Nein, digitec und Galaxus wurden nicht gehackt

Der letzte Montag war leider kein ganz normaler Montagmorgen. Als die Rechner der Security-Crew aufgestartet werden, gibt es einen Adrenalinschub. Im Überwachungssystem ist eine Meldung aufgepoppt: Achtung – Anomalie bei fehlgeschlagenen Logins. Der Puls steigt, die Tastaturen klappern, einige Kraftausdrücke hallen durchs Büro.

Ein kurzer Abgleich mit dem Monitoring-Tool bestätigt die böse Vorahnung: Cyber-Kriminelle waren bei Nacht und Nebel am Werk und haben Credential Stuffing betrieben. Rasch wird eine Taskforce gegründet, die sich an die Datenanalyse macht.

Was ist Credential Stuffing? Es ist recht simpel und grosses Wissen wird dafür nicht benötigt. Der Angreifer besorgt sich im Darknet grosse Listen von Passwort- und Benutzernamen-Kombinationen, die bei Hacks von Webseiten aus aller Welt entwendet worden sind.

Kriminelle nutzen Faulheit aus

Leider benutzen viele User für ihre verschiedenen Logins stets das gleiche Passwort – zusammen mit der Mailadresse oder dem immer gleichen Benutzernamen haben die Internet-Betrüger leichtes Spiel. Sie testen die geklauten Kombinationen bei verschiedenen Webseiten aus und speichern die erfolgreichen Logins in einer Liste. Die Liste wird anschliessend weiterverkauft oder direkt für Betrugszwecke missbraucht.

Päckli können sich die Kriminellen nicht ins Ausland schicken lassen. Bei Paketsendungen an Schweizer Adressen wäre die Polizei bei der Auslieferung mit dabei. Deshalb kaufen die Kriminellen mit den gekaperten Accounts Software-Lizenzen. Die Lizenzschlüssel werden dann auf einschlägigen Webseiten angeboten.

Diese Angriffe sind nicht alltäglich, aber auch nichts Neues. Deshalb haben wir in der Vergangenheit Beiträge veröffentlicht, wie du ein sicheres Passwort setzt. Seit 2017 bieten wir ausserdem Zwei-Faktor-Authentifizierung an.

Kleiner Schaden, viel Ärger

Die Analyse hat im aktuellen Fall ergeben, dass auf mehrere tausend Kundenkonten erfolgreich zugegriffen worden ist. Bei 40 von ihnen wurden Gutschriften im Konto benutzt, um Software für insgesamt 3200 Franken zu kaufen. Diesen Schaden übernimmt Digitec Galaxus. Die Kunden müssen nichts bezahlen. Wir haben bei den betroffenen Kunden das Passwort zurückgesetzt und sie informiert. Damit sie zukünftig vorsichtiger bei der Wahl des Passworts sind.

Ebenfalls nichts Neues ist, dass die Kundeninformation den Weg an die Medien findet. Diesmal hat die Radiosendung Espresso die Meldung gebracht. 20 Minuten Online, Tagi Online, Watson haben die Story aufgegriffen.

Die Berichterstattung ist nach mehreren Jahren schon etwas besser geworden. Schade ist, dass nach wie vor von Hackern die Rede ist und Totenköpfe auf Screenshots unserer Website montiert werden. Es ist glücklicherweise niemand gestorben. Es ist nichts gehackt und auch nicht «gehackt» worden. Es wurde automatisiert die Tatsache ausgenutzt, dass Menschen gerne faul und vergesslich sind und dasselbe Passwort mehrfach benutzen.

Reminder: Was kannst du tun?

• Verwende auf jeder Webseite ein anderes Passwort. Willst du dir nicht alle merken, kannst du einen Passwortmanager wie beispielsweise 1password oder KeePass verwenden.
• Aktiviere die 2-Faktor-Authentifizierung, die wir anbieten. Sie verhindert einen Fremdzugriff auf deinen Account. Selbst wenn ein Krimineller deinen Usernamen und Passwort im Netz ergaunert haben sollte.
• Prüfe, ob deine Mailadresse schon einmal bei einem Angriff gestohlen oder verwendet worden ist. Dies kannst du auf der Webseite haveibeenpwned.com des Sicherheitsforschers Troy Hunt nachschauen.

Danke für deine Mithilfe!