Sämtliche Online-Accounts gefährdet
E-Mail-Konto absichern: Warum Kontaktinformationen wichtig sind
Man kann nicht oft genug darauf hinweisen, wie wichtig es ist, sämtliche Möglichkeiten zur Absicherung seiner E-Mail- und Benutzerkonten auszuschöpfen. Insbesondere geht es hier darum, sicherzustellen, dass man die Kontrolle darüber auch im Falle eines Passwortverlusts oder nach einem Hacker-Angriff nicht verliert. Uns hat diesbezüglich dieser Tage wieder ein Hilferuf ereilt, bei dem man letztendlich nicht viel mehr tun konnte, als die verbundenen Bezahlkarten zu sperren und Anzeige zu erstatten.
Fotos: Cottonbro Studio
Ihr müsst vor Augen halten, dass euch jemand, der Zugang zu der von euch genutzten E-Mail-Adresse hat, nicht nur vom Zugriff darauf, sondern auch von sämtlichen mit dieser Adresse verbundenen Benutzerkonten ausschließen kann. Die Angreifer ändern zunächst das Passwort eures E-Mail-Kontos und versuchen in der Folge, die Zugänge zu den damit verbundenen Konten bei Onlineshops, Social-Media-Angeboten und dergleichen zu ändern.
Hacker können alle verbundenen Konten übernehmen
Besonders schlimm ist, dass die Hacker sich oft nicht damit zufrieden geben, lediglich die Passwörter von verbundenen Diensten zu ändern, sondern diese nach Möglichkeit komplett übernehmen. Wer Zugriff auf die verknüpfte E-Mail-Adresse hat, kann diese nämlich auch durch eine andere Adresse ersetzen. Der Zugang bleibt dem tatsächlichen Besitzer damit oft unwiderruflich verwehrt. Wenn sich so etwas überhaupt rückgängig machen lässt, dann nur mit viel Zeit und Aufwand.
Besonders gefährdet sind hier Zugänge und Konten, die schon einige Jahre auf dem Buckel haben. Über lange Zeit hinweg wurden Sicherheitsbestimmungen recht lax gehandhabt und beispielsweise viel zu einfache Passwörter ausgewählt. Die Möglichkeit, sein Konto zusätzlich abzusichern, haben auch die Anbieter selbst oft erst sehr spät bereitgestellt. Zusätzlich haben sich in der Vergangenheit viele Nutzer davor gedrückt, die für eine Identitätsprüfung notwendigen Informationen zu hinterlege.
Wiederherstellungsmethode einrichten
Die komfortabelste Möglichkeit, ein Online-Konto zusätzlich abzusichern dürfte das Hinterlegen einer vertrauenswürdigen Telefonnummer sein. In der Regel ist das die eigene Mobilnummer, an die dann beispielsweise Zugangscodes geschickt werden. Je nach Anbieter kann man auch eine alternative E-Mail-Adresse hinterlegen oder einen Wiederherstellungsschlüssel in Form eines Buchstaben- oder Zahlencodes erzeugen.
Vielen Dank für diesen Bericht. Es ist immer wieder erstaunlich zu sehen, wie viele Menschen ihre Konten mit veralteten Sicherheitsstandards absichern und sich nicht mit den neuen Methoden auseinandersetzen wollen, die je nach Dienst empfohlen werden. Oft kommt dann das böse Erwachen, wenn genau das passiert, was hier beschrieben wird.
Und ich bin überrascht wieviele Dienste noch immer kein MFA oder Ähnliches anbieten.
Diese Dienste nutze ich persönlich einfach nicht mehr
Ja das ist leider war, sag nur SMS als Bestätigung. Diese Dienste nutze ich auch nicht mehr. Man kann aber diesen auch aufklären und um Besserung bitten. Quelle Wikipedia, Die häufige Authentisierung durch SMS kann über verschiedene Wege ausgehebelt werden. So können unter Android gefälschte Apps Zugriff auf eingegangene SMS erhalten und diese an Cyberkriminelle weiterleiten.[6] Zudem können Angriffe direkt auf das im Mobilfunknetz verwendete Signalling-System-7-Protokoll (SS7) abzielen: Angreifer können SMS, die zur Authentisierung bestimmt sind, auf ein von ihnen kontrolliertes Mobiltelefon umleiten und so den zusätzlichen Sicherheitsfaktor aushebeln.[7] Auf diese Weise wurden 2017 bei einem groß angelegten Angriff Kunden des Mobilfunkanbieters O2 durch unberechtigte Abbuchungen von ihren Bankkonten betrogen.[8] Durch ein Datenleck bei einem Versender von Zwei-Faktor-SMS konnte der Chaos Computer Club 2024 fast 200 Millionen SMS von mehr als 200 Unternehmen einsehen.[9][10]
Manchmal schwierig, wenn die Leistung dieses Anbieters von keinem anderen Anbieter bereitgestellt werden.
In meinem Fall Domain Factory.
Seit über fünf Jahren liegen die Kunden denen wegen einer 2FA in den Ohren, aber die bewegen sich nicht.
Nur die sind der Schlüssel zu meinem restlichen Schutz, da ich für jede Registrierung eine eigene alias-Email-Adresse anlege (z.B. McDonalds@mein-anbieter.de) und da kann ich bei DF unendlich viele machen und dazu noch 100 Postfächer mit insgesamt 50GB Speicherplatz für relativ kleines Geld.
Das bieten nach meinen Recherchen in der Form kein anderer für das Geld wie DF an.
Kannst Du bei STRATO auch machen. Beliebig viele mit einem Trick.
Ich habe Domains, die überhaupt nichts mit mir zu tun haben
Mein Onkel war schockiert, als er gemerkt hat, das jemand Zugriff auf seinen E-Mail Account hatte. Sogar seine Lohnabrechnungen konnte der ungebetene Gast einsehen, weil der Arbeitgeber meines Onkels diese nur noch digital zur Verfügung stellt und dem Arbeitnehmer selbst überlässt sie (un)verschlüsselt an die private E-Mail-Adresse weiterzuleiten.
Jedenfalls habe ich ihm daraufhin alles mögliche zu Passwortlängen, 2FA, Passkeys, usw. erklärt. Das einzige was er umgesetzt hat: Für jedes Konto ein eigenes Passwort einzurichten. Der Rest hat ihn entweder nicht interessiert oder es war ihm schlicht zu kompliziert, wobei ich ihm auch dabei geholfen hätte.
Aber da sieht man mal, warum es wichtig ist immer wieder auf solche Umstände aufmerksam zu machen. Deshalb: Danke iFun.
Aber kann nicht der Hacker, der Zugang zum Konto hat nicht auch die vertrauenswürdige Rufnummer ändern? Frage für einen Freund
Genau das habe ich auch gerade gedacht.
Wenn’s das Konto kein MFA hat, bestimmt ;-) Grüße an den Freund :)))))
Über den Personalausweis und Bankdaten, müsste man nachweisen können, das das Konto einem gehört.
Ist wohl das Erste, was die sich aneignen werden – zumindest Bankdaten.
Du kannst es aber nachweisen die nicht.
Normalerweise musst du mit dem Code aus der Nachricht an die alte Nummer bestätigen, dass du eine neue Nummer hinterlegen willst.
Habe gerade mit meiner Frau alle Passwörter die kompromittiert oder als leicht zu entschlüsseln waren auf die von Apple Passwörter vorgeschlagenen PW geändert. Wir haben mehrere Stunden dazu gebraucht und war teilweise mühsam. Viele Zugänge sind auch mehrfach gesichert . Ich hoffe das reicht aus. Langsam kriege ich Angst, daß man sich garnicht mehr wirklich absichern kann.
Das ist schon mal gut. Ob das bei Apple sicher ist ist die andere Frage. Das ist aber eine neben Thema. Man kann auch seine Email auf Datenleaks prüfen.
https://haveibeenpwned.com/
Bin seit Jahren mit Passwort-Safe unterwegs. Sämtliche Passwörter nur noch zufällig generiert, 30-stellig, nirgends das selbe. MFA, idealerweise über OTP, überall wo es geht.
Einziger Nachteil: wenn ich Zugriff zu meinen Passwort-Safe verliere, dann ist es vorbei. Dann fange ich ein neues Leben an.
Wenn jemand anderes Zugriff zu meinem Passwort-Safe erlangt.. tja. Dann habe ich wohl kein eigenes „Leben“ mehr.
Letzterer ist zumindest ebenfalls mit Secret, Passwort und MFA geschützt. Mal hoffen, dass die Verschlüsselung hält.
Backup der PW mit KeePass Lokal auf ein verschlüsselten Laufwerk ablegen.