In den letzten Tagen ereilte mich ein Anruf eines besorgten Bürgers, der mich im Rahmen als digitaler Ersthelfer, um Hilfe bat. Ich nahm den Vorfall auf und bot meine Unterstützung an:
Wie ärgerlich und frustrierend muss das für die Betroffenen sein? Eine fremde E-Mail-Adresse mit dem Absender-Domain „rambler.ru“ taucht in einem Microsoft 365 Family-Konto auf und änderte die registrierte Benutzer E-Mail-Adresse des Organisators, so dass eine Anmeldung nicht mehr möglich war. Im Postfach erscheint eine Erpresser-E-Mail mit der Aufforderung 400 $ an ein unbekanntes Konto zu überweisen.
Was war genau passiert?
Die Eltern entschieden sich für ein Familien-Konto von Microsoft als Abo-Modell in der Microsoft 365 Cloud. Die Vorteile lagen für Sie klar auf der Hand: Eine großer Cloud-Speicher für Fotos und Dokumente, individuelle Einstellungen wie Altersbeschränkungen bei Spielen für die Kinder und umfangreiche Apps. Die Eltern waren jeweils Familienorganisatoren. Familienorganisatoren sind die Administratoren einer Familiengruppe. Sie können Mitglieder hinzufügen und entfernen, Grenzwerte und Berechtigungen verwalten sowie Details zur Aktivitätsberichterstellung anzeigen. Die Familie behielt für die Registrierung die E-Mail-Adressen Ihres Providers und legte sich keine spezielle Microsoft E-Mail an.
Am Tag des Sicherheitsvorfalls tauchte im Postfach eines der Betroffenen eine Sicherheitswarnung von Microsoft auf. Die Warnung enthielt den Hinweis auf Änderungen in den Sicherheitseinstellungen mit der Aufforderung sich am Konto über den aufgeführten Link anzumelden. Die E-Mail wurde fälschlicherweise als Phishing-E-Mail deklariert und sogar komplett gelöscht.
Die Microsoft 365 Dienste konnten zu diesem Zeitpunkt problemlos genutzt werden, so dass kein weiterer Verdacht geschöpft wurde. Im Postfach tauchte kurze Zeit später eine Erpresser-E-Mail auf. Diese wurde zunächst ignoriert. Doch dann fiel auf, dass in einer Office-Anwendung das Microsoft-Konto nicht mehr angemeldet war. Der Login Versuch schlug fehl, da die registrierte E-Mail eines Familienorganisators nicht als Benutzername erkannt wurde. Weitere Anmeldeversuche scheiterten. Eine Anmeldung über das andere Familienorganisations-Konto war erfolgreich, doch dann kam die böse Überraschung. Dem übrig gebliebenen Organisator-Konto wurden alle Administrationsrechte entzogen. Eine fremde E-Mail-Adresse wurde angezeigt mit einer Absender-Domain rambler.ru dessen Benutzer von nun an Organisator ist. Die alte E-Mail-Adresse wurde entfernt bzw. in die neue E-Mail-Adresse des Kriminellen geändert. Besonders perfide: Das Bild und der vollständige Name des nun ehemaligen Familienorganisators blieben unverändert. Zu diesem Zeitpunkt war es nun Gewissheit, der betroffene Inhaber des Familienkontos war Opfer eines Identitätsdiebstahls.
Gegenmaßnahmen des Betroffenen
In dem Telefonat fragte ich nach den bereits getroffenen Maßnahmen. Zuerst wurde versucht das Konto wiederherzustellen. Nach einer schnellen Recherche wird man auch schon fündig. Die Support-Seite von Microsoft „So stellen Sie ein gehacktes oder manipuliertes Microsoft-Konto wieder her“ brachte allerdings keinen Erfolg. Um den Prozess ins Rollen zu bringen, benötigt man eine registrierte E-Mail-Adresse, die ja für dieses Konto nicht mehr vorhanden war, oder eine Mobiltelefonnummer. Letzteres wurde von dem Betroffenen nicht hinterlegt und hätte am Ende wahrscheinlich nicht geholfen, da der Täter diese hätte manipulieren können. Also griff der Betroffene zum Telefon, um den Support von Microsoft zu kontaktieren. Doch leider wenig hilfreich; eine telefonische Bandansage verwies wiederum auf die Support-Seiten im Internet.
Der Cyberkriminelle hatte die Administrationsrechte und Zugriff auf alle Bereiche. Im weiteren Gespräch mit dem Betroffenen stellte sich zudem heraus, dass mehrere Gigabyte an privaten Dokumenten im Onedrive Speicher von Microsoft abgelegt waren.
Meine Handlungsempfehlung als digitaler Ersthelfer
Das Familienkonto mit den enthaltenen Daten war vollständig kompromittiert und nicht mehr vertrauenswürdig. Nun mussten Sofortmaßnahmen umgesetzt werden, um weiteren Schaden abzuwenden. Meine „Erste-Hilfe“ Empfehlungen in so einem Fall:
- Anmeldedaten auf allen Online-Konten zurücksetzen, individuelle und sichere Passwörter verwenden, wenn möglich eine Mehr-Faktor-Authentifizierung aktivieren.
- Von nun an die Passwörter in einem Passwort-Manager speichern. Dafür gibt es Open-Source Lösungen wie KeePass oder kommerzielle Anbieter wie 1Password.
- Vollständige Offline-Sicherung der wichtigsten Daten, der auf dem PC synchronisierten Onedrive-Dateien.
- PCs vollständig auf mögliche Schadsoftware überprüfen mit einer geeigneten Antivirus-Software. (Details dazu im nächsten Abschnitt)
- Im Zweifel sollte der bzw. die PCs komplett neu aufgesetzt werden.
Ob die Familie ein neues Konto registrieren und in diesem Falle auch eine neue Lizenz erwerben möchte, bleibt ihre Entscheidung. Eine Fortsetzung mit den übrigen Nutzerkonten ist erstmal nicht zu empfehlen, da es in diesem Kontext keinerlei Vertrauensstellung mehr mit dem Familien-Konto gibt, dass von einem fremden Benutzer administriert wird.
Wie läuft so ein Kontoübernahme ab und wer steck dahinter?
Der Versuch zur Übernahme von Online-Konten ist für viele Cyberkriminelle das Tagesgeschäft. Da ein Mensch im Internet häufig viele digitale Identitäten besitzt, also Online-Konten auf verschiedenen Plattformen wie Amazon, Google, Games-Portal oder etwa die Online-Apotheke von nebenan, sind diese meist immer mit ein und derselben E-Mail und Passwort geschützt. Kam es nun bei einem der Betreiber zu einem Sicherheitsvorfall und die Datenbank mit den Benutzern wurde offengelegt, dann verwendet der Angreifer die gewonnenen oder ggf. erkauften Zugangsdaten auf den zuvor genannten Online-Plattformen. Solche Vorfälle sind nicht selten, auch der Provider Rambler.ru war 2016 davon betroffen. (s. https://thehackernews.com/2016/09/russias-largest-portal-hacked-nearly.html)
Ein weiteres Einfallstor, um an Zugänge für Benutzer-Konten zu kommen sind Trojaner wie Bloody Stealer. Die Metadaten des Benutzers, sowie Eingaben in Anmelde-Formularen oder Kreditkarten-Feldern werden gesammelt und über verschlüsselte Kanäle an die Cyberkriminellen übermittelt. Bezogen auf den vorliegenden Fall, steckt hinter der E-Mail-Adresse mit „rambler.ru“ letztendlich eine falsche Identität. Cyberkriminelle nutzen die Anonymität im Internet und Dienste wie Telegram, um die abgefischten Daten später auf Online-Marktplätzen im Darknet zu monetarisieren.
Häufig gelangen diese unerwünschten Programme über die Installation von meist kostenloser Software aus unseriösen bzw. unsicheren Quellen. Hierbei versteckt sich das Programm hinter vermeintlich nützlichen Programmen zur Bildbearbeitung oder PC-Säuberung. Die Angriffsfläche ist groß, da auch kleine Addons in Browsern oder in Online-Games (s. g. Mods) bereits die Installation von Schadsoftware ermöglichen. Unerwünschte Schadsoftware kann aber auch über Phishing E-Mails eingefangen werden, wenn z. B. vesehentlich ein maliziöser Anhang geöffnet wird.
Erfahrene Anwender können versuchen so einen Trojaner zu entfernen. Eine gute Anleitung bietet ein Cybersicherheits-Analyst in seinem Blog-Artikel: https://securedstatus.com/remove-rambler-ru-account-stealer/
Microsoft-Support mit Grenzen.
Eine Eingabe zum Thema „gehacktes Konto durch Rambler.ru Konto“ in der Suchmaschine seines Vertrauens, offenbart eine ganze Reihe ähnlicher Vorfälle. In Microsoft Foren berichten verzweifelte Benutzer über ihren Vorfall, wobei die Antworten immer wieder auf die Support-Seiten des Herstellers verweisen. In einigen Fällen hatte man Glück, z. B. ein noch eingeloggter Microsoft X-Box-Account auf einem anderen Gerät, auf dem es noch möglich war, alle geänderten Einstellungen rückgängig zu machen.
Microsoft sieht keinen klassisch telefonischen 1st-Level-Support vor. Dafür sind Chats mit KI gesteuerten Bots und automatisierte Prozesse für IT-Störungen und IT-Sicherheitsvorfälle vorgesehen. Einen Notnagel zur Wiederherstellung eins Kontos bietet Microsoft in einem weiteren automatisierten Prozess, zu finden unter diesem Link.
Allerding gibt es hier gewisse Voraussetzung: In den Kontoeinstellungen darf keine 2-Faktor-Authentifizierung aktiviert sein. Ein E-Mail-Postfach mit Zugriff für die Support-Emails von Microsoft muss vorhanden sein. Gute Chancen hat man, wenn die E-Mails-Adresse bei Outlook.com oder hotmail.com registriert wurden oder Skype oder eine X-Box Konsole registriert hat. Auch gespeicherte Kennwörter in z. B. Edge-Browser werden ebenfalls genannt.
Für die betroffene Familie schränkte sich die Auswahl für die Wiederherstellung nur noch auf verwendete Kennwörter bei einem Microsoft-Dienst ein. Das Ergebnis war in diesem Fall ernüchternd: „Wir konnten Ihr Konto nicht verifizieren“ lauteten die automatisch generierten Antwort-Emails vom Support.
Haben Cyberkriminelle einmal ein Konto übernommen, schieben Sie generell einen Riegel vor allen Möglichkeiten der Wiederherstellung des Kontos. Im o. g. Beispiel zur Wiederherstellung reicht es schon, wenn der Kriminelle die 2-Faktor-Authentifzierung aktiviert, um den Zugang für den eigentlichen Benutzer dauerhaft zu sperren.
Lesson Learned
Dieser Sicherheitsvorfall hat wieder einmal mehr gezeigt, dass jeder User für die Sicherheit seiner Daten (egal, ob Cloud oder Daheim) selbst verantwortlich ist. Leider ist ein sichereres Vorgehen im Internet nicht die Regel, sondern eher die Ausnahme in unserer digitalen Gesellschaft. Die Gründe sind vielfältig, häufig ist es die Bequemlichkeit, da Sicherheit immer mit Aufwand verbunden ist. Hier muss man ein gutes Mittelmaß finden und solange wir uns noch mit Passwörtern herumschlagen müssen, sind Passwort-Manager schon ein guter Anfang. Wer sich zudem um regelmäßige Backups und einen guten Anti-Virenschutz kümmert hat die Nase vorn.
In dem geschilderten Fall zeigt sich auch, dass ein großes internationales Unternehmen wie Microsoft für den einzelnen Lizenznehmer keinen direkten Ansprechpartner hat. Es sind teils KI-gestützte automatisierte Prozesse, die i. d. R. gewöhnliche Probleme der Nutzer zuverlässig beheben.
Selbstverständlich ist es ärgerlich, wenn es den Anschein hat, dass der Konzern sich nicht um so eine brisante Angelegenheit kümmert. Microsoft verweist auch hier auf die Eigenverantwortung des Benutzers und auf einige Möglichkeiten zum Schutz und Sicherheit eines Microsoft-Kontos. Eine sehr gute Maßnahme zum Schutz des Kontos, bietet im übrigen die Microsoft Authenticator App.
Allerdings wäre es wünschenswert, in Hinblick auf die Sicherheit des Einzelnen, dass bereits bei der Einrichtung eines Kontos wichtige Sicherheitseinstellungen vom Online-Anbieter gesetzt werden müssen, Stichwort: Security-by-Default.