SICHER o INFORMIERT
Der Newsletter von www.buerger-cert.de
Ausgabe vom 06.12.2012
Nummer: NL-T12/0024

Die Themen dieses Newsletters:
1. Immer wieder WhatsApp: Messaging-Dienst bleibt trotz Update unsicher
2. WhatsApp-Hoax: Kettenbrief verunsichert Anwender
3. Kurz aber heftig: PayPal-Spam-Welle überschwemmt Deutschland
4. Deutsche-Bank-Kunden im Visier: Daten-Phisher fordern Kopie der TAN-Liste
5. Bitte Passwort ändern: Sicherheitslücke in Belkin-WLAN-Routern
6. Zwei Updates in einer Woche: Sicherheitslücken in Chrome geschlossen
7. HSTS ist da: Neuer Standard soll SSL-Verschlüsselungen sichern
8. Initiative-S: Ist Ihre Internetseite sicher?
9. Hoteldiebe als Hacker: Keycard-Schlösser sind leicht zu knacken
10. Unrechtmäßige Schnäppchen: Otto storniert Bestellungen mit falschen Gutschein-Codes

EDITORIAL
Guten Tag,
wer heute einen Internet-Anschluss bestellt, bekommt vom Anbieter seiner
Wahl meist gratis einen WLAN-Router dazu. Ohne Kabel mit allen
internetfähigen Geräten überall im Haus ins Netz gehen zu können, ist
praktisch und bequem. Doch Funknetzwerke bieten Angreifern einige
Einfallstore, die es erst einmal abzusichern gilt: mit sicheren
Passwörtern und einer ausreichenden Verschlüsselung des Datenverkehrs.
Mehr Infos dazu sowie weitere Meldungen rund um die Sicherheit im WWW
finden Sie wie immer in unserem Newsletter. Spannende Lektüre und sichere
Stunden im globalen Netz wünscht Ihnen
Ihr BUERGER-CERT-Team

STÖRENFRIEDE
1. Immer wieder WhatsApp: Messaging-Dienst bleibt trotz Update unsicher

Der Instant-Messaging-Dienst WhatsApp steht weiter in der Kritik. Der
IT-Sicherheits-Informationsdienst heise Security hat in
einem eigenen Test
herausgefunden http://www.heise.de/security/meldung/Erneut-Account-Klau-bei-WhatsApp-moeglich-1756224.html,
dass sich WhatsApp-Konten „erneut mit geringem Aufwand“ übernehmen
lassen. Und das, obwohl gerade ein Sicherheitsupdate für die App
veröffentlicht wurde. Für die Konto-Übernahme benötigten die Tester die
Handynummer eines Nutzers und die dazugehörige Seriennummer des
Smartphones mit Android-Betriebssystem. Nach Angabe der Tester sind diese
Informationen leicht zu beschaffen. Laut heise Security müsse davon
ausgegangen werden, dass WhatsApp auch auf anderen Betriebssystemen
verwundbar ist. WhatsApp sorgt derzeit wegen mangelnder Sicherheit immer
wieder für negative Schlagzeilen.

2. WhatsApp-Hoax: Kettenbrief verunsichert Anwender

Über den Instant-Messaging-Dienst WhatsApp verbreitet sich zurzeit eine
Falschmeldung, ein sogenannter Hoax. Der Kettenbrief teilt mit, dass
WhatsApp am 28. Januar eingestellt wird, weil der Dienst angeblich zu
viele Nutzer hat. Konten von Nutzern, die diese Nachricht nicht an ihre
Kontakte weiterleiten, würden gelöscht und könnten nur gegen eine „Gebühr
von 25,00“ wieder aktiviert werden. Eine Währung wird nicht genannt. Das
Online-Portal heise Security berichtet über den
Kettenbrief http://www.heise.de/security/meldung/Kettenbrief-verunsichert-WhatsApp-Nutzer-1759124.html.
Auf dem
WhatsApp-Blog http://blog.whatsapp.com/index.php/2012/01/it-is-a-hoax-really-it-is/
wurde auf den Hoax schon im Januar dieses Jahres hingewiesen. Offenbar
ist er seitdem mit variierenden Inhalten im Umlauf. WhatsApp-Nutzer, die
die Nachricht erhalten, sollten diese nicht weiterleiten und direkt
löschen.

3. Kurz aber heftig: PayPal-Spam-Welle überschwemmt Deutschland

Auf dem Blog des E-Mail-Sicherheitsdienstleisters eleven
berichten Experten über eine kurze aber heftige
Spam-Welle http://www.eleven-securityblog.de/2012/11/ruckzahlung-auf-paypal-guthaben-heftige-spam-welle-enthalt-trojaner/.
Über einen Zeitraum von drei Stunden seien pro Minute im Durchschnitt 277
Spam-Mails an Empfänger in Deutschland verschickt worden. Die Spam-Mail
hatte den Betreff „Ruckzahlung auf PayPal-Guthaben“ und enthielt einen
Anhang, den man zum Erhalt des angeblichen Geldsegens öffnen sollte. Der
Anhang war eine .zip-Datei, die wiederum eine als PDF getarnte .exe-Datei
enthielt. Wer die .exe-Datei ausführte, installierte eine Schadsoftware
auf seinem Computer.

4. Deutsche-Bank-Kunden im Visier: Daten-Phisher fordern Kopie der
TAN-Liste

Über einen recht dreisten Plan, an Transaktionsnummern von Kunden der
Deutschen Bank zu kommen, berichtet unter anderem
pc-magazin.de http://www.pc-magazin.de/news/neue-phishing-masche-betrueger-wollen-abfotografierte-tan-liste-1449934.html.
Demnach erhalten Anwender eine vermeintliche E-Mail der Deutschen Bank.
Darin werden sie aufgefordert, eine Fotografie oder einen Scan ihrer
TAN-Liste über einen Link, der zu einer gefälschten
Deutsche-Bank-Webseite führt, hochzuladen. Zudem sollen die Anwender auf
der Webseite ihre vollständigen Login-Daten und ihre Mobilfunknummer
preisgeben. Tun sie dies nicht, so heißt es in der Phishing-Nachricht,
werde der Zugang zum Online-Banking gesperrt und die Umstellung im
Anschluss kostenpflichtig. Als Grund wird eine angebliche Umstellung des
Online-Banking-Systems der Deutschen Bank auf das mTAN-Verfahren zum
Jahreswechsel angegeben. Auf ihrer Website weist die
Deutsche Bank darauf
hin https://www.deutsche-bank.de/pbc/ser-onlinebanking-sicherheit.html,
dass sie niemals vertrauliche Daten wie Kontonummer, PIN oder TAN per
E-Mail, telefonisch oder per SMS von ihren Kunden abfragt. Außerdem
versende die Bank keine E-Mails, die einen direkten Link zu einem
Online-Banking-Login enthalten. Wer solche E-Mails erhalte, soll den
Aufforderungen in keinem Fall folgen, sondern sich an die Deutsche Bank
wenden – unter der kostenlosen Telefonnummer 0800 - 8 128 128 oder über
die E-Mail-Adresse security.db@db.com.

5. Bitte Passwort ändern: Sicherheitslücke in Belkin-WLAN-Routern

IT-Sicherheitsforscher der TU Berlin haben eine Sicherheitslücke in
WLAN-Routern des Herstellers Belkin aufgedeckt und über ihren
englischsprachigen
Blog http://www.jakoblell.com/blog/2012/11/19/cve-2012-4366-insecure-default-wpa2-passphrase-in-multiple-belkin-wireless-routers/
veröffentlicht. Über den Fall berichtet zusammenfassend unter anderem
auch
heise.de http://www.heise.de/security/meldung/Voreingestelltes-WPA2-Passwort-bei-Belkin-Routern-leicht-zu-berechnen-1754439.html.
Betroffen sei das Modell Surf N150 mit der Modellnummer F7D1301v1. Der
Router nutze für die ab Werk eingestellte WPA2-Verschlüsselung des
Funkverkehrs ein Standard-Passwort, das sich aus der Gerätenummer
ableitet. Für Angreifer, die sich in Reichweite des Netzwerkes befinden,
sei es daher leicht, das Passwort zu errechnen und sich einzubuchen. Die
Forscher gehen davon aus, dass noch weitere Belkin-Router von dem Problem
betroffen sind, und nennen die Produkte Belkin N900 (Modellnummer
F9K1104v1), Belkin N450 (Modellnummer F9K1105V2) und Belkin N300
(Modellnummer F7D2301v1). Obwohl die Sicherheitslücke dem Unternehmen
bereits im Januar mitgeteilt wurde, habe Belkin nicht reagiert, schreiben
die Forscher. Sie empfehlen Besitzern eines Belkin-Routers daher, das
Standard-Passwort der WPA2-Verschlüsselung umgehend zu ändern.
Grundlegende Informationen zum Thema WLAN-Sicherheit gibt es auf der
Website
BSI-FUER-BUERGER https://www.bsi-fuer-buerger.de/BSIFB/DE/SicherheitImNetz/WegInsInternet/WLAN/wlan_node.html.

SCHUTZMASSNAHMEN
6. Zwei Updates in einer Woche: Sicherheitslücken in Chrome geschlossen

Gleich zweimal innerhalb einer Woche hat Google Sicherheitsupdates für
den Browser Chrome veröffentlicht. Insgesamt wurden neun
Sicherheitslücken geschlossen, fünf davon beseitigten als hohes Risiko
eingestufte Schwachstellen. Den Sicherheitshinweisen
zufolge http://googlechromereleases.blogspot.de/2012/11/stable-channel-update.html
betreffen die Updates die Chrome-Versionen für die Betriebssysteme
Windows, Mac und Linux. Anwender, die Chrome bereits installiert haben,
müssen nicht aktiv werden. Chrome bringt sich selbst über die
automatische Update-Routine auf den neuesten Stand. Das Update wird im
Hintergrund heruntergeladen und mit dem Beenden des Browsers installiert.
Alternativ kann das Programm auch von der
Chrome-Webseite https://www.google.com/intl/de/chrome/browser/
heruntergeladen werden.

PRISMA
7. HSTS ist da: Neuer Standard soll SSL-Verschlüsselungen sichern

Mit einer SSL/TLS-Verschlüsselung kann die Internetverbindung zwischen
einem Client und einem Server abgesichert werden, etwa beim
Online-Banking. Die Verschlüsselung soll unter anderem sicherstellen,
dass die übertragenen Daten von Unbefugten nicht abgefangen werden
können. Allerdings kann diese Absicherung durch sogenannte
Man-in-the-Middle-Angriffe ausgehebelt werden. Der neue technische
Standard HTTP Strict Transport Security (HSTS) soll dies nun verhindern.
Anders als bei TLS-verschlüsselten Internetverbindungen (HTTPS) ist bei
Verbindungen via HSTS bereits der erste Verbindungsaufbau zwischen Server
und Browser verschlüsselt. Angreifer können sich dadurch nicht mehr
unbemerkt in die Kommunikation einklinken. Vorrausetzung für den neuen
Standard ist, dass sowohl der Webseiten-Server als auch der Browser HSTS
verarbeiten können. Die aktuellen Versionen von Chrome und Firefox
enthalten laut
pc-magazin.de http://www.pc-magazin.de/news/hsts-schuetzt-ssl-verbindungen-vor-angriffen-1448856.html
Listen mit Webseiten, die Verbindungen per HSTS aufbauen können.

8. Initiative-S: Ist Ihre Internetseite sicher?

Der Verband der deutschen Internetwirtschaft – kurz eco – hat die
„Initiative-S“ ins Leben gerufen. Auf der Website
www.initiative-s.de http://www.initiative-s.de kann
jedes Unternehmen prüfen, ob über seine Domain Schadcode verteilt wird.
Der Dienst soll vor allem kleinen und mittelständischen Unternehmen
helfen, die Sicherheit ihres Internetangebotes zu erhöhen. Häufig hätten
kleinere Unternehmen nicht genug technische und personelle Ressourcen, um
ihre Internetpräsenzen abzusichern, heißt es auf der Webseite. Der Ablauf
der Prüfung ist denkbar einfach: Unternehmen können auf
www.initiative-s.de http://www.initiative-s.de den
Webseiten-Check kostenlos durchführen. Dazu muss lediglich die Domain in
eine Maske eingegeben und eine Referenz-E-Mail-Adresse hinterlegt werden.
Anschließend wird der Webauftritt auf Malware überprüft. Wird ein
Schadprogramm identifiziert, bekommt das Unternehmen eine E-Mail mit
einer Anleitung zur Beseitigung des Schadcodes. Wer weitere Hilfe bei
diesen Schritten benötigt, wird von Experten telefonisch unterstützt.

9. Hoteldiebe als Hacker: Keycard-Schlösser sind leicht zu knacken

In vielen Hotels erhält der Gast an der Rezeption keinen Schlüssel mehr,
sondern eine sogenannte Keycard. Die flachen Kunststoffkarten sollen
durch die elektronische Sicherung der Zimmertüren den Schutz vor
Hoteldieben erhöhen. Nun zeigen jedoch Einbruchsfälle in den USA, dass es
Hackern offenbar gelungen ist, das Sicherungssystem zu knacken. Hierüber
berichtet
golem.de http://www.golem.de/news/onity-locks-einbrueche-in-hotelzimmer-mit-gehackten-schloessern-1211-96002.html.
Betroffen sei der Hersteller Onity, dessen Schlösser Millionen
Hotelzimmer auf der ganzen Welt sichern. Mittlerweile ist es laut eigener
Aussage auch dem IT-Sicherheitsdienstleister Trustwave gelungen, das
Keycard-System zu manipulieren. In einem
YouTube-Video http://www.youtube.com/watch?feature=player_embedded&v=n1JEQ6ZsX0Y
wird der Angriff demonstriert. Eine Sicherung der Schlösser sei laut
golem.de zwar möglich, die Kosten hierfür müssten jedoch die Hotels
tragen. Dies könnte einer raschen Beseitigung des Problems
entgegenstehen.

10. Unrechtmäßige Schnäppchen: Otto storniert Bestellungen mit falschen
Gutschein-Codes

Der Versandhändler Otto musste zehntausende Online-Bestellungen von
Kunden stornieren. Der Grund: Findige Online-Shopper hatten bemerkt, dass
sie das Bestellformular manipulieren konnten. Im Feld für Gutscheincodes
konnten nicht autorisierte Nummernfolgen wiederholt eingegeben werden,
heißt es in einer Pressemitteilung von
Otto http://www.otto.com/de/newsroom/news/2012/OTTO-storniert-Gutscheinbestellungen.php.
Den Kunden brachte dies zwischen 88 und 400 Euro Ersparnis pro Einkauf.
Weil die Codes über Soziale Netzwerke verbreitet wurden, nutzten rund
50.000 Personen die vermeintlich günstige Gelegenheit. Laut
pcwelt.de http://www.pcwelt.de/news/Panne_-Otto_muss_50.000_Bestellungen_durch_gefaelschte_Gutscheine_stornieren-7088548.html
wurden daraufhin die betroffenen Bestellungen im Wert eines hohen
einstelligen Millionenbetrages storniert.




-----------------------------------------------------------------------
Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot
des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14
Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und
aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit
und Richtigkeit nicht übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de