SICHER o INFORMIERT
-------------------
Der Newsletter des Bürger-CERT
Ausgabe vom 21.01.2016
Nummer: NL-T16/0002

Die Themen dieses Newsletters:
1. Android: Verseuchte Apps im Google Play Store
2. Dell: Telefonbetrug durch falsche Techniker
3. Trend Micro: Passwort-Manager lückenhaft
4. Unitymedia: Gefährdete Standardpasswörter
5. PayPal: Weiterhin Phishing-Mails im Umlauf
6. Apple: Mehrere Lücken in verschiedenen Produkten geschlossen
7. Microsoft: Patchday im Januar
8. Adobe: Sicherheitsupdates für Adobe Acrobat und Reader
9. Kreditkarten: Umfassender Austausch als Vorsichtsmaßnahme
10. Überwachungskameras: Fremdzugriff aus der Ferne möglich
11. Kinderschutz: Wie der Nachwuchs das Internet sicher nutzen kann
12. myDigitalWorld: Jugendwettbewerb für mehr Sicherheit im Netz

EDITORIAL
Liebe Leserin, lieber Leser,

Passwörter sind der Schlüssel zu all den Portalen und Services, die
Internetnutzer unter anderem für das Einkaufen, Erledigen von
Bankgeschäften oder aber Kommunizieren über Social-Media-Plattformen
tagtäglich benötigen. Ohne Passwort geht fast gar nichts mehr in der
vielfältigen Welt der Online-Services. Den Überblick über die hierfür
notwendigen Kennworte zu behalten und stets neue, möglichst starke zu
erstellen, ist mit einem regelmäßigen Aufwand verbunden. Mittlerweile
gibt es deshalb auch für private Anwender Software-Werkzeuge, die genau
hier Unterstützung bieten. Doch auch diese sind wie jede noch so
intelligente Technik nicht unverwundbar, wie sich in zwei aktuellen
Fällen zeigt. Technische Helfer wie Passwort-Manager können Sie dabei
unterstützen, sicherer im Internet aktiv zu sein, aber auch Sie selbst
sind gefragt: Es schadet nie, Aufmerksamkeit bei der Eingabe von
Informationen in Formularfelder walten zu lassen und genutzte Programme
kontinuierlich zu aktualisieren.

Was Sie dazu noch wissen sollten, erfahren Sie in der aktuellen Ausgabe
unseres Newsletters. Zudem finden Sie darin wie immer weitere Themen rund
um die Sicherheit im WWW.

Wir wünschen Ihnen eine spannende Lektüre.

Ihr BürgerCERT-Team

STÖRENFRIEDE
1. Android: Verseuchte Apps im Google Play Store

Der Sicherheitsanbieter Lookout hat im Google Play Store 13 Apps
entdeckt, die Schadsoftware der Malware-Familie “Brain
Test“ http://www.zdnet.de/88256270/google-loescht-13-mit-malware-verseuchte-apps-aus-dem-play-store/
enthalten. Google hat auf die Nachricht umgehend reagiert und die
bösartigen Apps entfernt. Allerdings fanden bereits mehrere tausend
Downloads statt. Bei den Apps handelt es sich um reibungslos
funktionierende Spiele, die durchschnittlich eine Bewertung von vier
Sternen besitzen. Dazu haben die Cyberkriminellen einen Trick angewandt:
Sobald eine der Apps installiert war, lud die Schadsoftware die anderen
Apps im Hintergrund herunter und bewertete sie positiv. Bei
handelsüblichen Geräten kann die Malware durch einen Factory-Reset wieder
entfernt werden. Inhaber von gerooteten Geräten haben es bei der
Entfernung schwieriger. Sie müssen zunächst ihre Nutzerdaten sichern und
das Gerät dann wieder mit einem Hersteller-ROM bespielen.
Das Beispiel zeigt, dass Sie bei der Installation von Android-Apps nicht
nur auf Drittanbieter-Quellen verzichten sollten, sondern auch bei
vertrauenswürdige Quellen stets hinterfragen sollten, ob Sie diese App
wirklich benötigen. Weitere Empfehlungen zur Installation, Aktualisierung
und Gebrauch von Apps finden Sie in unserer Empfehlung zur
App-Sicherheit auf mobilen
Geräten https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/EinrichtungSoftware/EinrichtungMobileApps/MobileApps_node.html.

2. Dell: Telefonbetrug durch falsche Techniker

Derzeit treiben falsche Support-Mitarbeiter von Dell ihr Unwesen. Sie
geben vor, ein angebliches Rechnerproblem lösen zu wollen und versuchen
bei den Nutzern mit Detailwissen Vertrauen aufzubauen, das eigentlich nur
echte Support-Mitarbeiter haben können. Wie botfrei
Blog https://blog.botfrei.de/2016/01/275058/ berichtet, ist das Ziel
der Cyberkriminellen eine Fernwartungssoftware auf dem Dell-Rechner zu
installieren, mit der sie die Kontrolle über das System übernehmen
können. Darüber hinaus können sie Schadsoftware installieren, um an
persönliche und sensible Daten wie Benutzernamen, Bankdaten oder
Passwörter zu gelangen.
Dies ist nicht der erste Fall, bei dem sich Kriminelle als
Support-Mitarbeiter ausgeben, um Fernwartungssoftware auf den Rechnern
der Nutzer zu installieren. Auch andere Unternehmen wie Microsoft, Apple,
die Telekom und 1&1 und ihre Kunden waren schon Opfer solcher Betrüger.
Allerdings ist dies der erste bekannt gewordene Fall, bei dem ein so
ausgeprägtes Detailwissen über die Kundengeräte vorhanden war. In der
Regel rufen Service-Mitarbeiter allerdings nicht ohne vorherige
Kundenanfrage an, weder von Dell noch von anderen IT-Unternehmen.

3. Trend Micro: Passwort-Manager lückenhaft

Der Passwort-Manager des Sicherheitssoftware-Herstellers Trend Micro
weist eine gravierende Sicherheitslücke auf, das berichtet
Chip http://www.chip.de/news/Google-greift-an-Grausige-Sicherheitsluecke-in-Passwortmanager_88091847.html.
Demnach ist es Cyber-Kriminellen möglich, einen Schadcode aus der Ferne
zu installieren und auszuführen. Zudem können Angreifer auch gespeicherte
Passwörter auslesen. Mit dem Anti-Viren-Programm Secure Browser sei
darüber hinaus eine weitere Komponente des Anti-Viren-Paketes von Trend
Micro durchlässig. Um die Lücken im Passwort-Manager zu schließen,
sollten Nutzer von Trend Micro Security verfügbare Updates umgehend
installieren.
Auch der Passwort-Manager von LastPass weist eine
Phishing-Lücke http://www.zdnet.de/88257160/phishing-luecke-in-passwort-manager-lastpass-entdeckt/
auf. Diese ermöglicht es Angreifern, das Master-Kennwort und
gegebenenfalls den Code zur Zwei-Wege Authentifizierung von
LastPass-Nutzern mitzulesen, das diese unwissentlich in ein Formular auf
einer gefälschten Anmeldeseite eingeben, auf welche sie geleitet wurden.
Mittlerweile beschreibt
LastPass https://lastpass.com/support.php?cmd=showfaq&id=10072
in einer Stellungnahme, wie man auf die beschriebenen Angriffschritte
reagiert hat. Laut dem Sicherheitsforscher Sean Cassidy sind die
Maßnahmen jedoch noch unzureichend.

4. Unitymedia: Gefährdete Standardpasswörter

Wie
golem.de http://www.golem.de/news/wegen-router-schwachstellen-unitymedia-kunden-sollen-wlan-passwort-aktualisieren-1601-118549.html
berichtet, warnt Unitymedia auf seiner Facebook-Seite, dass es für
Angreifer leicht sei, das Standard-Passwort seiner WLAN-Router
herauszufinden. Dabei geht es um die Standard-Passwörter, die auf der
Rückseite des Gerätes aufgedruckt sind. Unitymedia-Kunden sollten daher
unbedingt ihr
Passwort https://www5.unitymedia.de/hilfe_service/wlan-passwort
ändern, falls sie dies bislang noch nicht getan haben.
Was Sie sonst noch bei der Einrichtung Ihres WLANs berücksichtigen
sollten, können Sie in unseren
Sicherheitstipps https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/EinrichtungWLAN-LAN/WLAN/Sicherheitstipps/sicherheitstipps_node.html
nachlesen.

5. PayPal: Weiterhin Phishing-Mails im Umlauf

Noch immer kursieren zahlreiche Phishing-Mails im Netz.
Wie wir bereits in unserer Sicher Informiert Ausgabe vom
23.12.2015 [https://www.buerger-cert.de/archive?type=widnewsletter&nr=NL-T15-0026#anchor2]
mitgeteilt haben, versuchen Kriminelle an die Zugangsdaten von
PayPal-Nutzern zu gelangen.
Wenn Sie bereits Opfer dieses Betrugs geworden sind, sollten Sie Ihre
PayPal-Zugangsdaten über die echte PayPal-Seite https://www.paypal.com/de/home umgehend ändern und darüber hinaus den
Kundensupport kontaktieren.

SCHUTZMASSNAHMEN
6. Apple: Mehrere Lücken in verschiedenen Produkten geschlossen

Apple schließt mit dem Sicherheitsupdate auf die QuickTime Version 7.7.9
für Windows 7 und Windows Vista mehrere
Sicherheitslücken https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T16-0003.
Diese kann ein Angreifer aus dem Internet dazu verwenden, um Ihr System
in einen Denial-of-Service-Zustand zu versetzen. Die Folge: Es reagiert
nicht mehr auf Ihre Eingaben.
Um die Sicherheitslücke zu schließen, raten wir dazu, das
Update https://support.apple.com/downloads/
schnellstmöglich installieren.
Des Weiteren hat Apple für sein mobiles Betriebssystem eine
Aktualisierung auf iOS 9.2.1 zur Verfügung gestellt, um Schwachstellen
aus Vorgängerversionen zu beheben, durch die sensible Daten auf dem
System ausgespäht werden können. Sie haben die Möglichkeit, die
aktuelle
Version https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T16-0007
als Over-The-Air-Update (OTA) zu tätigen oder über iTunes
herunterzuladen.
Auch für das Apple-Betriebssystem Mac OS X für Laptops und
Desktop-Rechner ist ein wichtiges Sicherheitsupdate auf OS X El Capitan
10.11.3 zum
Download https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T16-0009
verfügbar. Und wer den Webbrowser Safari zum Surfen im Internet nutzt,
dem raten wir dazu, die Version
9.0.3 https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T16-0008
über die Apple Downloadseite zu beziehen.

7. Microsoft: Patchday im Januar

Microsoft stellt mit dem Januar 2016 Patchday
Sicherheitsupdates https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T16-0005
für mehrere Produkte zur Verfügung – unter anderem für alle unterstützten
Versionen des Internet Explorers, den neuen Browser Edge, verschiedene
Office-Pakete und alle aktuellen Windows-Versionen. Mehrere von Microsoft
mit dem Update für Januar geschlossene Sicherheitslücken ermöglichen es
einem potenziellen Hacker, beliebige Befehle mit den Rechten des
eingeloggten Benutzers auszuführen. Je mehr Rechte der eingeloggte
Benutzer besitzt, desto gravierender sind die Schäden, die ein Angreifer
anrichten kann.
Wir empfehlen Ihnen dringend, die Sicherheitspatches zeitnah über die
Windows-Update-Funktion zu installieren. Alternativ können die
Sicherheitsupdates auch von der
Microsoft-Website http://www.update.microsoft.com/windowsupdate/v6/thanks.aspx?ln=de&&thankspage=5
heruntergeladen werden. Außerdem an dieser Stelle noch einmal unser Rat,
sich unterschiedliche
Nutzerkonten https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Benutzerkonten/benutzerkontennetzwerk_node.html
einzurichten, über die Zugriffsrechte definiert werden können.

8. Adobe: Sicherheitsupdates für Adobe Acrobat und Reader

Adobe schließt mehrere kritische
Sicherheitslücken https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T16-0006
in den Produkten Acrobat, Reader, Acrobat DC und Acrobat Reader DC.
Um die Sicherheitslücke zu schließen, aktualisieren Sie umgehend den
Adobe Reader und Adobe Acrobat über das entsprechende
Download
Center http://www.adobe.com/downloads/updates.html, sofern Sie nicht
die automatische Update-Funktion innerhalb des Produktes nutzen.

PRISMA
9. Kreditkarten: Umfassender Austausch als Vorsichtsmaßnahme

Nachdem die Commerzbank in den vergangenen Tagen rund 15.000 ihrer Kunden
neue Kreditkarten und zugehörige PINs zugestellt hat, ziehen nun die
Postbank und die Landesbank Berlin sowie die Hypovereinsbank nach.
Die Commerzbank-Tochter Comdirect werde bis Ende Januar 20.000 Kunden
ebenfalls neue Kreditkarten zur Verfügung stellen. Das Finanzinstitut
hatte Medienberichten wie aus dem Medienberichten
zufolge http://www.handelsblatt.com/unternehmen/banken-versicherungen/postbank-und-comdirect-datenleck-bei-kreditkarten-trifft-mehrere-banken/12856274.html
hatte das Finanzinstitut von einer Kreditkartenorganisation eine Warnung
bekommen, dass die Daten von Kreditkarten unter Umständen Unberechtigten
in die Hände gefallen seien. Aus Vorsicht reagierten die genannten Banken
mit dem Austausch der Karten. Es ist möglich, dass noch weitere
Finanzinstitute dieser Maßnahme folgen werden.
Das Kreditkarteninstitut
Visa http://www.sueddeutsche.de/wirtschaft/finanzen-banken-tauschen-im-grossen-stil-kreditkarten-aus-1.2827360
rät Kreditkartenbesitzern ihren Kontostand besonders sorgfältig im Auge
zu behalten und Auffälligkeiten unverzüglich ihrer Bank, von der die
Kreditkarte ausgestellt wurde, zu melden. Im Falle eines tatsächlichen
Betruges bekämen Visa-Kartennutzer ihr Geld zurückerstattet.
Informationen seitens MasterCard gibt es zurzeit nicht.
Die Banken informieren betroffene Kunden grundsätzlich per Post. Eine
neue Karte wird Ihnen ebenfalls auf dem Postweg zugestellt.
Daten von Kreditkarten werden aber nicht ausschließlich unmittelbar beim
Kunden abgegriffen. Der aktuelle Vorfall bietet Betrügern eine
Gelegenheit, Kreditkartennutzer per
Phishing-Mail https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/SpamPhishingCo/Phishing/phishing_node.html
hinters Licht zu führen. Wenn Sie eine E-Mail erhalten, die als Adressat
Ihre Bank vorgibt, geben Sie unter keinen Umständen Informationen zu
Ihrer Karte oder persönliche Daten an und klicken Sie nicht auf Anhänge
oder eingebettete Links.

10. Überwachungskameras: Fremdzugriff aus der Ferne möglich

Wenn die Überwachungskamera selbst zur Sicherheitslücke wird: Genau das
ist bei den IP-Überwachungskameras der Marke Maginon der Fall, die von
Aldi im letzten Jahr verkauft wurden, wie
heise.de http://www.heise.de/security/meldung/IP-Kameras-von-Aldi-als-Sicherheits-GAU-3069735.html
berichtet. Danach besitzen die Kameras IPC-10 AC, IPC-100 AC und IPC-20 C
eine Firmware, die einen Zugriff aus der Ferne zulässt, wenn der Anwender
bei Inbetriebnahme kein eigenes Passwort gesetzt hat. Dadurch kann jeder
über das Internet auf die Bilder der Kameras zugreifen sowie diese
steuern und sogar den Bildausschnitt verändern. Die IPC-10 AC und IPC-100
AC besitzen zudem ein Mikrofon, so dass Kriminelle Gespräche über dieses
abhören können. Außerdem lässt sich via Fernzugriff die gesamte
Konfiguration der Kameras auslesen – inklusive aller gespeicherten
Nutzerdaten wie Passwörter für WLAN, E-Mail und FTP-Zugang.
Der Hersteller hat mittlerweile ein Update der Firmware veröffentlicht,
das die Anwender dazu zwingt, ein persönliches Passwort festzulegen.
Wer im letzten Jahr eine IP-Kamera bei Aldi gekauft hat, sollte darüber
hinaus unbedingt darauf achten, dass mindestens die Firmware Version 1.2
installiert ist und die Verbindung zu der Kamera nur über eine sicheres
Netzwerk aufgebaut wird.

11. Kinderschutz: Wie der Nachwuchs das Internet sicher nutzen kann

PC, Smartphone und das Internet gehören zum Alltag von Kindern und
Jugendlichen. Dabei begegnen sie auch Inhalten, die nicht für ihr Alter
geeignet sind. Zudem können sie leicht Opfer von betrügerischen E-Mails
oder Werbeanzeigen werden, die dann beispielsweise über Schadsoftware
Zugriff auf persönliche Daten nehmen oder zum Download von teuren
Angeboten verleiten. Um Kinder und Jugendliche davor zu schützen, ist
eine verantwortungsbewusste Medienerziehung in der Familie der
sicherste Weg in die
Online-Welt https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/Kinderschutz_11012016.html.
Kindgerechte Angebote können den Nachwuchs zudem bei einem kompetenten
und umsichtigen Umgang mit PC und Internet unterstützen.
Wir haben Ihnen eine
Checkliste https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Kinderschutz/Checkliste/checkliste_node.html
erstellt, die Sie Punkt für Punkt mit Ihren Kindern besprechen können, um
Ihnen die Gefahren der digitalen Welt bewusst zu machen.

12. myDigitalWorld: Jugendwettbewerb für mehr Sicherheit im Netz

Im Rahmen des Wettbewerbs myDigitalWorld der Initiative
DsiN https://www.sicher-im-netz.de/bundesjugendwettbewerb-my-digital-world
können Jugendliche und junge Erwachsene im Alter von 13 bis 21 Jahren
zeigen, wie sie die digitale Welt sicherer machen möchten. Ziel ist es,
dass sich die Teilnehmer stärker mit Themen wie Datenschutz, Privatsphäre
im Internet und IT-Sicherheit befassen. Mehr Informationen zum Wettbewerb
sind auf der Webseite myDigitalWorld https://www.mydigitalworld.org zu finden.
Den Teilnehmern winken attraktive Preise wie Smartphones, Tablets,
Geldpreise bis zu 500 Euro, Programmierkurse oder spannende Praktika.




-----------------------------------------------------------------------
Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot
des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14
Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und
aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit
und Richtigkeit nicht übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de