Genesis Market: Seid Ihr auch betroffen?

Die Polizei hat die kriminelle Online-Plattform „Genesis Market“ stillgelegt: Hier haben Cyberkriminelle sensible persönliche Daten für illegale Geschäfte gesammelt und verkauft. Nicht nur Passwörter und Zugangsdaten, sondern auch Session Cookies. Ihr solltet überprüfen, ob Ihr betroffen seid.

Durch eine enge Zusammenarbeit internationaler Cybercrime-Behörden bei FBI, BKA, der niederländischen „National High Tech Crime Unit“ (NHTCU), dem Europäischen Polizeiamt (Europol) und weiteren Stellen ist es gelungen, die Verkaufsplattform „Genesis Market“ stillzulegen und 119 Täterinnen und Täter festzunehmen. Sei 2018 haben Cyberkriminelle hier von arglosen Opfern gestohlene Zugangsdaten zu E-Commerce-Plattformen und Online-Zahlungsdiensten gesammelt und verkauft. Ein enormes Sicherheitsrisiko für alle Betroffenen.

Nicht nur Passwörter erbeutet, auch „Session Cookies“

Ungewöhnlich an der Vorgehensweise bei „Genesis Market“ ist, dass die Bande nicht nur Passwörter gesammelt und verkauft, sondern auch sogenannte „Session Cookies“ erbeutet hat. Das sind während eines Onlinevorgangs auf dem eigenen Rechner oder Smartphone hinterlegte Dateien (Cookies), die nach einem erfolgreichen Login-Vorgang automatisch angelegt werden. Wer darüber verfügt, kann sich für eine gewisse Zeit auch ohne Passwort oder Zwei-Faktor-Authentifizierung direkt bei Onlinediensten anmelden – was für die Betroffenen ein hohes Sicherheitsrisiko darstellen.

Session Cookies sind kleine Textdateien, die von einer Webseite auf dem Computer des Benutzers während einer Sitzung gespeichert werden. Eine Sitzung bezieht sich auf den Zeitraum, in dem der Benutzer die Webseite besucht und aktiv damit interagiert. Die Session Cookies werden automatisch gelöscht, sobald der Benutzer die Sitzung beendet und den Webbrowser schließt.

Hacker nutzen erbeutete Daten für kriminelle Aktivitäten

Session Cookies werden verwendet, um Informationen über die Sitzung des Benutzers zu speichern, wie z.B. den Inhalt des Warenkorbs in einem Online-Shop oder die Anmeldedaten des Benutzers während der Sitzung. Dadurch müssen Benutzer nicht bei jeder Interaktion auf der Webseite erneut ihre Anmeldedaten eingeben oder den Inhalt ihres Warenkorbs erneut hinzufügen. Die Verwendung von Session Cookies erleichtert die Benutzererfahrung und reduziert die Notwendigkeit, wiederholte Eingaben zu tätigen.

Da Session Cookies nur temporär gespeichert und automatisch gelöscht werden, sobald der Benutzer die Sitzung beendet, sind sie in der Regel sicherer als persistente Cookies, die auf dem Computer des Benutzers gespeichert bleiben und möglicherweise längerfristig Informationen sammeln können.

Doch genau diese Session Cookies wurden durch eingeschleuste Malware abgegriffen und gesammelt. Cyberkriminelle können so auf Kosten der Opfer einkaufen, Geld abheben oder Identitätsdiebstahl betreiben. Die niederländische Polizei hat eine Onlineseite eingerichtet, auf der jeder nachschauen kann, ob er sie ganz persönlich betroffen ist und in den Datenbanken von „Genesis Market“ auftaucht. Es reicht, dort die eigene Mail-Adresse einzugeben. Auf der Webseite erscheinen keinerlei Informationen, um den Datenschutz zu gewährleisten. Wer tatsächlich betroffen ist, erhält nach der Anfrage eine E-Mail der Behörde mit entsprechenden Informationen.

Niederländische Polizei bietet einen Service an: Bin ich betroffen?

Überprüfen: Schon mal gehackt worden?

BKA und Europol empfehlen zudem, auch Online-Angebote wie „Have I been pawned“ zu verwenden. Wer hier seine E-Mail-Adresse eingibt, erfährt sofort, ob persönliche Daten wie Name, Adresse, E-Mail-Adresse, Geburtsdatum, Telefonnummer oder Passwörter in bereits in kriminellen Darknet-Foren aufgetaucht sind. Die Webseite sammelt durch „Breaches“ (unbefugter Zugriff auf sensible Daten) erbeutete Daten.

haveibeenpwned.com kann bedenkenlos genutzt werden: Das weltweit angesehene Angebot wird von einem IT-Sicherheitsexperten betrieben. Die Daten werden auch von vielen Spezialprogrammen genutzt wie Passwort-Manager oder Browsern.

Sollten die eigenen Zugangsdaten bei haveibeenpwned.com auftauchen, empfiehlt es sich, die eigenen Zugangsdaten genau zu prüfen. Ggf. ist es zu empfehlen, in den betroffenen Onlinediensten (das Angebot sagt einem, welche es sind) das Passwort zu ändern – ebenso überall dort, wo dasselbe Passwort verwendet wurde/wird. Das sollte zwar niemand machen, aber die Praxis zeigt, dass viele Menschen aus Bequemlichkeit dennoch dasselbe Passwort an mehreren Stellen einsetzen.

Have I been Pawned: Die beste Webseite, um herauszufinden, ob eigene Daten im Darknet kursieren

Phishing-Schutz im Browser aktivieren

Sollte die eigene Mobilfunknummer in einem Breach auftauchen, ist erhöhte Vorsicht angebracht: Cyberkriminelle kennen dann den Namen und die Mobilfunknummer und können gezielt SMS-Nachrichten oder Whatsapp-Nachrichten verschicken, in denen sie einen sogar mit Namen ansprechen. Das wirkt authentisch und birgt die Gefahr, auf eine manipulierte Webseite (Phishing) geleitet zu werden. Dort wiederum könnten dann erneut sensible Zugangsdaten abgegriffen werden.

Last not least sei empfohlen, einen modernen Browser zu verwenden (unbedingt durch Updates aktuell halten) und dort den Phishing-Schutz zu aktivieren. Dazu muss ggf. in den Einstellungen unter „Datensicherheit“ das „sichere Browsen“ aktiviert werden (oder ähnlich genannte Funktion). Vorteil: Landet man mit dem Browser auf einer Fake-Webseite, die bereits für Phishing-Angriffe bekannt ist, erhält man eine gut sichtbare Warnung – und kann so nicht mehr verleitet werden, sensible Daten einzugeben.