist ein Knoppix Live System. Diese Live Systeme bieten auch von einem infizierten Betriebssystem einen sicheren Zugang zum Internet, um dort Kennwörter und Accounts zu ändern.
Sehr oft liegt dieses Livesystem einer Zeitschrift als CD bei und so kann ein Sprint zum nächsten Kiosk schon eine erste Hilfe sein.

Hilfe, ein Keylogger ist auf mein Rechner!
Jetzt heißt es Ruhe bewahren. Eine allgemeingültige Lösung gibt es leider nicht. Hier ein paar Tipps:
1. Vom Internet physikalisch trennen, Netzwerkstecker ziehen oder Router / Modem ausschalten!
Wenn möglich Fachmann ins Haus holen.
2. Wenn wichtige Informationen auf dem Rechner gespeichert wurden,
über ein externes Betriebssystem ein Festplattenimage ziehen. Dazu muss die Festplatte ausgebaut werden!
3. Retten was geht, ein Linux Live System kann dabei helfen.
4. Nach Rettung, bei allen Mailprovidern, Foren und Webseiten die Kennwörter ändern!
5. Nie wieder die gleichen Kennwörter mit den gleichen Benutzernamen benutzen.

Tips für die Zukunft!

Wie konnte das passieren?

Online Rollenspiele benötigen wie auch in Online Foren die Eingabe eines Benutzernamens und Passworts. Auch Windows benötigt bei der Anmeldung mindestens einen Benutzername.
Kennwörter für ICQ, Messenger, eMail, Amazon oder andere Internetdienstleistungen müssen immer wieder in der verschiedensten Form eingegeben werden.
Kennwörter sind, das muss man leider sagen, ein sehr schlechter Schutz. Erst in Verbindung mit einer Sperre bei Fehlversuchen bieten sie einen Schutz.

Leider sperren viele Anbieter von Online Rollenspiele ihre Benutzer nicht nach mehrmaliger falscher Eingabe eines Passwortes. Auch eine Zeitverzögerung die eine Eingabe beschränkt fehlt meist. So kann ein "PasswortDieb" beliebig oft probieren den Account zu knacken. Natürlich wird die IP geloggt, doch mittels Proxys oder *Zombie* Bot Netze, also Trojaner auf fremden Rechnern die als toter Briefkasten fungieren, ist die Ermittlung sehr schwierig, bis unmöglich.

Die Angreifer gehen dabei natürlich auch über die Landesgrenzen hinweg, Ostblock und Entwicklungsländer sind finanziell, technisch oder rechtlich kaum in der Lage die Ermittlungen zu unterstützen. Nicht jeder Staat bietet eine so lückenlose Überwachung wie Deutschland.

Aus meiner langjährigen Berufserfahrung weiß ich, dass selbst studierte Menschen immer noch glauben, der Benutzername + Geburtsdatum oder bond007 sei ein sicheres Kennwort. Also kann allein durch Versuch und Irrtum, oder einer kleinen Passwortliste (beliebtester Kennwörter) ein Account sehr schnell kompromittiert werden.

Passwortenlisten sehen in etwa so aus:
a,aa,aaa,aaaa,b,bb,bbb,bbbb,abcdefg,123456,111111,1234,....
Es spielt für den Angreifer dabei keine Rolle wie kurz oder lang das Kennwort ist. Wenn SharonStone gerade sehr angesagt ist, wird sich unter umstaenden auch ein 5h4r0n570n3 in der Passwortliste befinden, bzw, es gibt Skripte die solche Kennwörter automatisch generieren.

Keine sicheren Kennwörter sind:
Das Geburtsdatum, Hochzeitsdatum, Kontonummer, Telefonnummer, alte Telefonnummer, Mädchenname, Nachname, Vorname, Ortsname, Kosename, Nickname, Produktnamen (Monitor, Tastatur, Handy), Prominente Namen, Filmnamen, Buchtitel etc...

Auch keine sicheren Kennwörter sind:
eine Kombination aus oben genannten, oder das Rückwärts schreiben dieser oder ähnlicher Kennwörter in Kombination mit populären Zahlenkombinationen wie 42, 23, 666, 007, 777, 69, 0815, 314159265 ....

Ein sicheres Kennwort ist mindestens 12 Zeichen lang und enthält Großbuchstaben, Kleinbuchstaben, Sonderzeichen und Zahlen, sofern es erlaubt ist.

Schlecht: Frosch666
Besser: fR05c!!sechs6s3x

Das untere Kennwort ist kein gutes Kennwort mehr, denn es steht nun im Internet. Richtig gut ist ein Kennwort dann, wenn ähnlich dem Beispiel, ohne erkennbaren logischen Aufbau wirklich zufällige Zahlen und Zeichen genutzt werden.

Wichtig: Kennwörter sind Einmalware!

Jedes Kennwort egal wie sicher es ist, sollte nur für jeweils eine Dienstleistung benutzt werden.
Um sich ein Kennwort zu merken hilft auch ein kleines Büchlein in der Schreibtischschublade zu Hause.
Dabei kann eine kleine leicht zu merkende Kombination wie zum Beispiel @xzy123 immer wieder genutzt und an das "zufällige" Kennwort angehängt werden. Im Büchlein daheim lässt man es dann weg.
Auch Passwortmanager in aktuellen Browsern speichern Kennwörter stark verschlüsselt und können helfen.

Cracks, Hacks, Cheats, Levelservice, Gold und kostenlose Wundermittel !

Eine weitere große Gefahr sind Anbieter 'nicht ganz legaler Hilfsmittel'. Sei es Goldverkäufer, Level Hilfen, Spiele Cracks oder sonstigen, angeblich kostenlosen Hilfen.

a) Ein Forum muss ein Passwort nicht verschlüsseln! Auch wenn der Benutzer nur Sterne sieht, für den Forenbetreiber kann das Kennwort im Klartext sichtbar sein. Hier hinterlassen Benutzer ihre Kennwörter oder zumindest Kennwortgepflogenheiten im Klartext und erleichtern die Accountübernahme in anderen Foren oder Internetdienstleistungen. Auch Gildenforen auf 'freien kostenlosen Selbstbau Foren', sind ein solcher potentieller Gefahrenherd. Wenn ein Anbieter etwas als kostenlos bewirbt, sollte man doch kritisch sein und auf Domains zurückgreifen die aus Deutschland stammen. Die Denic gibt dabei Auskunft, wer in Deutschland die Domain hosted und wer verantwortlich ist.
[irgend eine Webseite].de.vu/... zum Beispiel ist keine Deutsche Domain, sondern Vanatu und hat 190.000 Einwohner.
[irgend eine Webseite].to/... bedeutet - Tonga, hier genauso wie in Vanatu wird niemals jemand Rechtshilfe leisten im Schadensfall.
[irgend eine Webseite].tv/... bedeutet - Tuvalu ...

b) Viele Spammer bieten Downloads an, die den Benutzer missbrauchen um auf anderen Seiten den Captcha zu umgehen. Dabei wird der Captcha, die Überprüfung ob der Benutzer ein Spambot ist umgelenkt auf eine illegale Download Seite. Der Benutzer füllt den Captcha aus und hilft somit den Spammern, nicht automatisch lösbarer Captchas als Schutzmaßnahme, zu umgehen.

c) Nicht legale Download Seiten nutzen die gleichen Techniken wie die Werbeindustrie. Beispiel:
Kurt sucht ein kostenloses Programm. Er gibt in eine Suchmaschine (Yahoo, Google) den Suchbegriff "Würstchengarzeit Kalkulation für Windows crack". Kurt klickt eine Seite aus dem Suchergebnis an. Dabei wird sein Referrer übermittelt: Google oder Yahoo + "Würstchengarzeit Kalkulation für Windows crack".
Dies wird von der angeklickten Seite in einem Cookie verschlüsselt auf seinem Rechner hinterlegt.
Nun probiert die Webseite Kurt einen Virus unter zuschieben. Gelingt dies nicht, ist Kurt gewarnt. Sein Virenprogramm hat Alarm geschlagen. Kurt wird diese Seite meiden. Kehrt aber zu seinem Suchergebnis wieder zurück. Er wähnt sich in Sicherheit. Kurt klickt ein weiteres Suchergebnis im Browser an, gelangt wieder auf eine Seite, bei der es hoffentlich den crack für "Würstchengarzeit Kalkulation für Windows" gibt.
Die Seite ist aber leider von der gleichen Virenschleuder und liest den Cookie aus. Erkennt das Kurt schon auf einer illegalen Seite war und dort anscheinend verschont blieb von dem Virusinfekt. Also wird nun versucht, Kurt einen anderen Virus unter zujubeln, der hoffentlich unerkannt bleibt.

d) Kurt hätte besser auf den Crack verzichtet, denn meistens sind die Cracks letztlich auch infiziert, auch wenn die eigentlichen Crackingcrews dies vielleicht gar nicht gern sehen, verhindern können sie es nicht. Ein legaler kauf schützt in solchen Fällen tatsächlich vor jeder Menge Ärger.

Windows XP SP4/ 2000 SP4 / und ältere...
Weiterhin ist es ein Problem wenn der Benutzer sich automatisch an Windows anmelden lässt. Hier wird das Kennwort schlecht verschlüsselt in der Registry abgelegt und kann mit entsprechenden Mitteln und einem Virus/Trojaner übermittelt werden! (noch nicht gehackt!). Dies dauert nur wenige Millisekunden, und irgendwo in weiter Ferne kann dieses und tausende andere Kennwörter gleichzeitig geknackt werden.
Perfide dabei ist: Je mehr Kennwörter gleichzeitig geknackt werden sollen, desto eher verkürzt sich die Zeit für den Kriminellen bis zu einem Erfolg. Datenflut schützt hierbei nicht vor einem Angriff bei schlechter Verschlüsselung, sie verkürzt die Zeit zur Entschlüsselung! Ist dieses Windows Kennwort identisch mit dem Account Kennwort von Amazon, eBay, WOW oder ähnlichem, was sehr häufig vorkommt, denn Menschen sind in der Regel faul, ist der eigene Computer dann bald selbst Zombie und diverse Accounts und Anmeldungen futsch.

Gefälschte Webseiten und eMails!

Auch ein große Gefahr sind Phishing Sites. Hier wird dem Benutzer ein Link untergejubelt oder ein Script, was später oder früher, dem Benutzer vorgaukelt, er sei auf der Webseite des Anbieters den er zu sehen wünschte, um dann Benutzername und Passwort im Klartext zu bekommen.

Schutzmaßnahme
Blizzard hat aus diesem Grund den Keygenerator als Hardware im Programm. Er ist durch Viren nicht infizierbar, obwohl der Aufbau mehr als simple und billig ist. Mit eine Verschlüsselung wird die Uhrzeit einmal synchronisiert und verschlüsselt übermittelt. Weil 2 Teile des Schlüssels nicht auf dem heimischen Computer des Benutzers aufspürbar sind, kann der Key nur geklaut werden, in dem eine Phishing Seite oder Email genau diesen Code und die Uhrzeit des Keys aus dem Benutzer erschwindelt.

Variationen aller oben genannten Methoden sind denkbar. ... Uff.

All diese Ausführungen sind rein theoretisches Allgemeinwissen aus bekannten Szenarien und aus Deutschland heraus, zum Glück! nicht ohne erwischt zu werden durchführbar, aufgrund unserer Vorratsdatenspeicherung, der Protokollierung und der sehr exakten Logdaten die in Deutschland üblich sind.

Es gibt meines Wissens 2 grundsätzlich verschiedene Angriffspunkte derer man sich bewusst sein sollte.

Typische und oft wiederholte Fehler

Neu Installation | System platt machen
Die Viren Infektion über ein veraltetes System ist am häufigsten anzutreffen. Also ein Angriff auf veraltete Browser. Ganz beliebt dabei, der Internet Explorer der bei einer XP Home oder Professionell von Windows mit installiert wird. Oft liegt in der Schublade, eine alte Installations CD.

So quasi nach dem Motto:
"Ich hab mein System neu installiert weil das Spiel so geruckelt hat, hab dann schnell meine Spiele neu heruntergeladen, und plötzlich war der Virus da und das virtuelle Gold weg."

Die erste Software Installation nach einer Windows Installation sollte ein Virenscanner sein, das zweite ein aktueller Browser. Dabei stets auf die URL achten die Google ausspuckt, denn es ist schon vorgekommen das ein Suchergebnis auf einen vermeintlich neueren Virenscanner verwies, hinter dem sich eine bösartige Seite verbarg. Eine bekannte *xzy-Domain*.de ist grundsätzlich einer xxx.com oder anderen Domain Endung vorzuziehen! (Das ist aber nur eine Meinung, kein Allheilmittel)

Benutzerrechte
Der Benutzer sollte eigentlich keine administrativen Befugnisse haben, und somit vor Fremdinstallationen geschützt sein. So der Grundgedanke eines Betriebssystems mit Benutzer Rollen und Rechten. Die Realität heißt Windows und ohne Admin Rechte damit zu spielen kann nervtötend sein. Viele wissen auch gar nicht wie es funktioniert.

Neue Lücken, neue Tücken, ZeroDayExploits im Browser
Die zweite Unannehmlichkeit ist, wenn Links oder Sides eine neue Schwachstelle ausnutzen. Hierbei spielt es kaum noch eine Rolle welchen Browser man benutzt, denn der Browser selbst muss nicht als Angriffspunkt herhalten. Viele Plugins wie AdobeFlash / AdobePDF, Windows MediaPlayer oder ähnliche Multimedia plugins, können dem Keylogger Tür und Tor öffnen.
Perfide dabei ist die Tatsache das ein kompromittierterrrrr Werbeserver genügen würde um selbst vertrauenswürdige Sides wie zB: Spiegel, Heise oder die Spielehersteller Seiten, in eine Virenschleuder zu verwandeln. Dies wird aber durch immer mehr Sicherheitsmechanismen seitens der Seitenbetreiber unterbunden. Dazu kann man sich Bildhaft vorstellen, dass eine moderne Webseite wie der zB Spiegel, Stern, Amazon oder ähnliche aktuelle Seiten, nicht von einem Server stammt, sondern sich aus vielen kleinen Teilen und Fragmenten aus aller Welt zusammensetzt.

Die jpg, word, avi, etc... Falle:
Das meist benutzte OS dürfte Windows XP Home SP1/2 sein. Ohne entsprechenden Virenschutz genügt das einbinden eines Datenträgers, das kopieren eines Ordners, das auspacken einer Zip Datei, der Mouseover über ein heruntergeladenes jpg, um einen Virus in das OS zu schleusen. Bei neueren oder anderen Betriebssystemenn, aktuellen Hotfixes und AutoRunDeaktivierungg (´per Hotfix! das einfach deaktivieren genügt nicht!) , ist dies i.d.R. behoben, ! Aber ! es kann sein das wieder neue Lücken gefunden werden.

Insgesamt gibt es in einem Modernen Betriebssystem zu viele automatische Prozesse, als dass man auf einen Virenscanner verzichten könnte.

Grundsätzlich: Wenn ein Virenscanner Alarm schlägt, bedeutet es nicht dass das Kind in den Brunnen reingefallen wäre ohne Virenscanner! Viren sind Programme, ohne entsprechende Anweisung der Ausführung, kann ein Virus auf der Festplatte liegen, ohne Schaden anzurichten.

Wird jedoch die Auto Miniatur Ansicht der Ordner von Windows benutzt besteht ein erhöhtes Risiko, denn die Datei wird vom OS bearbeitet und kann sich so infizieren. Landet ein verseuchtes .jpg im Cache von Opera oder Firefox, passiert häufig gar nichts, der Browser ist zu dumm um das infektiöse Material in der Datei auszuführen. Ist ein Virenscanner im Spiel, hat der das sagen und der Browser und OS ist geschützt.

eMail Konto - höchste Alarmstufe
Mit einem eMail Konto können neue Kennwörter angefordert werden. Ist ein eMail Konto geknackt, ist es höchste Eisenbahn aktiv zu werden und sich daran zu erinnern wo überall online eingekauft wurde.
Dummerweise glauben einige Onlineshops, es würde helfen, wenn der Benutzer seine eMail Adresse oder den Realnamen und Benutzername angeben muss, um ein neues Kennwort anzufordern. All diese Angeben stehen aber leider in jedem Newsletter der verschickt wird, um zu beweisen das der Newsletter auch wirklich von Anbieter xyz stammt.

Ein unverschlüsseltes WLan ist für (gelegenheits) Kriminelle ein gefundenes Fressen. Eine grosse Schwachstelle ist dabei das pop3 eMail System, oder auch viele Webseiten, übermitteln Kennwörter und Benutzernamen im Klartext!

Alles in allem gibt es gnügend Angriffspunkte, die uns dazu veranlassen sollten, umsichtig und ruhig etwas vorsichtiger mit unseren Kennwörtern und Daten umzugehen.

Bei Fragen, Kritik oder Anregungen zu diesem Artikel nutze bitte das Kommentarfeld.
Dieser Artikel wurde nach bestem Wissen und Gewissen erstellt um den Blick auf Gefahren im Internet zu schärfen. Natürlich kann es sein, das hier etwas unerwähnt blieb. Das Thema ist sehr weitläufig und immer wieder versuchen Kriminelle mit neuen Methoden sensible Daten aus zu spähen. Trotz aller Warnungen und Gefahren ist die tatsächlich Bedrohung nicht größer oder geringer als noch vor wenigen Jahren. Wer mitdenkt und umsichtig handelt wird sicher verschont bleiben.

Viel Spass beim Surfen.
yt