GREENHORN COMPUTER-FORUM - Freundliche Hilfe für PC-Einsteiger und Fortgeschrittene |
|
Seiten mit Postings: | zum Seitenende |
|
Autor | Mitteilung |
Nubira Moderator Beiträge: 15134 | Gesendet: 16:27 - 30.04.2015 SICHER o INFORMIERT ------------------- Der Newsletter des Bürger-CERT Ausgabe vom 30.04.2015 Nummer: NL-T15/0009 Die Themen dieses Newsletters: 1. Phishing: Augen auf bei Online-Spenden 2. Android: Tausende Apps akzeptieren gefälschte Zertifikate 3. WordPress: Update soll Hacker fernhalten 4. Google: Sicherheitsupdate für den Chrome Browser 5. Cyber-Sicherheit: Dem Innentäter beikommen 6. Datenschutz: Die Cookies der Online-Werbung EDITORIAL Liebe Leserin, lieber Leser, das Problem ist so alt wie die Online-Berichterstattung: Tragödien wie das Erdbeben in Nepal spornen generell Online-Kriminelle an, gefälschte Spendenaufrufe zu verschicken, Webseiten von Wohltätigkeitsorganisationen bis aufs I-Tüpfelchen nachzubauen und so Ihre Spendenbereitschaft zur eigenen Bereicherung auszunutzen. Wir möchten Ihre Spendenbereitschaft nicht senken, wohl aber an Ihre Aufmerksamkeit appellieren: Seien Sie gerade bei unverlangt zugeschickten E-Mails mit Spendenaufrufen misstrauisch. Misstrauen sollten Sie auch gegenüber Apps zeigen. Untersuchungen amerikanischer Hochschulen haben gezeigt, dass tausende Apps keine echten Sicherheitszertifikate von gefälschten unterscheiden können. Das erleichtert Online-Kriminellen, Zugangsdaten abzufangen. Diese und weitere Meldungen rund um die Sicherheit im WWW finden Sie wie immer in unserem Newsletter. Spannende Lektüre und sichere Stunden im globalen Netz wünscht Ihnen Ihr Buerger-CERT-Team STÖRENFRIEDE 1. Phishing: Augen auf bei Online-Spenden Das schwere Erdbeben in Nepal, das Tausende Menschen das Leben gekostet, noch mehr in Verzweiflung gestürzt und Kulturgüter zerstört hat, ruft Rettungskräfte auf den Plan, von denen sich viele durch Spenden finanzieren. Wir möchten Sie nicht davon abhalten, sich großzügig zu zeigen. Wir möchten Sie jedoch daran erinnern, dass auch Online-Kriminelle auf Ihr Geld aus sind, die gewiss keine Unterstützung verdienen. Immer wieder nehmen Kriminelle solche Tragödien oder sonstige besondere Ereignisse, die im öffentlichen Interesse stehen, zum Anlass, sich in unverlangt zugeschickten E-Mails oder auf gefälschten Webseiten als gemeinnützige Organisation auszugeben und um Spenden zu werben. Ignorieren Sie unverlangte Spenden-E-Mails im Zweifel immer. Wenn Sie online spenden möchten, dann sollten Sie das bei einer seriösen Hilfsorganisation tun und sicherstellen, dass Sie nicht auf einer gefälschten Website sind https://www.bsi-fuer-buerger.de/BSIFB/DE/GefahrenImNetz/Phishing/BeispielePhishingAngriffe/beispielephishingangriffe_node.html. Achten Sie auch auf eine verschlüsselte Verbindung, die Sie am dargestellten Schloss in der Adressleiste erkennen. 2. Android: Tausende Apps akzeptieren gefälschte Zertifikate Sie haben es vermutlich schon selbst einmal erlebt: Sie möchten eine HTTPS-Adresse aufrufen und Ihr Browser warnt Sie vor einem abgelaufenen oder möglicherweise gefälschten Zertifikat. Anders als Ihr Browser können das Apps für Ihr Smartphone oder Tablet nicht. Das bedeutet, dass Apps überlistet und Login-Daten zu geschützten Seiten abgefangen werden können. Bereits im September 2014 hat eine amerikanische Universität App-Entwickler informiert, dass dessen Computer Emergency Response Team (CERT) diese Lücke in rund 23.000 Apps festgestellt hat. Eine Nachuntersuchung durch eine andere amerikanische Hochschule ergab nun, dass die Lücke weiterhin in tausenden Apps offen ist. Dazu zählen auch beliebte Anwendungen, die in Googles App Store Millionen Downloads verzeichnen. Laut Golem http://www.golem.de/news/android-tausende-apps-akzeptieren-gefaelschte-zertifikate-1504-113785.html zählt dazu Picsart Photo Studio, das Konten mit Logins über Facebook-, Twitter- und Google+-Konten erlaubt. Auch der Astro File Manager, über den sich Verbindungen mit Cloud-Diensten wie Microsofts Ondrive herstellen lassen, ist betroffen. Ein ähnlicher Fehler lässt sich auch in zahlreichen Apps für iOS finden. Das BSI empfiehlt, grundsätzlich nur unbedingt benötigte Apps zu installieren und sich zum Beispiel bei Facebook grundsätzlich über den Browser, nicht über die Facebook-App anzumelden. Ein Virtuelles Privates Netzwerk (VPN) schützt gegen Ausspähversuche. SCHUTZMASSNAHMEN 3. WordPress: Update soll Hacker fernhalten WordPress ist ein beliebtes Werkzeug, um Blogs zu erstellen. Bei Versionen des Programms bis 4.2 ist es Angreifern möglich, die Kommentar-Funktion dafür zu nutzen, die Website zu übernehmen http://www.heise.de/security/meldung/Angreifer-koennen-aktuelle-WordPress-Versionen-kapern-2622268.html. Der Hersteller reagierte mit einer Aktualisierung auf die Version 4.2.1, die diese Sicherheitslücke schließen soll. WordPress-Installationen mit aktiviertem automatischen Update haben mittlerweile begonnen, das Update herunterzuladen und zu installieren. 4. Google: Sicherheitsupdate für den Chrome Browser Zwei Sicherheitslücken im Google Chrome Browser https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T15-0034 ermöglichen unter anderem das Ausführen beliebigen Programmcodes. Um diese zu schließen, steht ein neues Update von Google Chrome bereit, das Sie rasch installieren sollten. PRISMA 5. Cyber-Sicherheit: Dem Innentäter beikommen "Unsere Mitarbeiter sind vertrauenswürdig!" Welcher Abteilungsleiter und welche Chefin würde das nicht sagen? Verschiedene Statistiken zeichnen ein anderes Bild, wie auch das BSI im "Leitfaden Informationssicherheit" https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzUeberblick/LeitfadenInformationssicherheit/leitfaden.html festhält. Die Mehrzahl der Sicherheitsverstöße wird durch Innentäter verursacht. Dabei muss nicht immer Vorsatz im Spiel sein. Auch durch Versehen, Übereifer oder Neugierde, gepaart mit mangelndem Problembewusstsein, entstehen zuweilen große Schäden. Das ZDF hat sich des Themas in Text und Video angenommen http://www.heute.de/cyber-terror-einmal-passwoerter-per-smartphone-sollen-firmen-und-kraftwerke-vor-hacker-angriffen-besser-schuetzen-38128982.html. 6. Datenschutz: Die Cookies der Online-Werbung Wie Sie wissen, finanzieren sich viele "kostenlose" Angebote im Netz über Werbung. Diese wird mithilfe der Spuren, die Sie hinterlassen, wenn Sie im Internet unterwegs sind, häufig personalisiert. Wie das funktioniert und wie Sie diese Praxis einschränken können, beschreibt ein Artikel der Computerwoche http://www.computerwoche.de/a/spurensuche-der-surfcheck,3068026. Übrigens: Die Web-Angebote des BSI verwenden keine Cookies um Besuchern zu folgen oder deren Vorlieben in Erfahrung zu bringen. ----------------------------------------------------------------------- Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14 Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit und Richtigkeit nicht übernommen werden. Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de |
Seiten mit Postings: | - SICHER • INFORMIERT vom 30.04.2015 - | zum Seitenanfang |
|
Version 3.1 | Load: 0.002247 | S: 1_2 |