Sind gehackte E-Mail-Kontoüberprüfungstools echt oder ein Betrug?

Sind gehackte E-Mail-Kontoüberprüfungstools echt oder ein Betrug? / Sicherheit

Nach der Nachricht eines gewaltigen Verstoßes gegen die Google-Server, bei dem angeblich 5 Millionen E-Mail-Adressen gehackt wurden, schlugen verschiedene Websites vor, dass die Leser durch Eingabe ihrer E-Mail-Adressen prüfen sollten, ob sie Opfer waren “Werkzeuge überprüfen” - Websites, die feststellen können, ob eine E-Mail-Adresse in einer Liste gehackter Anmeldeinformationen enthalten ist.

Das Problem ist, dass einige dieser Überprüfungs-Tools nicht so legitim waren, wie die Websites, auf die sie verlinkt werden, vielleicht gehofft haben…

5 Millionen E-Mail-Adressen: Die Wahrheit

Damals als massives Leck von 5 Millionen Nutzernamen und Passwörtern für Google Mail-Konten berichtet, stellte sich bald heraus, dass die Geschichte genau das war: eine Geschichte.

Etwas später erklärte Google, dass weniger als 2% der Kombinationen aus Benutzername und Kennwort zutreffend waren und dass die eigenen Login-Sicherheitstools die Mehrheit davon gefangen hätten.

Sie stellten außerdem klar, dass die Anmeldeinformationen nicht von ihren eigenen Servern, sondern von anderen Websites gehackt wurden:

Es sei darauf hingewiesen, dass in diesem und in anderen Fällen die durchgesickerten Nutzernamen und Passwörter nicht auf einen Verstoß gegen Google-Systeme zurückzuführen sind. Diese Nachweise werden oft durch eine Kombination anderer Quellen abgerufen.

Wenn Sie beispielsweise denselben Benutzernamen und dasselbe Kennwort für Websites verwenden und eine dieser Websites gehackt wird, können Ihre Anmeldeinformationen verwendet werden, um sich bei den anderen anzumelden.

Ein Google Mail-Konto, das bei einem früheren Verstoß aufgegriffen wurde (hochrangig oder anderweitig), könnte einer der Datenspeicher der Berechtigungsnachweise in den Händen der E-Mail gewesen sein “Hacker”. Im Wesentlichen werden Informationen, die möglicherweise bereits in der einen oder anderen Form online waren, Google Mail-Konten aus verschiedenen Quellen angezeigt.

Aber wie ist diese Geschichte so schnell zum Mainstream gekommen? Vermutlich mit Hilfe einer großen, runden Zahl wie 5 Millionen und dem geschickten Ziehen der Hacker, die die Kontopasswörter in einem russischen Bitcoin-Forum veröffentlicht haben. Fügen Sie ein Online-Prüftool hinzu, das bestätigt, ob sich Ihr eigenes E-Mail-Konto im Speicher befindet, und Sie haben eine große Nachricht.

Natürlich scheint das wahrscheinlich isleaked.com ist nicht die Website, die die Leute dachten.

So funktioniert ein gefälschter E-Mail-Konto-Checker

Prüfen einer E-Mail-Adresse anhand einer Datenbank (SQL, Access oder sogar Textdatei) Was ist eine Datenbank? [MakeUseOf-Erklärungen] Was ist eine Datenbank? [MakeUseOf-Erklärungen]. Für einen Programmierer oder einen Technologie-Enthusiasten Das Konzept einer Datenbank ist etwas Selbstverständliches, für viele jedoch ist das Konzept einer Datenbank selbst ein bisschen fremd (ehed), gehackte E-Mail-Konten sind relativ einfach. In Kombination mit einem einfach zu ladenden Skript kann eine solche Website in etwa 30 Minuten eingerichtet werden.

Troy Hunt hat inzwischen einen viel besseren Ansatz. Aus diesem Grund sollten Sie seine Website verwenden, um zu prüfen, ob Ihre Anmeldeinformationen verloren gehen, wenn Sie von einem Account-Hack lesen oder hören.

Wie bereits in seinem Blog erläutert, hat Hunt die Website "I I be Pwned" entwickelt, eine seriöse Website (Hunt ist ein Microsoft MVP für Developer Security), die von durchschnittlichen Benutzern dazu verwendet wird, ihre E-Mail-Adresse einzugeben und herauszufinden, ob sie gehackt wurden oder nicht. Anhand von Daten, die an Websites wie Pastebin.com übermittelt werden, wird sogar darüber informiert, welcher Verstoß für die Präsenz Ihres E-Mail-Kontos in seiner Datenbank verantwortlich ist.

Suche nach einem legitimen Hacked Email Account Check?

Wenn die Ergebnisse angezeigt werden, zeigt die Site den Namen der Website an, von der Ihre Kontodetails durchgesickert wurden. Hoffentlich hätte diese Site Sie privat per E-Mail geschickt oder eine Ankündigung gemacht.

(Wenn Sie jedoch Bedenken haben, dass Ihr E-Mail-Konto gehackt wurde, sollten Sie Ihr Kennwort trotzdem ändern. Denken Sie daran, es sicher und einprägsam zu machen. 6 Tipps zum Erstellen eines unzerbrechlichen Kennworts, das Sie sich merken können 6 Tipps zum Erstellen eines unzerbrechlichen Kennworts Kann sich erinnern Wenn Ihre Passwörter nicht eindeutig und unzerbrechlich sind, können Sie auch die Haustür öffnen und die Räuber zum Mittagessen einladen.

Wie Sie dem obigen Bild entnehmen können, gehörte mein E-Mail-Konto zu den vielen, die bei der massiven Verletzung von Adobe im Jahr 2013 abgerufen wurden. Sie sollten die Informationen, die Hunts Website bereitstellt, für sofortiges Handeln verwenden, auch wenn Ihr Passwort geändert wurde. Ihre E-Mail-Adresse bleibt auf der Website.

Wenn es sinnvoll ist, kann es auch sinnvoll sein, die E-Mail-Adresse zu ändern, die Sie bei Ihren Online-Konten verwenden.

Due Diligence sollte nicht der Vergangenheit angehören

Ein wichtiges Element des Journalismus ist Due Diligence. die Überprüfung von Fakten. Es reicht nicht aus, Pressemitteilungen zu veröffentlichen. Jeder Schriftsteller, der Inhalte für $ 1 pro 1000 Wörter herausbringt oder im Publishing einen Top-Namen verdient, kann dies tun.

Leider geschieht dies im World Wide Web nicht genug.

Ein paar Minuten der Tatsachenprüfung hätten gezeigt, dass die Behauptung von 5 Millionen Adressen eine Fälschung war. Wie wir damals berichteten, waren die Adressen aus einer Sammlung früherer Lecks herausgepuffert worden: Gmail-Kennwörter, Online-Lecks, Microsoft-Drops, Windows Phone und mehr… [Tech News Digest] Gmail-Kennwörter, Online-Lecks, Microsoft-Drops, Windows Phone und mehr… [ Tech News Digest] Auch negative Bewertungen, Deezer in den USA, Google Pyramids, der NES 3DS und eine leuchtende Rube Goldberg-Maschine. Weiterlesen . Die russischen Hacker konnten eine Liste zusammenstellen, anstatt die Sicherheit von Google zu verletzen.

Unter besonderem Verdacht wurde die Website von vielen Websites empfohlen, um E-Mails abzufragen, isleaked.com. Neugierig registriert nur zwei Tage vor dem Leck in Russland, war sein plötzliches Bestehen entweder sehr zufällig oder geplant.

Wie ich immer sage, gibt es keine Zufälle in der Online-Sicherheit.

Wie kann man die Liste der Adressen, von denen Sie behaupten, dass sie gehackt wurden, besser überprüfen können, als die Kontoinhaber zu veranlassen, zu überprüfen, ob sie sie noch verwenden? Es ist die Vorgehensweise von Spammern - tote Adressen sind wertlos, weshalb viele Spam-E-Mails Sie auffordern, zu antworten. Ihre Antwort wird protokolliert und die Adresse bleibt erhalten.

Der Leck-E-Mail-Checker isleaked.com könnte leicht ein anspruchsvollerer Ansatz sein. Während sie behaupten:

Wir sammeln weder Ihre E-Mails, URLs / IP-Adressen, Zugriffsprotokolle noch überprüfen Sie die Ergebnisse. Entweder machen wir während des Tests nichts mit Ihrem Gerät!

… Es gibt wenig Grund, der Site zu vertrauen. Troy Hunt, der den Ruf hat, zu behaupten, erklärt, wie seine Website funktioniert. Daher ist es sinnvoll, sie zu nutzen.

Das Urteil: Reagiere nicht ohne die Fakten

Was wir daraus lernen können, ist, dass niemand auf Ansprüche wegen Datenverletzungen und Hacks reagieren sollte, ohne die vollständigen Fakten zu besitzen. Es gibt einfach zu viele Variablen, die berücksichtigt werden müssen.

Mit den Gmail-Behauptungen von Gmail scheint es eine sichere Annahme zu sein, dass die mutmaßlichen Hacker lediglich ihre Adressensammlung überprüft haben, die vermutlich in verschiedenen Spam-Kampagnen verwendet wird.

Einige waren echt, andere sind lange abgelaufen.

Die beste Website zum Überprüfen, ob Ihre E-Mail gehackt wurde und auf einer Website wie Pastebin.com gefunden wurde, ist haveibeenpwned.com.

Ironischerweise waren die 5 Millionen Google Mail-Adressen, die angeblich von Google gehackt worden waren, die Technologiepresse, die wirklich in Verruf geriet.

Rob Hyrons über Shutterstock

Erfahren Sie mehr über: Online-Sicherheit, Sicherheitsverletzung.