Das Paypal-Konto des Sicherheitsexperten Brian Krebs ist am Weihnachtsabend gehackt worden, wie er in einem Blogeintrag beschreibt. Der Täter versuchte darüber hinaus, Geld an eine Hackergruppe zu überweisen, die mit der Terrormiliz Islamischer Staat in Verbindung steht. Das gelang ihm zwar nicht, aber Krebs sieht in der erfolgreichen Übernahme seines Kontos ein Beispiel dafür, wie rückständig viele Unternehmen und auch Finanzinstitutionen hinsichtlich der Authentifizierung ihrer Kunden sind – und damit mühelosen Identitätsdiebstahl ermöglichen.
Zuerst erhielt Brian Krebs ein E-Mail von Paypal, die über eine seinem Konto hinzugefügte E-Mail-Adresse informierte. Er meldete sich daraufhin mit einem garantiert nicht kompromittierten Rechner bei seinem Paypal-Konto an, änderte das Passwort, wählte seine eigene E-Mail erneut als primäre Kontaktadresse und löschte die vom Angreifer hinzugefügte Adresse.
Der Kundendienst erzählte ihm, der Angreifer hätte sich einfach mit seinem Nutzernamen und seinem Passwort angemeldet. Er habe jetzt alles getan, was er hinsichtlich des Angriffs tun konnte. Der Vertreter des Finanzdienstleisters versicherte ihm außerdem, er könne beruhigt sein, da sein Konto hinsichtlich verdächtiger Aktivitäten überwacht werde.
Nur zwanzig Minuten später jedoch erhielt er eine weitere Mail, aus der hervorging, dass die E-Mail-Adresse des Angreifers erneut seinem Konto hinzugefügt wurde. Er war jedoch unterwegs, und als er zuhause ankam, war außerdem seine eigene E-Mail-Adresse entfernt und sein Passwort geändert. „So viel zu Paypals angeblicher ‚Überwachung'“, schreibt Krebs. „Dem Unternehmen fiel nicht einmal auf, dass die gleiche E-Mail-Adresse erneut in betrügerischer Absicht hinzugefügt wurde.“
Bei seinem zweiten Anruf bei Paypal bestand er darauf, mit einem Vorgesetzten zu sprechen. Von diesem erfuhr er, was er längst vermutet hatte: Sein sehr langes und komplexes Passwort war tatsächlich nicht kompromittiert worden. Der Angreifer hatte vielmehr einfach beim Support angerufen und sich als Brian Krebs ausgegeben. Um dessen Konto zurücksetzen zu lassen, musste er nicht mehr als die letzten vier Ziffern von dessen Sozialversicherungsnummer und die letzten vier Ziffern eines älteren Kreditkartenkontos angeben.
Solche Informationen sind über den Journalisten Brian Krebs ohnehin online verfügbar, der sich schon lange als investigativer Reporter mit Sicherheitsthemen beschäftigte und in einschlägigen Kreisen unbeliebt machte. Er begann seine Karriere bei der Washington Post und betreibt heute seinen täglichen Blog KrebsonSecurity. Letztlich sieht er durch die nachlässige Authentifizierung jedes Konto potentiell in Gefahr: „Jedes Unternehmen, das Kunden mit nicht mehr als statischen Merkmalen identifiziert – Adresse, Sozialversicherungsnummer, Geburtsdatum, Telefonnummer, Kreditkartennummer etcetera – ist anfällig gegenüber diesen Übernahmeversuchen.“ Solche Daten seien oft leicht zu ermitteln und würden im kriminellen Untergrund massenhaft verkauft.
Krebs fragte den Paypal-Manager beim Support, warum das Unternehmen seine Identität nicht einfach durch eine an sein Mobiltelefon gesandte Textnachricht oder ein besonderes Signal an eine mobile Paypal-App identifizieren könnte. Er erfuhr, dass der Bezahldienst über keine Technologien für mobile Authentifizierung verfüge. Um wieder an die Mittel in seinem Konto zu kommen, müsse er die Kopie oder einen Scan seines Führerscheins übersenden. Dazu fiel dem Sicherheitsblogger ein, dass es reichlich Online-Dienstleister gibt, die realistisch wirkende Scans von gefälschten Dokumenten wie Pässen, Kontoauszügen und Führerscheinen anbieten. „Das ist also das ultimative und raffinierteste System für Kundenauthentifizierung, über das Paypal verfügt: Schicken Sie uns eine Kopie Ihres Führerscheins“, kommentierte er sarkastisch.
Produktiver arbeiten mit Unified Communications & Collaboration
Mit Unified Communications & Collaborations können Unternehmen die Produktivität der Anwender steigern, die Effizienz der IT verbessern und gleichzeitig Kosten sparen. Damit die unbestrittenen Vorteile einer UCC-Lösung sich in der Praxis voll entfalten können, müssen Unternehmen bei der Implementierung die Leistungsfähigkeit der Infrastruktur überprüfen.
Brian Krebs musste diese unangenehme Erfahrung machen, obwohl er seit Jahren eine 2-Faktor-Authentifizierung des Finanzdienstleisters einsetzte. Er nutzt dafür Paypals Sicherheitsschlüssel. Dabei handelt es sich um ein kleines Gerät, das alle 30 Sekunden einen neuen sechsstelligen Sicherheitscode erzeugt, der für die Anmeldung zusätzlich erforderlich ist und danach ungültig wird. Ein weiteres Versäumnis Paypals ist aber offenbar, dennoch eine telefonische Rücksetzung des Passworts durch die bloße Angabe statischer Daten zu ermöglichen.
„Ich hatte 2-Faktor-Authentifizierung aktiviert, und der Angreifer kam daran vorbei“, schreibt der Sicherheitsblogger weiter. „Ich weiß nicht, warum Paypal es nicht für die Rücksetzung des Passworts verlangte. Der Punkt ist, dass 2-Faktor-Authentifizierung letztlich nutzlos ist, wenn jemand einfach nur anrufen muss, um ein Passwort mündlich durch Beantwortung von ein paar privaten Fragen mit oft leicht zugänglichen Antworten zurückzusetzen.“
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Neueste Kommentare
5 Kommentare zu Paypal-Konto von Sicherheitsblogger Brian Krebs gehackt
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
..das wundert bei Paypal doch sowieso niemand. Man braucht nur die Emailadresse und das Passwort von jemand und schon kann man wild mit Geld von anderen shoppen. Paypal und sicher… ja ja. Die Welt ist ja auch eine Scheibe ;-)
Ach so, man braucht ja „nur“ das Passwort um ein fremdes Konto zu nutzen. Sehr witzig.
Vielleicht war das alles inszeniert von der Bankenmafia . Man will PayPal schlecht machen, da dem mafiösen Bankensystem grosse Transfergewinne durch Paypal entgehen.
Zudem ist ein „Sicherheitsforscher“ der selber Opfer wird und dann „Randale“ macht, sehr suspekt. Wie die Feuerwehrleute..immer wichtig machen.
PayPal ist das eigentliche Problem. Käuferschutz und Kontensperrungen… keine Kontaktmöglichkeit und ja, irgendwo sah ich ein Bildchen “ Affen-Tollhaus „.. und … es war das PayPal-Büro.
…immerhin verlangen die Banken nur ein Bruchteil der Gebühren die Paypal verlangt ;-)
Tja so viel dazu, wie ein Sicherheitsforscher an einer Auswahl von Hürden, die nun wirklich einfachsten wählt, wobei er noch selber zu gibt, das diese jene Informationen im Netz zu finden sind. Es mag sein das bei seiner Anmeldung, man wirklich nur zwischen diesen beiden Sicherheitsfragen wählen konnte. Da würde mir aber auffallen, das ich diesen Dienst dann nicht nutzen sollte, wenn ich meine Passwörter im Netz dazu noch hinterlege. Es scheint schon fast danach zu schreien, das es einfach nur einer Probieren sollte, um das man sich dann darüber beschweren kann, wie Rückständig doch einige sind, wenn es um die Auswahl von Sicherheitsrelevanten Dingen geht.
Gesundes Neues Mr.Krebs. =)