Print Friendly, PDF & Email

SICHER • INFORMIERT vom 29.11.2019

Ausgabe: 25/2019

Liebe LeserInnen,

heute ist Black Friday, aber viele Händler bieten bereits jetzt zahlreiche, teilweise sehr hohe Rabatte an. Das kann sehr verlockend sein. Doch Sicherheitsexperten stellen rund um den Shopping-Aktionstag eine deutliche Zunahme von Phishing-E-Mails fest, über die keine Sonderangebote, sondern Schadprogramme auf Rechnern verbreitet werden. Auch sogenannte Fake-Shops stellen eine akute Betrugsgefahr dar – mehr dazu lesen Sie in der Rubrik „In den Schlagenzeilen“.

Über die „Schattenseiten von Black Friday und Cyber Monday“ schreibt auch EuroSecurity:

https://www.eurosecglobal.de/de/it-sicherheit/die-schattenseiten-von-black-friday-und-cyber-monday-v

orsicht-vor-scams-und-smishing

Damit Sie unbesorgt Schnäppchen jagen können, haben wir alles Wissenswerte sowie Sicherheitstipps für das „Einkaufen im Internet“ für Sie zusammengestellt:

https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/EinkaufenImInternet/einkaufeniminterne

t_node.html

Einer ganz anderen Gefahr für ihre IT-Infrastruktur sahen sich derweil estnische Behörden

ausgesetzt: Ratten haben dort dutzende Meter Glasfaser-Datenkabel durchgeknabbert und so für den Ausfall mehrerer Online-Bürgerdienste gesorgt, wie Spiegel Online berichtete:

https://www.spiegel.de/netzwelt/netzpolitik/estland-online-buergerdienste-teils-von-ratten-lahmgeleg

t-a-1297681.html

Vor Ratten können wir Sie zwar nicht schützen, dafür versorgen wir Sie auch in dieser Newsletter-Ausgabe wieder mit aktuellen Schlagzeilen aus der Welt der Informationssicherheit sowie nützlichen Tipps und Hinweisen.

Viel Spaß beim Lesen wünscht Ihnen

Jan Lammertz / Team BSI-für-Bürger

Inhalt

 

—————–

  1. Jogginganzug vom Hausarzt, Winkekatze vom Ruderverein: Fake-Shops bedrohen Online-Einkäufe 2. Mit falschen Karten gespielt?
  2. Passwort „Bambi“: Zugangsdaten auf Abwegen 4. Sicherheitslücke im Router: Der gläserne Patient 5. Erneutes Datenleck bei OnePlus

 

 

Bleiben Sie up-to-date—————–

  1. Sicherheitslücken in Kaspersky-Produkten, phpMyAdmin, ClamAV, Microsoft Outlook for Android und Google Chrome 7. Tracking-Smartwatch verrät Standort und persönliche Daten tausender Kinder weltweit 8. Sicherheitslücke in älteren WhatsApp-Versionen 9. Android-Schwachstelle ermöglicht Spionage

 

 

Gut zu wissen—————–

  1. Gefahr auch südlich der Mauer: Game of Thrones kann Ihren Rechner infizieren 11. Großer Doppelerfolg in China: Browser gehackt, Betriebssysteme nicht 12. Wenn das Smartphone verschwindet …

 

 

Kurz erklärt—————–

  1. Kontaktloses Bezahlen

 

 

Was wichtig wird—————–

  1. Support-Ende für Windows 7 in 52 Tagen

 

  1. Jogginganzug vom Hausarzt, Winkekatze vom Ruderverein: Fake-Shops bedrohen Online-Einkäufe

 

„Expired Domains“ können zur Gefahr im Netz werden: Es handelt sich dabei um Website-Adressen, die früher beispielsweise Vereinen, Parteien oder Arzt-Praxen gehörten, dann aber zum Verkauf standen. Jetzt können sie genutzt werden, um gefälschte Online-Shops zu betreiben, wie die „Online Marketing Rockstars“ (OMR) auf ihrer Website berichten. Mehr als 16.000 Websites wurden allein in Deutschland gezählt. Glücklicherweise sind solche Fake-Seiten relativ einfach zu erkennen: „Als Zahlungsmethoden werden meist nur Vorkasse (…) oder Kreditkarte (…) angeboten. Ein Impressum fehlt eigentlich immer; die Texte sind schlecht, vermutlich mit einem Translator-Tool, übersetzt.“

 

Tipps für sicheres Online-Shopping finden Sie bei BSI für Bürger: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/EinkaufenImInternet/einkaufeniminternet_node.html

 

Zum Artikel der OMR: https://omr.com/de/expired-domains-fake-shops-analyse

 

 

  1. Mit falschen Karten gespielt?

 

Mehr als 450.000 Nutzerkonten des Online-Kartensammelspiels „Magic: The Gathering“ waren aufgrund eines frei zugänglichen Datenbank-Back-ups kurzzeitig einsehbar – samt E-Mail-Adressen und gehashten Passwörtern. Das berichtet Heise Online mit Verweis auf das Nachrichtenportal TechCrunch. Das Leck ist bereits behoben, ein Datenmissbrauch läge nach Angaben des Spieleentwicklers nicht vor. Als Vorsichtsmaßnahme will das Unternehmen trotzdem einen Passwortwechsel von den NutzerInnen verlangen.

 

Empfehlungen für sichere Passwörter finden Sie hier: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/passwoerter_node.html

 

Zur Meldung von Heise Online: https://www.heise.de/newsticker/meldung/Leak-von-Hunderttausenden-Spielerkonten-bei-Magic-The-Gathering-4587891.html

 

 

  1. Passwort „Bambi“: Zugangsdaten auf Abwegen

 

Erst am 12. November hat Disney sein Streaming-Angebot Disney+ gestartet und schon jetzt werden technische Schwierigkeiten und Sicherheitsprobleme gemeldet: Angeblich kursieren Zugangsdaten einzelner NutzerInnen im Internet, während andere KundInnen mit ihren Zugangsdaten nicht auf ihre Benutzerkonten zugreifen konnten, so Heise Online. ZDNet hat derweil herausgefunden, dass solche Zugangsdaten zu Preisen zwischen drei und elf US-Dollar auch bereits gehandelt werden. Eine Bestätigung und Reaktion von Disney steht noch aus (Stand 26.11.).

 

Zur Meldung von Heise Online über den Vorfall: https://www.heise.de/newsticker/meldung/Streamingdienst-Tausende-Disney-Konten-werden-in-Untergrundforen-gehandelt-4587863.html

 

Auch ZDnet berichtete: https://www.zdnet.com/article/thousands-of-hacked-disney-accounts-are-already-for-sale-on-hacking-forums/

 

 

  1. Sicherheitslücke im Router: Der gläserne Patient

 

Die Patientenkartei einer Celler Arztpraxis war frei im Internet einsehbar. Das zeigte eine investigative Recherche des Computermagazins c’t. Von der Sicherheitslücke waren unter anderem rund 20.000 Stammdaten betroffen. Die Schwachstelle ist offensichtlich über die ungeschützte „Digitalisierungsbox Premium“ der Telekom (Hersteller: Bintec Elmeg) entstanden. Kleine Unternehmen und Dienstleister, die diesen Router einsetzen, sollten unbedingt die aktuelle Firmware einspielen, rät das BSI. Der Fehler wird aber erst nach einem Werksreset oder einer frischen Konfiguration behoben.

 

Zur CERT Bund Meldung: https://cert-bund.de/advisoryshort/CB-K19-1017%20UPDATE%202

 

Der ganze Bericht der c‘t: https://www.heise.de/ct/artikel/Warum-eine-komplette-Arztpraxis-offen-im-Netz-stand-4590103.html

 

 

  1. Erneutes Datenleck bei OnePlus

 

Zum zweiten Mal innerhalb von zwei Jahren musste der Smartphone-Hersteller OnePlus einräumen, dass Kundendaten in falsche Hände geraten sind. Dieses Mal hatten Unbefugte Zugriff auf die E-Mail-Adresse, den Klarnamen sowie die Postanschrift von KundInnen, unter anderem auch aus Deutschland. „Der Anbieter will den Fehler korrigiert haben“, heißt es in der Golem-Meldung. Weitere Details dazu nannte das Unternehmen nicht.

 

BSI-Tipps für den „Schutz für Smartphone und Co.“ finden Sie hier: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/BasisschutzGeraet/EinrichtungMobileGeraete/EinrichtungMobileGeraete_node.html

 

Zur Meldung von Golem: https://www.golem.de/news/oneplus-unbefugte-griffen-erneut-auf-kundendaten-zu-1911-145176.html

 

—————————————————-

 

 

—————————————————-

Bleiben Sie up-to-date

 

 

  1. Sicherheitslücken in Kaspersky-Produkten, phpMyAdmin, ClamAV, Microsoft Outlook for Android und Google Chrome

 

Das BSI warnt vor Schwachstellen in Kaspersky-Produkten, phpMyAdmin, ClamAV, Microsoft Outlook für Android und Google Chrome. Es wird empfohlen, die bereitgestellten Sicherheitsupdates zeitnah zu installieren, um die Sicherheitslücken zu schließen.

 

Eine Übersicht der Warnmeldungen gibt es hier: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Buerger-CERT/Sicherheitshinweise/Sicherheitshinweise_node.html

 

 

  1. Tracking-Smartwatch verrät Standort und persönliche Daten tausender Kinder weltweit

 

Die chinesische Smartwatch SMA-WATCH-M2 für Kinder, die per SIM-Karte als GPS-Tracker funktioniert, weist große Sicherheitslücken auf. Laut des unabhängigen Prüfinstituts AV-TEST erfolgt die Kommunikation zwischen der Uhr und der mobilen App, über die Eltern den Standort und andere Daten einsehen können, völlig unverschlüsselt und ohne funktionierenden Authentifizierungsmechanismus. Angreifer könnten so auf persönliche Daten der Kinder zugreifen, exakte Positionsdaten verfolgen sowie Gespräche mithören und manipulieren. Das Prüfinstitut hat den Hersteller informiert, der bisher noch nicht reagiert hat (Stand 26.11.). AV-Test rät dazu, keine Smartwatches von unbekannten Herstellern zu verwenden, sondern auf zertifizierte Produkte von etablierten Unternehmen zu setzen.

 

Aufmerksam sollten Sie auch beim Kauf von Smart Toys für Kinder sein. Mehr dazu erfahren Sie hier: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/IoT/SmartToys/SmartToys_node.html

 

Zur Meldung von Heise Online: https://www.heise.de/newsticker/meldung/Unsichere-Tracking-Smartwatch-Angreifer-koennten-Tausende-Kinder-stalken-4596410.html

 

 

  1. Sicherheitslücke in älteren WhatsApp-Versionen

 

Facebook warnt vor einer Schwachstelle bei älteren WhatsApp-Versionen, über die eine speziell präparierte MP4-Datei verschickt werden kann. Die manipulierten Videodateien gewähren Hackern Zugriff auf die infizierten Smartphones. Auch wenn die Aktualisierung von WhatsApp standardmäßig automatisch erfolgt, ist es ratsam, die Einstellungen der App unter „Hilfe“ und „App-Info“ zu prüfen und gegebenenfalls die aktuellste Version manuell zu installieren.

 

Zur Meldung von Heise Online: https://www.heise.de/security/meldung/Luecke-in-aelteren-WhatsApp-Versionen-erlaubte-Codeausfuehrung-aus-der-Ferne-4587119.html

 

 

  1. Android-Schwachstelle ermöglicht Spionage

 

Ein Bug in vielen Smartphones mit dem Betriebssystem Android treibt sein Unwesen: Ohne Wissen der BenutzerInnen können installierte Apps die Zugriffsbeschränkung auf Kamera und Mikrofon umgehen und Fotos und Videos samt Ton erstellen. Wenn die App den üblichen Zugriff auf gespeicherte Daten hat, kann sie das Material auf einen Server übertragen. Die Schwachstelle ermöglicht weitreichende Spionage. Sowohl Google als auch Samsung haben ein Sicherheitsupdate herausgegeben, um den Programmfehler zu beheben.

 

Zur Meldung von Heise Online: https://www.heise.de/newsticker/meldung/Boeser-Bug-in-vielen-Android-Handys-erlaubt-Ausspionieren-4591803.html

 

 

—————————————————-

Gut zu wissen

 

 

  1. Gefahr auch südlich der Mauer: Game of Thrones kann Ihren Rechner infizieren

 

Nicht nur der Vorfall beim neuen Streaming-Anbieter Disney zeigt, dass der digitale Konsum von Inhalten wie Musik, Videos, Serien und Filmen mit Sicherheitsrisiken verbunden sein kann. Eine noch größere Gefahr stellen inoffizielle, also illegale Streaming-Seiten dar. So schätzt das Online-Magazin manage-it etwa, „dass Internetnutzer beim Besuch einer illegalen Streaming-Seite 28 Mal häufiger mit Malware infiziert werden als es beim Zugriff auf legale Plattformen der Fall ist“. Allein die im vergangenen Jahr illegal heruntergeladenen Folgen der Kultserie „Game of Thrones“ enthielt Studien zufolge fast 10.000 verschiedene Arten von Malware. Einen echten Schutz davor gibt es für private Geräte nicht. Hilfreich ist einzig, solche illegalen Angebote zu meiden – nicht nur aus Sicherheitsgründen eine gute Idee. Firmenrechner mit Zugriff auf Streaming-Dienste können über ein hohes Sicherheitsniveau gesichert werden.

 

manage-it über die Gefahren beim Streaming: https://ap-verlag.de/streaming-ein-cybersicherheitsrisiko/56215/

 

 

  1. Großer Doppelerfolg in China: Browser gehackt, Betriebssysteme nicht

 

Beim „Tianfu-Cup“ in der chinesischen Millionenstadt Chengdu gelangen Hackern insgesamt 20 Hacks bei Internetbrowsern wie Chrome, Edge und Safari. Aber das ist nicht der einzige Erfolg: „An acht Produkten“, meldet Heise Online, „unter anderem Ubuntu 19.10/CentOS 8 und Windows Server 2019, bissen sich die Teams jedoch die Zähne aus und mussten aufgeben“. Beides ist tatsächlich eine Erfolgsmeldung: Einerseits zeigen gelungene Hacks den Anbietern existierende Schwachstellen auf, bevor kriminelle Eindringliche sie für Straftaten nutzen können. Andererseits erhöhen Betriebssysteme, die nicht gehackt werden können, den Schutz auf Computern von PrivatnutzerInnen und Unternehmen.

 

Über die unterschiedlichen Formen von Hacking erfahren Sie hier mehr: https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/Hacker/hacker.html

 

Zur Meldung von Heise Online über den Tianfu-Cup: https://www.heise.de/security/meldung/Chrome-Edge-VMware-Co-bei-chinesischem-Hackerwettbewerb-Tianfu-Cup-gehackt-4591009.html

 

 

  1. Wenn das Smartphone verschwindet …

 

… hat es sich nur sehr selten von selbst auf den Weg gemacht. Manchmal geht es verloren, häufiger aber hatten Diebe ihre Finger im Spiel. Laut BSI werden täglich etwa 600 Smartphones gestohlen. Die Saarbrücker Zeitung informiert darüber, wie VerbraucherInnen persönliche Daten auf ihren Smartphones schützen können: Dazu gehört es zum Beispiel, die IMEI zu notieren, die individuelle Kennnummer eines Telefons. Sie ist beispielsweise auf dem Typenschild an der Verpackung abzulesen oder kann mit der Tastenkombination *#06# direkt auf dem Telefon abgerufen werden. Außerdem raten Verbraucherschützer dazu, Sperrbildschirme einzurichten, die den unbefugten Zugriff auf die Geräte deutlich erschweren.

 

Das BSI informiert darüber, wie Sie vermeiden können, dass Diebe auf Ihre persönlichen Daten auf dem gestohlen Handy zugreifen können: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/Smartphone_Diebstahl_14122016.html

 

Weitere Tipps zum Schutz von Smartphones finden Sie hier: https://www.saarbruecker-zeitung.de/sz-spezial/internet/was-handybesitzer-tun-muessen-wenn-das-geraet-gestohlen-wird_aid-47395463

 

 

—————————————————-

Kurz erklärt

 

 

  1. Kontaktloses Bezahlen

 

Immer mehr Menschen zahlen kontaktlos – per NFC-fähiger Giro- oder Kreditkarte oder per Smartphone. Bereits im letzten Newsletter (Ausgabe 24) haben wir über die NFC-Technologie berichtet, die diese neue Zahlungsmethode möglich macht. Kontaktloses Bezahlen ist einfach, bequem und sicher, wenn Sie ein paar Sicherheitshinweise beachten. Seit Montag gibt es ein brandneues Video auf dem YouTube-Kanal des BSI, welches auch der BSI für Bürger Mediathek zu finden ist, das erklärt, wie Sie kontaktloses Bezahlen nutzen können und was es dabei zu beachten gilt: https://www.youtube.com/watch?v=Mu1CbX9i-Qc oder: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Mediathek/Videos/videos_node.html

 

 

—————————————————-

Was wichtig wird

 

 

  1. Support-Ende für Windows 7 in 52 Tagen

 

Microsoft hatte sich verpflichtet, 10 Jahre Produktsupport für Windows 7 bereitzustellen. Diese Verpflichtung endet jetzt: Am 14. Januar 2020 stellt das Unternehmen den Support für die Betriebssystemversion Windows 7 ein. Anschließend sind weder technische Unterstützung noch Softwareupdates über Windows Update zum Schutz des PCs verfügbar. Aktuellen Zahlen zufolge setzen noch etwa 27 Prozent der InternetnutzerInnen auf Windows 7. Es ist empfehlenswert, vor Januar auf Windows 10 umzusteigen, damit Sicherheit und Support gewährleistet sind.

 

Meldung von Microsoft: https://support.microsoft.com/de-de/help/4057281/windows-7-support-will-end-on-january-14-2020

____________________________________________________________________________________________________

Über den folgenden Link können Sie den Newsletter wieder abbestellen.

https://www.bsi.bund.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/abbestellen/newsletter_abbestellen_node.html

Besuchen Sie uns auch auf:

https://www.bsi-fuer-buerger.de

https://www.facebook.com/bsi.fuer.buerger

https://www.twitter.com/BSI_Presse

 

 

Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn

Schreibe eine Antwort

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

Erforderlich

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.