Login-Daten gestohlen: S wie Sicherheit
Aktualisiert

Login-Daten gestohlenS wie Sicherheit

Wer E-Mails liest oder sich bei seiner Bank einloggt, sollte genau schauen, was in der Adresszeile seines Browsers steht. Ansonsten könnte er unbemerkt ausspioniert werden.

Ein Hacker namens Moxie Marlinspike hat auf der Sicherheitskonferenz Black Hat in Washington eine Methode vorgestellt, mit der er Nutzern problemlos ihre Zugangsdaten stehlen konnte. Marlinspike ergatterte nach eigenen Angaben innerhalb eines Tages unter anderem sechs Kreditkartennummern, 117 E-Mail-Logins und sieben PayPal-Accounts.

Der IT-Experte nutzte für seine Angriffe aus, dass Surfer in der Regel auf eine nicht per SSL verschlüsselte Seite gehen. Dort klicken Sie dann auf einen Button, über den sie sich gesichert einloggen. Mit seinem Tool namens sslstrip konnte sich Marlinspike dazwischenschalten. Das kleine Programm verbindet sich mit dem Opfer-Rechner und zeigt ihm die aufgerufene Webseite an. Gleichzeitig speichert es alle eingegebenen Daten. Dem Server gegenüber präsentiert sich sslstrip als Nutzer einer gesicherten Verbindung. So bekommt der Ausgespähte keine Fehlermeldung zu ungültigen Zertifikaten angezeigt.

Eigentlich kann jeder sehen, ob er gerade ausgespäht wird, denn statt «https» steht dann nur «http» in der Adresszeile des Browsers. Laut dem Hacker liessen sich aber viele Anwender auf Grund eines angezeigten Schloss-Symbols eine sichere Verbindung vorgaukeln.

(hst)

Deine Meinung