· 

So KÖNNTE catz den Instagram-Account von Mercedes gehackt haben

1. Einführung

Ihr wollt es, ihr bekommt es. Mich haben in den letzten Tagen sehr viele Nachrichten zum Hacking-Angriff auf den Instagram-Account von Mercedes Benz erreicht, in denen ich immer wieder gefragt wurde, ob ich dazu nicht einmal ein Video machen könnte. Ich wollte den Hype um dieses Thema aber erst einmal sacken lassen und beobachten, ob es weitere Erkenntnisse zu dem Hacker gibt. Neben einem angeblichen Bekennervideo und diversen Vermutungen, wie denn nun das Instagram-Passwort von Mercedes lautete, sind mir keine Neuigkeiten zu Ohren gekommen.

Ich möchte dir in diesem Artikel erklären, wie catz den Instagram Account gehackt haben KÖNNTE. Die Betonung liegt hier auf KÖNNTE, denn es gibt sehr viele mögliche Angriffsvektoren, um an ein Passwort zu gelangen. Welche genau verwendet wurden, wissen nur catz selbst, Instagram und vielleicht auch Mercedes. Dieser Artikel soll keine Anleitung zum Hacken von Instagram-Accounts sein! Ich animiere hier auch niemanden, sich daran zu versuchen. Alleine der Versuch, widerrechtlich einen Account zu kapern, ist strafbar. Es gibt nicht umsonst § 202c StGB (der sog. Hackerparagraf), der Personen davon abhalten soll, Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten ermöglichen, oder Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herzustellen, sich oder einem anderen zu verschaffen, zu verkaufen, einem anderen zu überlassen, zu verbreiten oder sonst zugänglich zu machen. Das gilt übrigens auch für deinen eigenen Instagram-Account, doch dazu schreibe ich noch einen separaten Artikel.

Sieh diesen Artikel bitte als das, was er ist: Eine Sammlung an möglichen Angriffsvektoren, vor denen man sich unbedingt schützen sollte. An dieser Stelle möchte ich schon einmal den Streamer Montanablack loben, der offenbar eine zweistufige Authentifizierung für seine Accounts nutzt und damit den Sicherheitsbeauftragten von Mercedes (zumindest deren Social Media Team) einiges voraus hat! Ich unterstelle ihm auch einfach mal, dass er ein sicheres Passwort gewählt hat und auf verschiedenen Plattformen unterschiedliche Passwörter nutzt. 

Zum Schluss möchte ich erklären, was Mercedes hätte besser machen sollen und euch ein paar Tipps geben, die euch dabei helfen sollen, auch eure Accounts im Internet zu schützen.


2. Brute Force Angriff

Die erste Möglichkeit, die einem natürlich sofort in den Sinn kommt, wenn man über das Knacken von Passwörtern spricht, ist die Holzhammermethode bzw. (im IT-Fachjargon ausgedrückt) Brute Force Attacke. Hierbei handelt es sich um einen sehr trivialen Ansatz, bei dem einfach alle Möglichkeiten für ein Passwort oder Schlüssel nacheinander ausprobiert werden. Der Begriff bedeutet übersetzt so viel wie "rohe Gewalt", was auch zur grundlegenden Vorgehenweise dieser Methode passt, nämlich mit roher Gewalt ein System in die Knie zwingen.

Ich habe auch schon einige Videos zum Thema Bruteforcing veröffentlicht und daher weißt du vermutlich schon, dass es im Normalfall entsprechende Gegenmaßnahmen von Seiten des Dienstbetreibers ergriffen werden, wie etwa das Sperren eines Accounts nach mehrmaliger Falschanmeldung. Bei Accounts von Unternehmen und Personen des öffentlichen Lebens ist das Fahren dieser Politik allerdings kontraproduktiv für die Usability, da vermutlich tägliche mehrere Falschanmeldungen von übereifrigen Benutzern durchgeführt werden, die (wie catz) versuchen, ein bestimmtes Social Media Profil zu kapern. Dementsprechend könnte entweder das Limit der fehlerhaften Anmeldeversuche angehoben oder komplett abgeschaltet worden sein. Das würde natürlich Tür und Tor für Brute Force Angriffe eröffnen, doch wenn das Passwort hinreichend sicher gewählt ist, wird man sehr wahrscheinlich nicht erfolgreich sein. Ein sicheres Passwort sollte Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen enthalten. Grundsätzlich gilt: Je länger dein Passwort, desto besser. Als Daumenregel gilt: Ein Passwort sollte stets aus mehr als 10 Zeichen bestehen! Wenn du komplizierte Passwörter mit vielen Zahlen und Sonderzeichen immer wieder vergisst, kannst du durch die Wahl "einfacher" Passwörter bzw. Passphrasen, die dann entsprechend lang sind, auch ohne Zahlen bzw. Sonderzeichen einen Zugewinn an Sicherheit erzielen. Mit der Passphrase "Dieses Passwort ist quasi unknackbar" bescherst du dem Angreifer erstmal einige Stunden Arbeit! Dein Passwort sollte keine Wörter aus einem Wörterbuch enthalten. Es gibt nämlich zahlreiche Listen im Internet, die häufig verwendete Passwörter führen, so z. B. die GitHub-Seite von Daniel Miessler. Wenn sich Mercedes munter aus (Pass-)Wörtern, die dort gespeichert sind, bedient hat, dann wird catz vermutlich laut darüber gelacht haben. 

Mich würde wirklich sehr interessieren, wie das Passwort von Mercedes vor dem Hack lautete. Unter einigen YouTube-Videos habe ich gelesen, dass es "mercedes123" oder einfach nur "mercedes" gelautet haben soll. Solche Passwörter können instant geknackt werden. Selbst beim Vorhandensein eines einzigen Sonderzeichens sind auch achtstellige Passwörter noch durchaus im Rahmen des zeitlich gut machbaren. Zudem gibt es bei der Art und Weise, wie Passwörter gespeichert werden, je nach Hersteller unterschiedliche Praktiken, die statt eines Schutzes nur weitere Angriffsvektoren liefern. Als Negativbeispiele sind hier SAP und Microsoft zu nennen, doch dazu schreibe ich noch einen separaten Artikel. Ich denke nicht, dass catz über eine SQL-Injection oder ähnliches an den Passwort-Hash seines Opfers gekommen ist, denn sonst hätte er direkt weitere Accounts bzw. Teile der oder sogar die gesamte Datenbank stehlen können. Mit einem Hashcracker wie Hashcat oder eigenen Programmen, die wir schon in diversen Video-Tutorials programmiert haben, sind solche Praktiken für einen angehenden White-Hat-Hacker eine Leichtigkeit.

Meiner Ansicht nach ist es am wahrscheinlichsten, dass catz einen wohlüberlegten Brute Force Angriff durchgeführt hat, also eine Mischung aus reinem Ausprobieren und einer speziell auf Mercedes angepasste Wordlist. Als Teil der Open Source Intelligence (OSINT) könnte man im Vorfeld mit dem Scannen der Online-Präsenz eines Unternehmens diverse Rückschlüsse auf mögliche Passwörter ziehen. Im Falle von Mercedes wäre das natürlich der Unternehmensname, die Namen der Tochterfirmen oder Modellbezeichnungen (z. B. AMG). Kombiniert man das mit Informationen über den Social Media Manager oder demjenigen, der den Account verwaltet, hat man schon ziemlich gute Chancen auf den Erfolg einer Brute Force Attacke. Zudem wissen wir (und vermutlich wusste das auch catz) nicht, wer die Passwörter festlegt, doch es liegt der Schluss nahe, dass das ggf. der Social Media Manager macht bzw. das Team, das für die Pflege der Social Media Präsenz zuständig ist. Durch geeignete Recherchen erlaubt das ggf. weitere Punkte, an denen man anknüpfen kann.

Es gibt auf GitHub zahlreiche Projekte, die sich mit dem Hacken von Instagram-Passwörtern befassen. Es existieren auch auf vielen weiteren Webseiten Skripte, die man dafür nutzen kann oder die versprechen, dass man damit Instagram-Passwörter hacken können soll. Wie bereits eingangs erwähnt, unterstütze ich das Hacken von anderen Accounts nicht und deshalb empfehle ich hier auch keine Tools. Jeder kann durch eine Online-Recherche diese Tools finden und es ist bei weitem kein geheimes Wissen, das ich euch hiermit an die Hand gebe. Viele Skripte funktionieren auch gar nicht oder fußen auf alten Sicherheitslücken. Ich möchte dir an dieser Stelle noch einmal eindringlich davon abraten, solche Tools zu verwenden! Du kannst sie natürlich herunterladen und analysieren, um festzustellen, wie sie funktionieren. Dadurch lernt man in meinen Augen am meisten, doch zum Einsatz sollst und darfst du sie nicht bringen! Auch nicht zum Knacken deines eigenen Accounts, weil du dadurch nämlich die Infrastruktur von Instagram angreifst! 


3. (Spear) Phishing Angriff / Social Engineering

Es könnte auch sein, dass catz es geschafft hat, einen Phishing-Angriff erfolgreich durchzuführen. Hierbei handelt es sich um eine Methode aus dem Bereich des Social Engineerings, bei der man E-Mails in der Hoffnung versendet, dass der Empfänger auf einen bestimmten Link klickt oder einen Anhang öffnet. Der Link führt dann zu einer Seite, die so ähnlich aussieht wie die eigentliche Webseite (in diesem Fall Instagram) und der Anwender trägt in dem Glauben auf der gewünschten Seite zu sein, die Zugangsdaten für seinen Account ein. Die eingetragenen Informationen werden dann aber im Klartext an den Hacker geschickt, der diese Seite aufgesetzt und die E-Mail verschickt hat. Die Nachrichten, die bei einem Phishing Angriff versendet werden, sind immer kreativer und realistischer geworden. Ich habe auch schon Meldungen erhalten, in denen ich angeblich eine Zahlung über PayPal autorisiert hätte und ich solle doch mal nachschauen, ob die stimmt. Oder man bekommt eine Fake-E-Mail mit dem Hinweis, dass eine Bestellung von Amazon versendet wurde und man nach der Anmeldung den aktuellen Zustellungsstatus abfragen kann. Das sind alles Meldungen, die sehr realistisch klingen und wenn man einen der genannten Dienste nutzt, ist die Verlockung groß, dort versehentlich draufzuklicken und seine Benutzerdaten einzutragen. Während man beim klassischen Phishing einfach nur ein riesiges Netz aufwirft und hofft, so viele Leute wie möglich zu "fangen", setzt man beim Spear-Phishing auf den gezielten Angriff einer bestimmten Person. Über diese holt man im Vorfeld über öffentliche Quellen Informationen ein und kann so eine wesentlich personalisiertere Nachricht versenden, die eine viel höhere Erfolgswahrscheinlichkeit verspricht als das klassische Phishing.

Ich denke nicht, dass das Team von Mercedes darauf reingefallen ist, doch möglich wäre es schon. Allerdings hätte der Hacker im Vorfeld viel mehr Recherchearbeit betreiben müssen, um denjenigen zu finden, der tatsächlich den Instagram-Account administriert und ihn dann auch noch dazu überreden müssen, dass er auf den Link zu einer aufgesetzten Fake-Seite führt. 


4. Zero Day Exploit Angriff

Eine weitere Möglichkeit, die catz genutzt haben könnte, wäre ein Zero Day Exploit Angriff. Ein Zero Day Exploit Angriff erfolgt am selben Tag, an dem die dabei ausgenutzte Sicherheitslücke in der jeweiligen Software entdeckt wird. Die Schwachstelle wird also ausgenutzt, bevor sie vom Hersteller der Software gepatcht wird. Jemand, der eine Sicherheitslücke entdeckt hat im Grunde drei Möglichkeiten:

  1. Er kann sie dem Hersteller melden, damit schnellstmöglich ein Patch entwickelt wird.
  2. Er kann andere Benutzer auf die Sicherheitslücke aufmerksam machen.
  3. Er kann die Sicherheitslücke ausnutzen, um sich selbst davon Vorteile zu verschaffen.

Im letzten Fall hat der Hersteller keine Chance, sich dagegen zu schützen, denn er wusste selbst nicht einmal von der Sicherheitslücke. Es könnte möglich sein, dass catz eine Schwachstelle bei Instagram gefunden und diese ausgenutzt hat. 

Ich halte diese Variante aber für äußerst unwahrscheinlich, denn wenn er wirklich eine solche Sicherheitslücke entdeckt hätte, dann hätte er diese offiziell an Instagram melden und somit eine Menge Geld bekommen können. Solche Bug-Bounties (also Kopfgelder auf Schwachstellen) werden besonders von großen Firmen sehr gut bezahlt (außer bei dem Gasthaus zur goldenen Möwe; dort bekommt man für einen medienwirksamen Hack wohl eine goldene Karte, für die man einmal pro Tag ein halbes Jahr lang kostenlos Essen kann). Zudem hätte er dadurch Reputationspunkte sammeln und sich in der Szene der Ethical Hacker einen Namen machen können. Ggf. wäre sogar ein Angebot im IT-Sicherheitsbereich von Instagram direkt gekommen. Evtl. waren ihm aber diese Möglichkeiten gar nicht bewusst, doch auch das halte ich für unwahrscheinlich. Wenn man kein Skript-Kiddie ist und eine Infrastruktur oder ein Unternehmen angreifen möchte, dann hat man sich im Vorfeld schon mit Hacking beschäftigt und wird wissen, dass es verschiedene Hüte gibt, die man sich dabei aufsetzen kann und dass man als White-Hat-Hacker wesentlich besser verdienen kann als ein Black-Hat-Hacker. Zudem hat der Hacker einen "Spendenlink", der zu einer Bitcoin-Adresse verlinkt hat, eingefügt, was darauf schließen lässt, dass er auch finanziell interessiert war. Seinen Reaktionen nach zu urteilen ging es ihm vermutlich um eine Mischung aus finanziellem Vorteil und Anerkennung. Das sind aber nur Mutmaßungen und ich möchte hier keine Aussage über seine tatsächlichen Beweggründe treffen ... die kennt nämlich nur er (oder sie; catz könnte auch einen Haeckse sein).


5. Malware auf dem Rechner / Smartphone des Account-Betreibers

Was ich ebenfalls für unwahrscheinlich halte ist, dass catz auf dem Rechner bzw. auf dem Smartphone des Account-Betreibers Malware installieren konnte. Wenn ihm das gelungen ist, dann hat er sehr viele Angriffspunkte. Er könnte bspw. einen Keylogger installieren. Aus meinem Video zur Programmierung eines Keyloggers in Python weißt du, dass das sehr leicht ist. Der Social Media Manager von Mercedes könnte, wenn er tatsächlich derjenige ist, der den Account verwaltet, andere Apps auf dem Rechner oder dem Smartphone installiert haben, die über eine Sicherheitslücke verfügen, die der Hacker ausgenutzt hat. Das halte ich aber ebenfalls für unwahrscheinlich, weil sonst vermutlich wieder das zuvor genannte Bug-Bounty-Argument greifen würde. Zudem ist fraglich, ob Mercedes ein Bring Your Own Device (BYOD) Konzept für seine Mitarbeiter entwickelt hat. Wenn dem so ist, könnte es natürlich sein, dass der Social Media Manager von verschiedenen Geräten aus auf den Instagram-Account zugreifen könnte (es ist ja offensichtlich auch keine zweistufige Authentifizierung vonnöten, doch dazu später mehr). Mit jedem Gerät (insbesondere wenn es ein privat genutztes Gerät ist) steigt natürlich auch die Wahrscheinlichkeit, dass Dritte mitlesen und Zugriff auf bestimmte Accounts erhalten.


6. Was hätte Mercedes besser machen sollen?

Sie hätten die Erfolgswahrscheinlichkeit des Hacking-Angriffs schon alleine dadurch reduzieren können, dass sie eine zweistufige oder Zwei-Faktor-Authentifizierung verwenden. Wie Montanablack schon während seines Livestreams gesagt hat, ist es auch mir völlig unverständlich, wie sich ein so großes Unternehmen bei der Pflege ihrer Social Media Accounts rein auf den wissensbasierten Schutz verlässt. Dass der Social Media Manager keine biometrischen Informationen über sich als zweiten Faktor hinterlegen soll, ist klar. Doch neben dem wissens- und biometriebasierten Ansatz für die 2FA gibt es noch den des Besitzes. Hierbei gibt es verschiedene technologische Ansätze: 

  • TAN/OTP Eine Transaktionsnummer (TAN) bzw. ein One Time Password (OTP) ist ein einmaliges Passwort, das als zweiter Faktor an das System übermittelt werden kann. Früher wurden diese TANs vorab in Papierform zur Verfügung gestellt (Stichwort iTAN), doch diese Vorgehensweise gilt mittlerweile als unsicher. Heutzutage werden hardwarebasierte TAN-Generatoren bzw. Authenticator Apps (Software) genutzt, die solche OTPs zeit- oder ereignisbasiert neu generieren. Auch die Übermittlung eines einmaligen Besätigungscodes ist möglich. Ich verwende bspw. einen Time Based One Time Password Generator (TOTP-Generator) oder einen YubiKey.
  • Kryptographische Tokens Auch kryptographische Tokens werden gerne eingesetzt. Sie speichern einen privaten kryptographischen Schlüssel. Der Benutzer authentisiert sich durch das Senden einer Anforderung an das Token, die das Token wiederum nur mithilfe des privaten Schlüssels richtig beantworten kann. Der Schlüssel kann in Form eines Softwarezertifikats gespeichert werden. Wenn man auf Nummer sicher gehen möchte, dann sollte man ihn auf einer Chipkarte oder einem speziellen USB-Stick bzw. NFC-Token (FIDO/U2F) sichern.

Bei Instagram gibt es die Möglichkeit, sich bei der Anmeldung über ein neues Gerät oder bei einer generellen Anmeldung mit einem 6-stelligen PIN, der an die hinterlegte Telefonnummer gesendet wird, zusätzlich zu authentisieren. Erst, wenn dieser PIN korrekt eingegeben wurde, wird man von Instagram authentifiziert. Auch hierauf gibt es allerdings Angriffsvektoren: Das Smartphone, auf das der Bestätigunscode gesendet wird, ist nämlich nicht unbedingt erforderlich, denn man kann solche Nachrichten auch anderweitig abfangen. Es gab schließlich auch eine Zeit lang eine Sicherheitslücke bei WhatsApp, durch die man über ein PHP-Skript direkt mit dem WhatsApp-Server kommunizieren konnte und mit einer gefälschten IMEI-Nummer in der Lage war, unbemerkt die Nachrichten einer bestimmten Nummer zu lesen. Trotzdem hätte die von Instagram angebotene Vorgehensweise die Erfolgswahrscheinlichkeit erheblich reduziert! catz soll wohl die Aussage getroffen haben, dass Mercedes die zweistufige Authentifizierung nicht eingeschaltet hatte. Demnach war es für ihn nicht nötig, den zweiten Faktor zu umgehen, was ohnehin sehr schwierig bis mehr oder weniger unmöglich gewesen wäre. Neben dem Code, der per SMS an das Smartphone gesendet wird, bietet Instagram auch die Möglichkeit, eine Authenticator App zu nutzen.

Aber ist so eine zweistufige Authentifizierung nicht völlig überzogen und paranoid? Nein! In der heutigen Zeit ist fast jeder im Internet präsent. Selbst dann, wenn man nur seine Steuererklärung über ELSTER machen möchte, ist man mit dem Internet verbunden, da hierbei eine elektronische Übermittlung der Steuerdaten vorgenommen wird. Umso wichtiger ist es, dass man seine Accounts so sicher wie möglich macht, um sich so ausreichend vor Angreifern zu schützen. Die meisten Online-Dienste verlangen von dir, dass du dich mit einem Benutzernamen und einem Passwort anmeldest. Der Benutzername ist oftmals bekannt (in Foren ist das in den meisten Fällen der Benutzername, es kann aber auch die E-Mail-Adresse sein, die zur Registrierung verwendet wurde). Jemand, der sich für dich ausgeben möchte, braucht also lediglich das Passwort ... und das alleine ist als Schutz sehr schwach, da man es erraten, brute forcen oder durch gezielte Phishing E-Mails widerrechtlich abgreifen kann. Einige geben in sozialen Netzwerken wie Facebook oder Instagram sehr viele Informationen von sich preis, die Hacker dazu nutzen können, um das Passwort eines Benutzers zu erraten bzw. Programme zu schreiben, mit denen die Ermittlung des Passworts erheblich erleichtert werden kann. Zudem gibt es zahlreiche Passwortlisten im Internet zu finden, in denen häufig verwendete Passwörter stehen. Damit ist es ein Leichtes, diesen vermeintlichen Schutz durch ein Passwort zu umgehen und sich für jemand anderen auszugeben, wie man anhand des Mercedes-Hacks eindrucksvoll gesehen hat.

So eine zweistufige Authentifizierung kann auch lebensrettend sein. Stelle dir mal vor, was passieren würde, wenn der aktuelle US Präsident Donald Trump seinen Twitter-Account einzig und allein mit einem Passwort schützen würde. Ein Hacker, der sein Passwort knackt, hält damit quasi ein Äquivalent zu dem berühmt berüchtigten roten Knopf in Händen. Es haben bestimmt schon zahlreiche Leute versucht, diesen Account zu knacken. Doch selbst wenn sie die erste Hürde (das Passwort) überwunden hätten, wären sie spätestens bei dem zweiten Faktor (welcher das auch immer sein mag) gescheitert. 

Ich hoffe, es ist angekommen, dass du dir ernsthaft darüber Gedanken machen solltest, deine Social Media Accounts (wann immer es geht) mit einem zweiten Faktor zu schützen! Auch die Wahl sicherer Passwörter ist essentiell. Wie das funktioniert, kannst du in meinem Video zur Wahl sicherer Passwörter nachschauen. Natürlich empfindet man diesen zweiten Faktor als lästig, da man länger für den Anmeldevorgang braucht, doch Sicherheit und Usability liefern sich stets einen unerbittlichen Machtkampf, an dessen Ende jeder für sich selbst entscheiden muss, was ihm wichtiger ist. Man muss dann aber auch mit den Konsequenzen leben.