SICHER • INFORMIERT vom 01.03.2018
Ausgabe: 05/2018
Inhalt
Störenfriede—————–
- Android Spyware: Schadsoftware tarnt sich als Messenger
- Apple Malware: Wie Coldroot und Shlayer auf Mac-Rechner gelangen
- Kostenfalle: Unseriöse Aufforderung zur Datensatz-Aktualisierung
Schutzmaßnahmen—————–
- Apple: Sicherheitsupdates für Betriebssysteme verfügbar
Prisma—————–
- Internet of Things: Wie sicher sind Baby-Monitore?
- Test: Nachholbedarf bei Sicherheitsstandards von Dating-Apps
- Wettbewerb: Voranmeldung zur Cyber Security Challenge 2018 ab sofort möglich
- Tracking-Funktion: Wenn der Diebstahlschutz zur Sicherheitslücke wird
Editorial
Liebe Leserin, lieber Leser,
die Digitalisierung erleichtert das tägliche Leben in vielen Bereichen und macht es deutlich bequemer. Das Zuhause wandelt sich zunehmend zum Smart Home, sogar im Kinderzimmer kommen immer mehr vernetzte Geräte zum Einsatz. Eines sollte man jedoch nicht außer Acht lassen: Die vernetzte Technik bringt Risiken für Geräte und persönliche Daten mit sich. Während wir Ihnen hier alle 14 Tage Empfehlungen zu bereits vorhandenen Schutzmöglichkeiten aufzeigen, befassen sich IT-Sicherheitsexperten täglich mit der Frage, wie die Digitalisierung mit ihren unterschiedlichen neuen Anwendungen sicher gestaltet werden kann. Und hierbei spielt die nachwachsende Generation an IT-Sicherheitsfachkräften, die sich auch dieses Jahr wieder deutschlandweit bei der Cyber Security Challenge (CSC) misst, eine immer wichtigere Rolle.
Weitere Informationen zum Wettbewerb und zu aktuellen Gefahren im Netz erhalten Sie in der aktuellen Ausgabe unseres Newsletters.
Wir wünschen Ihnen eine spannende Lektüre.
Ihr Bürger-CERT-Team
—————————————————-
Störenfriede
- Android Spyware: Schadsoftware tarnt sich als Messenger
Mit dubiosen weiblichen Facebook-Profilen werden überwiegend männliche Nutzer des sozialen Netzwerkes geködert und dazu getrieben, eine nicht-authentische Variante der Messenger-App Kik für Android herunterzuladen. Wie ZDNet berichtet, werden dazu drei Profile von attraktiven Frauen genutzt, die zunächst mit ihren Opfern flirten und sie dann einladen, über den Kik-Messenger weiter privat zu kommunizieren. Laden Anwender die App herunter, installieren sie jedoch statt des Messengers eine Malware auf ihrem Endgerät. Diese kann persönliche Daten wie Kontakte, SMS, Fotos oder Anruflisten ausspähen.
Laden Sie grundsätzlich keine Software aus unbekannten Quellen herunter und lassen Sie gesundes Misstrauen bei Anfragen und Kontaktversuchen von Unbekannten walten. Wenn Sie bei Ihrem Endgerät ein ungewöhnliches Verhalten beobachten, wie beispielsweise einen erhöhten Akkuverbrauch, könnte ein Schadprogramm der Auslöser dafür sein.
Auf BSI für Bürger erfahren Sie, wie Sie Ihr System säubern können, wenn Sie sich ein Schadprogramm auf dem Smartphone eingefangen haben. https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/Schadprogramme/Infektionsbeseitigung/Android/androidinfektionsbeseitigung_node.html
Zur Meldung von ZDNet: Hacker verbreiten Android-Spyware per Facebook http://www.zdnet.de/88326767/hacker-verbreiten-android-spyware-per-facebook/
- Apple Malware: Wie Coldroot und Shlayer auf Mac-Rechner gelangen
Während mit Coldroot bereits seit 2016 ein Mac-Trojaner unerkannt sein Unwesen treibt, ist mit Shlayer derzeit eine weitere Mac-spezifische Malware im Umlauf, die Browser-Suchergebnisse manipuliert.
Laut Mac & i kann Coldroot Passwörter stehlen, Dateien löschen oder umbenennen sowie Dokumente herunterladen und übertragen. Als Dokument getarnt verlangt der Trojaner die Eingabe der Zugangsdaten zum macOS-Benutzerkonto. Kommt man der Aufforderung nach, gelangt die Malware auf das Endgerät. Ab der macOS-Version 10.12 sind die Rechner durch einen Integritätsschutz für die Datenschutz-Datenbank von Apple abgesichert, hier haben derartige Trojaner kaum eine Chance.
Shlayer nutzt einen alten Trick, indem die Malware sich als vermeintliches Update des Adobe Flash Player ausgibt, so Mac & i. Einmal auf dem Gerät, kann dann weitere Malware, derzeit vor allem Adware, nachgeladen werden. Da die Betrüger die Schadsoftware mit Apple-Entwicklerzertifikaten signiert haben, löst der Schutzmechanismus Gatekeeper keinen Alarm aus. Zum Schutz vor dieser Malware sollten Nutzerinnen und Nutzer Updates generell nur direkt von der Hersteller-Seite herunterladen, in diesem Fall von der Adobe-Webseite.
Verfügbare Sicherheitsupdates sollten Sie stets umgehend einspielen, egal ob für den PC oder mobile Geräte. So verhindern Sie ein Ausnutzen bekannter Schwachstellen. Weiterführende Informationen erhalten Sie in unserem Video zu Sicherheitsupdates auf BSI für Bürger. https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/EinrichtungSoftware/UpdatePatchManagement/updatePatchManagement_node.html
Zur Meldung von Mac & i: Coldroot: Mac-Trojaner offenbar seit zwei Jahren unentdeckt https://www.heise.de/mac-and-i/meldung/Coldroot-macOS-Trojaner-offenbar-seit-zwei-Jahren-unentdeckt-3974864.html
Zur Meldung von Mac & i: „Shlayer“: Neue Mac-Malware setzt auf alte Tricks https://www.heise.de/mac-and-i/meldung/Shlayer-Neue-Mac-Malware-setzt-auf-alte-Tricks-3976392.html
- Kostenfalle: Unseriöse Aufforderung zur Datensatz-Aktualisierung
Internetbetrüger versuchen derzeit, Gewerbetreibende mit einer E-Mail in eine Kostenfalle zu locken. Sie geben vor, dass es aufgrund eines EU-Gesetzes notwendig sei, die Geschäftsdaten in einer Datenbank zu aktualisieren, warnt polizei-praevention.de. Nach Klick auf den in der Mail angegebenen Link wird man auf die Seite einer bulgarischen Firma weitergeleitet, was eigentlich schon stutzig machen sollte. Wer hier unachtsam seine Daten eingibt, bucht einen Firmeneintrag, der 75 Euro monatlich bzw. 900 Euro im Jahr kostet. Ersichtlich ist dies jedoch erst durch einen genauen Blick in die AGBs. Einen anderen Hinweis auf die anfallenden Kosten gibt es nicht.
Wenn Sie bereits auf die Betrüger hereingefallen sind, sollten Sie sich umgehend mit Unterstützung eines rechtskundigen Anwalts an den Betreiber wenden und den Vertrag widerrufen. Um sich vor solchen Betrugsfällen zu schützen, sollten Sie stets mit gesundem Menschenverstand surfen und ebenso vorsichtig mit E-Mails im geschäftlichen wie privaten Kontext umgehen.
Mehr zu Kostenfallen im Internet und wie Sie dagegen vorgehen können, lesen Sie auf BSI für Bürger: https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/Kostenfallen/kostenfallen_node.html
Zur Meldung von polizei-praevention.de: Veröffentlichung der Umsatzsteuer-Identifikationsnummer https://www.polizei-praevention.de/aktuelles/veroeffentlichung-der-umsatzsteuer-identifikationsnummer.html
—————————————————-
Schutzmaßnahmen
- Apple: Sicherheitsupdates für Betriebssysteme verfügbar
Apple stellt zwei neue Sicherheitsupdates für seine Betriebssysteme iOS und High Sierra zur Verfügung. Mit der iOS Version 11.2.6 und macOS High Sierra 10.13.3 schließt der Hersteller eine Schwachstelle im jeweiligen Betriebssystem, über die Angreifer die Komponente CoreText zum Absturz bringen oder in eine Endlosschleife versetzen können. Dadurch wird der unterbrechungsfreie Betrieb gestört.
Nutzerinnen und Nutzer sollten die Sicherheitsupdates umgehend einspielen. Die Version iOS 11.2.6. kann als ‚Over-The-Air’ (OTA) Update oder über iTunes auf das iPhone oder iPad heruntergeladen werden. Die aktuelle Version macOS High Sierra 10.13.3 ist auf der aktuellen Support-Webseite von Apple bereits verfügbar.
Den Download-Link finden Sie im jeweiligen Sicherheitshinweis des Bürger-CERT:
iOS Version 11.2.6: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2018/02/warnmeldung_tw-t18-0026.html
macOS High Sierra Version 10.13.3: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2018/02/warnmeldung_tw-t18-0027.html
—————————————————-
Prisma
- Internet of Things: Wie sicher sind Baby-Monitore?
Das Internet ist mittlerweile zunehmend in Kinderzimmern präsent: Immer öfter spielen Kinder mit vernetzten Spielzeugen oder Eltern nutzen Babyfone, die per WLAN mit dem Heimnetzwerk verbunden sind. Allerdings bringen diese internetfähigen Spielzeuge und Geräte auch eine Reihe von Risiken mit sich. So zeigten Sicherheitsforscher jetzt beispielsweise an einem Babyfon eine Reihe von Schwachstellen auf, welche unter anderem Dritten Zugang zum jeweiligen Video der Überwachungskamera verschaffen könnten, wie sec-consult.com berichtet.
Eltern sollten die Risiken nicht unterschätzen, die mit internetfähigen Geräten – nicht nur im Kinderzimmer, sondern im gesamten Smart Home – verbunden sind, und entsprechend vorsorgen. Wie Sie den Einstieg in das Internet der Dinge möglichst sicher gestalten können: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/IoT/SmartHome/SmartHome_node.html
Zur Meldung auf sec-consult.com.de: Internet der Babies – der Spion im Kinderzimmer: https://www.sec-consult.com/blog/2018/02/internet-der-babies-der-spion-im-kinderzimmer/index.html
- Test: Nachholbedarf bei Sicherheitsstandards von Dating-Apps
Dating-Apps werden immer beliebter. Eines sollten Nutzerinnen und Nutzer jedoch stets beachten: In so mancher Anwendung reichen die IT-Sicherheitsstandards längst nicht aus, um die hinterlegten Informationen zu schützen. So werden Daten wie Name, Alter, sexuelle Orientierung oder Wohnort in einigen Fällen an Dritte weitergegeben, wie in einem Bericht auf golem.de zu lesen ist. Gemäß einer Untersuchung von Stiftung Warentest wiesen 39 iOS- und Android-Apps große Mängel auf, auch hinsichtlich der Datenschutzerklärung.
Gefälschte Benutzerprofile sind ebenfalls ein verbreiteter Weg, um Nutzerinnen und Nutzer von Dating-Apps in die Irre zu führen: Denn nicht selten bezahlen Anbieter professionelle Schreiber dafür, dass sie mit diesen gefälschten Profilen zur Nutzung von kostenpflichtigen Angeboten verleiten.
Wer in der digitalen Welt nach einem Partner sucht, sollte deshalb stets auch auf die IT-Sicherheit achten. Worauf Sie Ihr Augenmerk dabei legen sollten, erfahren Sie in auf BSI für Bürger. https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/IT_Sicherheit_beim_Online_Dating.html
Zum Artikel auf Stiftung Warentest: Zu wenig Datenschutz in Dating-Apps https://www.test.de/presse/pressemitteilungen/Datensendeverhalten-von-Dating-Apps-Die-meisten-behalten-Geheimnisse-nicht-fuer-sich-5288863-0/
- Wettbewerb: Voranmeldung zur Cyber Security Challenge 2018 ab sofort möglich
Auch in diesem Jahr unterstützt das BSI die Cyber Security Challenge in Deutschland. Interessierte Schülerinnen und Schüler, Auszubildende sowie Studentinnen und Studenten können vom 1. März bis 1. Juni ihr Wissen rund um IT-Sicherheit unter Beweis stellen. In diesem Zeitraum müssen die potenziellen IT-Sicherheitsfachkräfte online neun komplizierte Aufgaben lösen. Die 20 besten Teilnehmerinnen und Teilnehmer nehmen am Finale des Wettbewerbs vom 2. bis 5. Juli in Düsseldorf teil. Zu gewinnen gibt es neben Sachpreisen auch die Teilnahme an der European Cyber Security Challenge in London diesen Herbst.
Zum Beitrag zur Cyber Security Challenge und zur Anmeldung: https://www.cscg.de/termine-und-events-2018/
- Tracking-Funktion: Wenn der Diebstahlschutz zur Sicherheitslücke wird
Die auf den ersten Blick nützliche Funktion „Meinen Mac suchen“ bzw. „Mein iPhone suchen“, mit der sich das jeweilige Apple-Gerät im Falle eines Diebstahls oder Verlustes orten lässt, kann zur Sicherheitslücke werden.
Ein von Mac & i beschriebener Fall zeigt, dass das nachträgliche Entfernen eines Geräts aus einem zugeordneten iCloud-Konto nicht möglich ist. Das Problem: Es kann nur lokal am Rechner, Tablet oder Smartphone die Verbindung zu einem iCloud-Konto entfernt werden, nicht aber aus der Ferne.
Wird dieser Schritt aber beispielsweise vor einem Verkauf des Geräts vergessen, behält der iCloud-Kontoinhaber theoretisch zumindest eingeschränkte Kontrolle über den Rechner. Der neue Besitzer kann getracked und das System ferngesteuert gelöscht werden, wenn das Gerät nicht dem eigenen iCloud-Zugang zugeordnet wird.
Neben solchen Fragen der Account-Zuordnung ist es ebenso wichtig, Daten vollständig vom Gerät zu löschen, bevor es weiterverkauft oder -gegeben wird.
Das BSI erklärt in wenigen Schritten, was in diesem Fall bei Smartphones genau zu tun ist: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/Smartphonewechsel_Daten_loeschen.html
Zum Artikel auf Mac & i: „Meinen Mac suchen“: Verkaufter Apple-Rechner bleibt über Jahre verfolgbar https://www.heise.de/mac-and-i/meldung/Meinen-Mac-suchen-Verkaufter-Apple-Rechner-bleibt-ueber-Jahre-verfolgbar-3978215.html
____________________________________________________________________________________________________
Über den folgenden Link können Sie den Newsletter wieder abbestellen.
Besuchen Sie uns auch auf:
https://www.bsi-fuer-buerger.de
https://www.facebook.com/bsi.fuer.buerger
https://www.twitter.com/BSI_Presse
Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn