Da heue wieder mal jemand aus meinem Bekanntenkreis völlig überrascht war wie leicht man in seinen E-Mail Account rein kommt schreibe ich hier mal auf wie das geht. So kann ich in Zukunft drauf verlinken falls mal wieder jemand ohne nachzudenken meint er wäre im Internet sicher unterwegs. Wenn man dann mal im E-Mail Account drin ist kann man sich natürlich für alle anderen Dienste wie z.B. Facebook neue Passwörter zuschicken lassen und kommt da auch gleich rein.
Das erste Bier
Ich gehe mit dir ein Bier trinken, dabei suche ich einen Grund das du mir deine E-Mail Adresse gibst. Ich erzähle dir z.B. irgendwas von tollen Katzenbildern oder eben irgendwas das ich dir per Mail schicken will. Du denkst dir dabei nichts und gibst mir ganz locker deine E-Mail Adresse. Da die meisten Leute einen Freemail Anbieter wie Googlemail oder Web.de nutzen sehe ich an der E-Mail Adresse gleich wo ich mich anmelden muss. Ich gehe also auf die Webseite von deinem Mail Anbieter und versuche mich mit deiner E-Mail Adresse anzumelden. Da ich das Passwort nicht kenne gebe ich in das Passwort Feld irgendwas ein. Daraufhin bekomme ich die Meldung dass mein Passwort falsch ist und dazu einen Link "Passwort vergessen". Normalerweise bekommt man über die Passwort vergessen Funktion eine E-Mail mit einem Link um ein neues Passwort zu setzen zugeschickt. Beim E-Mail Anbieter geht das aber nicht, stattdessen bekommt man eine Sicherheitsfrage gestellt. Da werden dann oft Fragen wie der Mädchenname der Mutter oder Name des Haustiers gestellt. Ich führe die Passwort vergessen Funktion also ein paar mal aus und merke mir die Fragen.
Das zweite Bier
Nachdem ich deine Sicherheitsfragen kenne gehe ich mit dir nochmal ein Bier trinken, dabei frage ich so ganz nebenbei deine Sicherheitsfragen ab. Da eigentlich kein Mensch dabei an seinen E-Mail Account denkt werden die Fragen ganz locker beantwortet. Ich merke mir also die Antworten und versuche nochmal mich mit falschem Passwort einzuloggen. Jetzt kenne ich aber die Antworten auf die Sicherheitsfragen und kann ein neues Passwort setzen mit dem ich mich anmelden und alle Mails lesen kann. Außerdem kann ich mir jetzt für alle anderen Dienste wie z.B. Facebook ein neues Passwort zuschicken lassen da ich ja Zugriff auf den E-Mail Account habe an den die Mails gehen um ein neues Passwort zu setzen.
Natürlich fällt das dem Besitzer der E-Mail Adresse beim nächsten Anmeldeversuch auf wenn sein Passwort nicht mehr funktioniert. Aber dann ist es schon zu spät und zurückverfolgen wer das war dürfte auch eher schwer fallen.
Wie verhindert man das?
Der Beste Weg ist natürlich eine E-Mail Adresse unter einer eigenen Domain. Wenn ich jemanden meine E-Mail Adresse (mail@tas2580.net) gebe ist daraus nicht ersichtlich wo man sich Anmelden muss um die Mails zu lesen. Da aber nicht jeder eine eigene Domain hat und sich das sicher nur für eine einzige E-Mail Adresse nicht lohnt sind Freemail Anbieter schon eine praktische Sache. Allerdings sollte man die Antworten auf die Sicherheitsfragen gut wählen. Am besten man überlegt sich ein Passwort aus Zahlen und Buchstaben das man als Antwort für alle Fragen verwendet. Die Frage ist dann völlig egal, man beantwortet einfach jede Sicherheitsfrage mit dem Passwort. Wenn die Antwort auf meine Sicherheitsfragen "xyz123" ist kann ich Problemlos jedem erzählen wie mein Hund heißt oder wo meine Mutter geboren ist.
Kommentare