Äh, wie jetzt? IMAP ist hackbar? Ja, natürlich. Immer wenn viele Programmierer an einer Software beteiligt waren, macht irgendwer Fehler und diese findet jemand anderes. Diese Fehler nennt man Zero-Day-Exploits, weil der Entwickler keine Zeit mehr hat, den Fehler zu korrigieren, bevor er ausgenutzt wird.
Aber dies werde ich nun nicht weiter vertiefen. Hier geht es im Grunde um etwas ganz anderes.
Es geht darum, dass sämtliche Mails im Postfach liegen bleiben und das eröffnet für Hacker super Möglichkeiten. Wenn jemand Zugang zum Privatesten, zum E-Mail-Postfach erlangt, erfährt dieser alles über Euch.
Um etwas von Jemanden zu erfahren, begibt sich ein Hacker in die sozialen Netzwerke. Dort gibt es Namen, Fotos, Haustiere, Urlaube und vielleicht auch Krankheiten. Immer dann, wenn das Profil nur nachlässig geführt und nicht geschützt wird, kann jeder alles lesen. Sexuelle Neigungen, Kinderfotos und es geht weiter. Einige posten sogar, wann sie Geburtstag haben und wo sie wohnen oder welches Auto sie fahren. Die größte Schwäche im Internet ist die Faulheit und das falsche Verständnis von Sicherheit. Der Hacker notiert sich alles akribisch und sucht die immer wieder gern genutzten Passwörter. Namen der Haustiere, Geburtstage, Kombinationen aus Anfangsbuchstaben der Kinder und sich selbst etc. werden sehr gern verwendet. Und schon ist der Hacker im Postfach. Glücklicherweise ist der User extrem faul und benutzt bei verschiedenen Webseiten das gleiche Kennwort. Das eröffnet dem Hacker weitere Möglichkeiten.
Zunächst wird der PayPal-Account und Ebay infiltriert. Die Daten einfach ändern und sich etwas bestellen, das wäre unklug, denn Ebay wird bei Adressänderungen vorsichtig. Aber auch andere Onlineshops lassen sich mit Daten füttern. Amazon liefert sofort auch an Paketstationen. Perfekt und bezahlt wird auch schon alles ohne Rückfrage. Die Benachrichtigungsmails kann der Hacker rechtzeitig löschen. Er weiß nun, welche Vorlieben der Anwender hat, da er den gesamten Bestellverlauf der letzten Jahre ansehen kann. Oh, in der letzten Zeit möchte der User Karten für ein Konzert der “Rolling Stones” kaufen, das sagen zumindest die Webseiten, die sich gern melden werden, wenn etwas verfügbar ist.
Das war die große Information, mit der man absahnen kann.
Nun programmiert der Hacker eine Phishing-Mail und gaukelt dem User eine Eventagentur vor, die ausgerechnet noch zwei Karten im vorderen Bühnenfeld haben. Der Käufer ist krank geworden. Die Preise sind eh etwas zu hoch, aber der Fisch wird anbeißen. Das sieht alles echt aus. Erstrecht weil es doch eine 1:1 Kopie der Webseite ist, die informieren wollte, wenn etwas frei wird.
Der User bekommt die Mail und ein Traum wird wahr. Er klickt auf die passenden Knöpfe und es geht zur Bezahlung. Der Bezahlbutton ist mit dem PayPal-Konto verknüpft und immer wenn der ahnungslose Anwender auf “Jetzt kaufen” klickt, hat er bereits 700 Euro bezahlt. Die meisten haben ein Tagesbudget von 1.000-1.500 Euro. Deshalb wird nun ein Fehler ausgegeben, der von der Webseite auf die Bezahlmöglichkeit der Kreditkarte verlinkt. Die vorbereitete Webseite tut nun so, als ob der Zahlvorgang nie funktioniert hat. Also werden die Kreditkartendaten eingegeben und der Hacker hat nun auch noch diese, plus eine erneute Abbuchung. Diese Karten müssen doch zu kaufen sein!
2.100 Euro hat er nun verdient, mit einer E-Mail und nur weil Sie IMAP4 nutzen und nicht POP3. Na ja, letzteres ist ja schon älter und IMAP viel bequemer. Ach halt, lag es eventuell doch am alten unsicherem Passwort?