SICHER o INFORMIERT
Der Newsletter von www.buerger-cert.de
Ausgabe vom 29.10.2009

-----------------------------------------------------------------------

Guten Tag,
dass soziale Netzwerke wie Facebook, Twitter oder StudiVZ immer mehr in
den Fokus von Internetkriminellen ruecken, ist nichts Neues. Dennoch
lassen sich Nutzer noch immer dazu verleiten, etwa auf dubiose Links zu
klicken, die ihnen innerhalb von social networks zugeschickt werden.
Dabei gilt: Lassen Sie sich von vermeintlichen News, Videos oder Bildern
- und seien sie laut Absender noch so spannend - nicht in die
Malware-Falle locken! Klicken Sie keinesfalls auf Links, die Ihnen von
Unbekannten gesendet werden. Kennen Sie den Absender, versichern Sie
sich, dass die Nachricht wirklich von ihm stammt. Mehr Infos und Tipps
zum sicheren Verhalten auf Online-Plattformen hat das BSI auf seiner
BSI-FUER-BUERGER-Seite
[https://www.bsi-fuer-buerger.de/cln_136/ContentBSIFB/Aktuelles/Brennpunkt/web20.html]
zusammengestellt. Weitere aktuelle Meldungen rund um die Sicherheit im
Internet finden Sie wie immer in unserem BSI-Newsletter. Spannende
Lektuere und sichere Stunden im globalen Netz wuenscht Ihnen
Ihr BUERGER-CERT-Team

-----------------------------------------------------------------------

Die Themen dieses Newsletters:

1. Hinhaltetaktik: Erneut Schadprogramme ueber Facebook verbreitet
2. Adobe Reader updaten: Manipulierte Facebook-Applikationen installieren Scareware
3. Outlook Update & Conficker-Warnung: Betrueger versenden gefaelschte Microsoft-Mails
4. Nicht locken lassen: Phishing-Angriffe per Instant Messaging
5. Neugier wird bestraft: Betrueger locken mit vermeintlichen Ausschnitten aus neuem Michael Jackson-Song
6. Der Wurm als Flash-Player: Vermeintliche YouTube-Seiten verbreiten Schadprogramm
7. Geblitzt: Falschmeldungen ueber Radarfallen im Netz unterwegs
8. Heimliche Lauscher: Spyware verwandelt BlackBerry in Abhoergeraet
9. Fuchs-Update: Mozilla schliesst Sicherheitsluecken in Firefox
10. Auf den Absender achten: Schwachstellen in verschiedenen PDF-Anwendungen
11. Grundwissen kompakt: Broschuere "Internetsicherheit auf einen Blick" veroeffentlicht
12. Schaedlich statt schuetzend: Millionen Anwender nutzen gefaelschte Antivirensoftware

-----------------------------------------------------------------------

1. STOERENFRIEDE: Erneut Schadprogramme ueber Facebook verbreitet

Hinhaltetaktik
Betrueger nutzen derzeit das soziale Netzwerk Facebook zur Verbreitung
von Schadsoftware. Darueber berichtet das IT-Sicherheitsunternehmen
F-Secure [http://www.f-secure.com]. Von zuvor infizierten
Facebook-Konten aus verschickt ein Schadprogramm Einladungen an andere
Nutzer, sich ein Video anzusehen. Klickt der Empfaenger auf den
angegebenen Link, wird er jedoch auf eine gefaelschte Facebook-Seite
geleitet. Dort wird er aufgefordert, zunaechst eine aktuelle Version des
Flash Players zu installieren. Wird die angebotene Datei "setup.exe"
heruntergeladen, installiert sich ein Schadprogramm auf dem Rechner.
Parallel zu diesem Vorgang oeffnet sich ein Fenster mit einem so
genannten Captcha, also einer Kombination aus Zahlen und Buchstaben, die
der Nutzer eingeben soll. Captchas werden normalerweise dazu genutzt, um
sicherzugehen, dass ein Mensch einen E-Mail-Account anlegt und nicht
etwa ein Computer. In diesem Fall dienen die Captchas lediglich dazu,
den Nutzer abzulenken. Denn egal, was in das Fenster eingegeben wird:
Der Code wird immer als falsch abgelehnt. Waehrend der Nutzer mit den
Captchas beschaeftigt ist, installiert das Schadprogramm weitere
Malware-Dateien, welche Daten ausspaehen. Anwender sollten Software
grundsaetzlich nur von den Original-Herstellerseiten herunterladen.


2. STOERENFRIEDE: Manipulierte Facebook-Applikationen installieren Scareware

Adobe Reader updaten
Wie die IT-News-Seite Heise [http://www.heise.de] berichtet, nutzen
manipulierte Facebook-Applikationen derzeit eine Sicherheitsluecke im
Adobe-Reader, um gefaelschte Antivirenprogramme auf Nutzer-Rechnern zu
installieren. Anscheinend haben Kriminelle zuvor die Webseiten von
Facebook-Anwendungen und -Spielen wie etwa "City Fire Department",
"Aquariumlife" or "MyGirlySpace" manipuliert. Hat der Nutzer eine
veraltete Adobe Reader-Version auf seinem Rechner, wird bei einem Besuch
der manipulierten Anwendungsseiten ein gefaelschtes Antivirenprogramm
auf den PC geladen. Dies warnt dann vor einer vermeintlichen
Vireninfektion des Computers und noetigt den Nutzer zum Kauf der
Vollversion. Anwender sollten regelmaessig Updates fuer saemtliche
eingesetzte Software sowie fuer das Betriebssystem einspielen, um das
Risiko einer Infektion mit Schadprogrammen zu minimieren. Tipps fuer ein
sicheres Patch-Management gibt es auf der BSI-FUER-BUERGER-Seite
[https://www.bsi-fuer-buerger.de/cln_134/BSIFB/DE/ITSicherheit/SchuetzenAberWie/PatchManagement/patchmanagement_node.html].


3. STOERENFRIEDE: Betrueger versenden gefaelschte Microsoft-Mails

Outlook Update & Conficker-Warnung
Betrueger versenden derzeit E-Mails, die angeblich von Microsoft
stammen sollen, meldet die Online-Ausgabe der PC-Welt
[http://www.pcwelt.de]. In den Mails wird der Nutzer entweder darueber
informiert, dass Microsoft-Kunden derzeit ungewoehnlich schnell von dem
Schadprogramm "Conficker" infiziert wuerden. Oder er erhaelt die
Nachricht, dass er das Programm Outlook auf seinem Rechner
rekonfigurieren muesse. Die Mails tragen die Betreffzeilen "Conficker.B.
Infection Alert" bzw. "Microsoft Outlook Notification for the
>Zieladresse<". Der Nutzer wird aufgefordert, die Datei im Anhang der
Mail zu installieren. Dabei handele es sich um ein Programm fuer einen
Systemscan, das alle infizierten Dateien entferne bzw. ein Programm zur
Rekonfiguration von Outlook. In beiden Faellen traegt das angehaengte
.zip-Archiv den Namen "install.zip". Wird die Datei geoeffnet und
installiert, wird ein Trojanisches Pferd auf den Rechner geladen. Dieses
wiederum laedt ein gefaelschtes Antivirenprogramm auf den Rechner, das
den Nutzer mit vermeintlichen Virenfunden dazu bringen will, die
nutzlose Vollversion des Programms zu kaufen. Weder Microsoft noch
andere serioese Software-Hersteller versenden Programmdateien per
E-Mail. Derartige Mails sollten daher umgehend geloescht werden. Mehr
Infos zu gefaelschten Antivirenprogrammen gibt es auf der
BSI-FUER-BUERGER-Seite
[https://www.bsi-fuer-buerger.de/cln_134/sid_19CED34336FB3683539202529E54C225/BSIFB/DE/ITSicherheit/AbzockerUndSpione/FalscheAntivirensoftware/falscheantivirensoftware_node.html].


4. STOERENFRIEDE: Phishing-Angriffe per Instant Messaging

Nicht locken lassen
Betrueger versenden derzeit Phishing-Nachrichten ueber den
Instant-Messenger MSN, meldet das IT-Sicherheitsunternehmen F-Secure
[http://www.f-secure.com]. Nutzer erhalten die Nachricht "sure you did
not upload these photos?" ("Sicher, dass du diese Fotos nicht
hochgeladen hast?") zusammen mit einem Link. Klickt der Nutzer auf
diesen Link, wird er auf eine Webseite namens "come-face-the truth.com"
geleitet. Dort soll er seine MSN-Nutzerdaten eingeben, um die Fotos
ansehen zu koennen. Kommt man der Aufforderung jedoch nach, landen die
eingegebenen Daten direkt bei den Betruegern. Nutzer sollten beim
Anklicken von Links in E-Mails, Instant Messages oder in Nachrichten in
sozialen Netzwerken stets Vorsicht walten lassen. Tipps zum Schutz vor
Phishing stehen auf der BSI-FUER-BUERGER-Seite
[https://www.bsi-fuer-buerger.de/cln_134/sid_72423AD283951854826FF25AB98096A9/BSIFB/DE/Themen/Phishing/phishing_node.html]
fuer Sie bereit.


5. STOERENFRIEDE: Betrueger locken mit vermeintlichen Ausschnitten aus neuem Michael Jackson-Song

Neugier wird bestraft
Cyberkriminelle versenden derzeit gefaelschte CNN-Mails, die den
Empfaenger auf manipulierte Webseiten locken sollen. Dies meldet das
IT-Sicherheitsunternehmen Trend Micro [http://www.trendmicro.com]. Die
Betreffzeilen der Mails lauten etwa "The brand new song by Michael
Jackson was released - listen now" ("Der neue Song von Michael Jackson
ist veroeffentlicht worden - jetzt reinhoeren"). In der Nachricht wird
behauptet, man koenne sich einen 45-sekuendigen Ausschnitt aus Michael
Jacksons neuem Song "This is it" anhoeren. Klickt der Nutzer jedoch auf
den in der Mail integrierten "Listen online now"-Button, wird er zu
einer manipulierten Webseite weitergeleitet. Von dort wird Malware auf
den Rechner geladen, welche Daten ausspioniert und an die Betrueger
leitet. Empfaenger der Mail sollten diese umgehend loeschen. Ausserdem
sollte der Antivirenschutz stets auf dem aktuellen Stand gehalten
werden.


6. STOERENFRIEDE: Vermeintliche YouTube-Seiten verbreiten Schadprogramm

Der Wurm als Flash-Player
Kriminelle haben eine neue Kampagne gestartet, um den bekannten
"Koobface"-Wurm mithilfe gefaelschter YouTube-Seiten zu verbreiten.
Darueber berichtet die Online-Ausgabe der PC-Welt
[http://www.pcwelt.de]. Kriminelle versenden ueber bereits infizierte
Facebook-Accounts Nachrichten wie "Congratulations! You are on TV"
("Herzlichen Glueckwunsch! Du bist im Fernsehen!") oder "You were caught
on our hidden camera!" ("Wir haben dich mit unserer versteckten Kamera
erwischt!") an andere Nutzer. Klickt der Anwender auf den mitgeschickten
Link, wird er auf eine gefaelschte YouTube-Seite geleitet. Dort soll er
zunaechst seinen Flash Player aktualisieren. Klickt man jedoch auf die
dort hinterlegte Datei, installiert sich der Koobface-Wurm auf dem PC.
Ausserdem erscheinen Pop-up-Fenster mit gefaelschten
Antivirenprogrammen, so genannter Scareware. Anwender sollten das
Antivirenschutzprogramm stets auf dem aktuellen Stand halten und die
Firewall aktivieren. Mehr Infos zu Wuermern gibt es auf der
BSI-FUER-BUERGER-Seite
[https://www.bsi-fuer-buerger.de/cln_134/BSIFB/DE/ITSicherheit/VirenUndAndereTiere/Wuermer/wuermer_node.html].


7. STOERENFRIEDE: Falschmeldungen ueber Radarfallen im Netz unterwegs

Geblitzt
Die Webseite der TU Berlin Hoax-Info
[http://hoax-info.tubit.tu-berlin.de/hoax/] berichtet derzeit ueber eine
aktuelle Falschmeldung ("Hoax"), die kettenbriefartig im Netz verbreitet
wird. Anwender erhalten eine E-Mail, in der behauptet wird, dass alle
nach Koeln fuehrenden Strassen flaechendeckend mit Radarfallen und
anderen Tempomessanlagen versehen sind. Varianten der Mail nennen auch
Dortmund als Standort solcher Anlagen. Als vermeintlicher Beweis sollen
Fotos von Verkehrsueberwachungsanlagen im Anhang der Mail dienen. Die
Fotos wurden jedoch im Ausland aufgenommen. Ausserdem sind weder der
Stadt Koeln noch der Polizei Dortmund diese Anlagen bekannt. Aehnliche
Mails kursieren bereits seit dem Jahr 2004 im Netz - nur die genannten
Staedte werden von Zeit zu Zeit ausgetauscht. Empfaenger dieser Mails
sollten diese keinesfalls an Bekannte und Freunde weiterleiten, sondern
umgehend loeschen. Mehr Infos zum Thema "Hoaxes" gibt es auf der
BSI-FUER-BUERGER-Seite
[https://www.bsi-fuer-buerger.de/cln_134/BSIFB/DE/ITSicherheit/VirenUndAndereTiere/Hoax/hoax_node.html].


8. STOERENFRIEDE: Spyware verwandelt BlackBerry in Abhoergeraet

Heimliche Lauscher
Das US-CERT [http://www.us-cert.gov] berichtet derzeit von einer neuen
Spionagesoftware namens "PhoneSnoop", die ein BlackBerry zum Abhoeren
von Gespraechen missbrauchen kann. Ist die Software auf dem Geraet
installiert, genuegt ein Anruf des Angreifers von einer vorher
festgelegten Nummer. Dadurch wird der Lautsprecher des BlackBerrys
automatisch aktiviert - ohne das der Besitzer etwas davon merkt. So
koennen etwa Gespraeche, die im Raum gefuehrt werden, mitgehoert werden.
Die Software kann auf die Geraete gelangen, wenn ein Angreifer direkten
Zugang zu dem Geraet hat oder der Nutzer dazu gebracht wird, das
Programm selbst zu installieren. Anwender sollten Software generell nur
ueber Original-Herstellerseiten herunterladen. Ausserdem sollten
Besitzer ihre Geraete grundsaetzlich durch ein sicheres Passwort vor
fremden Zugriff schuetzen. Tipps zur Wahl eines ausreichend komplexen
Passworts gibt es auf der BSI-FUER-BUERGER-Seite
[https://www.bsi-fuer-buerger.de/cln_164/sid_EBF1981E63AF82DC263948CD71FB017A/BSIFB/DE/ITSicherheit/SchuetzenAberWie/Passwoerter/passwoerter_node.html].


9. SCHUTZMASSNAHMEN: Mozilla schliesst Sicherheitsluecken in Firefox

Fuchs-Update
Mozilla hat in seinem Browser Firefox mehrere kritische Schwachstellen
beseitigt. Die Sicherheitsluecken ermoeglichten Angreifern bislang,
Schadsoftware auf fremden Rechnern auszufuehren. Anwender sollten die
aktualisierte Firefox-Version 3.5.4 bzw. 3.0.15 schnellstmoeglich
einspielen. Die neuen Fassungen stehen auf der Mozilla-Webseite
[http://www.mozilla-europe.org/de/firefox/] zur Installation bereit.


10. SCHUTZMASSNAHMEN: Schwachstellen in verschiedenen PDF-Anwendungen

Auf den Absender achten
Wie die IT-News-Seite Heise Heise [http://www.heise.de] meldet, weisen
mehrere PDF-Anwendungen Sicherheitsluecken auf, ueber die Angreifer
Schadprogramme auf fremde Rechner schleusen koennen. Betroffen sind etwa
das Foxit Plug-in fuer Firefox (Version 3.1.1.0928) und die aktuelle
Version des Foxit-Readers 3.1.2.1013 (mit Firefox 3.5.3). Ein Update
fuer den Foxit Reader gibt es derzeit noch nicht. Auch der freie
PDF-Reader xpdf weist vier Schwachstellen auf, die in Version 3.02 mit
einem Patch beseitigt wurden. Anwender sollten die aktualisierte Fassung
schnellstmoeglich herunterladen. Sie steht auf der Projektseite
[http://www.foolabs.com/xpdf/home.html] zum Download bereit. Die auf
xpdf aufbauenden Anwendungen poppler, CUPS, gpdf und kpdf sind von den
Schwachstellen ebenfalls betroffen. In CUPS sollen die Schwachstellen in
Version 1.4.1 geschlossen sein. Fuer KPDF, poppler und gpdf gibt es
bislang noch keine Updates. Nutzern wird geraten, keine PDF-Dokumente
aus nicht vertrauenswuerdigen Quellen zu oeffnen. Sobald Updates zur
Verfuegung stehen, sollten diese umgehend eingespielt werden.


11. PRISMA: Broschuere "Internetsicherheit auf einen Blick"
veroeffentlicht

Grundwissen kompakt
Das Projekt mekonet (Medienkompetenz-Netzwerk NRW) hat eine neue
Broschuere rund um das Thema Schutz im Internet veroeffentlicht.
"Internetsicherheit auf einen Blick" erklaert die wichtigsten Begriffe
und Grundregeln, um das Surfen, Tauschen und den Handel im Netz sicherer
zu machen. Fragen wie: Worauf muss ich beim Online-Shopping achten?
Welche Verhaltensregeln sollte ich beachten, wenn ich mich in sozialen
Netzwerken bewege? werden in der Broschuere beantwortet. Sie kann als
pdf von der mekonet-Webseite
[http://www.mekonet.de/t3/index.php?id=160&no_cache=1&tx_ttnews[tt_news]=346&tx_ttnews[backPid]=158&cHash=2240744fd8]
heruntergeladen oder als online-Version eingesehen werden.


12. PRISMA: Millionen Anwender nutzen gefaelschte Antivirensoftware

Schaedlich statt schuetzend
Laut des aktuellen Sicherheitsberichts des IT-Unternehmens Symantec
[http://www.symantec.de] finden sich immer mehr gefaelschte
Antivirenprogramme auf den Rechnern von Nutzern. Zwischen Juli 2008 und
Juni 2009 zaehlte das Unternehmen mehr als 43 Millionen Downloads.
Gefaelschte Antivirenprogramme, auch "Scareware" genannt, bieten
keinerlei Schutz, sondern koennen den Rechner noch anfaelliger fuer
Angriffe machen. Ausserdem sind manche der Programme in der Lage,
private Daten auszuspionieren. Nach Angaben von Symantec werden fuer die
gefaelschte Software von den Betruegern zwischen 30 und 100 Dollar
verlangt. Symantec hat insgesamt 250 Varianten von Scareware auf
Nutzer-Rechnern gefunden, sie tragen haeufig authentisch klingende Namen
wie etwa AntiVirus 2009, SpywareGuard 2008 oder XP AntiVirus. Nutzer
sollten Software prinzipiell nur von offiziellen Herstellerseiten
beziehen. Mehr Infos zum Thema gefaelschte Sicherheitssoftware gibt es
auf der BSI-FUER-BUERGER-Seite
[https://www.bsi-fuer-buerger.de/cln_136/BSIFB/DE/ITSicherheit/AbzockerUndSpione/FalscheAntivirensoftware/falscheantivirensoftware_node.html].



-----------------------------------------------------------------------

Dieser Newsletter ist ein kostenloses Service-Angebot des Buerger-CERT.
Er erscheint im Abstand von 14 Tagen. Die Informationen werden vom
Bundesamt fuer Sicherheit in der Informationstechnik,
http://www.bsi.bund.de, mit groesster Sorgfalt recherchiert und
aufbereitet. Dennoch kann eine Gewaehr oder Haftung fuer die
Vollstaendigkeit und Richtigkeit nicht uebernommen werden.

Unter http://www.buerger-cert.de haben Sie die Moeglichkeit, den
Newsletter zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de .