So entdecken Sie heimliche Mitleser
Wer kennt Ihr Mail-Passwort?
Jeder dritte PC-Anwender würde auf fremden Rechnern herumschnüffeln, sobald sich eine gefahrlose Möglichkeit dazu bietet. Besonders anziehend sind laut einer Studie des Antiviren-Spezialisten Avira PCs von Bekannten. Internet-Kriminelle wollen sowieso an Ihre privaten Daten, da sich damit ein Haufen Geld verdienen lässt. Ein wahres Paradies für Schnüffler ist Ihr Mailpostfach, denn es enthält meist sehr viele interessante, nützliche und lukrative Informationen. Seit es kostenlose Mail-Accounts mit einem oder gar mehreren GB Speicherplatz gibt, ist die Zahl der darin gelagerten Infos noch einmal rasant angestiegen. Aber nicht nur das: Der heimliche Zugang zu einem fremden Mailpostfach lässt sich recht einfach beschaffen. Zudem bleibt die Spionage meist über Jahre unbemerkt, denn der Spion loggt sich einfach per Browser oder IMAP in den Account und setzt neue Nachrichten nach der Lektüre wieder auf den Status "ungelesen". Wir zeigen, wie Kriminelle oder neugierige Bekannte in Ihr Mailpostfach kommen, wie Sie den Spionen eine Falle stellen und wie Sie künftig von Mitlesern verschont bleiben.
POP3: So kommt jeder an Ihr Postfach
Wer sich schon mal beim Einloggen in sein Webmail-Postfach vertippt hat, kennt wahrscheinlich nach der anschließenden erfolgreichen Anmeldung den Hinweis: "Ein fehlgeschlagener Loginversuch". So verfahren etwa GMX und Web.de. Das soll dem Anwender ein gutes, sicheres Gefühl geben und davon ablenken, dass die meisten Mailpostfächer keinerlei Schutz gegen Wörterbuch- und Brute-Force-Attacken bieten.
Sicher sind nur die Log-ins über die Website. Doch fast alle kostenlosen Mail-Provider bieten auch einen Log-in über POP3 (Post Office Protocol Version 3) an.
Wer seine Nachrichten über ein Mailprogramm wie Outlook oder Thunderbird abholen will, erledigt das meist über dieses Protokoll. POP3 stammt aus dem Jahr 1984 und ist sehr einfach gestrickt. Es sieht lediglich das Auflisten, Abholen und Löschen von Mails am Server vor. Die Log-in-Autorisierung (PASS <Passwort>) bietet keinen Schutzzähler, der etwa nach dem dritten Fehlversuch das Konto blockiert. Das müssten die Anbieter anderweitig implementieren – tun sie aber bislang kaum. Ein Angreifer kann somit per Script alle Passwörter eines Wörterbuchs (Wörterbuch-Attacke) ausprobieren lassen. Oder das Script versucht es einfach mit allen erdenklichen Buchstabenkombinationen (Brute-Force-Attacke). Das dauert zwar eine ganze Weile, führt aber bei kürzeren Passwörtern sicher zum Ziel.