Bundesamt für Sicherheit in der Informationstechnik

SICHER • INFORMIERT vom 05.07.2018

Ausgabe: 14/2018

Schnell zum Abschnitt

Liebe Leserin, lieber Leser,

in der heutigen Ausgabe informieren wir Sie unter anderem über die digitale Version eines Phänomens, das der eine oder andere vielleicht noch aus der Jugendzeit kennt: den Kettenbrief. Das Prinzip bleibt online das gleiche: Jemand schickt eine Nachricht über soziale Medien wie WhatsApp an eine Vielzahl von Nutzerinnen und Nutzern und diese sollen sie wiederum weiterschicken. Jedoch nutzen Internet-Betrüger das bekannte Spiel aus. Sie machen in der Mitteilung Versprechungen, die nur eingelöst werden können, wenn ein Link angeklickt wird. Nach dem Klick soll es zum Beispiel einen Gutschein oder Gewinn geben. Oftmals ist neben der Enttäuschung bestenfalls ein lästiger, und schlimmstenfalls ein gefährlicher Schadcode das Resultat. Dieser kann zum Beispiel den Verlust von persönlichen Daten oder Geld bedeuten. Wenn Sie also demnächst aus heiterem Himmel ein hochdotierter Gutschein eines Händlers via WhatsApp und Co. erreicht: Widerstehen Sie dem Köder!

Eine informative Lektüre wünscht

Ihr Bürger-CERT-Team

Störenfriede

DDoS-Attacke: Getarnte Angriffe auf Router

Um einen Internetdienst oder eine Webseite lahmzulegen, nutzen Cyber-Kriminelle oftmals DDoS-Attacken (Distributed Denial of Service). Dafür übernehmen sie die Kontrolle über eine Vielzahl von Rechnern, die massenhaft Anfragen an den Server schicken. Aufgrund der Überlastung mit Anfragen sind die betroffenen Seiten dann nicht mehr erreichbar. Um fremde Rechner zu übernehmen, nehmen Hacker immer häufiger die Universal Plug-and-Play (UPnP)-Funktion von Heimroutern im Visier, wie heise.de berichtet. Über diese Funktion können smarte Geräten über den Router automatisch eine Verbindung zum Internet aufbauen. Sicherheitssoftware erkennt in der Regel DDoS-Attacken. Deshalb verbergen Angreifer sie mittels einer Technik namens UPnP Port Masking, damit die Angriffspakete schwerer zu entdecken sind. Diese Art Angriff kann nur spezielle Software erkennen, indem sie die Datenpakete mittels Deep Packet Inspection durchleuchtet. Besonders kostengünstige Systeme enthalten diese Funktion jedoch häufig nicht.

Hinweise zur Einrichtung eines sicheren Heimnetzwerks erhalten Sie auf der Website BSI für Bürger hier.

Zur Meldung von heise.de: UPnP als Tarnung: Verwundbare Router helfen DDoS-Angreifern

Phishing-Mails: Kunden der Sparkasse betroffen

Derzeit sind Phishing-Mails im Umlauf, die als Absender die Sparkasse vortäuschen, berichtet mimikama.at. Die E-Mails werden von Internet-Betrügern blind gestreut und erreichen somit auch Personen, die keine Kunden der Sparkasse sind. Absender und Aufmachung sind der Sparkasse nachgeahmt, inhaltlich wird auf angebliche Sicherheitsprobleme hingewiesen, die eine Aktualisierung der Kundendaten notwendig machen würden. Wer auf "Fortfahren" klickt, landet auf einer gefälschten Sparkassen-Webseite. Unter keinen Umständen sollten Empfängerinnen und Empfänger solchen Aufforderung folgen, da es sich um einen Phishing-Versuch handelt, bei dem Daten gestohlen werden sollen und schlimmstenfalls finanzieller Schaden droht.

Wie Sie sich zuverlässig vor solchen Betrugsversuchen schützen, erfahren Sie in unserem Fachartikel zu "Phishing".

Zur Meldung von mimikama.at: Phishingradar! Sparkasse-Online Kunden im Visier!

Gefälschte Spiele-App: Achtung vor unechter mobiler Version von Fortnite

Die Vorfreude von Millionen von Fans des Kultspiels "Fortnite" auf die mobile Android-Version nutzen zurzeit auch Betrüger aus. Über Youtube-Videos und einem Download-Angebot zu einer angeblichen Vorab-Version werden die Nutzerinnen und Nutzer verleitet, sich eine gefälschte Version des Spiels herunterzuladen, wie mobilsicher.de informiert. Von unnützen Apps bis hin zu Schadcodes, die beispielsweise nach der Installation kostenpflichtige SMS ohne Wissen der Smartphone-Besitzerinnen und Besitzer verschicken, lädt die Fälschung verschiedene Programme nach, über die sichBetroffene nicht nur ärgern können, sondern auch finanziellen Schaden davontragen.

BSI für Bürger empfiehlt, beim Umgang mit Spiel-Apps besonders vorsichtig zu sein und hat die wichtigsten Tipps hier zusammengefasst.

Zur Meldung von mobilsicher.de: Fortnite für Android? Achtung Betrug!

Schwachstelle: Ausgespäht über Baby-Cam

Eine auch in Deutschland erhältliche IP-Überwachungskamera des Herstellers Fredi weist eklatante Sicherheitslücken auf, so heise.de. Über die unzureichend gesicherte Cloud-Anbindung, die beispielsweise dafür genutzt wird, Bild und Ton der Kamera auf das Smartphone zu bringen, können Hacker den Videostream abgreifen und sogar noch tiefer in das damit verbundene Heimnetzwerk eindringen. Dies gelingt Angreifern, indem sie über die genutzte P2P-Cloud die achtstellige Kamera-ID und das ab Werk standardmäßig eingestellte Passwort "123" eingeben. Die Anbindung ist so gestaltet, dass sie sämtlichen Firewall-Regeln in den Routern umgehen kann. Internet-Kriminelle haben dadurch leichtes Spiel. Wer eine Kamera des Herstellers besitzt, sollte umgehend das voreingestellte Passwort gegen ein sicheres ersetzen.

Wie Sie Ihr Heimnetzwerk sicher einrichten und betreiben, erklärt BSI für Bürger an dieser Stelle.

Zur Meldung von heise.de: Standardpasswort 123: Baby-Monitor als Guckloch in fremde Wohnungen

Schutzmaßnahmen

Thunderbird: Neue Version von E-Mail Client verfügbar

Im E-Mail Programm Mozilla Thunderbird wurden Schwachstellen identifiziert, die es ermöglichen, Daten einzusehen oder zu manipulieren, einen Denial of Service-Angriff zu starten oder ein Cross-Site-Request-Forgery durchzuführen, bei dem Anfragen an eine Webseite gefälscht werden. Wer Thunderbird als E-Mail-Programm nutzt, sollte so bald wie möglich die Version 52.9 installieren, um dagegen gewappnet zu sein. Im Sicherheitshinweis hält das BürgerCERT Informationen dazu auf einen Blick bereit.

Android: Sicherheitsupdate installieren

Im mobilen Betriebssystem Google Android und Pixel/Nexus wurden Sicherheitslücken entdeckt, die Google mit einem Update geschlossen hat. Betroffen sind Versionen ab Android 6.0 bis Version 8.1. Nutzerinnen und Nutzer sollten daher zeitnah das Sicherheitsupdate auf ihrem Gerät installieren. Den vollständigen Sicherheitshinweis des Bürger-CERT finden Sie hier.

Mozilla Firefox: Schwachstelle entdeckt

Eine technische Warnung von Bürger-CERT betrifft die Versionen des Open Source-Browsers Mozilla Firefox und Mozilla Firefox ESR. Über eine neu entdeckte Schwachstelle können entfernte Angreifer Daten einsehen und verschiedenartige Angriffe durchführen. Die zeitnahe Installation der neuen Sicherheitsupdates ist daher dringend angeraten.

Prisma

20 Jahre Windows 98: Mehr Sicherheit?

Bereits zwei Jahrzehnte ist es her, dass Windows 98 vorgestellt wurde – im digitalen Zeitalter eine Ewigkeit. Grund genug für chip.de in einer Retrospektive den Vergleich zwischen damals und heute zu ziehen. So bietet die aktuelle Version des Betriebssystems, Windows 10, zwar wesentlich mehr Funktionen, dennoch haben einige der bewährten Komponenten und Strukturen aus Windows 98 den Sprung in die Gegenwart gemeistert. Insbesondere Windows‘ automatisierte Update-Funktion, zur Erinnerung an Sicherheitsupdates und Aktualisierungen, etablierte sich bereits in der damaligen Version und ist noch heute eines der zentralen Elemente für eine sichere Nutzung.

Egal welche Software oder welches Betriebssystem Sie verwenden, Sie sollten immer automatische Sicherheitsupdates aktivieren, soweit das möglich ist. So bleiben Ihre Systeme auf dem aktuellsten Stand. Hilfe für eine sichere Basiskonfiguration Ihres PCs mit Windows 10, finden Sie auf folgender Webseite in einem PDF zum Download - viele der dort beschriebenen Punkte sind auch auf andere Geräte übertragbar.

Zur Meldung von chip.de: Warum Windows 10 ein bisschen wie Windows 98 ist

Kettenbriefe in WhatsApp: Tipps für Eltern

Auch in der Jugend der heutigen Elterngeneration hat es bereits Kettenbriefe gegeben. Heute existieren sie in digitaler Form und verbreiten sich über soziale Medien wie WhatsApp weiter. Oft sind ihre Inhalte harmlos, sie können aber auch ein Sicherheitsrisiko für die Nutzerinnen und Nutzer darstellen. Darauf weist das Onlineportal klicksafe.de hin. Insbesondere Nachrichten, die zum Anklicken der enthaltenen Links verlocken sollen, indem sie einen "Köder", wie ein Versprechen auf einen hochdotierten Gutschein, auswerfen, können riskant sein. Dahinter können sich Internet-Betrüger verstecken, die mit der genannten "Clickbaiting"-Methode mit einem Klick auf ein Formular locken. Dort werden unter Umständen persönliche Daten abgegriffen oder schadhafte Software zum Download angeboten.Das Wort stammt von dem englischen Begriff "bait" ab, auf Deutsch "Köder", ab.

Worauf Sie für eine sichere Nutzung sozialer Netzwerke achten sollten und auf welche Weise Cyber-Kriminelle dort schädliche Software verbreiten, erklärt Ihnen BSI für Bürger.

Zur Meldung von klicksafe.de: Kettenbriefe in WhatsApp