Account Takeover (ATO)

Ein Account Takeover (ATO) ist eine Form von Cyberangriff, bei dem ein Angreifer unerlaubt die Kontrolle über das Konto einer anderen Person übernimmt. Dies kann durch verschiedene Methoden erreicht werden, zum Beispiel durch Phishing, Social Engineering, das Ausnutzen von Sicherheitslücken oder das Verwenden gestohlener Zugangsdaten, die über Datenlecks oder im Darknet erhältlich sind.

Wie funktioniert ein Account Takeover (ATO)?

Ein Account Takeover (ATO) funktioniert durch die unautorisierte Übernahme eines Benutzerkontos durch einen Angreifer. Der Prozess kann auf verschiedene Weisen erfolgen, wobei die grundlegenden Schritte meistens ähnlich sind:

Beschaffung von Zugangsdaten

• Phishing: Angreifer senden gefälschte E-Mails oder Nachrichten, die legitime Unternehmen nachahmen. Diese Nachrichten enthalten Links zu gefälschten Websites, die dem Benutzerinterface der echten Website ähneln. Der Benutzer gibt dort unwissentlich seine Anmeldedaten ein, die dann vom Angreifer abgefangen werden.
• Datenlecks: Zugangsdaten werden aus einer Datenbank eines Unternehmens gestohlen und dann im Darknet oder auf illegalen Marktplätzen verkauft oder veröffentlicht.
• Social Engineering: Angreifer nutzen psychologische Manipulation, um Menschen dazu zu bringen, sensible Informationen preiszugeben. Beispielsweise könnte ein Angreifer sich als Mitarbeiter eines Unternehmens ausgeben und den Benutzer direkt nach Anmeldedaten fragen.
• Brute-Force-Angriffe: Automatisierte Skripte versuchen systematisch, Passwörter zu erraten, indem sie verschiedene Kombinationen durchprobieren, bis sie erfolgreich sind.
• Credential Stuffing: Angreifer verwenden bereits kompromittierte Zugangsdaten von einem Dienst, um diese bei anderen Diensten auszuprobieren. Da viele Nutzer dieselben Passwörter für verschiedene Konten verwenden, ist diese Methode oft erfolgreich.

Kompromittierung des Kontos

Sobald der Angreifer die Zugangsdaten erlangt hat, versucht er, sich in das Konto einzuloggen. Wenn der Anmeldevorgang erfolgreich ist, erhält der Angreifer vollen Zugriff auf das Konto.

Bei Konten mit aktivierter Zwei-Faktor-Authentifizierung (2FA) muss der Angreifer zusätzlich den zweiten Faktor umgehen, beispielsweise durch den Einsatz von SIM-Swapping (Übernahme der Kontrolle über die Telefonnummer) oder durch das Abfangen von Authentifizierungscodes.

Nutzung des kompromittierten Kontos

• Finanzbetrug: Der Angreifer kann Transaktionen durchführen, Bankdaten ändern oder Geld an sich selbst oder Komplizen überweisen.
• Änderung der Zugangsdaten: Häufig ändern Angreifer die Zugangsdaten (Passwort, Sicherheitsfragen), um den legitimen Benutzer auszusperren.
• Verkauf oder Missbrauch des Kontos: Manchmal wird der Zugang zum Konto an Dritte verkauft oder es wird für illegale Aktivitäten genutzt, wie das Versenden von Spam oder das Durchführen weiterer Betrugsversuche.
• Identitätsdiebstahl: Der Angreifer kann persönliche Informationen aus dem Konto extrahieren und diese für weitere betrügerische Aktivitäten verwenden oder die Identität des Opfers stehlen.

Vertuschung

Um eine Entdeckung zu vermeiden, könnten Angreifer Sicherheits- oder Benachrichtigungseinstellungen im Konto ändern, damit der Benutzer keine Warnungen über unautorisierte Zugriffe erhält. In einigen Fällen wird versucht, die Aktivitäten zu verschleiern, um das Konto so lange wie möglich unter Kontrolle zu halten, ohne dass der rechtmäßige Eigentümer es bemerkt.

Wie kann man sich vor einem ATO schützen?

Um sich vor einem Account Takeover (ATO) zu schützen, sind mehrere Sicherheitsmaßnahmen empfehlenswert:

Starke und einzigartige Passwörter verwenden

Für jedes Konto sollte ein starkes und einzigartiges Passwort genutzt werden. Ein starkes Passwort enthält eine Mischung aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Leicht zu erratende Informationen wie Geburtsdaten oder einfache Wörter sollten vermieden werden.

Passwortmanager nutzen

Passwortmanager helfen dabei, komplexe und einzigartige Passwörter für jedes Konto zu erstellen und sicher zu speichern, ohne sich alle merken zu müssen.

Zwei-Faktor-Authentifizierung (2FA) aktivieren

Die Zwei-Faktor-Authentifizierung bietet eine zusätzliche Sicherheitsebene, da neben dem Passwort ein zweiter Faktor (z. B. ein Code, der per SMS gesendet wird oder von einer Authentifizierungs-App generiert wird) erforderlich ist. Selbst bei kompromittierten Passwörtern wird der Zugang zum Konto erschwert.

Regelmäßige Überwachung von Konten

Regelmäßige Überprüfung der Konten auf ungewöhnliche Aktivitäten, wie unautorisierte Anmeldungen oder Änderungen der Kontoinformationen, ist wichtig. Viele Dienste bieten Benachrichtigungen bei ungewöhnlichen Anmeldeversuchen oder sicherheitsrelevanten Aktivitäten an.

Vorsicht bei Phishing-Angriffen

Misstrauen gegenüber E-Mails, Nachrichten oder Websites, die nach Anmeldedaten fragen, ist ratsam, insbesondere wenn sie verdächtig erscheinen oder zur schnellen Handlung drängen. Die URL von Websites sollte vor dem Anmelden geprüft werden, um sicherzustellen, dass es sich um die legitime Seite handelt.

Sicherheitsupdates und -patches installieren

Die Software, Betriebssysteme und Apps sollten stets auf dem neuesten Stand gehalten werden. Viele ATOs nutzen Sicherheitslücken, die durch Updates behoben werden.

Verwendung von Sicherheitstools

Antivirenprogramme und Firewalls sollten verwendet werden, um Computer und mobile Geräte vor Malware zu schützen, die zum Diebstahl von Anmeldedaten genutzt werden könnte.

Eingeschränkte Berechtigungen

Konten sollten nur mit den notwendigsten Berechtigungen ausgestattet werden, und nach Möglichkeit sollten separate Konten für unterschiedliche Zwecke (z. B. ein Konto für wichtige persönliche Daten und ein anderes für weniger sensible Aufgaben) genutzt werden.

Vorsicht bei der Nutzung öffentlicher WLANs

Das Einloggen in wichtige Konten über öffentliche oder ungesicherte WLAN-Netzwerke sollte vermieden werden. Bei der Nutzung öffentlicher WLANs empfiehlt sich die Verwendung eines VPNs (Virtual Private Network) zur Sicherung der Verbindung.

Wie erkennt man einen Account Takeover (ATO)?

Ein Account Takeover (ATO) lässt sich oft an bestimmten Anzeichen und ungewöhnlichem Verhalten im betroffenen Konto erkennen.

Unerwartete Anmeldebenachrichtigungen

Ein häufiges Anzeichen für einen Account Takeover ist der Empfang von Benachrichtigungen über Anmeldungen, die nicht selbst initiiert wurden. Diese Benachrichtigungen können Hinweise darauf geben, dass sich jemand von einem unbekannten Gerät oder aus einer ungewöhnlichen geografischen Region in das Konto eingeloggt hat. Beispielsweise könnte eine E-Mail eintreffen, die über einen erfolgreichen Login von einem Gerät in einem anderen Land informiert, obwohl dieser Login nicht selbst durchgeführt wurde. Ebenso können Warnungen über wiederholte, fehlgeschlagene Anmeldeversuche darauf hinweisen, dass jemand versucht, auf das Konto zuzugreifen.

Unbekannte Aktivitäten im Konto

Ungewöhnliche oder unerwartete Aktivitäten innerhalb des Kontos sind ein klares Warnsignal für eine mögliche Übernahme. Dies könnte sich durch Transaktionen oder Käufe zeigen, die nicht getätigt wurden. Beispielsweise könnten plötzlich Bestellungen in einem Online-Shop oder Überweisungen auf ein unbekanntes Konto auftauchen. Ebenso könnte die Entdeckung von geänderten Informationen, wie eine geänderte E-Mail-Adresse, Telefonnummer oder Lieferadresse, darauf hinweisen, dass ein Angreifer das Konto manipuliert hat. Zusätzlich könnten neue Geräte oder Anwendungen Zugriff auf das Konto erhalten haben, ohne dass dafür eine Genehmigung erteilt wurde.

Veränderungen an den Kontoeinstellungen

Ein weiteres Indiz für einen Account Takeover ist die Änderung der Kontoeinstellungen ohne eigenes Zutun. Dazu gehört beispielsweise die Änderung des Passworts. Wenn plötzlich das Passwort nicht mehr funktioniert oder eine Bestätigungs-E-Mail für eine Passwortänderung eintrifft, die nicht selbst initiiert wurde, kann dies auf eine Übernahme hinweisen. Ebenso könnten Änderungen an den Sicherheitsfragen oder eine Deaktivierung der Zwei-Faktor-Authentifizierung erfolgen, die der Angreifer vornimmt, um den Zugriff auf das Konto zu sichern und den rechtmäßigen Besitzer auszuschließen.

Ungewöhnliche Kommunikation

Kommunikation, die nicht erwartet wurde, kann ebenfalls auf einen Account Takeover hinweisen. Dazu gehören E-Mails oder Nachrichten, die bestätigen, dass sicherheitsrelevante Informationen wie das Passwort geändert wurden. Wenn solche Benachrichtigungen ohne eigenes Zutun eintreffen, sollte sofort gehandelt werden. Auch Benachrichtigungen über abgelehnte Zahlungsversuche oder andere finanzielle Transaktionen, die nicht selbst durchgeführt wurden, können auf einen Angriff hindeuten. Solche Nachrichten können darauf hinweisen, dass ein Angreifer versucht, finanzielle Schäden zu verursachen.

Fehlende Zugriffsberechtigung

Wenn plötzlich der Zugriff auf das Konto verloren geht, kann dies ein Zeichen dafür sein, dass ein Angreifer das Passwort geändert oder das Konto anderweitig gesperrt hat. Schwierigkeiten beim Einloggen, obwohl das Passwort korrekt eingegeben wurde, oder ein automatischer Logout von laufenden Sitzungen ohne ersichtlichen Grund sind starke Indizien für eine mögliche Kontoübernahme. In solchen Fällen kann es sein, dass der Angreifer bereits die Kontrolle über das Konto übernommen hat und den rechtmäßigen Benutzer ausgesperrt hat.

Unerwartete Benachrichtigungen von Drittanbietern

Auch unerwartete Benachrichtigungen von Drittanbietern, wie Banken, Kreditkartenunternehmen oder anderen finanziellen Institutionen, können auf einen Account Takeover hinweisen. Diese Institutionen könnten auf verdächtige Aktivitäten aufmerksam werden und den Kontoinhaber benachrichtigen. Solche Benachrichtigungen könnten beispielsweise auf ungewöhnliche Transaktionen oder Versuche hinweisen, Gelder zu transferieren. Darüber hinaus können Freunde oder Kontakte auf verdächtige Nachrichten oder Anfragen hinweisen, die von dem eigenen Konto gesendet wurden, was darauf hindeutet, dass das Konto für Spam oder andere illegale Aktivitäten missbraucht wird.

Verlust der Kontrolle über das Konto

Ein vollständiger Verlust der Kontrolle über das Konto ist ein deutliches Zeichen für einen erfolgreichen Account Takeover. In diesem Fall ist das Konto möglicherweise komplett gesperrt, ohne dass eine Erklärung seitens des Diensteanbieters vorliegt. Auch könnte es sein, dass wichtige E-Mails oder Nachrichten nicht mehr empfangen werden, was darauf hindeutet, dass die hinterlegte E-Mail-Adresse im Konto geändert wurde. In einem solchen Fall hat der Angreifer die volle Kontrolle übernommen und alle Spuren, die auf den rechtmäßigen Besitzer hinweisen könnten, gelöscht oder geändert.

Was tun bei Verdacht auf einen ATO?

• Sofortiges Ändern des Passworts, vorzugsweise von einem sicheren Gerät aus.
• Aktivieren oder Überprüfen der Zwei-Faktor-Authentifizierung.
• Kontaktaufnahme mit dem Kundensupport des betroffenen Dienstes, um den Vorfall zu melden und das Konto zu sichern.
• Überprüfung aller kürzlichen Aktivitäten und, falls erforderlich, das Rückgängigmachen unautorisierter Änderungen.
• Überwachung der finanziellen Transaktionen auf verdächtige Aktivitäten und gegebenenfalls Sperrung von Zahlungskarten.

Share this post