Kundendaten von Anydesk zum Verkauf angeboten

In einem Forum für Cyberkriminielle sind rund 18.000 Datensätze von Kunden der Fernwartungssoftware Anydesk aufgetaucht. Entdeckt und großteils überprüft hat sie die Sicherheitsfirma Resecurity. Das Unternehmen hat nach eigenen Angaben die Betroffenen kontaktiert und konnte verifizieren, dass sie tatsächlich Kunden von Anydesk sind.

Auch mit dem Anbieter des Datensatzes sprachen die Security-Forscher. Als Beleg schickte er ihnen eine Probe (Sample) der Daten. Daraus geht hervor, dass es sich um Log-in-Daten für das Kundenportal von Anydesk handelt. Wie das Unternehmen kürzlich mitteilte, hat es dort jedoch alle Logins für ungültig erklärt. Kunden müssen sich mindestens ein neues Passwort setzen, besser noch eine Authentifizierung mit mehreren Faktoren aktivieren.

Detaillierte Informationen über Nutzung von Anydesk

Das bedeutet dennoch nicht, dass durch den mutmaßlichen Leak keine Gefahr ausgeht. In den Datensätzen sind nämlich auch Details der Kunden enthalten, unter anderem die Zahl der Geräte, mit denen Anydesk genutzt wurde, der Lizenzschlüssel der Software, Log-in-Zeiten und einiges mehr. Das erlaubt potenziellen Angreifern einen Blick etwa in die Struktur und Verhaltensweisen eines Unternehmens. Finanzinformationen wie Kreditkartendaten sind dem Bericht von Resecurity zufolge in dem Datensatz immerhin nicht enthalten.

Der mutmaßliche Ersteller des Angebots – für das Interessierte 15.000 US-Dollar in Kryptowährung bezahlt sollen – gab demnach an, die Daten seien "ideal für Support-Betrug und Phishing". Der erste Teil, die "technical support scams" sind nicht nur im US-amerikanischen Raum in den letzten Jahren zu einer regelrechten Plage geworden. Betrüger rufen dabei tatsächliche oder auch nur vorgebliche Kunden von Softwarelizenzen an und drängen sie dazu, etwa für ein Ende des angeblichen Vertrages oder mit anderen Vorwänden teils große Summen zu zahlen.

Anydesk ist bei Scammern beliebt

Um die Opfer weiter unter Druck zu setzen, wird dabei teils auch mit Fernwartungssoftware wie Anydesk Schadsoftware auf Geräten der Geprellten installiert, der Rechner gesperrt oder Onlinebanking manipuliert. Letzteres geschieht beispielweise mit gefälschten Webseiten, die wie die Bank des Opfers aussehen, das Geld aber an die Betrüger leiten.

Noch ist nicht ganz klar, wie aktuell die Datensätze sind. Laut Resecurity konnte deren Anbieter noch am 3. Februar 2024 auf Systeme von Anydesk zugreifen. Das ist in etwa der Zeitraum, in dem das Unternehmen den Angriff öffentlich machte. Schon kurz zuvor hat es aber offenbar Lücken in der Sicherheit des Unternehmens gegeben. Wie bei allen mutmaßlichen Cyberkriminellen ist dennoch nicht auszuschließen, dass nun alte Informationen als Trittbrettfahrerei zu Geld gemacht werden sollen.

Allen Nutzern von Anydesk rät Resecurity, mit dem Unternehmen Kontakt aufzunehmen, um eine Gefährdung der eigenen Infrastruktur zu überprüfen. Zudem sollten bestehende Accounts mit mehrfacher Authentifizierung, nicht nur einem Passwort abgesichert werden. Und auch E-Mails, die sich um das Thema Anydesk drehen, sollten Empfänger kritisch betrachten; auch dann, wenn man gar nicht Kunde des Unternehmens ist.

(nie)