Der Newsletter von www.buerger-cert.de
Ausgabe vom 28.02.2013
Nummer: NL-T13/0005

Die Themen dieses Newsletters:
1. Bankenverband warnt: sparkasse.de zum Malwareversand missbraucht
2. Unbefugter Zugriff: Zentrale Sperre beim iPhone umgehbar
3. Offene Sperre: Account-Zugriffsbeschränkung von iOS 6 lückenhaft
4. Betrug mit Siegel: Spammer missbrauchen Trusted-Shops-Gütezeichen
5. Bösartiger Serviceanruf: Falsche Microsoft-Mitarbeiter betrügen Anwender
6. Botnetzwerk „Pobelka“: Schnelltest gibt Aufschluss über Infizierung
7. Trojaner im Anhang: Spam-E-Mails tarnen sich als Telekom-Rechnung
8. 57 Schwachstellen geschlossen: Februar-Patchday bei Microsoft
9. Ins Netz gegangen: Mutmaßliche Hintermänner des „BKA-Trojaners“ verhaftet

EDITORIAL
Guten Tag,
im Kampf gegen die Cyber-Kriminalität brauchen Sicherheitsbehörden und
Anwender einen langen Atem. Hacker, Betrüger und Spammer suchen nach
immer neuen Wegen, ihren kriminellen Machenschaften nachzugehen. Umso
erfreulicher ist es, wenn Ermittlungen dazu führen, dass Botnetze
abgeschaltet oder Verdächtige Hintermänner gefasst werden. Denn dann wird
das Internet wieder ein Stück sicherer. Mehr Infos dazu sowie weitere
Meldungen rund um die Sicherheit im WWW finden Sie wie immer in unserem
Newsletter. Spannende Lektüre und sichere Stunden im globalen Netz
wünscht Ihnen
Ihr BUERGER-CERT-Team

STÖRENFRIEDE
1. Bankenverband warnt: sparkasse.de zum Malwareversand missbraucht

Cyber-Kriminelle haben die Homepage der Sparkasse angegriffen und konnten
für kurze Zeit Malware auf einzelnen Seiten von sparkasse.de installieren
und womöglich an Besucher dieser Websites verteilen. Nach
Angabe des Deutschen Sparkassen- und Giroverbands
(DSGV) http://www.sparkasse.de/Aktuell/sparkasse_de_hackerangriff.html,
erfolgte der Angriff am 18. Februar. Kunden, die an diesem Tag ohne
aktuellen und aktiven Virenscanner auf sparkasse.de waren, könnten sich
die Schadsoftware auf den eigenen Rechner geladen haben, so der DSGV. Mit
allen gängigen Virenschutzprogrammen soll sich die Malware beseitigen
lassen. Die betroffenen Seiten wurden laut DSGV umgehend offline
gestellt. Online-Banking-Angebote sowie Homebanking-Programme von Kunden
seien von dem Angriff nicht betroffen. Die Sparkassen empfehlen allen
Internetnutzern, stets eine aktive Firewall und einen aktuellen
Virenscanner zu nutzen.

2. Unbefugter Zugriff: Zentrale Sperre beim iPhone umgehbar

Wenn beim iPhone die Zugriffssperre eingeschaltet ist, haben Fremde
keinen Zugriff auf Fotos, Nachrichten und Kontakte – das sollte man
meinen. Doch jetzt ist eine Kombination von Befehlen bekannt geworden,
mithilfe derer sich die Zugangssperre umgehen lässt. Auf
dem Online-Magazin heise.de ist zu
lesen http://www.heise.de/mac-and-i/meldung/iPhone-Luecke-erlaubt-Zugriff-ohne-Passcode-1803813.html,
welche Tasten man in welcher Reihenfolge drücken muss, um ohne Passcode
an die Fotos und Kontakte zu kommen. Dort ist auch ein Video zu sehen,
das die Reihenfolge demonstriert. Ist man in den Kontakten angelangt,
kann man Telefonate durchführen und sich weiterklicken zu den Fotos.
Apple kündigte an, die Sicherheitslücke im nächsten Software-Update zu
beheben.

3. Offene Sperre: Account-Zugriffsbeschränkung von iOS 6 lückenhaft

Im Betriebssystem iOS 6 können Änderungen am Account – etwa für
Online-Shops, Facebook- und E-Mail-Konto – in den Systemeinstellungen
gesperrt werden. Ist diese Sperre aktiv, können Nutzer weder neue
Accounts anlegen noch ändern oder löschen. Doch das gilt offenbar nicht
für alle Funktionen, berichtet das Online-Magazin
heise.de http://www.heise.de/security/meldung/Zugriffsbeschraenkung-in-iOS-6-zum-Teil-nutzlos-1805324.html.
In den Apps „iTunes“ und „App Store“ könne man den Account wechseln. Das
könne etwa für Eltern zum Problem werden, die verhindern wollen, dass
ihre Kinder unerwünschte Software installieren. Apple hat angekündigt,
die Schwachstelle zu beheben.

4. Betrug mit Siegel: Spammer missbrauchen Trusted-Shops-Gütezeichen

Angreifer haben das Trusted-Shops-Siegel für das Versenden von
Schadsoftware missbraucht. Wie auf dem Blog des deutschen
E-Mail-Sicherheitsdienstleisters Eleven zu lesen
ist http://www.eleven-securityblog.de/2013/02/virus-outbreak-nutzt-trusted-shops-gutesiegel/,
wurden in den letzten Tagen vermehrt E-Mails im Namen von Trusted Shops
verwendet, um Anhänge mit Schadcode zu verschicken. Trusted Shops ist ein
Siegel, das Online-Shops gegen Prüfung einiger Kriterien wie Datenschutz
und Benutzerfreundlichkeit gegen eine monatliche Grundgebühr auf ihrer
Seite platzieren können. Das Siegel steht für besondere
Vertrauenswürdigkeit – die die Angreifer in den Spammails ausgenutzt
haben. Als Anhang verschickten sie Trojaner, zum Beispiel mit dem Namen
„Online_Bestellung.exe“. Die gefälschten E-Mails würden laut
Sicherheitsdienstleister Eleven bekannte Merkmale aufweisen: Keine
direkte Anrede, keine individuellen Bezüge wie Rechnungs- und
Kundennummern. In einigen Fällen wurden die deutschen Umlaute nicht
korrekt dargestellt.

5. Bösartiger Serviceanruf: Falsche Microsoft-Mitarbeiter betrügen
Anwender

Telefonanrufer, die angeblich den Rechner von Viren befreien:
Der IT-Nachrichtendienst heise.de berichtet über
Betrugsversuche per
Telefon http://www.heise.de/security/meldung/Telefonabzocke-mit-angeblicher-Virenreinigung-1803074.html.
Demnach erhalten derzeit Bürger Anrufe von vermeintlichen
Microsoft-Mitarbeitern, die Servicepakete verkaufen wollen. Tatsächlich
handelt es sich um Abzocke. Die Anrufer sollen laut heise.de Englisch
sprechen, mit indischem Akzent. Die Betrüger behaupten beispielsweise,
der Rechner des Angerufenen sei zur Verbreitung von Trojanern missbraucht
worden. Man wolle helfen und das Problem per Fernwartung lösen. Die
„Hilfe“ sei aber nicht umsonst, man verlangt die Preisgabe der
Kreditkartendaten, um die Kosten von rund 100 Euro abbuchen zu können.
Die Betrugsmasche ist seit vergangenem Herbst bekannt, auch damals
berichtete heise.de. Aktuell scheinen sich die Fälle wieder zu häufen.
Auf seiner
Website http://www.microsoft.com/de-de/security/online-privacy/msname.aspx
weist Microsoft u.a. auf diese Methode hin und gibt Tipps zum richtigen
Verhalten.

6. Botnetzwerk „Pobelka“: Schnelltest gibt Aufschluss über Infizierung

Experten des niederländischen IT-Sicherheitsdienstleister Fox-IT und
SurfRight ist es gelungen, das Botnetz „Pobelka“ (russisch für:
Geldwäsche) detailliert zu analysieren. Nun können Anwender prüfen, ob
ihre Rechner teil dieses Botnetzes sind. Dazu bietet die Website
botfrei.de eine Schritt-für-Schritt-Anleitung
an http://blog.botfrei.de/2013/02/ist-ihr-rechner-teil-des-pobelka-botnetzes-neuer-online-check/
und gibt Handlungsanweisungen für den Fall, dass ein System betroffen
ist. Pobelka hat die Online-Banking-Accounts und
Kreditkarten-Informationen vor allem deutscher und niederländischer
Anwender im Visier. Wie viele andere Banking-Trojaner versucht Pobelka
mittels Man-in-the-Browser-Attacken Online-Transaktionen zu manipulieren.
Ist ein Rechner infiziert und öffnet der Anwender sein
Online-Banking-Programm, kann das Schadprogramm beispielsweise
Überweisungsdaten manipulieren, noch bevor die SSL-Verschlüsselung die
Transaktionen absichern kann.

7. Trojaner im Anhang: Spam-E-Mails tarnen sich als Telekom-Rechnung

Nach Angaben der Deutschen
Telekom http://www.telekom.com/konzern/176246 versenden
Cyber-Kriminelle derzeit Schadsoftware, versteckt in gefälschten
Telekom-E-Mails. Die Spam-Nachrichten sind täuschend echte Kopien der
Rechnung-Online-E-Mail von Telekom Deutschland und enthalten einen
Trojaner im Anhang mit dem Dateinamen „2013_01rechnung_123456789“. Laut
Telekom wird der Trojaner von gängiger und aktueller Antiviren-Software
erkannt. Anhand einiger kleiner Unterschiede zu einer authentischen
E-Mail lässt sich die Spam-E-Mail identifizieren: Im Betreff der
Fälschung fehlt die individuelle Buchungskontonummer, und es befindet
sich ein Punkt hinter dem ersten Teil vor dem @ der Absender-Adresse
„rechnungonline.@telekom.de“.

SCHUTZMASSNAHMEN
8. 57 Schwachstellen geschlossen: Februar-Patchday bei Microsoft

Microsoft hat im Rahmen des Februar-Patchdays zwölf
Sicherheitsupdates
veröffentlicht http://technet.microsoft.com/de-de/security/bulletin/ms13-020,
mit denen 57 Sicherheitslücken geschlossen werden. Fünf Updates beheben
von Microsoft als „kritisch“ eingestufte Schwachstellen. Betroffen sind
die Internet-Explorer-Versionen 6, 7, 8, 9 und 10 sowie Teile der
Betriebssysteme Windows XP und Vista. Die Aktualisierungen werden von
Microsoft über die in Windows-Betriebssystem integrierte Update-Funktion
eingespielt. Anwender können die Patches aber auch manuell
von der Microsoft-Website
herunterladen http://www.microsoft.com/de-de/download/search.aspx?q=sicherheitsupdate&p=0&r=10&t=&s=availabledate~Descending.

PRISMA
9. Ins Netz gegangen: Mutmaßliche Hintermänner des „BKA-Trojaners“
verhaftet

Der Spanischen Polizei sowie Europol und Interpol ist ein Schlag gegen
die mutmaßlichen Hintermänner des „BKA-Trojaners“ gelungen.
Wie heise.de
berichtet http://www.heise.de/security/meldung/Spanische-Polizei-Entwickler-des-BKA-Trojaners-festgenommen-1803491.html,
konnte die Polizei den mutmaßlichen Entwickler der Erpresser-Software,
einen 27-jährigen Russen, in Dubai verhaften. Eine Gruppe von zehn
verdächtigten Hintermännern konnte in Spanien festgesetzt werden. Bei
Hausdurchsuchungen ist laut heise.de Material beschlagnahmt worden, das
die Gruppe für ihre kriminellen Machenschaften genutzt haben soll.
Darunter etwa die Kreditkarten, die für die Auszahlung der erpressten
Lösegelder genutzt wurden. Anwender sollten über die Bezahldienste Ukash,
Paysafecard und MoneyPak ein Lösegeld zahlen, damit sie ihren von den
Erpressern gesperrten Rechner wieder nutzen dürfen. Allein in Deutschland
wurden im Zusammenhang mit dem BKA- oder GVU-Trojaner in rund 20.000
Fällen Strafanzeige gestellt. Weltweit seien Millionen Rechner betroffen,
so die spanische Polizei. Mit den Verhaftungen sei die Gefahr für
Anwender jedoch nicht vorbei, heißt es, mittlerweile werde die
Erpressungsmethode von anderen Cyberkriminellen kopiert.




-----------------------------------------------------------------------
Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot
des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14
Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und
aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit
und Richtigkeit nicht übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de