Laut einem Bericht aus dem SpiderLabs-Blog von Trustwave wurden mindestens 2 Millionen Passwörter für beliebte Websites wie Google, Facebook und Yahoo mithilfe eines Botnets namens "Pony" gestohlen. Die alarmierenden Daten wurden diese Woche auf einem niederländischen Server entdeckt.
Neben Anmeldeinformationen für Onlinedienste, die häufig in gehackten Datenbanken gefunden werden, stellten die Forscher überraschend Kontoinformationen von ADP fest, einem führenden Unternehmen für Gehaltsabrechnungsdienste. Berichten zufolge wurden fast 8.000 ADP-Passwörter angezeigt, ein Problem, das zu „direkten finanziellen Auswirkungen“ führen könnte.
Im Gegensatz zu den jüngsten Hacks bei Adobe und vBulletin wurden die Informationen, die in der vorliegenden Sicherheitsverletzung erfasst wurden, nicht direkt von den Servern des Unternehmens abgerufen. Vielmehr wurden die Computer einzelner Benutzer mit Malware infiziert, die Benutzerkennwörter protokollierte und an die Server der Hacker sendete. Dies führte dazu, dass Passwörter nicht nur für Onlinedienste, sondern auch für eine Vielzahl von persönlichen und geschäftlichen FTP-Servern, Remotedesktopverbindungen und sicheren Shell-Konten offengelegt wurden.
Die gute Nachricht ist, dass diese Art von Einzelangriffen bei weitem nicht so weit verbreitet ist wie größere Angriffe auf Dienstanbieter. Die schlechte Nachricht ist jedoch, dass es schwierig ist, betroffene Benutzer zu identifizieren und zu informieren. Malware dieser Art bleibt häufig unentdeckt und zeigt unter normalen Bedingungen keine Symptome. Selbst wenn Benutzer ihre Passwörter ändern, zeichnet die Malware das neue Passwort einfach auf und gibt es an den Kontrollserver weiter.
Der beste Schutz gegen diese Art von Sicherheitslücken besteht in der Aktivierung der Zwei-Faktor-Authentifizierung, die jetzt von vielen wichtigen Onlinediensten angeboten wird. Der Vorgang erfordert zwei Authentifizierungsschritte (normalerweise ein Kennwort, das mit einer E-Mail-Adresse oder einer Telefonnummer verknüpft ist), um sich von einem neuen Computer oder Gerät aus anzumelden. Solange Hacker keinen physischen Zugriff auf Ihr Mobiltelefon haben und Ihre E-Mails nicht gehackt haben, können sie sich nicht nur mit einem Passwort anmelden.
Benutzer werden außerdem aufgefordert, regelmäßig nach Malware zu suchen, obwohl Benutzer bei der Auswahl von Anti-Malware-Software vorsichtig sein sollten, da viele der online beworbenen Optionen tatsächlich verborgene Malware sind.
