Acht der häufigsten Methoden, mit denen Hacker Passwörter stehlen
Passwörter sind Schlüssel, die Finanzkonten, Unternehmensgeheimnisse und andere wertvolle Daten schützen. Darum sind Passwörter zum Ziel von böswilligen Hackern geworden. Doch wie gelangen Hacker an Passwörter?
Wie schaffen es Hacker, Passwörter zu stehlen?
Wenn es nur eine Taktik gäbe, wäre es wahrscheinlich einfacher, sich vor Passwortdiebstahl zu schützen. Leider haben Cyberkriminelle aber verschiedene Methoden entwickelt. Dazu gehören:
- Phishing-Angriffe: Social-Engineering-Taktiken nutzen die menschliche Natur sowie psychologische Tendenzen, um sich unbefugten Systemzugriff zu verschaffen und Daten zu stehlen. Phishing-Angriffe sind ein gängiger Social-Engineering-Ansatz, bei dem gefälschte E-Mails, SMS-Nachrichten oder Anrufe – die scheinbar aus legitimen Quellen stammen – zum Einsatz kommen, um Benutzer dazu zu bringen, vertrauliche Daten wie Passwörter weiterzugeben.
- Wiederverwendung von Passwörtern: Weltweit werden Schätzungen zufolge mehr als die Hälfte der Passwörter wiederverwendet. Das Wiederverwenden von Passwörtern ist eine gefährliche Angewohnheit, die gleich mehrere Konten einem Risiko aussetzen kann – wird eines der Konten verletzt, können ggf. gleich alle Konten kompromittiert werden.
- Malware: Wie schaffen es Hacker, Daten zu stehlen? Bösartige Software (auch Malware genannt) umfasst Varianten wie Adware, Würmer und Viren, die das Funktionieren Ihres Computers beeinträchtigen. Manche Malware-Typen sind einfach nur lästig, während gefährlichere Varianten dazu dienen, Geld, Passwörter und andere Daten zu stehlen:
– Ransomware: Cyberkriminelle nutzen Ransomware, um Computer oder ihre Inhalte so lange unbrauchbar zu machen, bis der Benutzer per Kryptowährung oder Kreditkarte ein Lösegeld bezahlt. Wenn Sie Ransomware-Täter bezahlen, ermutigen Sie sie dazu, in Zukunft weitere Verbrechen zu begehen und ihre Methoden zu verbessern.
– Spyware: Diese Art von Malware installiert sich selbst auf Ihrem Gerät und sammelt dann Daten, während Sie arbeiten. Dabei werden die Daten kontinuierlich an den Cyberkriminellen gestreamt. Jegliche Benutzernamen oder Passwörter von Konten, die Sie eingeben, können vom Cyberkriminellen ohne Ihr Wissen gestohlen werden. - Brute-Force-Angriffe: Haben Sie sich jemals gefragt, wie Hacker an Ihre Daten gelangen? Manchmal lautet die Antwort einfach Versuch und Irrtum. Brute-Force-Angriffe nutzen Software, um immer wieder Passwörter von Benutzern zu erraten, bis es zu einem Treffer kommt. Anstatt das Passwort zu stehlen oder zu kaufen, erhält es der Hacker durch computergestütztes Rätselraten, was durch schwache oder wiederverwendete Passwörter erleichtert wird.
- Wörterbuch-Angriffe: Was verwenden Hacker, um Passwörter einfacher zu hacken? Wörterbuch-Angriffe stellen eine Untergruppe von Brute-Force-Angriffen dar und nutzen Listen mit gängigen Passwort-Phrasen und Mustern, um ihre Erfolgschancen zu erhöhen. Anstatt Passwörter zufällig zu generieren, werden bei einem Wörterbuch-Angriff verfügbare Listen mit den am häufigsten verwendeten Passwörtern genutzt.
- Abfangen von Daten (Man-in-the-Middle-Angriffe): Bei dieser Taktik positioniert sich ein Hacker virtuell zwischen zwei Parteien, um zwischen ihnen übertragene Daten abzufangen. MITM-Angriffe können in Umgebungen mit ungesicherten WLAN-Verbindungen (wie Flughäfen, Cafés und Hotels) vorgenommen werden. Gefälschte WLAN-Hotspots, die einen ähnlichen Namen wie legitime Netzwerke tragen, um Benutzer zu täuschen, sind ein weiteres Hacking-Tool, das zum Abfangen von Daten in öffentlichen Netzwerken dient.
- Unsicheres Teilen von Passwörtern: Das Teilen von Passwörtern mit Freunden, Verwandten oder Kollegen ist fast unvermeidlich, insbesondere bei Konten für Videostreaming und Online-Stores. Geteilte Passwörter erhöhen auf zwei Arten die Anfälligkeit für Passwortdiebstahl. Erstens: Passwörter können beim Teilen abgefangen werden, wenn zum Teilen eine unverschlüsselte Methode wie SMS-Nachrichten oder Slack verwendet wird. Zweitens: Geteilte Passwörter machen alle in der Gruppe angreifbar, wenn nur ein Gruppenmitglied von einem Cyberangriff getroffen wird.
- Schulter-Surfen: Wie können Sie in offenen Umgebungen gehackt werden, auch wenn Sie gar nicht mit dem Internet verbunden sind? Trotz all der Hightech-Tools, die entwickelt wurden, um Passwörter aus unbekannten Bereichen zu stehlen, ist auch der altmodische physische Passwortdiebstahl immer noch eine Bedrohung. Wie der Name schon sagt, beinhaltet Schulter-Surfen den Diebstahl vertraulicher Daten, indem man dem Opfer über die Schulter schaut. Passwörter, die auf Haftnotizen oder Zetteln stehen, sind für diese Methode sehr anfällig. Schulter-Surfen wird auch verwendet, um an Orten wie Tankstellen, Geldautomaten und Supermärkten PIN-Nummern zu stehlen.
Was machen Cyberkriminelle mit gestohlenen Passwörtern?
Vielleicht denken Sie, dass Cyberkriminelle Passwörter für ihren privaten Gebrauch stehlen und Konten sammeln, um sie in ihrer Freizeit auszuplündern. Das mag in einigen Fällen stimmen, doch hat sich eine ganze Branche für Cyberkriminelle entwickelt, die gestohlene Passwörter im Dark-Web verkauft. In diesem Bereich des Deep-Webs können Cyberkriminelle illegale Transaktionen tätigen und dabei ihre Identität verbergen.
Möchten Sie mehr über die Verwendung eines Passwort-Managers erfahren?
Dann sehen Sie sich unsere privaten Tarife an oder legen Sie los mit einer kostenlosen Testversion.
So finden Sie heraus, ob Sie gehackt worden sind
Bestimmte gefährliche Hacking-Taktiken wie z. B. Spyware sind so konzipiert, dass sie unbemerkt bleiben. So können Cyberkriminelle über einen längeren Zeitraum mehr Passwörter und andere wertvolle Daten stehlen. Andere Methoden weisen besser erkennbare Zeichen auf, auf die Sie achten sollten. Dazu gehören:
- Unerwartete Pop-up-Fenster: Pop-up-Fenster bei Websites, wo es normalerweise keine gibt, sind ein klares Warnzeichen, insbesondere wenn sie Nachrichten von gefälschten Antivirensoftware-Anbietern enthalten. Wenn Sie übermäßig viele oder ungewöhnliche Pop-up-Fenster sehen, sollten Sie (wenn Sie noch keines besitzen) ein Antiviren- oder Anti-Malware-Softwarepaket installieren und Ihr System sofort scannen, um bösartige Dateien zu erkennen und unter Quarantäne zu stellen.
- E-Mails oder Direktnachrichten, die von Ihrem Konto gesendet werden (die Sie aber nicht verfasst haben): Haben Sie Freunde oder Verwandte jemals auf mysteriöse Links oder Nachrichten aus Ihren E-Mail- bzw. Social-Media-Konten angesprochen, die Sie nie gesendet haben? Möglicherweise haben Cyberkriminelle das Passwort Ihres Kontos geknackt und dann private oder finanzielle Daten aus Ihren Archiven gestohlen bzw. Phishing-Nachrichten an Ihre Kontakte gesendet.
- Ihre Passwörter funktionieren nicht mehr: Möglicherweise haben Cyberkriminelle, die Ihr Passwort gestohlen haben, das Passwort geändert, um Sie auszusperren und sich selbst privaten Zugriff zu verschaffen. Ein falsch eingegebenes Passwort kann dazu führen, dass Sie nach mehreren Versuchen vorübergehend ausgesperrt werden. Wenn Passwörter und Wiederherstellungsmethoden jedoch weiterhin fehlschlagen, hat ggf. eine andere Person die Kontrolle übernommen.
- Betrügerische Transaktionen: Sie sollten Ihre Kontoauszüge und andere Finanzunterlagen stets prüfen, damit Ihnen ungewöhnliche oder unerklärliche Transaktionen rechtzeitig auffallen. Oft tätigen Cyberkriminelle zunächst kleine Käufe, um die Lage auszutesten. Ignorieren Sie also geringfügige Transaktionen nicht, bei denen Sie sich nicht daran erinnern können, sie getätigt zu haben. Benachrichtigen Sie Ihre Bank oder Ihr Kreditkartenunternehmen und ändern Sie sofort Ihr Passwort, wenn Ihnen verdächtige Transaktionen auffallen.
- Sie erhalten eine Benachrichtigung: Finanzunternehmen, Arbeitgeber oder Anwendungen für Cybersicherheit senden oft Sicherheitswarnungen, wenn Ihr Konto-Passwort bei einer Datenschutzverletzung kompromittiert wurde. Selbst wenn Ihnen keine sichtbaren Zeichen von Hacking aufgefallen sind, sollten Sie solche Warnungen stets ernst nehmen, indem Sie betroffene Passwörter ändern und alle weiteren Empfehlungen befolgen, die in der Warnung enthalten sind.
- Ihre Daten werden im Dark-Web entdeckt: Gestohlene Passwörter werden oft verkauft. Eine Überwachung des Dark-Web bietet also zusätzlichen Schutz bei Fällen, in denen ein Cyberangriff unentdeckt geblieben ist. Die Dark-Web-Überwachung von Dashlane scannt das Dark-Web kontinuierlich nach Ihren Passwörtern sowie privaten Daten und benachrichtigt Sie, wenn etwas gefunden wird.
So können Sie verhindern, dass sich bösartige Akteure Ihre Passwörter verschaffen
Cyberkriminelle haben ihre Techniken für Passwortdiebstahl immer weiter verfeinert. Das heißt aber nicht, dass Sie sich nicht schützen können. Wenden Sie folgende grundlegende Tools und Best Practices an, um das Risiko für gestohlene Passwörter zu minimieren:
- Starke Passwörter erstellen
Ein starkes Passwort ist mindestens 12 Zeichen lang und enthält eine zufällige Mischung aus Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen. Vermeiden Sie es, in Passwörtern private Daten (wie Ihren Namen) zu verwenden, da sie dadurch anfälliger für Brute-Force- und Wörterbuch-Angriffe werden. Außerdem sollten Sie das Wiederverwenden von Passwörtern vermeiden, da gleich mehrere Konten auf einmal kompromittiert werden können, wenn nur ein wiederverwendetes Passwort gestohlen wird.
- Verschlüsselung verwenden
Das Verschlüsseln oder Verbergen von Daten in einem nicht erkennbaren Format hat seinen Ursprung in der Antike und ist heute ein unschätzbares Tool für die Sicherheit von Websites und Passwörtern. Verschlüsselung bietet starken Schutz vor Passwortdiebstahl, da Hacker die unverschlüsselte Version eines Passworts ohne den Verschlüsselungsschlüssel nicht anzeigen können. Der Passwort-Manager von Dashlane nutzt AES-256-Verschlüsselung, die weithin als stärkste verfügbare Verschlüsselungsart für den Schutz von Passwörtern gilt.
- Passwörter nicht auf unsichere Weise teilen
Wenn Sie unverschlüsselte Methoden zum Teilen von Passwörtern (wie E-Mails, SMS-Nachrichten oder Slack) verwenden, erhöhen Sie Ihre Anfälligkeit für Hacking und Passwortdiebstahl. Zum Glück gibt es aber auch sicherere Methoden zum Teilen. Mit dem verschlüsselten Portal zum Teilen von Dashlane können Sie Passwörter, Dateien und sichere Notizen bequem und sicher an andere Dashlane-Benutzer senden.
- Wie Sie Social-Engineering-Taktiken und unsichere Websites erkennen können
Social-Engineering-Taktiken können weit über Phishing-E-Mails hinausgehen und Anrufe, persönlichen Betrug und sogar Deepfake-Fälschungen beinhalten. Die Durchsetzung einer Zero-Trust-Richtlinie trägt dazu bei, die gefährliche Kombination aus Technologie und unserer Tendenz zum Vertrauen zu kompensieren, indem sie dafür sorgt, dass alle Benutzer authentifiziert werden – egal wer sie sind (oder für wen sie sich ausgeben). Sicherheitsschulungen und ein aufmerksames Auge sind auch beim Erkennen von unsicheren Websites, die die Anfälligkeit für Malware und das Abfangen von Daten erhöhen, von wesentlicher Bedeutung.
- In öffentlichen WLAN-Netzwerken ein VPN verwenden
Öffentliche WLAN-Netzwerke können anfällig für das Abfangen von Daten und Spoofing sein. Es gibt jedoch eine zuverlässige Methode, um sich zu schützen. Ein Virtual Private Network (VPN) schützt Ihre Privatsphäre, Passwörter und Kontodaten, indem Daten, die auf Ihrem Gerät eingehen oder ausgehen, verschlüsselt und über ein sicheres Portal geleitet werden. Ein VPN maskiert auch Ihre IP-Adresse, damit Sie das Internet privat durchsuchen können.
- 2FA aktivieren
2-Faktor-Authentifizierung (2FA) nutzt neben einem Passwort eine zweite Authentifzierungsmethode. Das ist in der Regel ein Code, der per Anwendung oder SMS-Nachricht gesendet wird. Bei aktivierter 2FA (so verfügbar) werden die negativen Folgen vieler gängiger Hacking-Taktiken eliminiert, da es unwahrscheinlich ist, dass Hacker sowohl gestohlene Anmeldedaten als auch das Gerät des jeweiligen Benutzers haben, um sich unbefugten Zugriff verschaffen zu können.
- Einen Passwort-Manager verwenden
Ein Passwort-Manager erhöht Ihre Sicherheit, indem er Passwörter und Konto-Logins verschlüsselt, Ihre Daten in einem sicheren Tresor speichert und für mehr Sicherheit 2FA unterstützt. Dashlane bietet automatische Passwortgenerierungsfunktionen sowie eine anpassbare Autovervollständigen-Funktion, um sowohl die Sicherheit als auch den Komfort zu erhöhen, da Benutzer nicht mehr für jedes Konto ein starkes Passwort erstellen und im Kopf behalten müssen.
So schützt Dashlane Sie vor Datendiebstahl
Standardmäßig vorhandene Dashlane-Funktionen wie ein Portal zum sicheren Teilen von Passwörtern, eine Passwortintegritätsbewertung und Dark-Web-Überwachung tragen dazu bei, Sie vor Cyberkriminellen und Passwortdiebstahl zu schützen. Dashlane sorgt dafür, dass Ihre Daten privat bleiben, und informiert Sie in Echtzeit über Datenschutzverletzungen oder gefährdete Passwörter. Zudem stellt die Zero-Knowledge-Architektur von Dashlane sicher, dass niemand (nicht einmal Dashlane) je auf Ihre unverschlüsselten Passwörter oder privaten Daten zugreifen kann.
Interne und externe Cyberbedrohungen nehmen weiter zu. Zum Glück gibt es aber neue Tools und Praktiken, die Ihnen dabei helfen, eine sichere Toolbox für Mitarbeiter zusammenzustellen. Werfen Sie einen genaueren Blick auf die 11 Cyberbedrohungen, die Sie kennen und bekämpfen sollten.
Referenzen
- Dashlane, „Warum Dashlane Sie niemals in einer E-Mail nach Anmeldedaten fragen wird (denn so funktioniert Phishing)“, November 2021.
- Dashlane, „What the Hack Is Malware?“ (Was zum Teufel ist Malware?), Februar 2020.
- Dashlane, „So lassen sich Ransomware-Angriffe auf Geräte verhindern“, März 2023.
- Dashlane, „Was ist eine Brute Force Attack“, Februar 2020.
- Dashlane, „10 Bad Password Examples: Avoid These Common Mistakes“ (10 Beispiele für schlechte Passwörter: Vermeiden Sie diese gängigen Fehler), März 2023.
- NIST, „Man-in-the Middle attack (MITM)“, 2023.
- Dashlane, „What Is Password Sharing & When Should I Use It“ (Was versteht man unter dem Teilen von Passwörtern und wann sollte ich es einsetzen?), Februar 2023.
- Dashlane, „Das Teilen von Passwörtern über Slack ist riskant“, November 2019.
- Experian, „What is Shoulder Surfing?“, Oktober 2020.
- Dashlane, „Was tun, wenn ein Betrüger Zugriff auf Ihr E-Mail-Konto hat“, April 2023.
- Dashlane, „Passwörter nach einer Verletzung immer ändern“, März 2020.
- Naked Security, „Why people ignore security alerts up to 87 % of the time“, August 2016.
- Dashlane, „Kennen Sie diese 6 Grundlagen der Cybersicherheit?“, Juni 2022.
- Dashlane, „Wie sicher ist Ihr Passwort und sollten Sie es ändern?“, August 2022.
- Dashlane, „Wie durch das Wiederverwenden von Passwörtern Lücken bei der Cybersicherheit entstehen“, Mai 2023.
- Thales, „A Brief History of Encryption and Cryptography“, Mai 2023.
- Dashlane, „Best Way to Save Passwords at Home or Work“ (Die beste Methode zum Speichern von Passwörtern zu Hause oder bei der Arbeit), September 2022.
- Forbes, „A Voice Deepfake Was Used To Scam A CEO Out Of $243,000“, September 2019.
- Dashlane, „Warum benötigen Sie ein VPN? Weil es 3 große Vorteile bietet“, August 2020.
- Dashlane, „2-Faktor-Authentifizierung (2FA) in Dashlane“, 2023.
- Dashlane, „Build the Case for a Password Manager in 8 Steps“ (Acht Gründe, die für einen Passwort-Manager sprechen), 2023.
- Dashlane, „11 Cyberbedrohungen, die Sie kennen und gegen die Sie sich verteidigen sollten“, April 2023.
Melden Sie sich an, um Neuigkeiten und Updates zu Dashlane zu erhalten