Nach einem atemberaubenden Super Bowl-Sonntag sind wir weniger begeistert, Ihnen den Weirdo Wednesday dieser Woche zu präsentieren. Zwei Geschichten sind uns aufgefallen, beide handeln von Männern, die klare Grenzen überschritten und online in die Privatsphäre von Frauen eingedrungen sind.
Letzte Woche gab der 27-jährige Kyle Svara aus Oswego, Illinois, zu, Snapchat-Konten von Frauen in den gesamten USA gehackt zu haben. Zwischen Mai 2020 und Februar 2021 sammelte Svara die Sicherheitscodes von 571 Opfern, was zu einem bestätigten unbefugten Zugriff auf mindestens 59 Konten führte.
Anstatt zu versuchen, die robusten Verschlüsselungsprotokolle von Snapchat zu knacken, richtete Svara seine Social-Engineering-Angriffe direkt gegen die Kontoinhaber selbst.
Nachdem er Telefonnummern und E-Mail-Adressen gesammelt hatte, löste er den legitimen Anmeldeprozess von Snapchat aus, wodurch sechsstellige Sicherheitscodes direkt an die Geräte der Opfer gesendet wurden. Er gab sich als Snapchat-Support aus und versendete dann über einen VoIP-SMS-Dienst mehr als 4.500 anonyme Nachrichten, in denen er behauptete, die Codes seien zur „Verifizierung“ oder „Sicherung“ des Kontos erforderlich.
Svara zeigte besonderes Interesse an der Funktion „My Eyes Only” von Snapchat – einer sekundären vierstelligen PIN, die die sensibelsten Inhalte eines Nutzers schützen soll. Indem er die Opfer dazu überredete, ihm beide Codes mitzuteilen, umging er zwei Sicherheitsebenen, ohne auch nur eine einzige Zeile Code zu berühren. Er ging mit privaten Materialien, darunter Nacktbilder, davon.
Svara tat dies nicht nur zu seinem eigenen Vergnügen. Er vermarktete sich selbst als hacker, warb auf Plattformen wie Reddit und bot Zugang zu bestimmten Konten im Austausch gegen Geld oder Tauschgeschäfte an.
Er wurde entdeckt, weil er seine Dienste anderen verkaufte. Obwohl Svara Anfang 2021 mit dem Hacken aufhörte, folgte sein juristischer Tag der Abrechnung nach der Verurteilung eines seiner Kunden im Jahr 2024: Steve Waithe, ein ehemaliger Leichtathletiktrainer, der an mehreren renommierten Universitäten, darunter Northeastern, tätig war. Waithe bezahlte Svara dafür, dass er sich auf studentische Athleten konzentrierte, die er eigentlich betreuen sollte.
Svara machte sich auch an Frauen in seiner Heimatstadt Plainfield, Illinois, und sogar am weit entfernten Colby College in Maine heran.
Er muss sich nun unter anderem wegen Identitätsdiebstahls, Überweisungsbetrugs, Computerbetrugs und falscher Aussagen gegenüber den Strafverfolgungsbehörden in Bezug auf Material über sexuellen Kindesmissbrauch verantworten. Die Urteilsverkündung ist für den 18. Mai vorgesehen.
So schützen Sie Ihr Snapchat-Konto
Senden Sie niemals Ihre Anmeldedaten oder Geheimcodes an andere Personen, auch wenn Sie glauben, diese zu kennen.
Dies ist auch ein guter Zeitpunkt, um über Passkeys zu sprechen.
Mit Passkeys können Sie sich ohne Passwort anmelden. Im Gegensatz zur Multi-Faktor-Authentifizierung sind Passkeys jedoch kryptografisch an Ihr Gerät gebunden und können nicht wie Einmalcodes gephisht oder weitergeleitet werden. Snapchat unterstützt sie und sie bieten einen stärkeren Schutz als die herkömmliche Multi-Faktor-Authentifizierung, die zunehmend anfällig für intelligente Phishing-Angriffe ist.
Bösewichte mit smarten Brillen
Leider ist das Hacken von Social-Media-Konten von Frauen, um private Inhalte zu stehlen, nichts Neues. Aber Kriminelle werden immer einen Weg finden, intelligente Technologien für ihre ruchlosen Zwecke zu missbrauchen. Das gilt auch für die neue Generation von „Smart Glasses“, die mit KI ausgestattet sind.
Diese Woche veröffentlichte CNN Berichte von Frauen, die glaubten, private, flirtende Interaktionen mit Fremden zu haben – nur um später festzustellen, dass die Männer sie mit kameragestützten Smart-Brillen aufnahmen und das Filmmaterial online stellten.
Diese Clips werden oft als „Rizz“-Videos – kurz für „Charisma“ – verpackt, in denen sogenannte Manfluencer sich selbst dabei filmen, wie sie Frauen in der Öffentlichkeit ohne deren Einwilligung ansprechen, um Follower zu gewinnen und „Coaching“-Dienstleistungen zu verkaufen.
Die von Unternehmen wie Meta verkauften Brillen sollen nur mit Zustimmung zur Aufzeichnung verwendet werden und zeigen oft durch ein Licht an, dass sie aufzeichnen. In der Praxis lässt sich diese Anzeige jedoch leicht verbergen.
In Kombination mit KI-gestützten Diensten zur Identifizierung von Personen, wie sie Forscher im Jahr 2024 eingesetzt haben, werden die Möglichkeiten noch beängstigender. Uns sind keine entsprechenden Fälle vor Gericht bekannt, aber wir vermuten, dass es nur eine Frage der Zeit ist.
Wir berichten nicht nur über Betrugsfälle - wir helfen, sie aufzudecken
Cybersicherheitsrisiken sollten niemals über eine Schlagzeile hinausgehen. Wenn Ihnen etwas verdächtig erscheint, überprüfen Sie mit Malwarebytes Guard, ob es sich um einen Betrug handelt. Senden Sie einen Screenshot, fügen Sie verdächtige Inhalte ein oder teilen Sie einen Link, einen Text oder eine Telefonnummer, und wir sagen Ihnen, ob es sich um einen Betrug handelt oder nicht. Verfügbar mit Malwarebytes Premium für alle Ihre Geräte und in der Malwarebytes für iOS Android.
