Vor einigen Tagen bekam ich eine verwirrende Email von Facebook: Sie seien nicht sicher, ob ich alt genug sei, um Facebook verwenden zu dürfen. Das war sehr verwunderlich, nutze ich Facebook doch seit ca. 7 Jahren ohne Schwierigkeiten und bin ja doch schon 31 Jahre alt. Dann durfte ich ein Passfoto einschicken, und ging davon aus, dass das wieder mal so eine Idee einer Internet-Firma ist, noch mehr Daten zu sammeln. Doch in Wahrheit war es nur das erste Vorzeichen von dem bevorstehenden Facebook-Werbeanzeigen-Hackerangriff.
Aber am nächsten Tag, als ich meine Emails checkte, hatte ich noch viel mehr Emails von Facebook in meiner Inbox. Und bedrohlicherweise waren das Abrechnungen von Werbe-Schaltungen. Vor knapp 2 Jahren, als ich mein erstes Buch veröffentlicht hatte, gabe es zufällig gerade eine 15$-Werbe-Gutschrift von Facebook, und damals wollte ich es einfach mal ausprobieren. Kostete ja nichts… Seitdem hatte ich nie wieder Werbung geschaltet. Warum also bekam ich nun mehrere Abrechnungs-Emails??
Kurz überflogen, stellte sich heraus, dass ich offenbar damals (womöglich, weil ich der 15$-Gutschrift nicht 100%ig traute) ein Abbuchungs-Limit von 35€ eingestellt hatte. Dieses war nun innerhalb weniger Stunden mehrfach erreicht worden, und daher bekam ich eben mehrere Abrechnungs-Emails mit jeweils einem Rechnungs-Betrag von 35$.
Ich hatte also immer noch keine Ahnung wieso, aber Facebook verrechnete mir offenbar ca. jede Stunde 35$ für irgendwelche Werbe-Anzeigen, die ich nie geschaltet hatte.
Und mein Werbekonto wurde deaktiviert, weil ich gegen Werbe-Richtlinien verstoßen habe??
Also in Facebook einloggen und nachsehen – und auch dort bekam ich allerhand Benachrichtigungen, dass X $ abgerechnet worden wären, und so und so viele Klicks etc. erreicht worden wären. Aber wofür?? Keiner meiner Beiträge war irgendwie offensichtlich beworben worden. Ich zahlte also Geld für nichts?
Dann jedoch fand ich das Problem: Unter der Überschrift „Nuovo gruppo di inserzioni“ (offenbar von einem italienisch-sprachigen Hacker) war eine Werbung für einen Beitrag geschalten worden, die „Wallet One“ bewerben sollte. Mit einem Text, der – laut Google translate – auf Vietnamesisch war. Mit einem Tages-Budget von 500$/Tag:
Mein Riesen-Glück war es, dass die Werbe-Anzeige offenbar so schlecht bzw. betrügerisch war, dass Facebook sie automatisch als irgendwie seltsam erkannt und gesperrt hat. Dadurch wurden statt den 500$/Tag nur knapp 150$ verrechnet.
Aber was nun tun?
Natürlich änderte ich als erstes mal das FB-Passwort in eines, das er unmöglich erraten könnte – mit über 30 Zeichen. Dann aktivierte ich sofort die 2-Faktor-Authentifizierung, falls er wieder Werbeschaltungen schalten will – dann muss er nämlich über mein Handy, und die Nummer kann er erst ändern, wenn er sich eine Änderungs-Mail auf meine Email schicken lässt.
Dann wollte ich Facebook kontaktieren – aber leider war das eine vergebliche Liebesmüh. Es gibt zwar ein Formular, dass man ausfüllen kann für solche Fälle, aber die sagen dann dass sie nicht zuständig sind, und leiten auf ein anderes Formular um, dass noch weniger zuständig ist. Irgendwann, nach Stunden, war es mir dann zu blöd. Also eben Mail an den Kreditkarten-Anbieter, er möge die Zahlungen bitte stornieren. Wenn FB ihr Geld haben wollen, sollen sie sich bei mir melden. Das klappte ganz gut.
Der Hacker ist offenbar über einen „Data breach“ an mein Passwort gekommen. Auf der Webseite haveibeenpwned.com kann man seine Email-Adresse eingeben und herausfinden, ob sie schonmal bei einem Hacker-Angriff betroffen war. Diejenige, die ich bei Facebook verwende, meine ganz alte Privat-Adresse, war als betroffen gelistet. Früher wurden Email-Adressen und Passwörter ja noch unverschlüsselt in den Datenbanken gespeichert. Wenn eine solche Webseiten-Datenbank nun gehacked wird, kann der Hacker zahlreiche Kombinationen von Email-Adresse und Passwort auf den großen Seiten wie Facebook ausprobieren. Bei irgendjemandem der Millionen an Datensätzen stimmen die beiden sicher noch.
Puh, geschafft – oder?
Heute morgen wunderte ich mich dann, warum ich zwei Mal von Facebook eine SMS mit einem Authentifikations-Code erhalten habe, obwohl ich mich nicht einloggen wollte. Bekam ich nun immer beim Einloggen eine solche SMS? Oder war der Hacker nun schon wieder in meinem FB-Account, trotz eines neuen, über 30 Zeichen starken Passworts?
Die Antwort war dann sehr einfach: Ja, er war wieder drin, und zwar mit Hilfe meiner alten Email-Adresse! Die verwendete noch ein altes Passwort, und damit konnte er das neue Passwort einfach zurücksetzen und auf ein anderes ändern, dass ihm besser gefiel. Er konnte zwar keinen Werbungen mehr schalten aufgrund der 2-Faktor-Authentifizierung und weil das Werbe-Konto deaktiviert war, aber er konnte auch so noch Unfug treiben.
Also zurück an den Start: Das Passwort der alten Email-Adresse auf ein sicheres ändern, dann danach das Facebook-Passwort nochmal ändern. Zur Sicherheit habe ich zusätzlich noch die Kreditkarte aus der Facebook-Datenbank gelöscht.
Glücklicherweise verwende ich ja die Facebook-Werbung eigentlich nicht, darum ist es nun kein dramatisches Problem, wenn ich für eine Weile selbst keine Werbung schalten kannn.
Trotzdem warens einige Stunden, die mir der blöde Hacker da gekostet hat. Ich hoffe mal, die neuen Passwörter halten wieder für eine Weile.
Ich rate auch euch, eure Email-Adressen immer wieder mal über die Webseite haveibeenpwned.com zu überprüfen, und spätestens dann, wenn ein Eintrag dazu aufscheint, das Passwort zu ändern.
Auf dieser Seite kann man ein Passwort darauf testen, wie lange ein Computer brauchen würde, einfach alle möglichen Kombinationen durchzuprobieren, um es zu knacken. Verwendet dazu schlauerweise nicht euer richtiges Passwort (sonst wirds vielleicht eines Tages in eine Liste „richtiger“ Passwörter hinzugefügt), sondern eines, das dem euren ähnlich ist. Ist euer richtiges Passwort z.B. „Herz345_3“ (4 Buchstaben, 4 Zahlen, 1 Sonderzeichen, Buchstaben ergeben Wort), dann könnt ihr die Sicherheit z.B. mit „Baum212!2“ testen. So erhaltet ihr ein ungefähr gleiches Ergebnis, ohne euer reales Passwort in Gefahr zu bringen 😉
Ich für meinen Teil hoffe, dass ich den Hacker nun endlich los bin – und wünsche euch, dass ihr nie in eine solch nervige Situation kommt. Und falls doch: überprüft nicht nur das Passwort der betroffenen Webseite (in diesem Fall eben Facebook), sondern auch die Passwörter der Email-Adressen 😉