Passwortdiebstahl: Technische Methoden

Über die Schulter ausspioniert oder durch Ausprobieren geklaut − um diese Arten von Passwortdiebstahl ging es im letzten Tipp. Ergänzend dazu erklären wir Ihnen in diesem Artikel, welche technischen Angriffe es gibt und wie sie funktionieren.

Wer klaut Passwörter? Mensch oder Maschine?

Wenn Passwörter geklaut werden, stecken hinter den Passwortdieben oft tatsächlich echte Menschen, die mit fiesen Methoden versuchen, z. B. in Ihren Social-Media-Account, Ihren Firmen-Account oder in Ihr WEB.DE Postfach zu gelangen. Das haben wir bereits in Teil 1 zu den Methoden des Passwortdiebstahls gezeigt.

Häufig sind aber auch Hacking-Programme am Werk, die recht aggressiv vorgehen können. So werden z. B. "Spyware-Trojaner" auf Ihren Rechner geschleust, die dann sensible Daten – auch Ihre Passwörter – ausspionieren und abgreifen. Um diese und andere technische Attacken geht es in diesem Tipp.

Keylogging mit Spionagesoftware

Beim sogenannten Keylogging werden Sie bei der Eingabe Ihrer Zugangsdaten sozusagen "beobachtet". Ihre Daten, Ihr Passwort werden abgefangen und evtl. im Dark Web an andere Cyberkriminelle weiterverkauft oder gegenseitig ausgetauscht.

Die dafür verwendeten Spionageprogramme – auch als "Passwortdiebe" bezeichnet – laufen klammheimlich im Hintergrund Ihres Rechners und sammeln dabei fleißig Ihre Login-Daten für die Hacker ein.

Doch wie kommt diese Schadsoftware überhaupt auf Ihren Rechner?

So kommt die Spionagesoftware auf PC & Handy

Wie andere Schadprogramme auch gelangt die Schnüffelsoftware meist über diese Wege auf Ihr Gerät:

Über eine verseuchte Webseite:

Die Seiten sehen oft echt aus, sind aber manipuliert – und das Öffnen einer solchen Seite bzw. schon das Klicken auf den Link einer solchen Seite bringt Ihnen Malware, also Schadsoftware wie z. B. Trojaner, unbemerkt auf den Rechner.
 
Wie schütze ich mich?
 
Grundsätzlich gilt: Seien Sie beim Aufrufen von Webseiten skeptisch, die Ihnen z. B. von Fremden über das Internet empfohlen werden. Oder die evtl. aus unseriösen Quellen stammen.
 
Technischer Schutz kommt in der Regel auch von Ihrem Browser. Edge und Firefox bspw. warnen vor dem Aufruf potenziell verseuchter Webseiten mit einer Meldung/einem Warnsymbol.
 
Achten Sie außerdem auch auf das Schlosssymbol und das Sicherheitsprotokoll "https" am Anfang der Browserzeile.
Wird dieses bereits in Ihren Suchergebnissen nicht angezeigt (steht dort nur http ohne "s" am Ende), sollten Sie die gefundene Seite aufgrund unsicherer Verbindung besser nicht aufrufen.
 
Übrigens: Sie können Ihren Browser in den Einstellungen unter Datenschutz und Sicherheit so einstellen, dass er nur Seiten mit gesicherter Verbindung (also https) öffnet. Das Öffnen infizierter Webseiten wird damit blockiert und der Schadcode kann Ihren Rechner gar nicht erst erreichen.
 
Gut zu wissen: WEB.DE schützt Sie in Ihren E-Mails ebenfalls vor manipulierten Webseiten.
 
Das gilt grundsätzlich: Schützen Sie sich, indem Sie auf Ihrem Gerät eine Antiviren-Software, eine Firewall und andere Sicherheitsprogramme installiert haben. Und: Versäumen Sie keine Updates Ihrer Programme – auch nicht die Ihres Betriebssystems! Eine gute Sicherheitsinfrastruktur mit regelmäßigen Sicherheitspatches ist auch zum Schutz gegen alle anderen Hacker-Attacken notwendig!

Durch Herunterladen einer vermeintlich harmlosen Software:

Wie schnell ist es passiert: Sie nutzen zum Herunterladen einer Software/App nicht die offizielle Seite als Download-Quelle, sondern z. B. einen Link in einer gefälschten Updatemeldung oder in einem Internetforum. Und schon haben Sie ein Problem mit Viren und Co.
 
Wie kann ich mich schützen?

Vor jedem Download von Software gilt: Nutzen Sie nur seriöse, offizielle Quellen dafür. Also z. B. die App-Stores oder die offizielle Seite des Anbieters.

Über Phishing-Mails:

Vielleicht identifizieren Sie die betrügerischen E-Mails nicht gleich als solche. Doch Phishing-Mails stellen tatsächlich das häufigste Einfalltor für Hacker dar. Sie transportieren Links oder Anhänge, die auf gefälschte, verseuchte Webseiten führen. Aber auch Anhänge, die mit Schadsoftware versehen sind.
 
Wie kann ich mich schützen?

Phishing-Mails lassen sich in der Regel leicht enttarnen. Tipps, wie Sie sich vor Phishing-Attacken wappnen, finden Sie hier.

Durch verseuchte USB-Sticks:

Sobald Sie Ihren USB-Stick an einen öffentlichen Rechner anstöpseln (z. B. im Internet-Café, in einer Hotel-Lobby), sollten Sie sich darüber im Klaren sein: Übertragung von Schadsoftware ist möglich.
 
Wie kann ich mich schützen?

Setzen Sie USB-Sticks nur auf ausgewählten Geräten ein und sorgen Sie an Ihrem PC für eine gute Antiviren-Software, die potenzielle Eindringlinge auf USB-Sticks aussperrt.
Skurril: Kriminelle wählen wirklich außergewöhnliche Wege, um verseuchte USB-Sticks zu verbreiten. So soll es zu Anfang des Jahres in den USA zu Fällen gekommen sein, in denen Hacker ihre mit Schadsoftware verseuchten Speichersticks per Post an Unternehmen gesendet haben. Getarnt als normale Warensendung von Amazon. Dafür aber heimtückisch gespickt mit der Malware namens "BadUSB".

Brute-Force-Attacken

Hier könnte man sagen: In punkto Passwortdiebstahl herrscht hier die rohe Gewalt. Denn genau so lässt sich das englische "Brute force" auch übersetzen. Durch wiederholtes schnelles Austesten von verschiedenen Zeichenkombinationen versuchen Hacker, Passwörter und andere Zugangsdaten zu "erraten".

Das geschieht natürlich nicht per Hand: Auch hierbei kommen wieder Hochleistungsrechner mit entsprechender Software zum Einsatz.

Wörterbuch-Angriff

Eine Brute-Force-Methode haben Sie schon in unserem ersten Blog-Artikel zu den Methoden des Passwortdiebstahls kennengelernt: Die Wörterbuch-Attacke. Dabei dient ein Wörterbuch als Passwortliste – die Programme testen dabei alle Wörter der Reihe nach durch.

Umgekehrter Angriff & Credential Recycling

Doch es gibt noch weitere Methoden von Brute Force:

Z. B. den umgekehrten Angriff, bei dem das Pferd sozusagen von hinten aufgezäumt wird: Beliebte Passwörter wie „12345“ oder "passwort" werden hier als Grundlage verwendet – und die Hacker versuchen den passenden Benutzernamen dazu herauszufinden. Sie suchen also nach Personen mit solch einem Passwort.

Das funktioniert nach wie vor erstaunlich gut, denn viele Menschen verwenden extrem einfache Passwörter. Diese finden sich häufig auf Listen, die den Hackern bekannt sind.
Beim sogenannten Credential-Recycling werden bereits gehackte Logindaten/Passwörter recycelt, also wiederverwendet.
 
Wie kann ich mich schützen?

Das beste Gegenmittel gegen Brute-Force-Angriffe sind sichere, also starke Passwörter – und auch für jeden Account ein anderes! Wie Sie solche Passwörter erstellen (und sich die verschiedenen auch merken können), zeigt Ihnen unser Sicherheitsexperte Arne im Interview.

Ein weiteres wichtiges Gegenmittel ist ein zweiter Faktor beim Login in Ihren (E-Mail) Account. Beim Online-Banking ist dies Ihre TAN, die Sie per Sicherheitsapp oder per SMS bekommen. Bei WEB.DE ist dies die kostenlose Zwei-Faktor-Authentifizierung.

Wir hoffen, auch dieser zweite Tipp zu den verschiedenen Methoden des Passwort-Hackings und -diebstahls war interessant und aufschlussreich für Sie? Dann freuen wir uns über Ihre Rückmeldung.
Wenn Sie den Artikel hilfreich fanden, teilen Sie ihn gerne auch per E-Mail.


Wenn Ihnen WEB.DE gefällt, geben Sie uns auch gerne positives Feedback auf der Bewertungsplattform Trustpilot.

877 Personen finden diesen Artikel hilfreich.

Ähnliche Artikel

Passwortrichtlinie: hinschauen lohnt sich!

Wie funktioniert ein Passwort-Manager?

So schützen Sie Ihre digitalen Gesundheitsdaten