Zum Inhalt springen
Inhalt

Multimedia So werden Heimcomputer ausspioniert

Intime Daten ausspionieren, die Webcam bedienen oder auf das Bankkonto zugreifen. «Kassensturz» hat mit Hilfe von Hackern die IT-Sicherheit von ahnungslosen Konsumenten getestet. Die Resultate sind beängstigend

Legende: Video So werden Heimcomputer ausspioniert abspielen. Laufzeit 09:51 Minuten.
Aus Kassensturz vom 11.12.2012.

Internet-Sicherheitsexperten haben auf drei Testpersonen einen gezielten Angriff durchgeführt. Das beunruhigende Fazit des Tests im Auftrag von «Kassensturz»: Bei zwei der drei Personen war der Angriff erfolgreich. Es gelang den Hackern, Zugriff auf den Computer der Konsumenten zu erhalten.

So gehen Hacker vor

Internet-Sicherheitsexperte Walter Sprenger von der Firma Compass Security AG hat den Test für «Kassensturz» durchgeführt. Zuerst recherchiert er im Internet öffentlich zugängliche Daten und nutzte Google oder Facebook. Je mehr Daten ein Hacker über eine Person findet, desto besser kann er sie angreifen.

Walter Sprenger erklärt: «Ich muss den Personen eine Geschichte auftischen, die sie glauben. Damit ich das kann, muss ich etwas wissen über die Person.»

Facebook-Zugangsdaten geklaut

Dann führt Sprenger einen so genannten Phishing-Angriff durch, um an die Facebook-Zugangsdaten einer getesteten Person zu kommen. Zu diesem Zweck versendet er eine gefälschte Freundschafsanfrage von Nationalrat Martin Bäumle.

Durch das Bestätigen der Anfrage wird die Testperson auf eine falsche Facebook-Seite geleitetet. Auf dieser Seite kann Hacker Sprenger die Facebook-Zugangsdaten aufzeichnen. Er hat nun Zugriff auf den fremden Facebook Account und könnte diesen missbrauchen.

Der Trick mit der Klassenzusammenkunft

IT-Sicherheitsexperte Walter Sprenger gelingt es auch, bei zwei Personen einen Trojaner, ein Schadprogramm zu installieren. «Mit einem Trojaner kann ich beispielsweise einen fremden Computer fernsteuern», erklärt Sprenger.

Sprenger kontaktiert eine Frau per E-Mail, unter dem Vorwand, er sei ein alter Klassenkamerad und wolle eine Klassenzusammenkunft organisieren. Sie solle eine Excel-Datei mit Adressen von Schulkameraden ergänzen. Die Frau öffnet die Datei. Diese enthält den Trojaner.

Kontrolle des fremden Computers

Über den Trojaner kann der Hacker den Computer der Zielperson kontrollieren. Das demonstriert Sprenger in einem separaten Test. Er und eine der getesteten Personen sitzen gleichzeitig am Computer und sind online.

Hacker Sprenger kann nun die privaten Fotos der Zielperson ebenfalls ansehen. Mails liest der Hacker ebenfalls mit. Er könnte sogar Nachrichten über das Konto der Zielperson versenden. Auch die Webkamera an Bildschirm der Zielperson kann der Angreifer missbrauchen und die Wohnung der Zielperson überwachen.

Zugriff aufs Online-Banking

Im «Kassensturz»-Live-Test verfolgt der Angreifer mit, wie die Zielperson via E-Banking eine Zahlung ausführt. Doch das ist noch nicht alles: Der Hacker könnte selber Geld überweisen, wenn die Zielperson gerade nicht am Computer sitzt und sich nicht ausgeloggt hat.

«Ich könnte eine Zahlung erfassen, die auf dem Konto der Zielperson belastet wird», kommentiert Sprenger. Es gebe aber E-Banking-Systeme, die für die Ausführung der Zahlung nochmals eine Bestätigung verlangen würden.

«Trojaner-Angriffe sind häufig»

Solche Angriffe via Internet finden nicht nur im Rahmen der Testanlage von «Kassensturz» statt: «Trojaner-Angriffe via E-Mail sind häufig», sagt Max Klaus, stellvertretender Leiter von Melani, der Melde- und Analysestelle Informationssicherung des Bundes.

Beispielsweise würden Betrüger oft gefälschte Mails von Paketversand-Diensten oder Airlines verschicken, erklärt Klaus. Vor Trojaner-Angriffen kann man sich gemäss Experten schützen, wenn man generell misstrauisch ist gegenüber Mails von Unbekannten. Wichtig ist auch, eine aktuelle Anti-Viren-Software zu installieren.

«Kassensturz» hackte auch E-Banking-Konten

Im Mai des letzten Jahres hat «Kassensturz» die in der Schweiz weitverbreitetsten E-Banking-Systeme getestet: Wie benutzerfreundlich sind diese und vor allem wie sicher? Das Test-Ergebnis war brisant: Den Hackern war es gelungen, in drei von fünf Konten einzudringen.

2 Kommentare

Navigation aufklappen Navigation zuklappen

Sie sind angemeldet als Who ? (whoareyou) (abmelden)

Kommentarfunktion deaktiviert

Uns ist es wichtig, Kommentare möglichst schnell zu sichten und freizugeben. Deshalb ist das Kommentieren bei älteren Artikeln und Sendungen nicht mehr möglich.

  • Kommentar von Michael Jenny, Dübendorf
    Die Kassensturz Testergebnisse waren im Vorhinein klar. Durch die Kontrolle über den PC war es logisch, dass Buchungen getätigt werden können, wenn sie nicht bestätigt werden müssen. Durch ein infiziertes Handy hätte auch das funktioniert. Fazit des Tests: Wer E-Banking auf einem virenversuchten PC tätigt, sollte auf einen Anbieter setzen, der Buchungen über separate Geräte autorisieren lässt. Am besten bootet man jedoch fürs E-Banking von einer DVD mit Live-Linux-Betriebssystem wie C...
    Ablehnen den Kommentar ablehnen
  • Kommentar von Daniel Ziltener, Biel/Bienne
    Die Systeme sind sicher. Das Problem sitzt auf dem Stuhl vor der Tastatur - der naive Computerbenutzer, der jeden Mist anklickt und aufmacht. Wer trotz dutzenden Warnungen vor Phishing usw. immer noch so naiv ist, dem sollte der PC weggenommen werden. Soweit kommt es wohl noch, dass ich wegen solchen Menschen jede Transaktion per SMS bestätigen muss... Uns wird das E-Banking verkompliziert, um gewisse Leute vor ihrer eigenen Lernresistenz zu schützen.
    Ablehnen den Kommentar ablehnen