Registrierungshinweis
Einen neuen Benutzeraccount legen Sie bitte über das Registrierungsformular der Community unter Community an. Danke.
Einige Blogbeiträge werden nur eingeloggten Mitgliedern angezeigt.
Trügerische Sicherheit: RBA und Genesis Marktplatz
Das Internet ist zwar nichts Neues mehr und entwickelte sich in einem rasanten Tempo, dennoch herrschen dort nach wie vor regelrechte Wildwest-Manieren, wenn es darum geht, den Nutzer auszuspähen oder gar auszunehmen. Waren ursprünglich mal Cookies das große Übel, wurden die schon längst durch Tracker ersetzt. Phishing und Trojaner machen dem unbedarften Nutzer zudem das Leben schwer und weniger Versierte denken, sie seien mit einem guten Antivirusprogramm bestens geschützt. Ein Irrglaube, wie sich in der Vergangenheit oft zeigte, denn gerade diese Schutzprogramme erwiesen sich oft als Einfallstor für Trojaner. Außerdem schützen sie im Internet nur wenig bis gar nichts.
Der digitale Fingerabdruck
Das US-amerikanische National Institute of Standards and Technology (NIST) empfieht daher den Einsatz von risikobasierter Authentifizierungs-Technik. Die abgekürzt nur RBA genannte Technik soll Identitätsdiebstahl vorbeugen, ohne dabei auf die Mithilfe des Anwenders angewiesen zu sein. Dazu werden, ähnlich wie bei Werbetrackern auch, bestimmte Nutzerdaten wie zum Beispiel Browserversion, Bildschirmauflösung, Herkunftsland bis hin zu auf dem Rechner installierten Schriftarten oder der mittleren Tippgeschwindigkeit des Anwenders erhoben und als Art Identitätscharakteristika gespeichert. Mit diesem gesammelten Datenbestand wollen Anbieter wie Google, Amazon und Co. den richtigen Benutzer wiedererkennen und sollte eine Anfrage trotz korrektem Passwort zu weit von dieser Charakteriska, also dem digitalen Fingerabdruck, abweichen, schlägt RBA Alarm!
Bei Google wird meist eine Warnmail verschickt, die einen darüber aufklärt, dass sich jemand in seinem Account einloggte. War man das selbst, kann man die Mail geflissentlich ignorieren oder falls man das doch nicht war zumindest reagieren. Inwieweit Google dann darauf eingeht? Nichts genaues weiß man nicht, macht so etwas doch tatsächlich Mühe. Aber lassen wir den Spaß beiseite. Weicht der digitale Fingerabdruck noch weiter von der gespeicherten Vorlage ab, dann greifen andere Sicherheitsmerkmale, wie zum Beispiel eine SMS mit einer Codenummer, die an die im Profil hinterlegte Handynummer geschickt wird. Nur wer diesen Code eingeben kann, wird zu seinem Account durchgelassen. Diese Form der Zwei-Faktoren-Authentifizierung klingt also sehr sicher, wobei man bedenken sollte, dass zur Erstellung eines solchen digitalen Fingerabdrucks nunmal viele Daten des Nutzers gesammelt werden, was die RBA selbst allerdings auch in Datenschutzhinsicht bedenklich macht. Wie genau die RBA bei den Anbietern umgesetzt wird und welchen klar definierten Regeln sie unterliegt, darüber schweigt die Onlinewelt sich gerne aus. Ein derart klandestiner Umgang muss aber auch nichts Schlechtes sein, denn wenn man seine Geheimnisse allzu offen preisgibt, kann man auch gleich dem Einbrecher einen Schlüssel an die Haustür kleben.
Genesis: Wolle Identität kaufe?
Wie immer, wenn sich eine neue Technik ergibt, versuchen Hacker deren Schwachstelle zu finden und Kriminelle nutzen diese dann aus. Und so hat sich die Szene schon längst auf das Knacken von RBA eingeschossen. Der Sicherheitsexperte Kaspersky berichtete schon 2019 von dem „Genesis Marktplatz", einem Onlinehändler für digitale Identitäten, der mit der sogenannten Impersonation-as-a-Service (ImpaaS) Technik eine besonders perfide Art des Identitätsdiebstahls Kasse macht. Man kann auf dem Genesis Marktplatz schon ab ca. 40 $ komplette Fingerabdrücke eines ausgespähten Nutzers erwerben und sich so problemlos als nahezu perfektem Doppelgänger ausgeben. So ist es ein leichtes zum Beispiel bei Amazon etwas zu bestellen, an eine abweichende Adresse liefern zu lassen und das mit dem PayPal-Konto des ahnungslosen Accountinhabers bezahlen zu lassen. Durch die Umgehung von RBA und anderen Identifizierungsmaßnahmen wird es schwer sein, dem Händler oder Zahlungsdienstleister gegenüber seine Unschuld zu beweisen. Somit bleiben betroffene Nutzer am Ende auf dem Schaden sitzen und die Kriminellen freuen sich. Natürlich muss man auch erst einmal in solche gestohlenen Identitäten investieren. Auf Genesis werden mannigfaltige Zugänge gespeichert von einfachen Onlineshops bis hin zu Krypto-Marktplätzen wie Coinbase, die für Cyberkriminelle besonders interessant zu sein scheinen. Solche Fingerabdrücke sind dann natürlich deutlich teurer und können mehrere hundert Dollar kosten. Angesichts dessen, was man dafür einnehmen kann, eine lohnende Ausgabe.
Das trojanische Pferd
Aber wie kommt man überhaupt an solche Daten heran? Durch einen Trojaner. Der war bis vor kurzem ein mittlerweile Bekannter namens AZORult. Diesen Trojaner fing man sich gerne durch kostenlose Angebote im Internet ein, bspw. ein animiertes GIF verkleinern oder ein Video konvertieren etc. Kostenlose Dienste, die mit einem Download einhergehen sind da immer stark dabei, vor allem, wenn sie aus eher obskuren Quellen stammen. Lautet eine Domain auf eine Länderkennung wie .ml oder .tl würde ich lieber die Finger davon lassen. Leider sind auch Streamingdienste eine gern genutzte Virenschleuder. Und beileibe nicht nur gewisse Pornoportale. Die Entwicklung von AZORult wurde aber offensichtlich eingestellt, nachdem er zu bekannt und vor allem zu erkennbar wurde. Ersetzt wurde dieser Trojaner offenbar durch einen anderen bislang nicht erkennbaren Trojaner. Experten rätseln noch immer, wie sich dieser verbreitet und wo er sich auf den Geräten versteckt. Das Spektrum der Möglichkeiten reicht dabei von Malspam-Kampagnen bis hin zu Pay-per-Install-Deals. Ein wirksames Mittel dagegen haben sie bis heute (Stand: März 2021) noch nicht gefunden.
Was heißt das für uns?
Die neuen Umstände bedingen also, dass man sich an eine neue, andere und vielleicht sicherere Authenfizierung einstellen müsste. Die Zwei-Faktoren-Authentifizierung, die immer noch von vielen Loginmuffeln als zu mühselig empfunden und daher nicht genutzt wird, sollte einer Multifaktor-Authentifizierung weichen. Aber auch die basiert meist auf lokal gespeicherten Daten und auch die können ausgelesen werden. Der Aufwand dazu wäre bestimmt größer, aber es ist nicht unmöglich und deshalb wäre auch hier nur der Diebstahl der Identität aufgeschoben. Seit einigen Jahren wird an einer Technik namens FIDO2 gearbeitet, die auf einem sog. Challenge-Response-Verfahren aufbaut. Da gibt es keine gespeicherten Daten, die gesendet oder sonstwie abgegriffen werden könnten. Man muss schon physische Kontrolle über den Sicherheitsschlüssel haben, wie zum Beispiel via USB-Sticks oder PCs, Laptops und Smartphones in deren Hardware FIDO2 implementiert wäre. Mit der heutigen RBA reduziert man zwar die Anzahl der Missbrauchsfälle, aber genaugenommen ist das auch nur ein Tropfen auf den heißen Stein. Mit dem Einsatz von FIDO2 könnte man das Netz sicherer und es den Kriminellen schwerer machen. Auch wenn ich persönlich da weniger optimistisch in die Zukunft schaue, denn wie eingangs erwähnt, wird es wohl nur eine Frage der Zeit sein, bis man auch hier eine Schwachstelle findet, die man dann ausnutzt.
Wie denkt ihr darüber? Ich würde mich über eure Ansichten in den Kommentaren freuen.
Über den Autor
Kommentare 4
Wow, den Beitrag muss ich erstmal sacken lassen. Ich stecke da insgesamt einfach zu wenig drin. Aber wenn ich das so lese, ist es schon alles sehr erschreckend. Es muss alles schnell und sofort sein. Früher ist man noch zur Bank gegangen, um eine Überweisung zu tätigen, heute ein paar Klicks. Es sind zweierlei Dinge, dich mich beschäftigen. Zum einen gibt es natürlich die Gefahr, dass einem sensible Daten geklaut werden, Passwörter für Paypal, Amazon, Bankdaten o.ä. Zum anderen die Infos/Daten, die die Megakonzerne sammeln und speichern. Da bringt auch die DSGVO nichts, wobei ich auch sagen muss, dass wir mittlerweile den Datenschutz meiner Meinung nach etwas zu hoch hängen. Das waren meiner ersten Gedanken.
Ein sehr interessanter und komplexer Beitrag von dir.
Lemon , die Menschen hacken doch alles und wenn dann fummeln die solange , bis es klappt. Du wirst nirgends mehr 100 % ige Sicherheiten finden. Genau wie absolut nichts mehr Geheim bleibt. Die Technik wird immer mehr modernisiert und wir werden überall belauscht , abgehört usw. Privatsphäre hat man doch in der heutigen Zeit kaum noch.
Freundchen, ja da muß ich Dir auch Recht geben, ich mache zB: kein Onlinebanking, noch geht es persönlich zur Bank , um sowas zu erledigen. Paypal schon gar nicht , alles nur Überweisungen direkt in unsere Bank. Wenn das dann nicht möglich ist, verzichte ich lieber auf die Ware.
Ich habe auch nirgens meine Passwörter am Pc gespeichtert, gebe sie immer alleine ein.
Lemon danke für den Beitrag, sehr interessant das zu lesen.
Schön Fizzy Lemon, dass du auf so viele Gefahrenquellen aufmerksam machst, und uns dazugehörige Sicherheitsinformationen zukommen lässt.
Wichtig, dass bei dir auch klar wird, was man tun kann!
Ein ganz entscheidender Punkt in deinem Beitrag, um möglicherweise aktiv Risikominderung zu betreiben. – Hier merkt man deine langjährige Erfahrung, was Computer und Co. betrifft.
Besonders das du Uns nochmals klarmachst: „Bitte erst denken dann klicken“. Das man geschützt bleibt, verdient ein Extra-Lob!
Vom Fingerprint hatte ich zwar schon gehört, aber richtig ernst nehme ich das erst, seit diesem Blogeintrag. Mir war nicht klar, was für ein „Türöffner“ das in meine privatesten Daten sein, und wie leicht ich dadurch auszumachen bin.
Ich denke, es ist wichtig, mehr und mehr selbst sich etwas mit den Gefahren auseinanderzusetzen, dass man einigermaßen versteht, und ein Gefühl entwickelt, wie Computer überhaupt arbeiten
Du hast das ganz vorzüglich erklärt, dein Beitrag zu Lesen, hat sofern man das bei dem Thema sagen kann, Spaß gemacht.
Ich bin mir sicher, wer ein wenig sich deine Tipps zu Herzen nimmt, wird auch weiterhin einen „aufgeräumten Computer“ haben, der ohne fremde Eindringlinge und Gefahrenquellen verlässlich läuft.
Außerdem hat man nun auch Anhaltspunkte, die man bei Bedarf überprüfen kann, und hinterfragen kann: "Liegt es vielleicht an einem dieser Gründe, das etwas nicht am und im Computer stimmt?
Danke für deinen Beitrag und deine stets kompetente und schnelle Hilfe, wenn es Probleme gibt!
Für einen Idioten wie mich,was der ganze Computerkram betrifft ist das schon erschreckend,bestelle ja auch oft über Amazon und so,allerdings Onlinebanking kommt für mich nicht in Frage,da hab ich null vertrauen drin,von meiner Bank wollten das mir schon einige schmackhaft machen,aber da lehne ich dankend ab.
Danke für den Beitrag Fizzy
By accepting you will be accessing a service provided by a third-party external to https://www.lunaria-galaxie.de/