{"id":8812,"date":"2022-04-22T17:57:36","date_gmt":"2022-04-22T15:57:36","guid":{"rendered":"https:\/\/u-labs.de\/portal\/?p=8812"},"modified":"2024-12-30T23:23:05","modified_gmt":"2024-12-30T21:23:05","slug":"julien-bam-gehackt-informatiker-reagiert-wie-ein-hack-trotz-3-faktor-authentifizierung-moeglich-war-was-steckt-hinter-ark-invest","status":"publish","type":"post","link":"https:\/\/u-labs.de\/portal\/julien-bam-gehackt-informatiker-reagiert-wie-ein-hack-trotz-3-faktor-authentifizierung-moeglich-war-was-steckt-hinter-ark-invest\/","title":{"rendered":"Julien Bam gehackt: Informatiker reagiert, wie ein Hack trotz 3-Faktor Authentifizierung m\u00f6glich war – Was steckt hinter „Ark Invest“?"},"content":{"rendered":"

Julien Bam ist ein Webvideoproduzent aus Aachen. Mit seinem gleichnamigen Hauptkanal erreicht er rund 6 Millionen Zuschauer auf YouTube und geh\u00f6rt damit zu den top 20 der meist abonnierten Kan\u00e4le in Deutschland. <\/p>\n

Julien Bam verschenkt mit Elon Musk Bitcoin? Was passiert ist<\/h2>\n

Bekannt ist er vor allem f\u00fcr k\u00fcnstlerische Inhalte, Unterhaltung und Musikvideos. Viele der Abonnenten staunten daher nicht schlecht, als Julien Bam in der Nacht zum Ostermontag (18.04.2022) pl\u00f6tzlich einen Livestream zu Cryptow\u00e4hrungen und m\u00f6gliche Folgen durch die Inflation startete:<\/p>\n

\"\"<\/a>
Quelle: @der_dari1, Twitter<\/a><\/figcaption><\/figure>\n

Es handelte sich scheinbar um eine Gespr\u00e4chsrunde mit Tesla-Chef Elon Musk. Die Konferenz wurde jedoch in ein Bild eingebunden, dass f\u00fcr „ARK Invest“ warb. Eine Investmentgesellschaft aus den USA, die Anfang 2021 Kapital in H\u00f6he von 50 Milliarden US-Dollar verwaltete. Ein Teil davon in ETF-Fonds.<\/p>\n

In den vermeintlichen YouTube Live-Streams geht es jedoch nicht um Investments: Angeblich verschenken Cathie Wood (CEO von ARK Invest) und Elon Musk zusammen jeweils 50.000 Etherum und Bitcoin, um die Verbreitung von Cryptow\u00e4hrungen zu f\u00f6rdern. Man soll daf\u00fcr einen bestimmten Betrag in einer der Cryptow\u00e4hrungen senden und erh\u00e4lt das doppelte zur\u00fcck. Wer etwa 1 Ether schickt, soll 2 zur\u00fcck erhalten:<\/p>\n

\"\"<\/a>
Quelle: Schwendellu, Twitter<\/a><\/figcaption><\/figure>\n

Wie immer gilt: Was zu sch\u00f6n klingt um wahr zu sein, ist es meistens auch. Es finden sich keine offiziellen Informationen dazu, dass beide Cryptow\u00e4hrungen verschenken – noch dazu derart hohe Summen. \u00c4hnlich wie bei den E-Mails, in denen ein Kronprinz 10.000 US-Dollar m\u00f6chte um an seine Milliardensch\u00e4tze zu kommen, gehen die Opfer leer aus.<\/p>\n

Um noch seri\u00f6ser zu wirken, wurden Haupt- und Zweitkan\u00e4le von Julien Bam in „ARK Invest“ umbenannt. S\u00e4mtliche bestehenden Videos hat der Angreifer privat gestellt oder gel\u00f6scht:<\/p>\n

\"\"<\/a>
Quelle: Shaxreym, Twitter<\/a><\/figcaption><\/figure>\n

Es gibt keine Hinweise darauf, dass Elon Musk tats\u00e4chlich Bitcoin verschenkt – noch dazu eine derart hohe Summe. Im Gegenteil: Bereits 2020 wurden der Name von Elon Musk missbraucht, um Geld mit angeblichen Bitcoin-Geschenken zu ergaunern<\/a>.<\/p>\n

Wie waren seine Google\/YouTube-Zug\u00e4nge gesch\u00fctzt?<\/h2>\n
\"\"<\/a><\/figure>\n

Am Morgen des folgenden Montags bemerkte Julien Bam die Ereignisse und versuchte YouTube zu kontaktieren<\/a>. Laut eigenen Aussagen soll er 3-Faktor Authentifizierung genutzt haben. Es gibt verschiedene Kategorien von Authentifizierungsfaktoren:<\/p>\n

    \n
  1. Wissen – etwa Benutzername, Passwort, Pin und \u00e4hnliches<\/li>\n
  2. Besitz – Generierte Einmalpassw\u00f6rter (etwa OTP per Handy-App), USB-Sticks wie YubiKey, Ausweise etc.<\/li>\n
  3. Biometrische Merkmale – Fingerabdruck, Gesichtserkennung, Stimmerkennung oder komplexere Verfahren wie Fetina- und Irisscans, die verschiedene Muster (etwa in der Netzhaut) verwenden<\/li>\n<\/ol>\n

    Bei der 2-Faktor Authentifizierung kombiniert man Wissen (#1) und Besitz (#2). Zus\u00e4tzlich zum Passwort muss man also z.B. den Pin-Code aus einer Smartphone-App eingeben. Dies habe ich bereits f\u00fcr die Absicherung von SSH vorgestellt<\/a>. Wie genau Julien Bam seine Konten gesch\u00fctzt hat, ist leider nicht bekannt. Seinem Tweet nach muss er zus\u00e4tzlich jedoch noch eine Form von biometrischen Merkmalen (#3) genutzt haben. In welcher Form kann man nur mutma\u00dfen, etwa zur Entsperrung des 2FA Handys. Grunds\u00e4tzlich erh\u00f6ht jeder Faktor die Sicherheit, da nur eine Methode aus der jeweiligen Kategorie genutzt wird. Wenn man also zu einem Passwort noch einen (statischen) Pin-Code angibt, bleibt das 1-Faktor Authentifizierung.<\/p>\n

    Wie konnte das passieren, wenn er nicht nur 2FA sondern sogar 3FA nutzt?<\/h2>\n

    Es gibt recht viele Wege – der Grund: Multi-Faktor Authentifizierung sch\u00fctzt zwar gegen einige Angriffsm\u00f6glichkeiten und ist daher wichtig. Aber bei weitem nicht gegen alle. Die gr\u00f6\u00dfte Schwachstelle ist der Benutzer selbst und ein direkter Angriff des eigenen Ger\u00e4tes, dass ja v\u00f6llig berechtigt auf ein Konto zugreifen darf.<\/p>\n

    Methode #1 Soziale Manipulation\/Social Engineering<\/h3>\n

    Durch Manipulation bringt man das Opfer dazu, die Multi-Faktor Authentifizierung auszuhebeln. Beispielsweise gibt sich der Angreifer als Support-Mitarbeiter von Google aus und erz\u00e4hlt eine bedrohlich klingende Geschichte, die sofortiges Handeln erfordert: Das Konto wurde angeblich gekapert, aber der Mitarbeiter k\u00f6nne das verhindern, wenn das Opfer seine 2-Faktor App \u00f6ffnet und dem Mitarbeiter den Code \u00fcbermittelt. Ironischerweise wird der Angriff dadurch erst m\u00f6glich gemacht.<\/p>\n

    Dies ist nat\u00fcrlich ein stark vereinfachtes Beispiel. Professionelle Angreifer gehen hier – vor allem bei lohnenswerten Zielen – durchaus professioneller vor und erfinden wenn n\u00f6tig eine ganze Historie, damit die Geschichte f\u00fcr das Opfer plausibel klingt und darauf eingeht. Beispielsweise analysiert man das Umfeld des Opfers und baut echte Namen\/Geschehnisse ein, die Glaubw\u00fcrdigkeit ausstrahlen.<\/p>\n

    Man sollte sich nicht von der Banalit\u00e4t dieser Methode t\u00e4uschen lassen. Bis heute fallen immer wieder verschiedenste Opfer darauf hinein. Bei weitem nicht nur die Oma, die einem angeblichen Enkel zehntausende Euro \u00fcberweist. Beispielsweise schaffte es ein Jugendlicher, durch Soziale Manipulation Zugriff auf das E-Mail Konto des CIA-Direktors zu erhalten<\/a>. Gut durchgef\u00fchrt kann ein solcher Angriff sehr effektiv sein und s\u00e4mtliche technische Schutzma\u00dfnahmen durchbrechen.<\/p>\n

    Methode #2 Die Sitzung wird durch ein legitimes Ger\u00e4t gekapert<\/h3>\n

    Der Computer des Opfers hat Zugriff auf das YouTube-Konto – schlie\u00dflich best\u00e4tigt das Opfer hier selbst die Multi-Faktor Authentifizierung, um den Dienst nutzen zu k\u00f6nnen. Meist ist dies nicht bei jedem Vorgang n\u00f6tig, sondern aus Bequemlichkeit und Zeitersparnis nur auf neuen Ger\u00e4ten oder nach einem l\u00e4ngeren Zeitraum.<\/p>\n

    Infiziert man dieses Ger\u00e4t mit Schadsoftware (etwa \u00fcber eine verseuchte E-Mail, Werbeanzeige oder \u00e4hnliches), kann man diese Sitzung missbrauchen. Schon eine gekaperte Erweiterung im Browser w\u00fcrde daf\u00fcr ausreichen, es muss nicht mal das gesamte System kompromittiert sein. <\/p>\n

    In beiden F\u00e4llen kann man es sich vereinfacht gesagt so vorstellen, dass das Opfer sich nichtsahnend im Browser einloggt mit Multi-Faktor Authentifizierung. Im Hintergrund steuert die Schadsoftware den Browser „fern“, sodass mit seinem eingeloggten Konto entsprechend Unsinn getrieben werden kann.<\/p>\n

    Methode #3 Schadsoftware auf dem Mobilger\u00e4t<\/h3>\n

    Handys werden oft als zweiter Faktor genutzt. Sicherheitstechnisch sind sie leider oft bescheiden abgesichert, teils nicht mal die aktuellsten Updates installiert. Schadsoftware konzentriert sich daher mittlerweile auch auf Mobilger\u00e4te. Ist ein Handy infiziert, kann man dort etwa den Multi-Faktor Code abfangen oder ggf. sogar deaktivieren.<\/p>\n

    Methode #4 Drittanbieter-Dienste kapern, z.B. SIM-Swapping<\/h3>\n

    Einige Dienste erlauben das Hinterlegen der Handynummer, um dar\u00fcber Zugriff auf sein Konto zu bekommen. Meist wird eine SMS mit einem Code verschickt. Er dient zum Anmelden als Multi-Faktor oder um das Passwort zur\u00fcck zu setzen. Beim SIM-Swapping kapert man die SIM-Karte des Opfers. Durch Datenlecks wie z.B. von Facebook ist es teils nicht mal schwer, an die Handynummer heran zu kommen. Damit l\u00e4sst sich dann beispielsweise beim Anbieter in Kombination mit Sozialer Manipulation eine Ersatzkarte an eine gef\u00e4lschte Adresse senden. Dadurch kann der Angreifer den Code abfangen und erh\u00e4lt Zugriff auf das Konto.<\/p>\n

    Fazit<\/h2>\n

    Welche der Varianten geschehen sind, ist derzeit noch unklar. Laut eines Instagram-Posts wurde auf dem Computer von Julien Bam versucht Cryptow\u00e4hrung zu sch\u00fcrfen. Das spricht f\u00fcr Variante 2. Was ihr aus diesem Fall mitnehmen solltet: Multi-Faktor Authentifizierung ist wichtig, aber reicht als alleiniger Schutz nicht aus. Die Ger\u00e4te m\u00fcssen nach wie vor abgesichert werden. Vor allem bei wichtigen Zug\u00e4ngen ist es zudem sinnvoll, Komfortfunktionen zu hinterfragen bzw. auf einen sinnvollen Kompromiss zwischen Bequemlichkeit und Sicherheit einzustellen.<\/p>\n

    Nat\u00fcrlich muss nicht jedes Konto h\u00f6chstm\u00f6glich abgesichert werden. Zumal man bei einem Unternehmer wie Julien Bam, der mit seiner Reichweite Millionen verdient, sicher ein anderes Schutzniveau nutzen sollte, als f\u00fcr das private Hobby-YouTube-Konto.<\/p>\n","protected":false},"excerpt":{"rendered":"

    Julien Bam ist ein Webvideoproduzent aus Aachen. Mit seinem gleichnamigen Hauptkanal erreicht er rund 6 Millionen Zuschauer auf YouTube und geh\u00f6rt damit zu den top 20 der meist abonnierten Kan\u00e4le in Deutschland. Julien Bam verschenkt mit Elon Musk Bitcoin? Was passiert ist Bekannt ist er vor allem f\u00fcr k\u00fcnstlerische Inhalte, Unterhaltung und Musikvideos. Viele der …<\/p>\n","protected":false},"author":5,"featured_media":8821,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1110,85],"tags":[881,1038,1039,56],"class_list":["post-8812","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-gesellschaftliches","category-sicherheit","tag-angriff","tag-hack","tag-multifaktor-authentifizierung","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts\/8812","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/comments?post=8812"}],"version-history":[{"count":5,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts\/8812\/revisions"}],"predecessor-version":[{"id":9755,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts\/8812\/revisions\/9755"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/media\/8821"}],"wp:attachment":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/media?parent=8812"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/categories?post=8812"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/tags?post=8812"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}