SICHER o INFORMIERT
Der Newsletter von www.buerger-cert.de
Ausgabe vom 02.02.2012
Nummer: NL-T12/0003

Die Themen dieses Newsletters:
1. Wertvoller Code: Bezahlsystem Paysafecard lockt Betrüger an
2. Facebook-Accounts in Geiselhaft: Lösegeld-Trojaner verlangt 20 Euro
3. Falsche Jobangebote: Spam-E-Mails im Namen der Bundesagentur für Arbeit
4. Trojaner-Apps im Android-Market: Malware läuft auf Hunderttausenden Geräten
5. Media-Markt und Saturn verschenken nichts: Gutscheine bei Facebook sind Fälschungen
6. „pcAnywhere“ unsicher: Symantec warnt vor eigenem Produkt
7. Update für Chrome-Browser: Google behebt vier Sicherheitslücken
8. Update für Opera: Browser in der Version 11.61 veröffentlicht
9. DNS-Changer-Schäden beseitigen: Gratis-Tool stellt Netzwerkeinstellungen wieder her
10. Update für Firefox, Thunderbird und SeaMonkey: Mozilla schließt mehrere Schwachstellen
11. Allianz gegen Spam und Co.: Führende E-Mail-Anbieter entwickeln neue Filtertechnik

EDITORIAL
Guten Tag,
bezahlen im Internet muss sicher sein. Eine Möglichkeit sind
elektronische Zahlungsmittel, die nach dem Prepaid-Prinzip funktionieren:
Eine Karte wird virtuell mit einem Geldbetrag aufgeladen, dazu gehört ein
Zahlencode. Beim Online-Shopping dient der Code als Zahlungsmittel, bis
der Geldbetrag aufgebraucht wird. Der Käufer gibt sonst keine Daten von
sich Preis – ein im Prinzip sicheres System. Online-Betrüger versuchen
nun jedoch durch Tricks an die Zahlencodes zu kommen – und somit an das
Geld der Anwender.
Mehr Infos zu diesem Thema sowie weitere Meldungen rund um die Sicherheit
im WWW finden Sie wie immer in unserem Newsletter. Spannende Lektüre und
sichere Stunden im globalen Netz wünscht Ihnen
Ihr BUERGER-CERT-Team

STÖRENFRIEDE
1. Wertvoller Code: Bezahlsystem Paysafecard lockt Betrüger an

Die „Paysafecard“ ist ein elektronisches Zahlungsmittel, das ähnlich
funktioniert wie eine Prepaid-Karte. Verbraucher können die Karte im
Handel erwerben und erhalten damit einen dem Kaufbetrag entsprechenden
16-stelligen Code, mit dem sie beispielsweise in Online-Shops bezahlen
können. Ist das auf der Karte vermerkte Guthaben aufgebraucht, wird der
Code ungültig. Internetkriminelle versuchen immer wieder, an den
Zahlencode und damit an das Karten-Guthaben zu gelangen.
Aktuell warnt der Herausgeber der
Karten http://www.paysafecard.com/de/sicherheit/ vor zwei
Betrugsmaschen:
Websites in der Optik der Paysafecard-Seite suggerieren Anwendern, sie
könnten ihr Guthaben verdoppeln, wenn sie ihren Code in eine Maske
eingeben und versenden. Dieser Trick dient allein dazu, Zugriff auf den
Code und das Guthaben zu bekommen.
Varianten der als Bundespolizei-, BKA- und Gema-Virus bekannten
Schadprogramme sperren die Computer von Anwendern. Für eine Entsperrung
wird ein „Bußgeld“ eingefordert, das u.a. per Paysafecard bezahlt werden
kann. Anwendern wird geraten derartigen Aufforderungen nicht Folge zu
leisten.

2. Facebook-Accounts in Geiselhaft: Lösegeld-Trojaner verlangt 20 Euro

Der Blog
botfrei.de [url]http://blog.botfrei.de/2012/01/carberp-trojaner-erpresst-facebook-nutzer/[7url]
berichtet über einen Trojaner, der Facebook-Accounts in Geiselhaft nimmt.
Das Schadprogramm beruhe auf dem Fachleuten bereits bekannten
Carberp-Trojaner. Anwender können ihren Rechner infizieren, indem sie
manipulierte PDF- und Word-Dokumente öffnen. Wird dann eine
Facebook-Website aufgerufen, klinkt sich Carberp in den Browser ein
(Man-in-the-Middle-Attacke) und leitet den Anwender auf eine gefälschte
Facebook-Seite um, die ihm mitteilt, sein Account für das soziale
Netzwerk sei gesperrt. Um die vermeintliche Sperrung aufzuheben, soll der
Anwender eine Gebühr in Höhe von 20 Euro leisten – und zwar über den
Bezahldienst Ukash, eine Art Pre-Paid-Bezahlsystem, bei dem Zahlender und
Empfänger anonym bleiben. Eine Zahlung des geforderten Betrags habe
jedoch keinen Effekt, die Seite bleibe gesperrt.

3. Falsche Jobangebote: Spam-E-Mails im Namen der Bundesagentur für
Arbeit

Die Bundesagentur für Arbeit (BA) warnt vor
E-Mails http://www.arbeitsagentur.de/nn_27044/zentraler-Content/Pressemeldungen/2012/Presse-12-003.html#top,
in denen den Adressaten lukrative Jobangebote versprochen werden. Als
Ansprechpartner werden Unternehmen mit Sitz im Ausland genannt. Die
Absender dieser E-Mails sind nicht zu ermitteln. In den Spam-E-Mails
werde behauptet: „Ihre Kontaktadresse erhielten wir von der Agentur für
Arbeit, bei der Sie als Bewerber registriert sind.“
Die BA weist darauf hin, dass sie in keinerlei Zusammenhang mit
derartigen E-Mails steht. Die Spam-E-Mails hätten vermutlich das Ziel an
reale Nutzerdaten zu gelangen. Möglicherweise enthielten die E-Mails auch
Viren oder Trojaner. Die BA rät dazu, unaufgefordert erhaltene E-Mails,
die eine Arbeit versprechen, ungelesen zu löschen.

4. Trojaner-Apps im Android-Market: Malware läuft auf Hunderttausenden
Geräten

Symantec, Anbieter von IT-Sicherheitslösungen, nennt in seinem
offiziellen Firmenblog 13
Apps http://www.symantec.com/connect/fr/blogs/androidcounterclank-found-official-android-market
aus dem Android Market, die mit einem Trojaner verseucht sind. Der
Trojaner „Android.Counterclank“ dient laut Symantec dem Diebstahl von
Anwender- und Verbindungsdaten. Er findet sich in Spiele-Apps der
Anbieter iApps7 Inc., Ogre Games und redmicapps. Manipulationen
offenbaren sich auf zweierlei Weise: Bei infizierten Geräten steckt der
Trojaner in der Hauptanwendung. Wird diese ausgeführt, startet ein
„apperhand“ genannter Dienst. Ein weiteres Zeichen ist ein Such-Symbol
auf dem Startbildschirm des Smartphones. Laut heise
security http://www.heise.de/security/meldung/Android-Spiele-enthalten-Trojaner-1424081.html
dürften die Trojaner-Apps auf mehreren hunderttausend Smartphones und
Tablet-PCs laufen, lege man die Downloadzahlen im Android Market
zugrunde. Einige der infizierten Programme seien im Android Market nach
wie vor erhältlich. Der Trojaner lasse sich durch die Deinstallation der
Apps entfernen.

5. Media-Markt und Saturn verschenken nichts: Gutscheine bei Facebook
sind Fälschungen

Im Oktober eröffnete der Elektronikfachmarkt Saturn seinen Online-Shop,
im Januar folgte Media-Markt. Spammer nutzen dies, um über Facebook
Anwender zu erreichen. So ist es im Security-Blog von G
Data http://blog.gdatasoftware.com/blog/article/update-a-50EUR-gift-card-for-free-hey-im-no-fool.html
nachzulesen. Anwender werden anlässlich der Online-Shop-Eröffnungen
jeweils mit vermeintlichen 50-Euro-Einkaufsgutscheinen dazu verführt,
etwa im Fall des Media-Markt-Spams die Website mm-gutscheine.info
anzuklicken. Auf dieser und anderen verlinkten Websites wird jedoch vor
allem Werbung eingeblendet – woran die Spammer dann Geld verdienen.
Anzeichen dafür, dass Schadcode übertragen wird oder Anwenderdaten
gephisht werden, gibt es laut G Data nicht. Die Spam-Nachrichten
erscheinen in der von beiden Handelsketten bekannten Aufmachung. Beide
Handelsketten haben sich von der Aktion distanziert und empfehlen,
derartige Nachrichten zu ignorieren bzw. zu löschen, es gebe derzeit
keine Gutscheinaktionen.

SCHUTZMASSNAHMEN
6. „pcAnywhere“ unsicher: Symantec warnt vor eigenem Produkt

Mitte Januar gab der Hersteller von IT-Sicherheitssoftware Symantec
bekannt, dass ihm im Jahr 2006 Quellcodes für verschiedene Programme
gestohlen wurden. Hierüber berichtete u.a. der IT-Newsdienst
heise
security http://www.heise.de/security/meldung/Symantec-bestaetigt-Source-Code-Klau-1416537.html.
Lange hieß es, es bestehe keine Gefährdung der Computersysteme von
Symantec-Kunden, da die Quellcodes veraltet seien. Nun muss Symantec
Anwender doch vor der Nutzung von „pcAnywhere“ warnen, einer Software zur
Steuerung von Fernzugriffen auf Computer. Hacker könnten mithilfe des
Quellcodes die Verschlüsselung aushebeln und Computer, auf denen die
Software läuft, angreifen. Möglich seien etwa Man-in-the-Middle-Attacken
und der Aufbau unautorisierter Verbindungen zwischen Computern und
Netzwerken. Im englischsprachigen Unternehmensblog gibt es Links zu
ersten Updates sowie Installationsanleitungen. Zudem hat Symantec
ein englischsprachiges, zehnseitiges
PDF http://www.symantec.com/connect/sites/default/files/pcAnywhere%20Security%20Recommendations%20WP_01_23_Final.pdf
veröffentlicht, in dem Hintergründe, Probleme und Lösungen
zusammengefasst sind. Symantec empfiehlt, auf die Nutzung von pcAnywhere
zu verzichten, bis Updates veröffentlicht wurden.

7. Update für Chrome-Browser: Google behebt vier Sicherheitslücken

Nur rund zwei Wochen nach dem letzten Browser-Update veröffentlicht
Google erneut eine aktualisierte Version seines Browsers Chrome. Die
Version 16.0.912.77 schließt vier als „hoch“ eingestufte
Sicherheitsrisiken. Außerdem meldet Google in den
Veröffentlichungsinformationen http://googlechromereleases.blogspot.com/2012/01/stable-channel-update_23.html,
dass mit dem vorangegangenen Update (Version 16.0.912.75) eine
„kritische“ Lücke geschlossen wurde, die in den damaligen
Veröffentlichungsinformationen nicht erwähnt wurde.
Das Bürger-CERT empfiehlt ein Update, um eine Ausnutzung der
Schwachstellen zu verhindern. Dies erfolge am einfachsten über die
automatische Update-Routine des Browsers. Dabei wird das Update im
Hintergrund heruntergeladen und mit dem Beenden des Browsers installiert.
Alternativ stellt Google die aktuelle Chrome-Version im
Internet zum Download http://www.google.de/chrome/ zur Verfügung.

8. Update für Opera: Browser in der Version 11.61 veröffentlicht

Der kostenlose Browser Opera liegt in der aktualisierten Version 11.61
vor. Das Update behebt diverse Funktionsstörungen und schließt zwei
Sicherheitslücken. Opera Software stuft in seinen
Informationen zur
Veröffentlichung http://www.opera.com/docs/changelogs/windows/1161/
das Sicherheitsrisiko der einen Lücke als „niedrig“, das der anderen als
„hoch“ ein. So lasse es die alte Browserversion sogenannte XSS-Angriffe
(Cross-Site Scripting) zu. Das Update auf die neue Opera-Version erfolgt
automatisch durch den Browser. Opera 11.61 steht für Windows, Linux und
Mac OS X aber auch zum manuellen
Download http://de.opera.com/ bereit.

9. DNS-Changer-Schäden beseitigen: Gratis-Tool stellt
Netzwerkeinstellungen wieder her

Mit Hilfe des Schnelltests auf
dns-ok.de http://www.dns-ok.de/ können Anwender prüfen,
ob die Netzwerkeinstellungen von Computern durch den Trojaner
„DNS-Changer“ manipuliert wurden. Anwender, deren Systeme betroffen sind,
mussten bisher die DNS-Einstellungen manuell korrigieren. Auf der Website
www.dns-ok.de können Anwender nun ihr System auf eine mögliche
DNS-Changer-Infektion überprüfen und geänderte Netzwerkkonfigurationen
mit Hilfe eines Tools des Softwareherstellers Avira automatisch auf die
Windows-Standard-Einstellung zurücksetzten. Der Link zum Download der
Avira DNS-Repair-Software erscheint allerdings nur, wenn bei der
Systemanalyse eine Infektion festgestellt wird. Das Programm kann auch
manuell von der Avira-Website www.avira.de/dnschanger
heruntergeladen werden. Eine Anleitung mit
Screenshots http://blog.botfrei.de/2012/01/mit-dem-avira-dns-repair-tool-die-netzwerkeinstellungen-zurucksetzen/
zur Handhabung des Tools gibt es außerdem auf der Website botfrei.de.

10. Update für Firefox, Thunderbird und SeaMonkey: Mozilla schließt
mehrere Schwachstellen

Wie das
Bürger-CERT https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T12-0004
auf seiner Internetseite mitteilt, hat Mozilla mehrere Schwachstellen in
Firefox, Thunderbird und SeaMonkey geschlossen. Diese Schwachstellen
können von einem entfernten, anonymen Angreifer ausgenutzt werden, um
beliebigen Code mit den Rechten des angemeldeten Benutzers auszuführen,
um den Rechner des Opfers zum Absturz zu bringen (Denial of Service), um
einen Cross-Site Scripting Angriff durchzuführen oder um Daten
offenzulegen oder zu manipulieren. Zur erfolgreichen Ausnutzung dieser
Schwachstelle muss der Angreifer den Anwender dazu bringen eine
manipulierte E-Mail oder Webseite zu öffnen.
Das Bürger-CERT empfiehlt das von Mozilla bereitgestellte
Sicherheitsupdate so bald wie möglich zu installieren.

PRISMA
11. Allianz gegen Spam und Co.: Führende E-Mail-Anbieter entwickeln neue
Filtertechnik

15 Unternehmen aus der Internet- und IT-Servicebranche haben sich unter
dem Kürzel DMARC zu einer Allianz gegen Online-Betrugsversuche
zusammengeschlossen. Ziel der Firmen - darunter Google, Yahoo, AOL,
Microsoft, Paypal und Facebook - ist es, einen technischen Standard zu
etablieren, um etwa Spam- und Phishing-E-Mails auf Anbieterseite
frühzeitig zu entdecken und so von Anwendern fernzuhalten. Dies berichten
u.a. golem.de http://www.golem.de/1201/89399.html und
computerwoche.de http://www.computerwoche.de/security/2503995/.
DMARC steht für „Domain-based Message Authentication, Reporting and
Conformance“ (deutsch etwa: domainbasierte Authentifizierung, Meldung und
Konformitätserklärung von Nachrichten). Mit dem Filter-Standard – der auf
bekannten Filtertechniken aufbaut – sollen E-Mail-Empfänger laut golem.de
einfacher bestimmen können, ob eine E-Mail wirklich von dem angegebenen
Absender stammt und was zu tun ist, wenn es sich um einen Betrugsversuch
handelt. Zudem können Absender festlegen, dass E-Mails, die angeblich von
ihnen stammen, aber nicht durch den Filter authentifiziert werden können,
empfängerseitig direkt gelöscht oder in den Spamordner verschoben werden
sollen. Die Allianz arbeitet bereits seit rund 18 Monaten an dem neuen
Standard, hat sich aber erst jetzt der Öffentlichkeit präsentiert. Die
Filtertechnik ist bereits in Feldversuchen im Einsatz und soll in naher
Zukunft als technischer Standard allgemein zur Verfügung stehen. Mehr
Informationen zum Thema und Erklärungen zur Funktionsweise des Filters
gibt es auf der englischsprachigen Projekt-Homepage
dmarc.org http://www.dmarc.org/.




-----------------------------------------------------------------------
Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot
des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14
Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und
aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit
und Richtigkeit nicht übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de