Weiterlesen mit NEWS. Jetzt testen.
Lesezeit ca. 9 Min.

Die 10 fiesesten Hacker-Tricks


PC Magazin - epaper ⋅ Ausgabe 7/2019 vom 07.06.2019

lt@Die Angriffsszenarien ändern sich ständig, doch Passwortklau, Phishing und das Ausnutzen von Security-Lecks sind bei Hackern immer in Mode. Schutz bietet die Selbsttest-DVD.


Artikelbild für den Artikel "Die 10 fiesesten Hacker-Tricks" aus der Ausgabe 7/2019 von PC Magazin. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Bildquelle: PC Magazin, Ausgabe 7/2019

GroSSer Sicherheits-Selbsttest

+ Kali-Linux

Tool-PaketDer große Sicherheitstest

Anhand von Sprache, Aufmachung, Absender und Inhalt ist Phishing oft auf Anhieb erkennbar – aber nicht immer.


Hacken ist zunehmend lukrativ, und die Einnahmequellen sind vielfältig. Sie reichen vom einfachen Missbrauch von Amazon- oder Paypal-Konten über bezahlte Schnüffelattacken gegen Einzelfirmen und Institutionen bis hin zum Verkauf geleakter ...

Weiterlesen
epaper-Einzelheft 2,99€
NEWS 30 Tage gratis testen
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von PC Magazin. Alle Rechte vorbehalten.
Lesen Sie jetzt diesen Artikel und viele weitere spannende Reportagen, Interviews, Hintergrundberichte, Kommentare und mehr aus über 1000 Magazinen und Zeitungen. Mit der Zeitschriften-Flatrate NEWS von United Kiosk können Sie nicht nur in den aktuellen Ausgaben, sondern auch in Sonderheften und im umfassenden Archiv der Titel stöbern und nach Ihren Themen und Interessensgebieten suchen. Neben der großen Auswahl und dem einfachen Zugriff auf das aktuelle Wissen der Welt profitieren Sie unter anderem von diesen fünf Vorteilen:

  • Schwerpunkt auf deutschsprachige Magazine
  • Papier sparen & Umwelt schonen
  • Nur bei uns: Leselisten (wie Playlists)
  • Zertifizierte Sicherheit
  • Freundlicher Service
Erfahren Sie hier mehr über United Kiosk NEWS.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 7/2019 von SANKTIONEN GEGEN HUAWEI: Google sperrt Huawei aus. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
SANKTIONEN GEGEN HUAWEI: Google sperrt Huawei aus
Titelbild der Ausgabe 7/2019 von ALTERNATIVE PLAY-STORES: Huawei-Smartphones freischalten. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
ALTERNATIVE PLAY-STORES: Huawei-Smartphones freischalten
Titelbild der Ausgabe 7/2019 von LIVE HACK: Ransomware – am Virenschutz vorbei. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
LIVE HACK: Ransomware – am Virenschutz vorbei
Titelbild der Ausgabe 7/2019 von KÜNSTLICHE INTELLIGENZ IN DER COMPUTERSICHERHEIT: Maschinenkrieg. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
KÜNSTLICHE INTELLIGENZ IN DER COMPUTERSICHERHEIT: Maschinenkrieg
Titelbild der Ausgabe 7/2019 von SICHERHEITSLÜCKEN FINDEN MIT KALI: Ist mein Netz gehackt?. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
SICHERHEITSLÜCKEN FINDEN MIT KALI: Ist mein Netz gehackt?
Titelbild der Ausgabe 7/2019 von WINDOWS 10 GRATIS: Kostenlos umsteigen. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
WINDOWS 10 GRATIS: Kostenlos umsteigen
Vorheriger Artikel
KÜNSTLICHE INTELLIGENZ IN DER COMPUTERSICHERHEIT: Maschinenk…
aus dieser Ausgabe
Nächster Artikel SICHERHEITSLÜCKEN FINDEN MIT KALI: Ist mein Netz gehackt?
aus dieser Ausgabe

... Zugangsdaten im Tausenderpaket. Mit einfachen Phishing-Tricks gelingt es Hackern, die privaten Schlüssel der digitalen Geldbörsen von Kryptowährungsanlegern zu entwenden und Millionenbeträge zu erbeuten. Auch ganz legal ist das Ertragspotenzial für Hacker beachtlich, die sich dem Berufsfeld des Ethical Hackings verschrieben haben. Als gefragte Sicherheitsexperten werden sie von Unternehmen und Behörden angeheuert, um Sicherheitslücken und Angriffsmöglichkeiten auf die eigene Infrastruktur aufzuspüren. Ihre Methoden unterscheiden sich kaum von denen der Cybergangster. Wir präsentieren Ihnen die Top 10 der wichtigsten Hacker-Tricks. Mit den Tools auf der Selbsttest-DVD finden Sie heraus, ob Ihr System bereits gehackt wurde.

Trick 1: Phishing-Trick

Darum geht’s: Hacker und Virenversender nutzen bevorzugt gefälschte Mails für ihre Zwecke. Fast täglich gibt es Meldungen über neuen Phishing-Attacken. Angesagte Angriffsziele sind privat oder geschäftlich genutzte PCs, Notebooks und mobile Endgeräte. Für Hacker sind Phishing-Angriffe mit geringem Aufwand verbunden. Sie ersparen sich das komplizierte Durchbrechen der Sicherheitsmechanismen der Netzwerk-Infrastruktur des Betriebssystems. Stattdessen versenden Sie fingierte Nachrichten von vermeintlich seriösen oder bekannten Urhebern, die Links zu Seiten oder präparierte Word- oder Excel-Anhänge enthalten. Wer sich vom Absender, Betreff oder Nachrichtentext täuschen lässt, öffnet den Link oder Dateianhang, in dem sich die Schadsoftware versteckt oder der zur Eingabe persönlicher Zugangsdaten verleiten soll. Der Phishing-Trick ist ebenso einfach wie erfolgversprechend, weil die Fake-Mails hunderttausendfach verschickt werden. Sorgfältig vorbereitetes Phishing zeichnet sich dadurch aus, dass der Empfänger sich aufgrund der authentisch anmutenden Aufmachung der Mail nicht sicher sein kann, dass es sich um eine Fälschung handelt. Selbst eine äußerst niedrige Erfolgsquote von 0,1 Prozent bedeutet bei 500.000 verbreiteten Phishing-Mails rund 500 Neuinfektionen oder 500 Mal Datenklau.
So schützen Sie sich : Nicht blindlings auf die Angaben in Mails zu vertrauen ist der beste Schutz, um Betrugsversuche zu vereiteln. Aktivieren Sie den Spam- und Phishing-Schutz im Mailprogramm und bei Ihrem Postfach-Provider. Bieten diese keinen Spamfilter, helfen Tools wie Spam-Bully, SPAMfighter, SuperAntiSpyware sowie MailWasher in Verbindung mit einem Virenscanner von der Selbsttest-DVD.

Trick 2: Passwort-Trick

Darum geht’s: Für den Zugriff auf zugangsgeschützte Webdienste, Datenbanken, PCs, WLAN-Router und Server benötigt ein Angreifer neben Zugang zur Anmeldemaske noch den Benutzernamen und das Passwort eines zugriffsberechtigten Benutzers. Hacker versuchen häufig erst gar nicht, die jeweiligen Sicherheitsmechanismen zu knacken. Stattdessen setzen sie auf die Nachlässigkeit und Bequemlichkeit der Nutzer. Per automatisiertem Brute-Force-Angriff werden systematisch gerätetypische Default-Passwörter und statistisch in der Landessprache häufig genutzte Passwörter ausprobiert. Auf der Computertastatur leicht zu tippende Passwortkombinationen wie abc12345, üö.+ä- oder BNM;:_ und beliebte Paarungen wie Name plus Geburtsjahr oder Stadt plus Vorwahl nebst Abwandlungen stehen ebenfalls auf den Automatisierungslisten der Hacker.

Der Zugang zur Adobes Bezahlabodienst Creative Cloud ist gefragt. Hacker sollen 38 Millionen Kontodaten entwendet haben.


Im Adobe Reader klaffen immer wieder kritische Lücken, die zu Sicherheits-Updates führen.


Auch mit Social-Hacking-Methoden gelangen Unbefugte an sensible Anmeldeinformationen und Codewörter. Dazu werden im Vorfeld Informationen über das Umfeld des Opfers gesammelt und die Zielperson dann per Mail oder Fake-Anrufe unter Druck gesetzt, etwa durch eine erfundene Notsituation verbunden mit einem Hilfegesuch. Auch fingierte Sicherheitsmeldungen auf Webseiten oder angeblich vom PC oder Handy der Zielperson ausgehende Vireninfektionen oder Spamlawinen dienen bei glaubwürdiger Präsentation als Angstmacher, um das Opfer zur übereilten Datenpreisgabe zu drängen.
So schützen Sie sich : Verwenden Sie komplexe, nicht zu erratende Kennwörter, die Sie mit einem guten Passwort-Manager wie KeePass oder Password Safe von der Selbsttest-DVD erzeugen und verwalten.

Trick 3: Bugfix-Trick

Darum geht’s: Obwohl Windows XP und 7 unter Sicherheitsaspekten hoffnungslos veraltet sind und es keine Updates mehr gibt, laufen die Systeme noch auf Millionen PCs und Notebooks. Ohne Aktualisierung ist es für Hacker ein Leichtes, über dokumentierte Sicherheitslücken in veraltete Betriebssysteme einzubrechen. Prinzipiell sind auch Windows 10 und 8.1 gefährdet, wenn bereitstehende Online-Updates nicht zeitnah eingespielt werden.
So schützen Sie sich : Halten Sie Ihr System per Update-Funktion auf dem neuesten Stand. Funktioniert die Aktualisierung nicht, verwenden Sie die Windows Update-Problembehandlung für Windows 10 von der Selbsttest-DVD. Bitdefender Home Scanner von der DVD gleicht den PC mit Online-Schwachstellendatenbanken ab und zeigt einen Sicherheitsbericht an.

Trick 4: Alte-Software-Trick

Darum geht’s: Auch Anwendungen, Tools sowie Treiber haben Sicherheitslecks und eignen sich als Einfallschneisen für Cyberattacken. Sicherheitskritisch sind vor allem Browser wie Firefox und Chrome, Browser-Add-ons, der Adobe Acrobat Reader und die Java-Laufzeitumgebung.

So schützen Sie sich : SUMo, DUMo, Driver Booster, DriverEasy und Patch My PC Home Updater von der Selbsttest-DVD spüren veraltete Software frühzeitig auf.

Trick 5: Passwort-Leak-Trick

Darum geht’s: Adobe, Snapchat, Dropbox, Last.fm, Yahoo und viele weitere Unternehmen wurden in der Vergangenheit Opfer von Cyberangriffen, bei denen millionenfach Zugangsdaten entwendet wurden. Weil viele Anwender gewohnheitsmäßig immer dieselben Login-Namen und Passwörter verwenden, ist es für Hacker einfach, gestohlene und im Internet angebotene Nutzerdaten zu missbrauchen, um sich beispielsweise in Ihren Dropbox-Account einzuloggen.
So schützen Sie sich : Unter haveibeenpwned.com und sec.hpi.de/ilc/search finden Sie anhand Ihrer Mailadresse heraus, ob Ihre Identitätsdaten in frei zugänglichen Hackerdatenbanken enthalten sind.

Trick 6: Fake-Hotspot-Trick

Darum geht’s: In der Nähe eines Cafés, Restaurants oder Hotels meldet Ihr Notebook oder Tablet ein kostenloses WLAN mit dem Namen des betreffenden Betriebs. Sie loggen sich ein – und schon stehen Sie auf der Abhörliste. Zumindest dann, wenn Cybergangster hinter dem Gratis-Hotspot stehen. Jeder kann im Handumdrehen zum WLAN-Betreiber werden. Ein Laptop genügt, um per Identitätsdiebstahl einen gefälschten WLAN-Hotspot am Wunschort in Betrieb zu nehmen. Stehen mehrere ähnlich lautende Funknetze zur Auswahl, ist besondere Vorsicht geboten.
Die Betreiber des Fake-Hotspots können alle nicht verschlüsselten Daten verfolgen und automatisiert speichern, die Nutzer senden und empfangen. Im Klartext übertragen werden oft Kontodaten oder Benutzernamen und Passwörter, zum Beispiel für Mailkonten. Mit diesen Angaben lassen sich fremde Identitäten kapern oder private Daten herunterladen. Ein Trick, um Malware auf den Notebooks von Hotspot-Nutzern einzuschleusen, sind angebliche Zugangs-Tools. Diese sollen Voraussetzung für den Zugriff auf das Gratis-WLAN sein.
So schützen Sie sich : Nutzen Sie keine Zugangs-Tools. Beschränken Sie sich an offenen Hotspots auf die Nutzung verschlüsselt übertragener Webseiten, die am einleitenden https:// vor der Adresse zu erkennen sind. Die VPN-Tools von der Selbstest-DVD verschlüsseln den gesamten Datenverkehr. Deaktivieren Sie zudem in der WLAN-Übersicht von Windows die automatische Einwahl in offene Hotspots.

Trick 7: USB-Trick

Darum geht’s: Gefunden, angesteckt – gehackt: Einem herrenlosen USB-Stick oder einer USB-Festplatte sollten Sie generell nicht trauen, wenn dieser Ihnen scheinbar per Zufall zugespielt wurde. Das Szenario mutet primitiv an: Der Angreifer präpariert ein USB-Speichergerät mit allerlei Daten und legt eine Begehrlichkeiten weckende Software dazu, zum Beispiel die Creative Suite von Adobe, Microsoft Office 365 oder ein Spiel. Die Software ist mit Schadcode infiziert, etwa einer Backdoor.
Der Stick wird dann absichtlich liegengelassen, üblicherweise an einem stark frequentierten Ort wie Bahnhof, Flughafen, Parkplatz oder einem öffentlichen Verkehrsmittel. Nun braucht der Angreifer nur noch zu warten, bis jemand leichtsinnig genug ist, die Software auszuführen und damit den Schadcode zu aktivieren. Virenscanner und Security-Suites erkennen normalerweise, wenn ein Speichergerät angesteckt wird, und scannen das Medium vor dem Zugriff. Eine verschärfte Angriffsvariante, die von Schutz-Tools nicht verhindert wird, erfolgt über einen USB-Stick mit gefälschter Controller-Firmware. Darüber kann sich das Gerät als USB-Tastatur ausgeben und automatisiert Eingaben vornehmen, zum Beispiel eine Schadsoftware auf den PC laden.
So schützen Sie sich : Widerstehen Sie dem Reiz, und verwenden Sie keine USB-Sticks zweifelhafter Herkunft. Per Antiviren-Tool von der Selbsttest-DVD finden Sie heraus, ob Ihr PC eventuell durch einen vormals verwendeten Stick infiziert ist.

Trick 8: Geklautes-Notebook-Trick

Darum geht’s: An Flughäfen, Bahnhöfen und auf Parkplätzen sind Notebooks ein begehrtes Diebesgut. Eine kurze Unaufmerksamkeit genügt, und der Rechner ist weg. Ist das abhandengekommene Notebook durch eine kurze Windows-PIN unzureichend gegen Fremdnutzung geschützt, erhalten Unberechtigte Zugriff auf gespeicherte und in der Cloud verknüpfte Daten.

Beim Banking gilt es, nicht auf die immer häufiger gut gemachten Phishing-Mails hereinzufallen.


Fake-Shops zielen auf Ihre Kreditkartendaten. Oder das Geld ist weg, und die Ware kommt nicht an.


So schützen Sie sich : Das kostenlose Veracrypt von der Selbsttest-DVD verschlüsselt Notebook-Daten und auf Wunsch auch das Systemlaufwerk des Mobilrechners. Selbst wenn die Festplatte aus dem Gerät ausgebaut wird, lassen sich die verschlüsselten Dateien nicht direkt verwerten. Boxcryptor von der Selbsttest-DVD verschlüsselt Ihre Daten bei Online-Speicherdiensten.

Trick 9: Onlinebanking-Trick

Darum geht’s: Beim Onlinebanking dreht sich alles um Ihr Geld, dementsprechende begehrt sind die zum Durchführen von Überweisungen benötigten Login-Daten und TANs bei Hackern. Die wichtigsten Angriffs-Tricks sind Phishing-Mails und gefälschte Bankseiten, die Sie zur Preisgabe Ihrer Konto-Anmeldedaten überreden wollen. Verbreitet sind auch Bankingtrojaner für Windows und Android, die Sie beim Eingeben Ihrer Kontodaten ausspionieren, Finanz-Apps anzapfen oder das Smartphone beim Synchronisieren mit dem PC so manipulieren, dass per SMS empfangene TANs heimlich weitergeleitet werden.
So schützen Sie sich : Achten Sie beim Banking auf das Schloss-Symbol vorne in der Browser-Adresszeile. Schotten Sie den PC mit Voodoo Shield ab. Besser noch: Führen Sie Transaktionen mit Virtualbox in einer virtuellen Maschine aus. Beide Tools sind Bestandteil der Selbsttest-DVD.

Trick 10: Fake-Website-Trick

Darum geht’s: Gefälschte Webseiten sind eine gängige Methode, an Zugangs- und Zahlungsinformationen zu gelangen. Angreifer versuchen, persönliche Daten über Formulare zu ergaunern. Gefälscht sein können Websites aus allen Themenbereichen. Bevorzugt führt die Suche nach kostenlosen Film-, Musik- und Software-Downloads, Medikamenten und Themen wie Handy-Ortung oder Seitensprung zu potenziell schädlichen Seiten.
Auch Online-Shopping ist eine Gefahrenquelle. Betrüger geben sich mit professionellem Erscheinungsbild als Händler aus, um an Konto- und Kreditkartendaten zu gelangen oder Online-Einkäufer durch geleistete Vorauszahlung abzuzocken. Die Fake-Shops kopieren originalgetreu die Gestaltung real existierender Shops. Auffällig sind dagegen überlange, abgekürzte oder ungewöhnlich geschriebene Shop-Adressen. Hat sich der Fake-Shop das Vertrauen des Einkäufers erschlichen, gibt es viele Betrugsmaschen: Der Käufer wird etwa wegen angeblicher Verifizierungsprobleme zur Eingabe zusätzlicher Kreditkarten- oder Paypal-Daten aufgefordert, die sofort missbraucht werden. Oder er wird zur Bezahlung per Banküberweisung genötigt. Die gewünschte Ware wird dann nicht geliefert, und im Falle einer Überweisung ist das Geld unwiederbringlich verloren.
So schützen Sie sich : Rüsten Sie Ihren PC mithilfe der Selbsttest-DVD mit einem aktuellen Virenscanner und aktuellen Versionen der Browser Chrome oder Firefox aus. Die Gratis-Erweiterung NoScript für Firefox verhindert die Ausführung von Schadcode auf Fake-Websites. Hinweise auf heimlichen Datenverkehr Ihres PCs liefert eine Firewall wie ZoneAlarm Free.

Tipp : Lesen Sie im nächsten Artikel, wie Sie Ihr Heimnetz auf Lücken und Hackerattacke prüfen.

Systemübergreifendes Passwort-Management

Enpass erleichtert den geräteübergreifenden Umgang mit ratesicheren Passwörtern.


Angesichts der Zunahme gehackter Accounts lohnt es sich, komplexe und unterschiedliche Passwörter für jede Website zu hinterlegen – am PC, Smartphone und Tablet.

■ Passwörter überall merken

Nicht erratbare Passwörter wie k8E#Zi2m& k9(pU6!TSk lassen sich kaum merken; es sei denn, Sie holen sich Unterstützung durch einen Passwort-Manager. Um alltagstauglich zu sein, sollte die Software eine Synchronisation der Passwortdatenbank über alle von Ihnen primär genutzten Systemplattformen hinweg unterstützen, üblicherweise also neben Windows auch Android und/oder iOS. Nur so lassen sich Kennwörter stationär und mobil hinterlegen und abrufen.

■ KeePass und kompatible Apps

Das freie KeePass von der Selbstest-DVD ist auf eine lokale Passwortdatenbank ausgelegt, kann diese jedoch über Clouddienste wie OneDrive und Dropbox synchronisieren. In Verbindung mit KeePass-Portierungen für Android und iOS nutzen Sie Ihr Kennwortarchiv mobil, wenngleich die Lösung Bastelcharakter hat.

■ 1Passwort, Kaspersky und RoboForm

1Password (1password.com/de), RoboForm (www.roboform.com) und der Kaspersky Passwort-Manager (www.kaspersky.de) synchronisieren Kennwörter über den Server des jeweiligen Anbieters. Gut gefallen der Funktionsumfang und die intuitive Bedienund, nachteilig ist das Abo-Modell.

■ LastPass und Enpass

Der Abo-Dienst Lastpass (www.lastpass.com/de) verstaut Ihre Passwörter online. Die Handhabung wirkt mitunter hakelig, zudem wurde der Dienst bereits mehrfach gehackt. Der Passwort-Manager Enpass (www.enpass.io) kommt ohne Abomodell aus. Sie zahlen 12,99 Euro pro Plattform, also 25,98 Euro für den PC und Ihr Handy.

Doppelte Absicherung

Apple zwingt iPhone- und iPad-Nutzern den Zweifaktorschutz für die Apple-ID auf.


Bei Microsoft aktivieren Sie die Zweistufige Überprüfung unteraccount.microsoft.com .


Wer seine Konten bei Google, Facebook und Amazon besser schützen möchte, aktiviert die Zweifaktor-Authentifizierung – auch wenn das Verfahren im Alltag mehr Umstände macht.

■ Was für das Verfahren spricht

Beim Zweifaktorschutz entriegeln Sie Online-Konten mit einem Passwort und einem weiteren Faktor, meist einem Einmal-Code, den Sie per SMS oder App erhalten. Zur Anmeldung geben Sie erst Ihr Passwort und dann den Code ein. Die doppelte Absicherung verhindert, dass Hacker allein mit dem erbeuteten Passwort freien Zugang erhalten.

■ Was gegen den Doppel-Login spricht

Die Anmeldung per Zweifaktor-Authentifizierung an Mailkonten, in Online-Shops, Webportalen und Apps bedeutet zusätzliche Handgriffe und Eingaben, die Zeit kosten. Um den Mehraufwand zu minimieren, setzen Sie das Verfahren nur für wichtige Zugänge ein, etwa Ihr Microsoft-, Google- oder Apple-Konto – und dort, wo durch Missbrauch ein größerer Schaden entstehen könnte.

Router beugt Hack vor

Filter in WAN-Routern wie der Fritzbox können typische Netzwerkaktivitäten von Malware erkennen und blockieren.

■ PC-Infektion durch Filter verhindern

Die Fritzbox von AVM und vergleichbare WLAN-Router enthalten eine Firewall. Diese verbirgt die Geräte im lokalen Netzwerk, überwacht den ein- und ausgehenden Datenverkehr und weist unaufgefordert empfangene Datenpakete aus dem Internet ab. Dadurch gelangen nur solche Datenpakete ins Netz, die direkte Antworten auf zuvor gestellte Anfragen darstellen.
Eine weitere Firewallfunktion sind die Listen, die Sie in der Fritzbox im Menü Filter auf dem Reiter Listen aktivieren. Sind die Listen eingeschaltet, prüft der Router fortwährend, ob die Rechner im lokalen Netzwerk Verbindungen zu verdächtigen Servern aufbauen wollen. Berücksichtigt werden dabei vor allem solche Server, die Botnetze zur Verbreitung von Schadprogrammen oder Vorbereitung von DDoS-Angriffe nutzen, um Internetangebote lahmzulegen. Hinweise auf derartige Verbindungsversuche hält die Fritzbox im Router-Protokoll fest; zudem erhalten Sie beim Anmelden am Router eine Warnung.