SICHER • INFORMIERT vom 25.10.2018

SICHER • INFORMIERT vom 25.10.2018
Ausgabe: 22/2018
Inhalt

Störenfriede—————–
1. XSS-Schwachstelle in Diensten von Branch.io: Millionen Kunden weltweit potenziell betroffen 2. SMS-Betrug: Vorsicht bei externer Kontaktaufnahme außerhalb von eBay-Kleinanzeigen und Facebook Marketplace 3. Fakeshops: Keine Lieferung nach Bezahlung

Schutzmaßnahmen—————–
4. ClamAV: Wichtiges Update verfügbar
5. Oracle Java SE: Schwachstellen durch Aktualisierung schließen 6. F-Secure Linux Security: Sicherheitsupdate umgehend einspielen 7. Google Chrome: Zeitnah auf neue Version wechseln 8. VMware: Neues Update einspielen 9. Router von D-Link können komplett übernommen werden 10. Sicherheitslücke bei Enigmail geschlossen

Prisma—————–
11. BSI-Magazin: Neue Ausgabe mit Schwerpunkt E-Mail-Verschlüsselung erschienen 12. Smart Home: IoT-Sicherheit zu Hause 13. Nach dem Facebook-Hack: Nutzer können checken, ob sie betroffen sind

Liebe Leserinnen, liebe Leser,

weltweit vernetzen sich Bürgerinnen und Bürger in sozialen Medien. Dort tauschen sie Gedanken, Bilder und Informationen aus, die sie mit Freunden und Bekannten teilen wollen – sicher aber nicht mit Kriminellen. Genau das ist zuletzt Millionen Facebook-Nutzern passiert: das soziale Netzwerk wurde zum Ziel eines massiven Hacker-Angriffs. Beunruhigte Nutzerinnen und Nutzer haben nun die Möglichkeit, zu prüfen, ob sie ebenfalls Opfer der Attacke wurden. Weniger virtuell, aber mindestens genauso reell ist die IT-Gefahrenlage im Smart Home. Im Rahmen der letzten ECSM-Aktionswoche widmet sich BSI für Bürger genau diesem Thema und gibt Tipps zur Basissicherheit im intelligenten Zuhause.

Wir wünschen Ihnen eine spannende Lektüre.

Ihr Bürger-CERT-Team

—————————————————-
Störenfriede

1. XSS-Schwachstelle in Diensten von Branch.io: Millionen Kunden weltweit potenziell betroffen

Wie 360 Total Security Blog berichtet, existiert eine Schwachstelle bei Branch.io, das von Diensten wie Tinder, Shopify oder Yelp für Analysen, die Erstellung von Deep Links und ähnliche Funktionen genutzt wird. Das Sicherheitsleck ermöglicht Cross-Site-Scripting-Angriffe (CSS), von denen Millionen Nutzerinnen und Nutzer der genannten Plattformen betroffen sein könnten. So lässt die Lücke beispielsweise zu, dass Kriminelle auf deren Profile auf der Online-Dating-Plattform Tinder zugreifen können. In den meisten Fällen funktionieren CSS-Attacken allerdings nur, wenn das Opfer auf einen speziell erstellten Spam-Link klickt. Durch die große Verbreitung von Branch.io könnten insgesamt 685 Millionen Kunden weltweit betroffen sein. Die Sicherheitslecks sind laut 360 Total Security Blog mittlerweile geschlossen. Auch wenn es aktuell keine Hinweise für den Missbrauch von Nutzerprofilen gibt, sollten Nutzerinnen und Nutzer der betroffenen Plattformen vorsorglich ihr Passwort ändern.

Was es bei der Auswahl sicherer Passwörter zu beachten gilt, hat BSI für Bürger hier zusammengestellt: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/Passwoerter-wechseln_01022017.html

Zur Meldung von 360 Total Security Blog: 685 million users may be affected by the Branch.io service XSS vulnerability: https://blog.360totalsecurity.com/en/685-million-users-may-be-affected-by-the-branch-io-service-xss-vulnerability/

2. SMS-Betrug: Vorsicht bei externer Kontaktaufnahme außerhalb von eBay-Kleinanzeigen und Facebook Marketplace

Nutzerinnen und Nutzer von Online-Kleinanzeigenmärkten wie eBay-Kleinanzeigen oder Facebook Marketplace sollten derzeit Vorsicht walten lassen: Immer häufiger versuchen Betrüger sie außerhalb der Plattformen zu kontaktieren. Letztlich wollen die Kriminellen hierüber den Verkäufer zum Versand der Ware ohne Bezahlung bewegen. Darauf weist Onlinewarnungen.de hin. So nehmen angebliche Kaufinteressenten per SMS oder WhatsApp Kontakt mit den Verkäufern auf. Aufmerksamkeit ist geboten, wenn die Nachrichten in fehlerhaftem Deutsch formuliert sind oder ein Käufer darauf drängt, außerhalb der Plattform zu kommunizieren. Die vermeintlichen Käufer geben dann vor – wie zuletzt bei einem Fall auf Facebook Marketplace – die Rechnung über PayPal bezahlen zu wollen. Dabei kommen auch gefälschte Zahlungsbestätigungen von PayPal oder ausländischen Banken zum Einsatz. Es empfiehlt sich, entsprechende Benachrichtigungen immer kritisch zu prüfen, ob sie echt sind. Oft werden darin Vorgehensweisen beschrieben, die der Zahlungsdienst überhaupt nicht anbietet. Beim Thema Cybersicherheit geht es nicht ausschließlich um Geräte. Auch der Faktor Mensch gilt als Einfallstor für IT-Attacken. Zum Beispiel mit Social Engineering: Dabei nutzen Kriminelle Charakterzüge wie Hilfsbereitschaft oder Vertrauen aus.

Was genau hinter diesem Begriff steckt, erklärt BSI für Bürger hier: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/IT_Sicherheit_am_Arbeitsplatz/SoEng/Social_Engineering_node.html

Zur Meldung von Onlinewarnungen.de: eBay-Kleinanzeigen und Facebook Marketplace Betrug: Kontakt per SMS mit E-Mail-Adresse (Update): https://www.onlinewarnungen.de/warnungsticker/ebay-kleinanzeigen-betrug-kontakt-per-sms-mit-e-mail-adresse/

3. Fakeshops: Keine Lieferung nach Bezahlung

Internetkriminelle eröffnen falsche Online-Shops, in denen sie die Ware des Sportbekleidungsherstellers Nike zu sehr günstigen Preisen anbieten. Auf dieses Vorgehen weist Onlinewarnungen.de hin. Aufmerksam sollten Käuferinnen und Käufer werden, wenn man ihnen Artikel beliebter Marken mit bis zu 90 Prozent Preisnachlass anbietet. Leider werden diese gefälschten Angebote oft in sozialen Netzwerken und auch auf seriösen Websites beworben. Überweisen Opfer einem Fakeshop die Kaufsumme, ist das Geld unwiederbringlich verloren – denn die Ware erhalten die Kundinnen und Kunden nicht. Noch kritischer ist das Problem übermittelter Daten, beispielsweise dann, wenn die Opfer mit Kreditkarte bezahlt haben. In diesem Fall empfiehlt es sich, die Karte umgehend sperren zu lassen. Persönliche Daten wie Name und Adresse können darüber hinaus an andere Cyberkriminelle weiter verkauft werden.

Einkaufen im Internet ist überaus praktisch. Allerdings birgt es auch Sicherheitsrisiken. Was es dabei zu beachten gilt, das zeigt BSI für Bürger: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/EinkaufenImInternet/einkaufeniminternet_node.html

Zur Meldung von Onlinewarnungen.de: Warnung vor Fakeshops: Hier sollten Sie keine Nike-Schuhe und -Bekleidung kaufen: https://www.onlinewarnungen.de/warnungsticker/warnung-vor-fakeshops-hier-sollten-sie-keine-nike-schuhe-und-bekleidung-kaufen/

—————————————————-
Schutzmaßnahmen

4. ClamAV: Wichtiges Update verfügbar

Bestimmte Versionen des Open-Source-Virenscanners ClamAV weisen derzeit Sicherheitslücken auf, die Kriminelle für einen Denial-of-Service-Angriff nutzen können. Nutzerinnen und Nutzer der betroffenen Versionen vor ClamAV 0.100.2 sollten zeitnah verfügbare Sicherheitsupdates ausführen.

Lesen Sie die gesamte Meldung hier: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2018/10/warnmeldung_tw-t18-0152.html?nn=9266440

5. Oracle Java SE: Schwachstellen durch Aktualisierung schließen

Cyberkriminelle können mehrere Schwachstellen in Oracle Java SE, Oracle Java SE Embedded und Oracle JRockit ausnutzen, um Integrität, Vertraulichkeit und Verfügbarkeit zu gefährden. Betroffen sind die Versionen Oracle Java SE 11, Oracle Java SE 6u201, Oracle Java SE 7u191 sowie Oracle Java SE 8u182. Da hier die drei wesentlichen Schutzziele von IT-Sicherheit betroffen sind, empfiehlt es sich für Nutzerinnen und Nutzer, möglichst schnell die neuesten Sicherheitsupdates zu installieren.

Weitere Informationen gibt Bürger-CERT an dieser Stelle: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2018/10/warnmeldung_tw-t18-0155.html?nn=9266440

6. F-Secure Linux Security: Sicherheitsupdate umgehend einspielen

Produkte von F-Secure, einem Hersteller von Antivirusprodukten weisen Sicherheitslücken auf. Konkret können Angreifer eine Schwachstelle bei F-Secure Linux Security 11 nutzen, um einen Denial-of-Service-Angriff auszuführen. Über Updates können Nutzerinnen und Nutzer die Lücken schließen.

Lesen Sie weitere Informationen dazu auf der Webpräsenz von Bürger-CERT: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2018/10/warnmeldung_tw-t18-0153.html?nn=9266440

7. Google Chrome: Zeitnah auf neue Version wechseln

Bei Googles Webbrowser Chrome treten im Augenblick mehrere Schwachstellen auf. Betroffen sind die Versionen vor Google Chrome 70.0.3538.67. Sie ermöglichen es Angreifern beispielsweise, Daten zu manipulieren oder Code mit den Privilegien des Opfers (zum Beispiel Admin-Rechte) auszuführen. Sicherheitsupdates sollten daher zeitnah aufgespielt werden.

Die gesamte Warnmeldung stellt das Bürger-CERT-Team hier zur Verfügung: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2018/10/warnmeldung_tw-t18-0154.html?nn=9266440

8. VMware: Neues Update einspielen

Schwachstellen bei der Virtualisierungssoftware VMware ESXi, VMware Workstation und VMware Fusion erlauben es, dass Angreifer beliebigen Programmcode auf den betroffenen Rechnern ausführen können. Betroffen sind die Systeme: VMware ESXi 6.0, VMware ESXi 6.5. VMware ESXi 6.7 sowie die Varianten von VMware Workstation vor Version 14.1.3. Bürger-CERT empfiehlt die zeitnahe Installation der Sicherheitsupdates des Herstellers.

Weitere Informationen können Sie auf den Seiten von Bürger-CERT nachlesen: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2018/10/warnmeldung_tw-t18-0156.html?nn=9266440

9. Router von D-Link können komplett übernommen werden

Einige Router-Modelle von D-Link weisen derzeit massive Sicherheitslücken auf: So können Cyberkriminelle mit einfachen Mitteln sensible Daten auslesen. Wie Golem.de berichtet, handelt es sich um drei Schwachstellen. Die erste Sicherheitslücke ermöglicht es Betrügern, Dateien aus dem Dateisystem des Routers auszulesen. Die zweite Schwachstelle lässt zu, dass die Zugangsdaten extrahiert werden. Zuletzt gibt es eine Sicherheitslücke, über die Kriminelle beliebigen Code ausführen können. Setzt ein Angreifer an allen drei Lücken an, kann er einen Router übernehmen. Zwar kündigte D-Link an, entsprechende Updates bereitzustellen – bisher wurden aber keine entsprechenden Patches bereitgestellt.

Der WLAN-Router ist das Herzstück des digitalen Lebens im eigenen Zuhause. Wie Sie diesen schon beim Einrichten schützen können, erklärt BSI für Bürger an dieser Stelle: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/basisschutz_fuer_den_router.html

Zur Meldung von Golem.de: Router von D-Link können komplett übernommen werden: https://www.golem.de/news/sicherheitsluecken-router-von-d-link-koennen-komplett-uebernommen-werden-1810-137175.html

10. Sicherheitslücke bei Enigmail geschlossen

Eine schwerwiegende Sicherheitslücke im sogenannten „Junior-Modus“ des Verschlüsselungs-Add-ons Enigmail für Windows ist nun geschlossen, wie Heise.de schreibt. BSI für Bürger hatte in Ausgabe 21/2018 darüber berichtet. Eine Kombination von Fehlern in der zugrundeliegenden pEp-Software führte offenbar dazu, dass Enigmail einen verschlüsselten E-Mail-Versand angab, obwohl die Nachricht unverschlüsselt gesendet wurde. Maximal 6.000 Nutzerinnen und Nutzer waren laut Unternehmen von dem Fehler betroffen. Seit dem 12.10. liefert Enigmail die Software nur noch fehlerbereinigt aus; entsprechend sollten Nutzerinnen und Nutzer mit Software vor diesem Datum die Aktualisierung der pEp-Distribution aufspielen.

Wie Bürgerinnen und Bürger sicher digital kommunizieren, indem sie ihre E-Mails verschlüsseln, erklärt BSI für Bürger hier: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Verschluesselung/Verschluesseltkommunizieren/verschluesselt_kommunizieren_node.html

Zur Meldung von Heise Online: pEp-Foundation hat Sicherheitslücke in Enigmail/pEp geschlossen: https://www.heise.de/security/meldung/pEp-Foundation-hat-Sicherheitsluecke-in-Enigmail-pEp-geschlossen-4191426.html

—————————————————-
Prisma

11. BSI-Magazin: Neue Ausgabe mit Schwerpunkt E-Mail-Verschlüsselung erschienen

Die neueste Ausgabe des BSI-Magazins „Mit Sicherheit“ ist erschienen: Schwerpunkt in dieser Ausgabe ist die verschlüsselte Kommunikation als Basis für sichere Digitalkommunikation in Staat, Wirtschaft und Gesellschaft. Doch für Bürgerinnen und Bürger ohne IT-Fachwissen erweist es sich oft als mühsam, einen Überblick über die verschiedenen Verschlüsselungstechniken und vor allem deren Umsetzung zu bekommen. Bei dieser Herausforderung setzt das BSI-Projekt easyGPG an. Es bietet eine vergleichsweise unkomplizierte Herangehensweise für E-Mail-Verschlüsselung. Neben verschiedenen Beiträgen zum Thema Verschlüsselung können sich Bürgerinnen und Bürger in dieser Ausgabe zu Inhalten wie der Sicherheit onlinebasierter Zahlungsdienste oder dem digitalen Verbraucherschutz informieren.

Das BSI-Magazin „Mit Sicherheit“ erscheint zweimal jährlich, jeweils zur Hannover Messe im April sowie aktuell anlässlich der IT-Security-Messe it-sa im Oktober. Das Magazin steht Bürgerinnen und Bürgern zum kostenlosen Download auf der Webpräsenz des BSI zur Verfügung; ebenso können Interessenten hier eine gedruckte Version der Publikation bestellen: https://www.bsi.bund.de/DE/Publikationen/BSI-Magazin/BSI-Magazin_node.html

12. Smart Home: IoT-Sicherheit zu Hause

Im Rahmen des European Cyber Security Month (ECSM) informiert BSI im Oktober mit vier Wochenthemen über die verschiedenen IT-Risiken im smarten Zuhause. Woche vier schließt nun mit der Sicherheit im Smart Home ab. Dazu gibt BSI für Bürger Tipps, was Sie vor dem Kauf und beim Umgang mit intelligenten Geräten beachten sollten. So gilt auch hier, eine verschlüsselte Verbindung zur Datenübertragung einzurichten oder auf regelmäßige und sichere Passwortwechsel zu achten.

Weitere Informationen finden Sie in der Meldung von BSI für Bürger: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/basisschutz_fuer_iot_smarthome.html

13. Nach dem Facebook-Hack: Nutzer können checken, ob sie betroffen sind

Bei einem massiven Hack-Angriff auf Facebook, der Anfang Oktober bekannt wurde, gelang es Cyberkriminellen, sich Zugang zu geschätzten rund 50 Millionen Nutzerkonten zu verschaffen. BSI für Bürger hatte dazu in Ausgabe 21/2018 von „Sicher informiert“ berichtet. Theoretisch konnten sich die Täter somit Zugang zu Chroniken, Freundeslisten oder Gruppenmitgliedschaften der Opfer verschaffen. Facebook kündigte nun an, schnellstmöglich individuelle Nachrichten an die 30 Millionen Betroffenen zu versenden. Wer selbst prüfen möchte, ob sein Konto gehackt wurde, findet im Artikel von Onlinewarnungen.de einen entsprechenden Link.

Über Neuigkeiten und Hintergründe zu dem Angriff hält Facebook auf dieser Website auf dem Laufenden: https://www.facebook.com/help/securitynotice

Zur Meldung von Onlinewarnungen.de: Facebook Hacker-Angriff: Ist mein Konto betroffen?: https://www.onlinewarnungen.de/news/facebook-hacker-angriff-ist-mein-konto-betroffen/
____________________________________________________________________________________________________
Über den folgenden Link können Sie den Newsletter wieder abbestellen.
https://www.bsi.bund.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/abbestellen/newsletter_abbestellen_node.html
Besuchen Sie uns auch auf:
https://www.bsi-fuer-buerger.de
https://www.facebook.com/bsi.fuer.buerger

Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.