3.000 Euro verloren und wieder zurückgeholt: So sind wir gegen einen Cyberangriff vorgegangen

Was einer Freundin von mir letzte Woche passierte, war ein absoluter Super-GAU für ihre digitale Welt. Was passiert ist und welche Maßnahmen geholfen haben, erzähle ich euch hier.

Heute erzähle ich euch eine Geschichte, bei der Cyberkriminelle eine Freundin angegriffen haben und mehr als 3.000 Euro stahlen. Wir haben davon einiges gelernt, das ich mit euch teilen möchte. (Bild: Adobe Firefly und Yasir Design über Adobe Stock) Heute erzähle ich euch eine Geschichte, bei der Cyberkriminelle eine Freundin angegriffen haben und mehr als 3.000 Euro stahlen. Wir haben davon einiges gelernt, das ich mit euch teilen möchte. (Bild: Adobe Firefly und Yasir Design über Adobe Stock)

Der Gedanke, Opfer eines Hackerangriffs zu werden, ist für viele von uns ein ferner Albtraum. Doch was tun, wenn dieser Albtraum plötzlich bittere Realität wird? Eine Freundin von mir (nachfolgend M. genannt) musste genau das erleben, als skrupellose Hacker sich in ihre Online-Konten einschlichen und mehr als 3.000 Euro entwendeten.

Durch eine Kombination aus scharfsinniger Wachsamkeit und gezielten Gegenmaßnahmen konnten wir das Schlimmste verhindern und ihre digitale Identität und das Geld retten.

Wie wir das angestellt haben und welche Tipps ich euch auf den Weg geben kann, lest ihr hier.

In Kürze

  • Eine Freundin wurde gehackt und der Täter machte Transaktionen bei Amazon, Twitch, MediaMarkt in Höhe von mehr als 3.000 Euro.
  • Die Login-Daten muss er durch ein Datenleck bei einer großen Webseite erhalten haben. 
  • Der Hacker bereitete den Angriff mehr als ein Jahr lang vor. 
  • Wir konnten mit verschiedenen Maßnahmen das Geld zurückholen und ihre Konten sichern. 

Das ist passiert

Alles fing an mit einem »Fehler« bei MediaMarkt: Als ihre Smartwatch vibrierte und eine Benachrichtigung von der PayPal-App anzeigte, hat sich M. erst einmal nicht viel dabei gedacht – »Das ist wieder eine der automatischen Lastschriften«, war ihr Gedanke. Doch diese Mitteilung war anders. 

857,12 Euro für »MediaMarktSaturn Plattform Services«.  857,12 Euro für »MediaMarktSaturn Plattform Services«. 

Sie wusste sofort, dass da etwas nicht stimmt. Ihr erster Gedanke war jedoch kein Hackerangriff, sondern bestimmt ein Fehler von MediaMarkt. Etwas durcheinandergebracht, schrieb sie dem Elektronikhändler eine E-Mail und bat um Berichtigung. 

Und dann taucht Elon Musk in ihrem Instagram-Profil auf: Das nächste Ereignis ist mir aufgefallen, als ich durch meinen Instagram-Feed gescrollt habe. Das Konto von M. postete plötzlich Beiträge von Elon Musk und bewarb Kryptowährungen. 

Ich schrieb sie an: »Hey, ich glaube, dein Instagram-Profil wurde gehackt«

Zwei ihrer Follower haben den Post sogar mit einem Like versehen – warum auch immer. Zwei ihrer Follower haben den Post sogar mit einem Like versehen – warum auch immer.

Sie bedankte sich, fluchte etwas vor sich her und änderte schnell ihr Passwort. Was wir besonders seltsam fanden: Sie hatte die Zwei-Faktor-Authentifizierung aktiviert und dennoch konnte jemand ihr Instagram-Profil übernehmen. 

Jetzt tauchen plötzlich unautorisierte Amazon-Käufe auf: Noch am selben Tag erhält sie plötzlich mehrere Benachrichtigungen von Amazon. Sie soll mehrere Guthabenkarten für diverse Gaming-Plattformen gekauft haben.

Zu ihrem Glück hat Amazon automatisch verdächtige Aktivitäten erkannt, ihr Konto gesperrt und die letzten Transaktionen rückgängig gemacht. Fix änderte sie schnell ihr Passwort auf Amazon und anderen Shopping-Seiten.

Wenig später machte Twitch Probleme: Und dann kam die schockierendste Nachricht von allen: wieder eine PayPal-Benachrichtigung. Sie soll Twitch-Bits in Höhe von fast 2.300 Euro gekauft haben. Der Betrag wird abgebucht. Darüber hinaus konnte sie sich nicht in ihr PayPal-Konto einloggen. Jemand hat das Passwort geändert und eine neue Zwei-Faktor-Authentifizierung eingerichtet. 

Nicht wundern, wegen der grünen Zahlen: Das sind Ausgaben, die in ihrem Namen gemacht wurden. Nicht wundern, wegen der grünen Zahlen: Das sind Ausgaben, die in ihrem Namen gemacht wurden.

Besonders beunruhigend fand sie, dass die Transaktionen gemacht wurden, während sie gerade gestreamt hat und selbst eingeloggt war. Der oder die Hacker waren also gleichzeitig mit ihr in ihrem Konto angemeldet. 

Ironischerweise hat sie währenddessen Cyberpunk 2077 Phantom Liberty mit einem Netrunner-Build (eine Hacker-Klasse) gespielt.

Cyberpunk Update 2.1 ist purer Luxus! Video starten 9:41 Cyberpunk Update 2.1 ist purer Luxus!

Wie am Anfang des Artikels angedeutet, haben wir all diese Aktionen rückgängig machen können. Aber es war nicht leicht. 

So kam der Hacker an die Login-Daten

Woher kannte der Cyberkriminelle die Login-Daten? Als auffiel, dass die betroffenen Accounts dieselbe E-Mail-Adresse verwendeten, wurde M. von einem anderen Freund empfohlen, zu überprüfen, ob ihre Login-Daten nicht durch ein Datenleck im Darknet aufgetaucht waren.

Das geht zum Glück recht einfach: haveibeenpwned.com ist eine Webseite, mit der ihr überprüfen könnt, ob eure E-Mail-Adresse Teil eines Datenlecks war und welche Daten dabei abgegriffen wurden. Wir haben die betroffen E-Mails (ja, Plural) eingegeben und siehe da: 

Beide waren Teil von drei Datenlecks, wobei das bei Wattpad von 2020 besonders schwerwiegend ist. Dabei wurden E-Mail-Adressen, Passwörter, Namen, Adressen und IP-Adressen geleakt. Beide waren Teil von drei Datenlecks, wobei das bei Wattpad von 2020 besonders schwerwiegend ist. Dabei wurden E-Mail-Adressen, Passwörter, Namen, Adressen und IP-Adressen geleakt.

So wurden die Schwachstellen ausgenutzt

Gleiches Passwort: Sie hat für einige Konten zwar ein relativ sicheres, aber ein und dasselbe Passwort verwendet. Das bedeutet, dass Cyberkriminelle relativ leicht ihre Login-Daten von Wattpad einfach bei anderen Webseiten und Diensten ausprobieren konnten, bis sie einen oder mehrere Erfolge hatten.

Warum das nicht unüblich ist: IT-Sicherheit ist für jede Person ein individueller Balance-Akt zwischen Aufwand und Sicherheit. Im Idealfall verwendet ihr für jedes Konto ein starkes Passwort und niemals eines zweimal. Das ist allerdings mit größerem Aufwand verbunden, weshalb es nicht selten vorkommt, dass Personen Passwörter mehrfach verwenden.

Aber wie konnten sie die Zwei-Faktor-Authentifizierung von einigen dieser Konten umgehen? Zuerst habe ich darauf getippt, dass der Hacker mit der IP-Adresse ein bekanntes Gerät vortäuschen konnte, allerdings ist das laut IT-Sicherheitsexperten in meinem Freundeskreis sehr unwahrscheinlich.

Sehr viel plausibler ist, dass der Cyberkriminelle Zugriff auf das E-Mail-Konto hatte – und genauso war es. M. hatte fast überall eine Zwei-Faktor-Authentifizierung eingerichtet, hat es aber bei ihren E-Mail-Konten vergessen.

Das heißt, egal wie oft sie das Passwort änderte, der Hacker konnte jedes Mal das Passwort selbst zurücksetzen, weil er Zugriff auf das verknüpfte E-Mail-Konto hatte.

Wir können uns allerdings trotzdem nicht so ganz erklären, wie der Cyberkriminelle Zugriff auf Kontos bekommen hat, bei denen die Zwei-Faktor-Authentifizierung eingerichtet war. Wenn hier jemand weiter weiß, dann sagt es uns gerne unten in den Kommentaren!

Wir haben daraufhin die gemerkten Geräte und Logins überprüft und konnten es kaum glauben. Eine Person aus Russland ist seit mehr als einem Jahr in zwei von ihren E-Mail-Konten eingeloggt. Was er in dort verändert hat, ist nie aufgefallen:

  • Sicherheitsbenachrichtigungen deaktiviert: So kamen trotz neuer Logins keine Warnungen bei M. an. 
  • Alle E-Mails von PayPal automatisch löschen lassen: So wurden E-Mails von PayPal, zum Zurücksetzen des Passworts, immer sofort gelöscht. 
  • Phishing-E-Mails versendet, die aussehen, wie von Amazon und PayPal: So hat er versucht, an mehr Daten heranzukommen.
  • Die eigenen Phishing-E-Mails als sichere Absender markiert: So landeten seine betrügerischen E-Mails nicht im Spam-Ordner.
  • Passwort mit Passkey überspringen aktiviert: Es ist möglich, dass der Hacker einen Passkey zum Einloggen verwendet hat, weil er diese Funktion aktiviert hat. 

In ihren Meta-Konten war außerdem noch eine Person aus China eingeloggt.

Diese Maßnahmen haben wir ergriffen

  1. MediaMarkt, PayPal, Amazon und Twitch kontaktieren: Zuerst musste M. das verlorene Geld zurückholen. Sie hat die Unternehmen kontaktiert, den Sachverhalt geschildert und um Hilfe gebeten. Zu ihrem Glück waren sie alle kooperativ und so wurden die Transaktionen rückgängig gemacht. 
  2. Überall Passwörter ändern und Zwei-Faktor-Authentifizierung einrichten: Das ist natürlich die selbstverständlichste Maßnahme, jedoch hat dieser Vorfall nochmal vor Augen geführt, wie wichtig das ist. 
  3. Unterschiedliche Passwörter für alle Webseiten verwenden: M. verwendet jetzt einen Passwort-Manager und lässt sich alle Passwörter sicher generieren. Keines kommt zweimal zum Einsatz.
  4. Alle gemerkten Geräte aus wichtigen Konten entfernen: Als Nächstes hat M. die gemerkten Geräte entfernt / ausgeloggt. Das stellte sicher, dass unbekannte Geräte mit entfernt werden. 
  5. E-Mail-Regeln überprüft und wiederhergestellt: Wir haben die automatische Löschung von PayPal-E-Mails rückgängig gemacht. 
  6. Sichere Absender und Domänen überprüft: Der Hacker hat einige E-Mail-Adressen als sicher markiert. Einige von diesen sahen aus wie offizielle Amazon- und PayPal-Adressen. Wir haben sie entfernt. 
  7. Sicherheitsbenachrichtigungen wieder aktiviert: Diese wurden vom Hacker deaktiviert. 

Und noch eine Sache: Als wir gerade gemeinsam nach Lösungen suchten, startete M. eine Google-Suche über die Adresszeile von ihrem Browser und wurde zu einer dubiosen Suchmaschine weitergeleitet. Ich habe ihr deswegen empfohlen, einen vollständigen Scan mit Windows Defender zu machen. 

Mein Verdacht hat sich wenig später bestätigt. Es wurden zwei Trojaner gefunden, die von Microsoft als schwerwiegende Sicherheitsrisikos eingestuft werden: 

Laut meiner Recherche sind diese zwei Trojaner brandgefährlich und erlauben es Cyberkriminellen, private Daten des Opfers zu stehlen und Programme im Hintergrund auszuführen, ohne dass der Nutzer oder Nutzerin etwas davon mitbekommt. 

Eventuell konnte der Hacker so die Zwei-Faktor-Authentifizierungen umgehen. Wie jedoch die Angreifer das wirklich geschafft haben, ist uns unbekannt.

Wir haben die Trojaner schleunigst vom PC entfernt und nochmal einen vollständigen Scan durchgeführt.

Besonders wissenswert: Die zwei Schadprogramme sind bei vorherigen Schnellscans nicht entdeckt worden. Nur beim vollständigen Scan sind sie von Windows Defender gefunden worden. 

Weil wir die Trojaner erst jetzt entdeckt haben, hat M. alle Maßnahmen von oben noch einmal durchgeführt, um sicherzustellen, dass sie auch wirklich sicher ist, falls der Hacker ihre Bildschirminhalte und Tastatureingaben überwacht hat. 

Was für eine Woche

Ende gut, alles gut. Inzwischen hat M. ihre Ruhe, ihr Geld zurück und die Gewissheit, dass ihre Konten jetzt geschützt sein sollten. Den Fehler mit denselben Passwörtern wird sie nicht mehr machen – und ich habe mich an die eigene Nase fassen müssen. 

Aus Bequemlichkeit habe ich auf vielen Seiten auch dasselbe Passwort gehabt. Das habe ich jetzt geändert. Ein Passwort-Manager macht es möglich. 

Solche Fehler können jedem passieren und diese Erfahrung hat dafür gesorgt, dass M., Ich und hoffentlich auch ihr ein besseres Bewusstsein für den Schutz der eigenen Daten entwickelt haben. Sollte also so ein Fall auch mal in euren Familien- oder Freundeskreis auftreten (hoffentlich nicht), dann hoffe ich, dass euch dieser Artikel etwas weiterhelfen kann!

Ist euch oder jemanden, den ihr kennt, schon einmal ähnliches passiert? Schreibt uns gerne in die Kommentare eure eigene Story, die ihr erzählen könnt und welche Maßnahmen geholfen haben! 

zu den Kommentaren (46)

Kommentare(47)
Kommentar-Regeln von GameStar
Bitte lies unsere Kommentar-Regeln, bevor Du einen Kommentar verfasst.

Nur angemeldete Benutzer können kommentieren und bewerten.