SICHER • INFORMIERT vom 14.11.2019
Ausgabe: 24/2019
Liebe LeserInnen,
in gut zwei Wochen ist es wieder soweit: Am Black Friday, dem 29. November, locken Onlineshops und stationärer Handel mit besonderen Rabattaktionen. Ursprünglich aus den USA kommend, markiert der Tag seit einigen Jahren auch hierzulande den inoffiziellen Startschuss für das Weihnachtsgeschäft.
Ein guter Moment, um sich näher mit der „Kehrseite des Einkaufens“ zu beschäftigen – dem Bezahlen.
Das tun die Deutschen noch immer am liebsten mit Bargeld. Kontaktloses Bezahlen via Smartphone, Smartwatch oder EC- und Kreditkarte ist jedoch immer stärker verbreitet: Near Field Communication, kurz NFC, ist die Technologie, die diese neue Form des Bezahlens möglich macht.
Wir haben uns NFC näher angeschaut und die wichtigsten Informationen für Sie zusammengetragen:
https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/NFC-kontaktlos-Bezahl
en.html
Nützliche Tipps und Hinweise zum Mobile Payment am Black Friday und allen anderen Tagen im Jahr finden Sie hier:
https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/OnlineBanking/MobilePayment/mobilePaym
ent_node.html
Egal, ob Sie ein Freund von Bargeld oder kontaktlosem Bezahlen sind: Auch in dieser Ausgabe unseres Newsletters haben wir wieder Wissenswertes und Nützliches rund um die Sicherheit Ihrer Online-Accounts und Geräte zusammengestellt, die allen gleichermaßen helfen.
Viel Spaß beim Lesen wünscht Ihnen
Jan Lammertz / Team BSI-für-Bürger
Inhalt
In den Schlagzeilen—————–
- Alexa, kauf heimlich ein!
- Android Beam: Angriff aus nächster Nähe 3. Nur Bares ist Wahres – oder?
- Nein, ich möchte keine Passwörter kaufen 5. Vorsicht vor Steuerrückerstattung für 2019: zu schön, um wahr zu sein
Bleiben Sie up-to-date—————–
- BSI warnt vor Schwachstellen in Google Chrome und Android 7. Mehrere Sicherheitslücken 8. Siri-Datenbank speichert verschlüsselte E-Mails im Klartext
Gut zu wissen—————–
- NFC – eine sichere Sache?
- Emotet: ein Angreifer in vielen Gestalten 11. Die glorreichen 7? Wohl eher nicht! – die Tricks der Hacker 12. Die besten 20? Schon eher! – 20 Sicherheitstipps
Zahl der Woche—————–
- 24% wurden bereits Opfer von Internetkriminalität
Was wichtig wird
—————————————————-
In den Schlagzeilen
- Alexa, kauf heimlich ein!
Forschende der University of Michigan und der University of Electro-Communications in Tokyo ist es gelungen, digitale Assistenten wie Alexa oder Google Home per Laser zu steuern, wie u.a. Spiegel Online berichtet. Abhängig davon, wie die Geräte am Einsatzort vernetzt sind, ist es den ForscherInnen gelungen, Befehle zum Öffnen von Haus- oder Garagentüren zu übermitteln oder Aufträge für Online-Einkäufe abzusenden. Diese Angriffe sind für NutzerInnen nur schwer zu erkennen – im besten Fall an den akustischen Rückmeldungen der Geräte oder an der Reflexion der Laserstrahlen. Schützen können Sie sich vor solchen Angriffen, indem sie die Geräte so aufstellen, dass die direkte Beeinflussung per Laserstrahlen etwa durchs Fenster unmöglich ist.
Tipps zum Umgang mit digitalen Assistenten finden Sie bei BSI für Bürger: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/IoT/Digitale_Assistenten/Digitale_Assistenten_node.html
Zur Meldung von Spiegel Online: https://www.spiegel.de/netzwelt/gadgets/light-commands-forscher-taeuschen-sprachassistenten-per-laser-a-1294910.html
- Android Beam: Angriff aus nächster Nähe
Die App Android Beam nutzt das Nahfunkverfahren NFC („Near Field Communication“) zum Übertragen von Daten – wie das genau funktioniert, erfahren Sie in unserer neuen Rubrik „Kurz erklärt“ weiter unten. Android Beam ist auf vielen Android-Geräten ab Werk installiert und kann, wie Heise Online berichtet, genutzt werden, um unbemerkt Schadprogramme zu installieren. Abhilfe schafft ein Update aus dem Oktober.
BSI für Bürger informiert ebenfalls über NFC und warnt vor Missbrauch: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/OnlineBanking/MobilePayment/KontaktlosesBezahlen-NFC/kontaktloses_Bezahlen_NFC_node.html
Zur Meldung von Heise Online: https://www.heise.de/security/meldung/Android-Beam-erlaubt-Einschleusen-fremder-Apps-4574396.html
- Nur Bares ist Wahres – oder?
Eine repräsentative Forsa-Befragung im Auftrag von Visa zeigt, wie kontakt- und bargeldloses Zahlen hierzulande ankommt: 55 Prozent der Mobile Payment-NutzerInnen setzen auf NFC-fähige EC- und Kreditkarten, 6 Prozent nutzen ihr Smartphone oder ihre Smartwatch zum Bezahlen. Und auch nur knapp jeder Vierte Nicht-Nutzer (23 Prozent) kann sich vorstellen, im Laufe des nächsten Jahres kontaktlos zu zahlen. Die Sorge vor Missbrauch ist für die Hälfte der Befragten (47 Prozent) ein entscheidender Grund, NFC-basierte Bezahlverfahren nicht zu nutzen. Beinah genauso viele Befragte haben sich allerdings überhaupt noch nicht mit dem Thema befasst.
Informationen von BSI für Bürger zum Mobile Payment gibt es hier: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/OnlineBanking/MobilePayment/mobilePayment_node.html
Unter anderem berichtet das IT-Finanzmagazin über den „Visa Payment Monitor“: https://www.it-finanzmagazin.de/visa-payment-monitor-wachsendes-interesse-an-mobile-payment-96773/
- Nein, ich möchte keine Passwörter kaufen
Cyberkriminelle versuchen regelmäßig, wertvolle Daten zu stehlen, um sie beispielsweise über Untergrundforen zu Geld zu machen. Das IT-Sicherheitsunternehmen ImmuniWeb hat sich solche Angebote genauer angeschaut, berichtet Heise Online. Bei ihren Recherchen fanden die Sicherheitsexperten nach eigenen Angaben mehr als 21 Millionen Zugangsdatensätze von Unternehmen aus der Fortune-500-Liste der weltweit umsatzstärksten Unternehmen. Allein 16 Millionen davon wurden erst während der letzten 12 Monate erbeutet, sind also noch relativ aktuell. Dabei haben sie auch herausgefunden, dass viele Datensätze mit Passwörtern wie „password“, „abc123“ oder „123456“ leichte Beute für die Datendiebe werden konnten.
Empfehlungen von BSI für Bürger für gute Passwörter finden Sie hier: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/passwoerter_node.html
Zur Meldung von Heise Online: https://www.heise.de/security/meldung/Geschaefte-mit-Passwort-Leaks-Forscher-analysieren-Millionen-von-Daten-4579124.html
Wenn Sie wissen möchten, ob einer Ihrer Online-Accounts schon einmal gehackt wurde, können Sie das auf der Seite des Hasso-Plattner-Instituts prüfen: https://sec.hpi.de/ilc/
- Vorsicht vor Steuerrückerstattung für 2019: zu schön, um wahr zu sein
Das BSI warnt aktuell vor einer neuen Welle betrügerischer E-Mails. Sie stammen angeblich vom „Bundeszentralamt für Steuern“ und versprechen eine „Steuerrückerstattung 2019″. Im angehängten Word-Dokument „Steuerbescheid.doc“ sind Makros enthalten, die im Hintergrund ein schädliches Programm installieren und ausführen. „Eine Infektion mit der Schadsoftware Maze kann zum totalen Datenverlust führen“, warnt das BSI. Die AngreiferInnen verschlüsseln in diesem Fall den Rechner, um die NutzerInnen zu Lösegeldzahlungen zu erpressen. Von solchen Zahlungen rät das BSI dringend ab, weil oft genug die Daten dennoch nicht wieder freigeschaltet werden und zudem neue Angriffe erfolgen können. „Der einzig sichere Schutz vor solchen Angriffen sind regelmäßige Back-ups“, schreibt t-online.de dazu. „Diese sollten allerdings auf einem unabhängigen Speichermedium gesichert werden, das nicht dauerhaft mit dem Computer verbunden ist.“
Die Meldung des BSI auf Twitter: https://twitter.com/certbund/status/1192030129347801088?s=20
Lesen Sie hier den Artikel auf t-online.de: https://www.t-online.de/digital/handy/id_86759704/datenverlust-droht-falscher-steuerbescheid-infiziert-computer-bsi-warnt.html
—————————————————-
Bleiben Sie up-to-date
- BSI warnt vor Schwachstellen in Google Chrome und Android
Google Chrome und Android sind von mehreren Sicherheitslücken betroffen. Das BSI empfiehlt, die vom Hersteller bereitgestellten Sicherheitsupdates zeitnah zu installieren.
Eine Übersicht der aktuellen Warnmeldungen finden Sie hier: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Buerger-CERT/Sicherheitshinweise/Sicherheitshinweise_node.html
- Mehrere Sicherheitslücken
Schwachstellen in Nvidias GPU-Treiber und Geforce Experience gefährden Windows, berichtet Heise Online. Es sind jedoch inzwischen Sicherheitsupdates verfügbar, die diese Lücken schließen.
Außerdem entdeckten SicherheitsforscherInnen erstmals eine Schadsoftware, die die Bluekeep-Sicherheitslücke von Windows ausnutzt. Die Gefahr wird allerdings als gering eingestuft, da die Sicherheitsupdates und Warnungen von Microsoft seit Bekanntwerden der Lücke im Mai dazu geführt haben, dass es deutlich weniger verwundbare Geräte gibt.
Zum Artikel von Heise Online: https://www.heise.de/security/meldung/Schwachstellen-in-Nvidias-GPU-Treiber-und-Geforce-Experience-gefaehrden-Windows-4580733.html
- Siri-Datenbank speichert verschlüsselte E-Mails im Klartext
Heise berichtet, dass die digitale Assistentin Siri selbst im abgeschalteten Modus verschlüsselte E-Mails aus Apple Mail im Klartext in einer eigenen Datenbank auf Mac Computern speichert. Das Problem bestehe mindestens in macOS 10.12 bis hin zur aktuellen Version 10.15 Catalina. Ein Sicherheitsupdate vom Hersteller steht aus. IT-Spezialist Bob Gendler hat ein Konfigurationsprofil veröffentlicht, mit dem Administratoren die Siri-Einstellung für alle Nutzer eines Macs abschalten können. So können zumindest keine neuen verschlüsselten E-Mails im Klartext in der Datenbank gespeichert werden.
Zur Meldung von Heise Online und zum Konfigurationsprofil von Gendler: https://www.heise.de/mac-and-i/meldung/Siri-speichert-verschluesselte-E-Mails-im-Klartext-auf-Macs-4580692.html
—————————————————-
Gut zu wissen
- NFC – eine sichere Sache?
Auch wenn aktuelle Studien zeigen, dass bislang nur ein kleinerer Teil der Deutschen kontaktlos zahlt: Das Bezahlen mit NFC-fähigen Karten ist genauso sicher wie mit klassischen EC- oder Kreditkarten, die ins Kartenterminal gesteckt werden. Noch sicherer ist die Zahlung mit einem NFC-fähigen mobilen Endgerät wie dem Smartphone oder der Smartwatch. Dennoch ist es theoretisch möglich für AngreiferInnen, diese Daten abzuschöpfen. Dafür müssten sie sich jedoch zum Zeitpunkt der Transaktion räumlich sehr nah an ihrem Opfer befinden.
Mehr Informationen rund um das kontaktlose Bezahlen per NFC: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/OnlineBanking/MobilePayment/KontaktlosesBezahlen-NFC/kontaktloses_Bezahlen_NFC_node.html
- Emotet: ein Angreifer in vielen Gestalten
In den vergangenen Wochen haben viele Medien über die Ransomware Emotet berichtet – auch hier in unserem Newsletter war sie oft Thema. Sie verbreitet sich in der Regel über E-Mails mit Anhängen, die sich als Dokumente tarnen, tatsächlich aber eine ausführbare Schadsoftware mit unterschiedlichen Aufgaben ist. Auch öffentliche Einrichtungen hat Emotet bereits befallen – neben dem Kammergericht Berlin ist nun auch die Humboldt-Universität in Berlin betroffen. Heise Online hat die Ransomware näher beleuchtet und schlüsselt auf, was sie so gefährlich macht: Es handelt sich dabei nicht nur um einen einfachen Schädling, sondern eine ganze Kaskade von Schadprogrammen.
Aktuelle Informationen zur Schadsoftware Emotet finden Sie bei BSI für Bürger: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/emotet.html
Zum Bericht über den Angriff auf die Humboldt-Universität: https://www.tagesspiegel.de/berlin/emotet-in-berlin-computervirus-befaellt-auch-humboldt-uni/25209242.html
Heise Online berichtet ausführlich über den „explosiven Malware-Cocktail“ von Emotet, Trickbot und Ryuk: https://www.heise.de/security/artikel/Emotet-Trickbot-Ryuk-ein-explosiver-Malware-Cocktail-4573848.html
- Die glorreichen 7? Wohl eher nicht! – die Tricks der Hacker
Phishing, das Installieren von Schadsoftware, Ausnutzen von Sicherheitslücken und Ausspähen von Beschäftigten über Social Engineering: Die Tricks von Cyberkriminellen werden immer raffinierter und sind mitunter auch nur sehr schwer zu erkennen. Da ist es gut, wenn man von den populärsten Hacker-Tricks wenigstens schon mal gehört oder gelesen hat. Security-Insider stellt die „7 raffiniertesten Hacker-Tricks“ in einem ausführlichen Beitrag vor.
Zum Artikel von Security-Insider: https://www.security-insider.de/die-7-raffiniertesten-hacker-tricks-a-879199/
- Die besten 20? Schon eher! – 20 Sicherheitstipps
Noch einmal meldet sich Security-Insider zu Wort – mit den besten 20 Tipps für Sicherheit und Datenschutz in Windows 10. Neben den Ratschlägen für regelmäßige Updates und Virenschutz informieren die Redakteure zum Beispiel über den eingebauten „Ransomware-Schutz“ des Microsoft-Betriebssystems. Darüber können u. a. Daten in der Cloud gespeichert und nach einem Befall wiederhergestellt werden.
Zum Artikel von Security-Insider: https://www.security-insider.de/20-tipps-fuer-sicherheit-und-datenschutz-in-windows-10-a-879179
—————————————————-
Zahl der Woche
- 24% wurden bereits Opfer von Internetkriminalität
Fast jede/r vierte BürgerIn (24 Prozent) hat bereits selbst einen Cyberangriff erlebt. Das ist eines der Ergebnisse des BSI-Berichts zur Lage der IT-Sicherheit in Deutschland. Am häufigsten kommt es zu Betrug beim Online-Shopping (36 Prozent), gefolgt von Angriffen über Schadsoftware (26 Prozent) und Phishing (23 Prozent).
Den ganzen Bericht können Sie hier lesen: https://www.bsi.bund.de/DE/Publikationen/Lageberichte/lageberichte_node.html
—————————————————-
Was wichtig wird
- Am Black Friday und Cyber Monday sicher auf Schnäppchenjagd
Der Black Friday am 29. November und der darauffolgende Cyber Monday sind das größte „Shopping-Event“ des Jahres und zugleich der inoffizielle Auftakt des Weihnachtsgeschäfts. In Deutschland findet der Black Friday seit 2013 in größerem Rahmen statt, die meisten Rabatte werden online angeboten. Laut t3n könnte die Woche rund um den diesjährigen Black Friday die umsatzstärkste Onlineshopping-Woche aller Zeiten werden. Genau das ist ein Grund für besondere Vorsicht: Prüfen Sie die verlockenden Angebote im Web vor einem Kauf eingehend, um keinem Betrug aufzusitzen.
Tipps und Hinweise fürs Onlineshopping finden Sie hier: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/EinkaufenImInternet/einkaufeniminternet_node.html
Mehr zum Thema Schnäppchenfallen: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/Schnaeppchenfallen_im_Internet.html
Ihnen gefällt dieser Newsletter? Empfehlen Sie ihn Familie, Freunden oder Kollegen: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/bestellen/newsletter_bestellen_node.html
____________________________________________________________________________________________________
Über den folgenden Link können Sie den Newsletter wieder abbestellen.
Besuchen Sie uns auch auf:
https://www.bsi-fuer-buerger.de
https://www.facebook.com/bsi.fuer.buerger
https://www.twitter.com/BSI_Presse
Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn