Gehacktes Konto

Gelegentlich kommt es vor, dass Nutzerkonten kompromittiert werden. Die häufigste Ursache hierfür sind Phishing-Angriffe, bei denen Nutzer auf einen Link klicken und dort Ihre Zugangsdaten eingeben. Selten kommt es vor, dass Konten via sog. brute-force Attacken (also Raten von Passwörtern) ein Nutzerkonto knacken. Verwendet man dasselbe Passwort für mehrer Konten / Dienste, so kann auch ein Angriff über ein anderes Konto zur Kompromittierung führen und betrifft dann sämtliche Konten mit identischem Passwort.

Für Angreifer sind kompromittierte Konten sehr wertvoll, denn sie geben Ihnen Zugriff auf E-Mails, Dienste der Uni, Informationen und Daten. Auch nutzen Angreifer kompromittierte Konten, um von diesen SPAM und Phishing-Mails zu versenden.

Wenn das KIM eine Kompromittierung feststellt, sperren wir das betroffene Konto umgehend. Dadurch kann man nicht mehr auf E-Mails, Sogo, und übrige Uni Dienste zugreifen.

Erste-Hilfe-Maßnahmen

1. Passwort ändern

Ein einmal kompromittiertes Passwort kann nicht mehr weiter verwendet werden. Sie müssen das betroffene Passwort also überall dort ändern, wo Sie es derzeit verwenden. Ob ein Passwort bereits auf einer bekannten Liste kompromittierter Passwörter steht, können Sie bei dem Dienst Pwned Passwords prüfen.

a. Konto ist bereits gesperrt

Beantragen Sie ein neues Passwort beim Support. Wenn Sie ein neues Passwort erhalten haben, fahren sie fort mit b.

b. Konto wurde nicht gesperrt oder wieder entsperrt

Ändern Sie ihr Passwort über den Account-Manager. Beachten Sie die Hinweise zu sicheren Passwörtern.

2. Kontoeinstellungen überprüfen

Angreifer ändern oft Einstellungen, um dadurch auch nach Entdeckung weiter Zugriff auf Informationen zu erhalten (persistent threat). Überprüfen Sie daher sorgfältig die Einstellungen bei betroffenen Diensten. Achten Sie insbesondere auf eingerichtete Mail-Weiterleitungen in Sogo oder Dateifreigaben auf der Nextcloud.

 

3. Weitere Konten / Dienste prüfen

Oft wird die E-Mailadresse als Sicherheitsmerkmal bei anderen Diensten verwendet, zum Besipiel um die Funktion "Passwort vergessen" zu verwenden. Angreifer nutzen dies, um weitere Konten zu kompromittieren (Identitätsdiebstahl), indem sie sich bspw neue Passwörter schicken lassen, oder die hinterlegte E-Mailadresse ändern. Sie sollten daher wichtige Konten prüfen, bei denen sie Ihre E-Mailadresse hinterlegt haben. Prüfen Sie ihr Passwort, die Einstellungen - insbesondere zu Zahlungsmitteln oder Lieferadressen, schauen Sie nach auffälligen Transaktionen / Bestellungen etc. Ob Ihre E-Mailadresse bereits von bekannten Datenlecks betroffen ist können Sie prüfen bei den Diensten

https://haveibeenpwned.com/

https://sec.hpi.de/ilc/