Paypal-Konto von Sicherheitsblogger Brian Krebs gehackt

Das Paypal-Konto des Sicherheitsexperten Brian Krebs ist am Weihnachtsabend gehackt worden, wie er in einem Blogeintrag beschreibt. Der Täter versuchte darüber hinaus, Geld an eine Hackergruppe zu überweisen, die mit der Terrormiliz Islamischer Staat in Verbindung steht. Das gelang ihm zwar nicht, aber Krebs sieht in der erfolgreichen Übernahme seines Kontos ein Beispiel dafür, wie rückständig viele Unternehmen und auch Finanzinstitutionen hinsichtlich der Authentifizierung ihrer Kunden sind – und damit mühelosen Identitätsdiebstahl ermöglichen.

Zuerst erhielt Brian Krebs ein E-Mail von Paypal, die über eine seinem Konto hinzugefügte E-Mail-Adresse informierte. Er meldete sich daraufhin mit einem garantiert nicht kompromittierten Rechner bei seinem Paypal-Konto an, änderte das Passwort, wählte seine eigene E-Mail erneut als primäre Kontaktadresse und löschte die vom Angreifer hinzugefügte Adresse.

Der Kundendienst erzählte ihm, der Angreifer hätte sich einfach mit seinem Nutzernamen und seinem Passwort angemeldet. Er habe jetzt alles getan, was er hinsichtlich des Angriffs tun konnte. Der Vertreter des Finanzdienstleisters versicherte ihm außerdem, er könne beruhigt sein, da sein Konto hinsichtlich verdächtiger Aktivitäten überwacht werde.

Nur zwanzig Minuten später jedoch erhielt er eine weitere Mail, aus der hervorging, dass die E-Mail-Adresse des Angreifers erneut seinem Konto hinzugefügt wurde. Er war jedoch unterwegs, und als er zuhause ankam, war außerdem seine eigene E-Mail-Adresse entfernt und sein Passwort geändert. „So viel zu Paypals angeblicher ‚Überwachung'“, schreibt Krebs. „Dem Unternehmen fiel nicht einmal auf, dass die gleiche E-Mail-Adresse erneut in betrügerischer Absicht hinzugefügt wurde.“

Bei seinem zweiten Anruf bei Paypal bestand er darauf, mit einem Vorgesetzten zu sprechen. Von diesem erfuhr er, was er längst vermutet hatte: Sein sehr langes und komplexes Passwort war tatsächlich nicht kompromittiert worden. Der Angreifer hatte vielmehr einfach beim Support angerufen und sich als Brian Krebs ausgegeben. Um dessen Konto zurücksetzen zu lassen, musste er nicht mehr als die letzten vier Ziffern von dessen Sozialversicherungsnummer und die letzten vier Ziffern eines älteren Kreditkartenkontos angeben.

Solche Informationen sind über den Journalisten Brian Krebs ohnehin online verfügbar, der sich schon lange als investigativer Reporter mit Sicherheitsthemen beschäftigte und in einschlägigen Kreisen unbeliebt machte. Er begann seine Karriere bei der Washington Post und betreibt heute seinen täglichen Blog KrebsonSecurity. Letztlich sieht er durch die nachlässige Authentifizierung jedes Konto potentiell in Gefahr: „Jedes Unternehmen, das Kunden mit nicht mehr als statischen Merkmalen identifiziert – Adresse, Sozialversicherungsnummer, Geburtsdatum, Telefonnummer, Kreditkartennummer etcetera – ist anfällig gegenüber diesen Übernahmeversuchen.“ Solche Daten seien oft leicht zu ermitteln und würden im kriminellen Untergrund massenhaft verkauft.

Krebs fragte den Paypal-Manager beim Support, warum das Unternehmen seine Identität nicht einfach durch eine an sein Mobiltelefon gesandte Textnachricht oder ein besonderes Signal an eine mobile Paypal-App identifizieren könnte. Er erfuhr, dass der Bezahldienst über keine Technologien für mobile Authentifizierung verfüge. Um wieder an die Mittel in seinem Konto zu kommen, müsse er die Kopie oder einen Scan seines Führerscheins übersenden. Dazu fiel dem Sicherheitsblogger ein, dass es reichlich Online-Dienstleister gibt, die realistisch wirkende Scans von gefälschten Dokumenten wie Pässen, Kontoauszügen und Führerscheinen anbieten. „Das ist also das ultimative und raffinierteste System für Kundenauthentifizierung, über das Paypal verfügt: Schicken Sie uns eine Kopie Ihres Führerscheins“, kommentierte er sarkastisch.

Brian Krebs musste diese unangenehme Erfahrung machen, obwohl er seit Jahren eine 2-Faktor-Authentifizierung des Finanzdienstleisters einsetzte. Er nutzt dafür Paypals Sicherheitsschlüssel. Dabei handelt es sich um ein kleines Gerät, das alle 30 Sekunden einen neuen sechsstelligen Sicherheitscode erzeugt, der für die Anmeldung zusätzlich erforderlich ist und danach ungültig wird. Ein weiteres Versäumnis Paypals ist aber offenbar, dennoch eine telefonische Rücksetzung des Passworts durch die bloße Angabe statischer Daten zu ermöglichen.

„Ich hatte 2-Faktor-Authentifizierung aktiviert, und der Angreifer kam daran vorbei“, schreibt der Sicherheitsblogger weiter. „Ich weiß nicht, warum Paypal es nicht für die Rücksetzung des Passworts verlangte. Der Punkt ist, dass 2-Faktor-Authentifizierung letztlich nutzlos ist, wenn jemand einfach nur anrufen muss, um ein Passwort mündlich durch Beantwortung von ein paar privaten Fragen mit oft leicht zugänglichen Antworten zurückzusetzen.“