Hacker entwickeln immer raffiniertere Methoden, mit denen sie Passwörter hacken, um an sensible Informationen zu gelangen. Dieser Artikel bietet einen knappen Überblick zu besonders häufig angewendeten Hackermethoden.
Je nach Passwort erhält der erfolgreiche Hacker Zugang zu einer Vielzahl an sensiblen Informationen – von oberflächlichen persönlichen Daten über intime Gesundheitsdaten bis hin zu detaillierten Zahlungsverkehr-Daten. Den schnellsten Gewinn erzielt der Hacker, wenn er die Daten im Darknet verkauft und damit anderen Cyberkriminellen zur Verfügung stellt.
Im schlimmsten Fall übernehmen Hacker die komplette Kontrolle über das Konto des Nutzers. Die Möglichkeiten sind dann fast unbegrenzt: Es drohen Kreditkartenbetrug, Versicherungsbetrug oder sogar Identitätsdiebstahl. Ein zuverlässiger Passwortschutz ist also unabdingbar, wie die folgende Liste der Hacker-Methoden deutlich macht.
Dieser Ansatz ist der simpelste, aber auch ein recht ineffizienter Weg. Bei einer Brute-Force-Attacke werden alle möglichen Kombinationen von Buchstaben, Zahlen und Symbolen ausprobiert. Es erfolgt also kein zielgerichteter Angriff, sondern, wie der Name schon sagt, ein Versuch mit „roher Gewalt“. Je länger das Passwort ist, desto schwieriger und zeitaufwändiger wird das Knacken.
Dies ist eine verfeinerte Brute-Force-Variante, bei der Hacker Wörterbücher (engl. dictionary) mit gebräuchlichen Wörtern, Formulierungen und Institutionen wie Firmen, Sportmannschaften usw. erstellen. Dadurch wird die Liste der möglichen Passwörter eingegrenzt. Wer seine Lieblings-Fußballmannschaft in sein Passwort einbaut, hat hier schnell das Nachsehen.
Die eben beschriebene leichtsinnige mehrmalige Nutzung von Anmeldedaten wird vor allem beim Credential Stuffing ausgenutzt. Es ist eine Brute-Force-Technik, bei der Anmeldedaten, die aus einem erfolgreichen Datenklau stammen, genutzt werden, um sich bei anderen Benutzerkonten des Nutzers anzumelden. Die mehrmalige Nutzung von Passwörtern ist zwar oft eine angenehme, aber auch eine sehr unsichere Angewohnheit.
Eine noch feinere Brute-Force-Methode ist die Mask attack. Hierbei werden Muster für die Erstellung von Kennwörtern eingesetzt, welche häufig aus verfügbaren Sammlungen gehackter anderer Passwörter im Darknet stammen.
Mit diesen Mustern erstellt der Hacker einen Filter (oder eine “Maske”) und wendet diesen auf seine Wörterbuchliste (siehe Dictionary attack) an. Auf diese Weise lässt sich die Gesamtzahl möglicher Passwörter, die erraten werden müssen, drastisch reduzieren. Mehr Sicherheit bieten hier zufällig generierte Passwörter, die derartige Muster nicht aufweisen.
Bei Man-in-the-Middle-Angriffen (MitM) wird die Kommunikation zwischen einem Nutzer und einer Website abgefangen und ausspioniert. Hierzu gibt es verschiedene Möglichkeiten, relativ aufwendig ist das aktive Hacken eines Nutzers über bestimmte Netzwerke. Leichter ist es, wenn der Hacker einen kostenlosen, öffentlichen WLAN-Hotspot einrichtet.
Diesen nutzen Personen zum Beispiel an öffentlichen Plätzen, da sie ihn für einen offiziellen Hotspot eines Cafés oder ähnliches in der Nähe halten. Auf diese Weise lassen sich Online-Aktivitäten leicht ausspionieren. Nicht umsonst warnen viele Smartphones vor dem Einloggen in öffentliche Hotspots.
Die vorgestellten Methoden machen deutlich, dass Hacker oft auf andere geklaute Passwort-Informationen zurückgreifen. Auf einigen Online-Portalen können Nutzer prüfen, ob ihre Passwörter oder E-Mail-Adressen bereits geleakt wurden und ob sie daher ihre Passwort-Strategie ändern sollten.
Autor: Florian Schimikowski
Veröffentlicht am: 06.05.2024