Ein Online-Krimineller hat dem App-Entwickler Naoki Hiroshima seinen aufgrund des außergewöhnlichen Namens („@N“) wertvollen Twitter-Account abgenommen. In der Vergangenheit wurden Hiroshima bis zu 50.000 Dollar für das Konto geboten. Der Programmierer wirft in einem ausführlichen Blogbeitrag Paypal und GoDaddy vor, diese "feindliche Übernahme" durch mangelhafte Sicherheitsmechanismen überhaupt erst ermöglicht zu haben.

Die Schilderung der Abläufe ist ein weiteres Paradebeispiel dafür, wie leicht entsprechend motivierte Angreifer durch das Zusammentragen von verstreuten Informationen fremde Konten im Netz übernehmen können.

Am 20. Januar 2014 erhielt Naoki Hiroshima nach eigenen Angaben eine SMS des Bezahldienstes Paypal, mit einem Verifizierungs-Code: Offenbar versuchte gerade jemand, seinen Paypal-Account zu knacken, was Hiroshima zunächst ignorierte. Später erhielt er eine E-Mail von GoDaddy, eine “Account Setting Change-Confirmation”. Über GoDaddy hat Hiroshima unter anderem seine private und andere Domains angemeldet.

Die E-Mail bestätigte, dass die Einstellungen seines Accounts verändert wurden und fordert ihn auf, diese zu überprüfen. Hiroshima stellt fest, dass er sich nicht mehr in den Account einloggen konnte und rief den Anbieter an. Er wird am Telefon zur Verifikation nach den letzten sechs Stellen seiner Kreditkartennummer gefragt. Doch auch diese und weitere Informationen wurden bereits von dem Angreifer online geändert, so dass der legitime Eigentümer seinen Anspruch nicht mehr beweisen kann. GoDaddy schlägt ihm vor, ein Formular auf der Webseite auszufüllen und einen Ausweis als Identifikation zu verwenden. Dieser Vorgang könne bis zu 48 Stunden dauern. Hiroshima füllt das Formular aus und wartet.

Viele Webseiten nutzen E-Mails als Verifizierungsmethode. Doch gerät der E-Mail-Account unter die Kontrolle eines Angreifers – wie in diesem Fall durch Übernahme der dazu gehörigen Domain –, kann der Dieb so sehr einfach viele Passwörter von anderen Webseiten verändern und diese ebenfalls übernehmen.

Das Ziel des Domain-Hacks ist offensichtlich: Der Kriminelle will an den wertvollen Twitter-Account kommen. Hiroshima ändert daher die E-Mail-Adresse, die mit dem Twitter-Account verbunden ist, und die nicht angegriffen wurde.

Der Angreifer versucht daraufhin, das Twitter-Password zurückzusetzen, bekommt aber die Verifikations-E-Mails nicht, da sie an ein Adresse gehen, die der Angreifer nicht kennt. Gleichzeitig wurde jedoch auch Hiroshimas Facebook-Account wird von dem Angreifer gekapert und so der Druck erhöht. Per E-Mail erklärt er seinem Opfer sein Ziel und erklärt, wie er den Zugriff auf die Domains bei GoDaddy erlangt hat. Gleichzeitig droht er, diese zu verkaufen oder Inhalte zu verändern. Er verlangt, für ein paar Minuten Zugriff auf das Twitter-Konto zu bekommen und bietet als Gegenleistung die Herausgabe der gekaperten Accounts an.

GoDaddy erklärt inzwischen per E-Mail, Hiroshima sei offenbar nicht der “aktuelle Eigentümer” der Domains und erklärt den Fall für beendet. Offenbar fragte der Anbieter zwar den Angreifer bei Veränderungen am Account, aber bei der ursprünglichen Attacke nicht den tatsächlichen Besitzer.

Hiroshima stimmt dem Deal zu und gibt den Twitter-Account, den er seit 2007 besitzt, frei und wählt einen neuen Usernamen: “@N_is_stolen”. Er bekommt das Passwort zu seinem GoDaddy-Account. Anschließend erklärt der Angreifer auf Nachfrage, wie er den GoDaddy-Account übernommen hat: Durch Social Engineering eines PayPal-Mitarbeiters per Telefon. So habe er die letzten vier Ziffern von Hiroshimas Kreditkarte erlangt, mit der anschließend mit einem Trick bei GoDaddy die Domain-Übernahme absegnen ließ.

Hiroshima zeigt sich schockiert, wie leicht Informationen von Paypal und GoDaddy am Telefon herausgegeben werden. Er rät, dass Web-Nutzer wo immer möglich eine Zwei-Faktor-Authentisierung nutzen sollen. Diese findet sich inzwischen bei vielen gängigen Online-Diensten wie Facebook, Google Mail, Outlook.com oder Twitter.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.