Wie werden Accounts z.B. Steam, Twitch, Instagram gehackt ohne das wir eine Benachrichtigung bekommen, dass sich jemand eingeloggt hat?
Vor längerer Zeit wurde Mal mein Steam Account gehackt.(Alles wieder gut, habe den Account auch wieder) Ich habe nicht mal eine E-Mail bekommen, dass sich jemand eingeloggt hat und ich hatte 2FA an. Wie funktioniert das, dass ich keine E-Mail bekommen?
2 Antworten
Gibt natürlich diverse Methoden. Bei Instagram/ Facebook ist natürlich so etwas wie Phishing sehr beliebt; Meta macht sich da auch keine großen Mühen dagegen vorzugehen. Die Benachrichtigung "Jemand hat sich gerade von einer unbekannten IP in Ihrem Konto eingeloggt" zu umgehen ist auch nicht gerade schwierig, Stichwort Spoofing.
Was mich allerdings wundert ist, dass sich jemand trotz Zwei-Faktor-Authentifizierung Zugang zu deinen Konten verschaffen konnte. Das geht eigentlich nur, wenn jemand Zugriff auf deine 2FA-Methode (z. B. dein E-Mail-Konto, deine Backupcodes, deine 2FA-App, etc.) hat, bzw. es in einer dieser Methoden eine Schwachstelle gibt, um diese zu umgehen oder wenn es im Programm (also Steam und Instagram) selbst einen Exploit gibt. Dass letzteres der Fall ist, ist zwar eher unwahrscheinlich, aber wenn dem so wäre, könnte man dir die Frage auch nicht beantworten, da bekannte Exploits natürlich i. d. R. auch sofort gefixt werden.
Am besten in Zukunft eine sicherere 2FA-Methode (z. B. Biometrie) wählen, niemals zweimal dasselbe Passwort nutzen und wenn du dich an einem fremden Gerät anmeldest auch immer ans Abmelden denken.
LG
Mehrere Möglichkeiten.
Zum Beispiel mit einem Cookie grabber:
Du bleibst in Seiten eingeloggt durch einen Cookie und wenn man diesen nutzt ist man schon eingeloggt, das wäre eine der bekanntesten Möglichkeiten.
Es kann natürlich sein das jemand direkt deine mail hat(wenn Leute zum Beispiel immer dasselbe Passwort nutzen hust) und diese Bestätigung einfach löscht (nimm lieber andere 2fa Methoden, zum Beispiel yubikeys).
Man kann natürlich auch Bugs aus der Software ausnutzen(sehr sehr sehr sehr sehr sehr unwahrscheinlich).
Social engineering ginge auch, vermutlich die einfachste Methode.
Ich denke mal diese 4 bsp sind erstmal ausreichend.
Noch fragen?