Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

News

Spam-Welle: Warum gerade massenhaft Skype-Accounts übernommen werden

    Spam-Welle: Warum gerade massenhaft Skype-Accounts übernommen werden

Auf Skype läuft eine Spam-Welle. (Screenshot: onedrive.com)

Skype-Nutzer beschweren sich über eine Spam-Welle. Hintergrund sind zahlreiche übernommene Accounts. Schuld daran sind die Nutzer teilweise selbst – aber auch Microsoft hat einen Fehler gemacht.

In Microsofts Skype-Forum beschweren sich seit August hunderte Nutzer des Video-Konferenz-Systems, dass sie massenhaft Spam-Nachrichten erhalten. Auch ein Mitglied der t3n-Redaktion hat von zahlreichen Skype-Kontakten Spam-Nachrichten bekommen.

Es handelt sich bei den Nachrichten ausnahmslos um Link-Umleitungen, die auf dem chinesischen Online-Riesen Baidu gehostet werden. Sie führen beispielsweise auf unseriöse Online-Angebote angeblicher Wunderpillen, die die Gehirnkapazität steigern sollen. Die Websites arbeiten dabei mit den Logos bekannter Medienmarken wie Forbes und CNN.

Microsoft: Skype ist nicht gehackt worden

Hintergrund ist laut Microsoft kein direkter Hack von Skype, berichtet The Verge. Vielmehr probierten Kriminelle massenhaft E-Mail-Account und Passwort-Kombinationen aus, die den Angreifern aus den Hacks anderer Dienste in den vergangenen Monaten in die Hände gefallen sind. Accounts von Nutzern, die dieselbe Kombination von E-Mail-Adresse und Passwort auch bei Skype verwendeten, würden so von den Kriminellen übernommen und zum Senden der Spam-Nachrichten missbraucht.

Mit solchen Fake-Nachrichten werben die Spammer für angebliche Wunder-Pillen.
Mit solchen Fake-Nachrichten werben die Spammer für angebliche Wunder-Pillen.

In jüngster Zeit gab es eine Reihe von Hacks großer Dienste – darunter Linkedin, Yahoo, Dropbox, Tumblr. In allen Fällen gerieten Nutzername- und Passwort-Kombinationen von Millionen von Nutzern in die Hände Krimineller – teilweise durch Hashing mehr oder weniger gut geschützt, teilweise im Klartext. Ein großer Teil der Schuld trifft also die Nutzer, die dasselbe Passwort bei mehreren Diensten verwendeten – ein fataler Fehler, der sich am einfachsten durch den Einsatz eines Passwortmanagers vermeiden lässt.

Auch Microsoft ist nicht ganz unschuldig am Skype-Spam

Doch auch Microsoft ist laut dem Bericht von The Verge nicht ganz unschuldig an der Spam-Welle bei Skype: Microsoft ermöglicht es den Nutzern, den Skype- und Microsoft-Account zusammenzulegen. Was sie dabei aber nicht wissen: Das Skype-Passwort funktioniert danach weiterhin in Kombination mit dem Skype-Nutzernamen. Sollte es sich um ein unsicheres Passwort handeln oder um eins, das auch bei anderen Diensten verwendet wurde, besteht ein mögliches Einfallstor, von dem viele Nutzer gar nichts ahnen.

Das ist besonders fatal, weil so offenbar auch Microsofts Zwei-Faktor-Authentifizierung umgangen werden kann. The Verge berichtet von einem anonymen Microsoft-Mitarbeiter, der die von Microsoft angebotene Zwei-Faktor-Authentifizierung aktiviert hatte – und dessen Account dennoch mit der Kombination aus Skype-Nutzername und Passwort übernommen wurde. „Ich habe das mit meinem eigenen Account ausprobiert und war in der Lage, mich in meinen Skype-Account mit einem alten Passwort einzuloggen, obwohl ich ihn vor Monaten mit meinem Microsoft-Account verknüpft hatte“, schreibt der Verge-Autor. „Ich dachte, ich sei durch Microsofts Zwei-Faktor-Authentifizierung geschützt – war ich aber nicht.“

So löst du das Skype-Sicherheitsproblem

Microsoft kennt das Problem und hat einen Fix veröffentlicht. Es ist aber unklar, ob dieser auch bei Nutzern greift, die ihren Skype- und Microsoft-Account bereits zusammengelegt haben. Alle, die sicherstellen wollen, dass ihr altes Skype-Passwort nicht mehr funktioniert, sollten https://account.microsoft.com aufrufen und dort den Skype-Namen eingeben – nicht die mit dem Microsoft-Konto verknüpfte E-Mail-Adresse. Ist das noch möglich, sollten die Konten verknüpft werden. Danach funktioniert das alte Skype-Passwort nicht mehr, sondern nur das Passwort des Microsoft-Accounts.

In den Anmeldeeinstellungen kann dann festgelegt werden, ob der Skype-Name weiterhin als Login-Name neben der E-Mail-Adresse verwendet werden kann.  Das alte Skype-Passwort sollte jetzt jedenfalls nicht mehr funktionieren.

Ebenfalls interessant: 

via www.theverge.com

Finde einen Job, den du liebst zum Thema SEA

4 Reaktionen
Konrad

Ich bekomme aktuell täglich solche Spam Nachrichten. Die sind schon clever gemacht, weil die nicht direkt die Spamlinks posten sondern diese über eine Trust-Domain redirecten.

Antworten
Daniel
Daniel

Hallo Allerseits. Ich war selbst von dem Hack betroffen war natürlich erstmal schockiert als ich die E-Mail von Microsoft bekam, dass sich wahrscheinlich jemand fremdes in mein Konto eingeloggt hat. Meine Skype und MS Konto wurden schon vor dem Angriff zusammengeführt. Es war bei mir auch so, wie beschrieben, dass der Hacker sich mit meinem Skypename und wahrscheinlich dem alten PW einloggen konnte. Die Frage die sich mir stellt ist: War es demnach auch möglich dass man sich mit den alten Skype Daten im MS Konto anmelden konnte? Weil dann hätten die Hacker auch Zugriff auf mein Outlook, Onedrive etc. gehabt. Hat das mal jemand getestet und in Erfahrung gebracht?

Antworten
Sebastian.Z
Sebastian.Z

Nein das geht nicht.
Bei Skype war das nur möglich, da dein alter Account quasi noch vorhanden war/ist und mit dem Microsoft Konto zusammengelegt wurde.
Solange dein MS Konto nicht kompromittiert ist brauchst du dir keine Sorge um die anderen Dienste machen.

Antworten
Daniel
Daniel

Vielen Dank für die Info. Ich bin beruhigt :)

Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden