GREENHORN COMPUTER-FORUM - Freundliche Hilfe für PC-Einsteiger und Fortgeschrittene |
|
Seiten mit Postings: 1 | zum Seitenende |
|
Autor | Mitteilung |
Nubira Moderator Beiträge: 15134 | Gesendet: 12:15 - 04.01.2013 SICHER o INFORMIERT Der Newsletter von www.buerger-cert.de Ausgabe vom 04.01.2013 Nummer: NL-T13/0001 Die Themen dieses Newsletters: 1. Botnetz belästigt Android-Anwender: Trojaner versteckt sich in Spiele-Apps 2. Neuer Versuch mit altem Design: Vorsicht vor neuer PayPal-Spam-Welle 3. Kritische Sicherheitslücke im Internet Explorer: Alte Versionen sind betroffen 4. Transaktionsnummer per QR-Code: 1822direkt-Bank führt neues TAN-Verfahren ein 5. Commerzbank setzt auf Foto-TAN-Verfahren: Bunte Bilder enthalten Transaktionsnummern 6. Sicherheitsupdate für VLC-Player: Schwachstelle wird beseitigt 7. Opera behebt Sicherheitsprobleme: Neue Browser-Version verfügbar 8. Sicher surfen mit dem Tablet: Tipps für neue und erfahrene Anwender 9. WLANs – wie Hacker sie ausspionieren: Beliebte Technik mit Risiken EDITORIAL Diese Woche informiert der Newsletter über eine PayPal-Spamwelle, neue TAN-Verfahren und das Vorgehen von WLAN-Hackern. STÖRENFRIEDE 1. Botnetz belästigt Android-Anwender: Trojaner versteckt sich in Spiele-Apps In den USA breitet sich auf Android-basierten Smartphones ein Trojaner aus. Das berichtet der IT-Sicherheitsdienstleister Lookout auf seinem englischsprachigen Blog https://blog.lookout.com/blog/2012/12/17/security-alert-spamsoldier/. Der Trojaner installiert sich, wenn der Anwender bestimmte Spiele installiert, die per SMS beworben werden. Eine solche Nachricht enthält zum Beispiel Sätze wie diesen: „Download Grand Theft Auto 3 & Need for Speed Most Wanted for Android phones for free at hxxp://trendingoffers.com for next 24hrs only!” Sobald der Trojaner aktiv ist, nimmt er Kontakt mit einem Server auf, von dem er eine Liste mit 100 Rufnummern erhält. Nun schickt der Trojaner an diese Telefonnummern eine entsprechende Spam-SMS und löscht die gesendete Nachricht, sodass möglichst keine Spuren sichtbar sind. Auch Antwort-Nachrichten versucht der Trojaner zu löschen. Das Sicherheitsunternehmen Lookout empfiehlt, Apps nur aus vertrauenswürdigen Quellen zu beziehen und eine Sicherheits-Software auf Android-Smartphones zu verwenden. 2. Neuer Versuch mit altem Design: Vorsicht vor neuer PayPal-Spam-Welle Der IT-Nachrichtendienst heise.de berichtet von einer Spamwelle http://www.heise.de/security/meldung/Paypal-Phisher-bitten-zur-Kartenverifizierung-1774774.html. Demnach werde momentan massiv versucht, Anwendern deren Zugangsdaten zum Bezahldienst Paypal sowie Kreditkarten- und andere persönliche Daten zu entlocken. In der Spam-E-Mail werden die Anwender aufgefordert einen Link anzuklicken und die Daten auf einer eigens dafür eingerichteten Website einzugeben. Das es sich dabei um eine nachgebaute Website handelt, ist laut heise.de daran zu erkennen, dass die Angreifer ein altes Paypal-Design verwenden und die Website nicht über eine gesicherte HTTPS-Verbindung aufgerufen wird. Letzteres ist bei offiziellen Paypal-Websites immer der Fall, wie das Unternehmen selbst in den Sicherheitshinweisen auf seiner Homepage https://www.paypal.com/de/webapps/mpp/safety-tips-buyers erklärt. 3. Kritische Sicherheitslücke im Internet Explorer: Alte Versionen sind betroffen Der IT-Sicherheitsdienstleister FireEye hat eine Schwachstelle in älteren Versionen des Internet Explorers entdeckt. Betroffen sind einem Bericht im englischsprachigen Blog des Unternehmens http://blog.fireeye.com/research/2012/12/council-foreign-relations-water-hole-attack-details.html zufolge die Versionen 6, 7 und 8. Die neueren Versionen 9 und 10 enthalten den Fehler laut FireEye nicht. Beim Anzeigen einer manipulierten Webseite kann beliebiger Code auf betroffenen Rechnern mit den Rechten des Anwenders ausgeführt werden. Der Angriffscode startet ohne weiteres Zutun des Anwenders. In der aktuellen Version des Angriffs wird Flash verwendet, um Zugriff auf Systeme zu erlangen. Die Schwachstelle wird dem Bürger-CERT zufolge derzeit in gezielten Angriffen ausgenutzt. Ein Sicherheitsupdate gibt es bisher nicht. Das Bürger-CERT rät Anwendern https://www.buerger-cert.de/archive?type=widspecialedition&nr=SE-T12-0007 älterer Internet-Explorer-Versionen, die aktuelleren und besser gesicherten Versionen 9 oder 10 zu installieren. SCHUTZMASSNAHMEN 4. Transaktionsnummer per QR-Code: 1822direkt-Bank führt neues TAN-Verfahren ein Die 1822direkt-Bank, ein Unternehmen der Frankfurter Sparkasse, stellt Kunden ein neues kostenfreies TAN-Verfahren https://www.1822direkt.com/finanznews/service/1822direkt-bietet-ab-sofort-qr-tan-an/ zur Verfügung. Es richtet sich speziell an die Anwender mobiler Geräte. Anstatt wie bei herkömmlichen TAN-Verfahren die TAN für Online-Transaktionen anhand einer Liste zu ermitteln oder eine per SMS verschickte TAN zu verwenden, macht das „QR-TAN“ genannte Sicherheitsverfahren das Smartphone oder das Tablet selbst zum TAN-Generator. Genutzt wird dazu ein QR-Code (Quick-Response-Code). Die Transaktionsnummer wird nach Eingabe aller Überweisungsdaten mittels eines zweidimensionalen Musters errechnet und im Webbrowser dargestellt. Mit einer Android bzw. iOS-App der Bank wird dieser QR-Code nach einmaliger Registrierung des mobilen Geräts vom Bildschirm gescannt. Am mobilen Gerät kann der Anwender die Daten nun überprüfen und die Transaktion mir der dargestellten TAN am mobilen Gerät und im Browser freigeben. Mehr Details zur Funktionsweise und den Sicherheitsfeatures des QR-TAN-Verfahrens lesen Sie auf der Hilfe-Website der 1822direkt-Bank https://www.1822direkt.com/service/zugangsmoeglichkeiten/. 5. Commerzbank setzt auf Foto-TAN-Verfahren: Bunte Bilder enthalten Transaktionsnummern Die Commerzbank hat ein neues kostenloses TAN-Verfahren vorgestellt, das Transaktionen per Online-Banking sicherer machen soll. Der Kunde scannt beim „photoTAN“-Verfahren eine farbige Grafik mit seinem mobilen Gerät, etwa einem Smartphone. Mittels einer photoTAN-App der Commerzbank wird im Anschluss aus den verschlüsselten Bilddaten die 7-stellige Transaktionsnummer (TAN) erzeugt. Zusätzlich bekommt der Kunde die Daten der Transaktion – die Höhe der Überweisung und das Empfängerkonto – am mobilen Gerät und auf der Online-Banking-Website zur Kontrolle angezeigt. Alternativ kann das photoTAN-Verfahren mit einem Lesegerät genutzt werden, welches einmalig 14,90 Euro kosten soll. Die Commerzbank will ihren Kunden das neue Verfahren ab Februar 2013 anbieten. Mehr Informationen zum photoTAN-Verfahren gibt es auf der Website der Commerzbank https://www.commerzbank.de/de/hauptnavigation/presse/pressemitteilungen/archiv1/2012/quartal_12_04/presse_archiv_detail_12_04_30411.html. 6. Sicherheitsupdate für VLC-Player: Schwachstelle wird beseitigt Für den Freeware-Mediaplayer VLC ist ein Update verfügbar, dass dem Bürger-CERT zufolge eine kritische Sicherheitslücke in älteren Versionen des Programms schließt. Betroffen sind alle VLC Media Player-Versionen vor der Version 2.0.5 für die Betriebssysteme Windows, Linux und Mac OS. Das Update behebt eine Schwachstelle, über die ein entfernter Angreifer beliebigen Schadcode mit den Rechten des angemeldeten Anwenders ausführen könnte. Zur erfolgreichen Ausnutzung dieser Schwachstelle muss der Angreifer den Anwender dazu bringen, eine manipulierte E-Mail, Webseite oder Mediendatei zu öffnen. Die aktuelle Version des VLC-Players kann auf der Website des Herstellers kostenlos heruntergeladen http://www.videolan.org/vlc/releases/2.0.5.html werden. 7. Opera behebt Sicherheitsprobleme: Neue Browser-Version verfügbar Das Browser-Programm Opera ist in einer aktualisierten Version verfügbar, die mehrere Sicherheitsprobleme beseitigt. So ist es etwa bisher möglich, dass mit alten Browser-Versionen aufgerufene GIF-Bilddateien, die Schadcode enthielten, diesen auf einem System ausführen konnten. Die gesicherte Version Opera 12.12 http://www.opera.com/browser/download/ kann von der offiziellen Opera-Website kostenlos heruntergeladen werden. PRISMA 8. Sicher surfen mit dem Tablet: Tipps für neue und erfahrene Anwender Unterm Weihnachtsbaum lagen alleine in Deutschland abertausende Smartphones und Tablets. Die beiden Produkte gehören zu den beliebtesten derzeit – in Deutschland und weltweit. Allen neuen, aber auch alten, Tablet- und Smartphone-Anwendern sei gesagt: Wer mobil surft, sollte ein paar Sicherheitsregeln beachten. Die sind zum Beispiel im Blog des Anti-Botnet-Beratungszentrum zu finden http://blog.botfrei.de/2012/12/mit-dem-tab-im-web-tips-zum-sicheren-surfen/. Eine der wichtigsten Regeln: Nutzen Sie keine offenen, unverschlüsselten WLAN-Zugänge. Viele Hinweise zur Frage „Wie bewege ich mich sicher im mobilen Netz?“ sind auch auf der Website BSI FUER BUERGER zu finden https://www.bsi-fuer-buerger.de/BSIFB/DE/MobileSicherheit/mobileSicherheit_node.html. 9. WLANs – wie Hacker sie ausspionieren: Beliebte Technik mit Risiken Immer mehr Geräte werden mit WLAN ausgestattet, teilweise schon Waschmaschinen, Kühlschränke und Fahrzeuge. Bei Smartphones und vielen anderen Geräten haben sich die Anwender inzwischen daran gewöhnt, dass sie sich über WLAN – und zwar ausschließlich über WLAN – mit dem Internet verbinden. Die Fachzeitschrift „Computerwoche“ hat das zum Anlass genommen, in einem ausführlichen Artikel http://www.computerwoche.de/a/modernes-wlan-hacking,2521564 über den Status Quo von kabellosen Netzwerken, deren Gefahren und Risiken aufzuklären. So sind zum Beispiel je nach Antenne theoretisch Reichweiten bis 3000 Meter möglich. Das macht in einem bewohnten Gebiet das Auffinden eines Angreifers unmöglich. Und auch die aktuelle Sicherung WPA2 bietet offenbar keine absolute Sicherheit. Doch nicht nur das Eindringen in ein System wird einfacher, wenn es ein WLAN-Netzwerk ist. Auch die Risiken steigen, weil immer mehr Geräte mit diesem System verbunden sind. So haben Forscher schon per WLAN die Elektronik eines Fahrzeugs manipulieren können. Sie verschafften sich Zugang zum PKW und deaktivierten die Bremsen. Das Fazit der Computerwoche: „Unternehmen und Endanwender sollten kritisch bewerten ob und in welchem Umfang sie WLANs tatsächlich brauchen und die Verwendung unter Umsetzung möglichst vieler der beschriebenen Sicherheitsmaßnahmen abwägen.“ ----------------------------------------------------------------------- Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14 Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit und Richtigkeit nicht übernommen werden. Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de |
Nubira
Moderator Beiträge: 15134
|
Gesendet: 08:04 - 05.01.2013 Zu Punkt 2: Diese Mail habe ich gerade bekommen - dummerweise habe ich aber gar kein Konto bei PayPal Zitat: |
Seiten mit Postings: 1 | - SICHER • INFORMIERT vom 04.01.2013 - | zum Seitenanfang |
|
Version 3.1 | Load: 0.001936 | S: 1_2 |