Niemals öffentliche Mobilnummer und Mail für Login verwenden!

Meine heutige Empfehlung: Ändern Sie sofort alle Zugangsdaten! Denn beängstigende Cyberangriffe machen die Runde. Wer seine geschäftliche oder private, im Internet veröffentlichte Mobilnummer und/oder E-Mail-Adresse für den Login oder Authentifizierungszwecke nutzt, wird derzeit zum Ziel von bösen Hackern.

Mein dringender Ratschlag

Solange Sie sich noch einloggen können: Ändern Sie alle Zugangsdaten und Zwei-Faktor-Authentifizierungen auf allen Internet-Plattformen, wo Sie sich registriert haben, bei denen Sie eine E-Mail-Adresse und/oder eine Mobilnummer hinterlegt haben, die Sie öffentlich im Geschäftsverkehr verwenden oder privat veröffentlicht haben.

So schnell als möglich. Am besten sofort.

Genauer meine ich damit:

Ersetzen Sie alle öffentlich bekannten Mailadressen und Mobilnummern, die Sie in den Sicherheitseinstellungen auf Internetportalen hinterlegt haben, unbedingt durch solche, die nach außen hin nicht bekannt sind.

Gegebenenfalls schaffen Sie sich eine oder mehrere neue Mobilnummern an, die Sie ausschließlich für Internet-Zugänge und -Authentifizierungsmaßnahmen nutzen.

Des Weiteren empfehle ich, für jeden wichtigen Account eine andere (Alias-) E-Mail-Adresse zu verwenden – und zwar solche, die in ihren Bezeichnungen keinen Bezug zum Unternehmen oder zur Person aufweisen.

Ebenfalls wichtig: Ändern Sie alle Passwörter in allen Accounts. Achten Sie darauf, für jeden Account ein anderes Passwort zu vergeben. Denken Sie daran, sichere Passwörter zu verwenden, die aus willkürlich zusammengesetzten Buchstaben, Ziffern und Sonderzeichen bestehen (mein Tipp: einfach mal „wild in die Tastatur reinhauen“).

Vergessen Sie bei der ganzen Aufregung nicht, sich alle neuen Zugangsdaten zu notieren oder in einer (mit Passwort geschützten) Datei zu speichern.

Warum die Eile?

Weil allein im Juli und August 2022 Millionen von Menschen schlechte Erfahrung machen mussten, zum Beispiel:

Auf dem (für die Öffentlichkeit freigegebenen) Social-Media-Accounts sind plötzlich keine Posts mehr von außen zu sehen, sondern erst, wenn Sie sich einloggen.
Sie erhalten (mehr als sonst) Spam-E-Mails, die Sie dazu auffordern,
– Ihre Bankdaten preiszugeben oder
– eine Rechnung zu bezahlen oder
– sich auf irgendeiner Internetseite zu authentifizieren oder
– auf einen bestimmten Link oder eine PDF im Anhang zu klicken o.Ä.,
aus welchem Grund auch immer (z.B. angebliche Sperrung, Zahlungsrückstand, Sicherheitsmaßnahme etc.).
Eine unbekannte Person ruft an und teilt mit, dass jemand über Ihre Mobilnummer oder E-Mail-Adresse eine Versicherung oder ein Produkt bestellt hat, das Sie definitiv nicht bestellt haben.
Ihre (Firmen-) Software zeigt plötzlich merkwürdige Daten an.

Alles reale Fälle, in denen sich Cyberkriminelle derzeit mithilfe von Mailadressen und Mobilnummern, die im Internet öffentlich einsehbar sind, Zugang zu allen denkbaren Logins verschaffen.

Beängstigend ist das deshalb, weil über die Fülle an Daten, an die sie gelangen, detaillierte Profile der betroffenen Personen erstellt und sogar Identitätsdiebstahl begangen werden kann. Auf Deutsch: Jemand kann sich unter Ihrem Namen mit Ihren persönlichen oder geschäftlichen Daten ausgeben und diverse kriminelle Handlungen begehen.

Gesetzliche Verpflichtung und Authentifizierung

Erschwerend kommt hinzu, dass laut Gesetzgeber Unternehmen, Vereine, Institutionen und sonstige Personen des öffentlichen Lebens ihre Kontaktdaten im Impressum veröffentlichen müssen. So ist es ein Leichtes für Cyberkriminelle, an Millionen von Daten zu gelangen. Andererseits geben Millionen von Menschen auf Social-Media-Profilen, Blogs und Webseiten private Kontaktdaten freiwillig öffentlich preis. Ein gefundenes Fressen für Cyberkriminelle und Datensammler.

Und jetzt kommt der Knackpunkt:

Zahlreiche Anbieter bieten eine Zwei-Faktor-Authentifizierung an, manche sogar verpflichtend (z.B. Banken). Für – soweit ich weiß – jede Zwei-Faktor-Authentifizierung muss aber eine Mobilnummer angegeben und im Account gespeichert werden, damit bei jedem Login automatisch ein Zugangscode per SMS oder über eine Authentifizierungs-App generiert und an Sie übermittelt werden kann, den Sie letztlich beim Login-Vorgang eingeben.

Eigentlich eine gute Sache, die mehr Sicherheit vor unbefugten Zugriffen verspricht. Aber genau dieses Sicherheitsverfahren haben sich Cyberkriminelle nun zunutze gemacht:

Öffentlich zugängliche Mobilnummern in Verbindung mit öffentlich zugänglichen E-Mail-Adressen und Nutzernamen (Passwörter kann man über die „Passwort vergessen“-Funktion ändern) gewährleisten Cyberkriminellen den Zugang zu Millionen von Accounts.

Dabei kann es sich um den Login einer Kranken- oder sonstigen Versicherung, einer Bank, einer Behörde, eines Online-Shops, eines Intranet-Zugangs eines Unternehmens, einer Cloud, eines Webhosting-Anbieters, eines Strom- oder Gasanbieters, eines Vergleichsportals, eines Jobportals, eines Vereins, eines Messengers, eines Videokonferenz-Portals, einer Streaming-, Game- oder Gewinnspiel-Plattform und vieles mehr handeln. Ganz weit vorne: Social-Media-Accounts.

Die illegal erlangten Zugangsdaten werden oft auf dubiosen Webseiten veröffentlicht und/oder für Tausende von US-Dollars verkauft (siehe beispielsweise Bericht von t3n.de). Oder geben Sie in Suchmaschinen doch mal die Begriffe „Übersicht Hackerangriffe Deutschland“ ein und filtern nach „Nachrichten“. Sie werden staunen, wie viele Meldungen es derzeit gibt. Auch Video-Ident-Verfahren seien betroffen, sprich Ihre Personalausweise (lt. Bericht in der Berliner Zeitung).

Sie haben doch nichts zu verbergen?

Ein Argument, auf das ich im realen Leben leider allzu oft stoße, wenn ich das Thema Sicherheit im Netz anspreche. Es geht nicht darum, dass Sie etwas oder nichts zu verbergen haben, sondern was Cyberkriminelle und deren (zwielichtige) Kunden mit Ihren Daten anfangen können.

Ich sage nur Bankkonto leerräumen, auf Ihren Namen hochpreisige Sachen im Internet bestellen und nicht bezahlen, sich auf Ihre Kosten medizinisch privat behandeln lassen, „dank Smart Home“ in Ihr Haus einbrechen oder Ihre Geräte von außen steuern, die Software Ihrer Institution, Behörde oder Ihres Unternehmen lahmlegen. Keine schöne Vorstellung, oder?

Handeln Sie jetzt und bleiben Sie sicher!

Ihre
Namira McLeod

Name	Borlabs Cookie
Anbieter	Borlabs, Hamburg - genutzt von Namira McLeod IT Consulting, Impressum
Zweck	Speichert die Einstellungen, die Sie in der Cookie-Box ausgewählt haben.
Datenschutzerklärung	https://de.borlabs.io/kb/welche-daten-speichert-borlabs-cookie/
Host(s)	namira-mcleod.de
Cookie Name	borlabs-cookie
Cookie Laufzeit	1 Jahr

Name	VG Wort
Anbieter	Verwertungsgesellschaft Wort, München
Zweck	Cookies der VG Wort helfen dabei, die Kopierwahrscheinlichkeit unserer Texte zu ermitteln und stellen die Vergütung von gesetzlichen Ansprüchen von Autoren und Verlagen sicher. IP-Adressen werden nur in anonymisierter Form verarbeitet. Lt. VG Wort werden dabei auf keinen Fall personenbezogene Daten erfasst.
Datenschutzerklärung	https://www.vgwort.de/hilfsseiten/datenschutz.html
Host(s)	*.vgwort.de
Cookie Name	srp
Cookie Laufzeit	Session

Akzeptieren	WordPress Test-Cookie
Name	WordPress Test-Cookie
Anbieter	WordPress.org
Zweck	Überprüft, ob der Browser Cookies akzeptiert.
Datenschutzerklärung	https://de.wordpress.org/about/privacy/
Host(s)	de.wordpress.org
Cookie Name	wordpress_test_cookie
Cookie Laufzeit	Session