E-Mail Hack und Identitätsdiebstahl

In dieser Woche hat eine Nachricht in Deutschland wieder einmal für Furore gesorgt. 16 Millionen E-Mail Postfächer wurden von einem Kriminellen Botnetz geknackt. E-Mailadressen und dazugehörige Passwörter wurden entwendet.

Was war passiert?

Ein sogenanntes Botnetz hat mehrere große Mail-Provider angegriffen und 16 Millionen Mail-Adressen samt Passwörter von den Servern der betroffenen Dienstanbieter gestohlen.

Was ist ein Botnetz?

Server von Diensteanbietern und Nutzercomputer sind über das Internet zu einem globalen Computernetzwerk zusammengeschaltet. Die Computer und Server tauschen Daten untereinander aus und kommunizieren so mit einander.

Jetzt werden die Rechner von beliebigen Internetnutzern mit Maleware (neudeutsch für Schadsoftware) infiziert. Die jeweiligen User bemerken davon natürlich ersteinmal nichts. Diese Schadsoftware stiehlt sich von den Rechnern, auf denen sie installiert ist, ein paar Systemressourcen, in dem Fall Rechenleistung und Netzwerktraffic. Pro Computer ist das recht wenig und der User kann ohne merkliche Einschränkungen seinen Rechner weiter nutzen. In einem Botnetz sind aber mehrere Hundert bis Tausend solcher Rechner aktiv und so kommt schon einiges an geklauter Leistung zusammen.

Kurz gesagt: Eine bestimmte Software, hier der Bot, wird über eine Hintertür oder eine Sicherheitslücke auf viele Computer verteilt und wird von einer Person, in dem oben geschilderten Fall von einem Kriminellen, ferngesteuert und damit auf große Diensteanbieter losgelassen. Unter geballter Rechenpower werden schnell Sicherheitslücken bei Diensten wie Mailprovider gefunden und diese dann zum Diebstahl von sensiblen Daten ausgenutzt.

Welche Gefahr birgt der Diebstahl von Mailadressen samt Passwort?

Nein, ich will hier nicht schwarzmalen, aber die Gefahr ist nicht zu unterschätzen. Die meisten Internetnutzer besitzen nur eine oder maximal zwei Mailadressen bei den unterschiedlichsten Mail-Anbietern. Neben dem Schreiben von E-Mails wird diese natürlich auch benötigt, um sich bei verschiedenen Shoppingseiten (beispielsweise Amazon) oder sozialen Netzwerken (Facebook, Google+, Twitter und co.) aber auch bei Zahldienstleistern wie Paypal anzumelden. Die aufgezählten Dienste haben alle eines gemeinsam: Ihre Mailadresse, mit der Sie sichd dort registriert haen.

Wenn man das so sieht, ist das ersteinmal nicht weiter schlimm. Sämtlicher Mailverkehr von genannten Diensten läuft zentral auf ein Postfach. Wird dieses gekapert, wie jetzt bekannt wurde, haben nun gewisse kriminelle Elemente Zugang zu den wichtigsten Diensten, die Sie nutzen und das geht recht einfach.

Viele Shoppingseiten, aber auch sozale Netzwerke haben eine Funktion, die unter Umständen recht nützlich ist. Passwort vergessen schickt schnell ein neu generiertes Passwort andie Mailadresse, oder eine E-Mail, die den Nutzer auf eine Seite weiterleitet, wo man sich ein neues Passwort für den jeweiligen Dienst eingeben kann.

Wurde die Mailadresse gekapert, werden nun systematisch große Dienste durchprobiert, wo man sich mit dieser Adresse registriert hat. Manch ein Mailnutzer macht es einfach und lässt Mails über Bestellungen gleich im Mail-Archiv oder der History liegen. Kriminelle können das nun gezielt durchforsten, um viel genutzte Dienste ausfindig zu machen.

Im Falle von Shoppingseiten kann ein recht großer materieller Schaden entstehen. Beispiel Amazon: Hier hinterlegt man Kreditkartendaten oder Kontonummer, um bequem per Lastschrift zahlen zu können. Haben kriminelle Elemente sich über die Mailadresse zu Amazon Zugang verschaft, brauchen sie nur noch die Adresse zu ändern und lassen sich Waren und Produkte zuschicken, die Rechnung geht zu Lasten dem eigentlichen Kontoinhaber.

Bei Sozialen Netzwerken steht der materielle Schaden nicht ganz so im Vordergrund. Haben Kriminelle einmal Zugang dazu, wissen diese gleich wo der Profilinhaber arbeitet und wohnt, welche Kontakte er pflegt und so weiter. Das bietet kriminellen Elementen nun die Möglichkeit im Namen von Fremden Betrügereien einzufädeln oder den Ruf von Fremden zu schaden, was beispielsweise zur Kündigung im Betrieb führen kann.

Wie kann ich mich dagegen Schützen?

Es gibt hier leider kein Patentrezept, aber ein paar recht nützliche Tips, die man beherzigen sollte, auch wenn einige davon schon recht abgedroschen klingen mögen.

  1. Computer, Firewall und Virenscanner aktuell halten um nicht in den Genuss einer Schadsoftware zu kommen. Natürlich im Internet auch den gesunden Menschenverstand walten lassen.
  2. In gewissen Regelmäßigen Abständen die Passwörter bei genutzten Internetdiensten erneuern, das ist ganz wichtig bei den genutzten Mailadressen. Nicht genutzte Accounts bei Diensten einfach löschen
  3. Zum Anmelden bei verschiedenen Internetdiensten entweder mehrere Mailadressen nutzen oder sogenannte Wegwerfadressen (Google hilft hier weiter) nutzen. Diese Wegwerfadressen gelten beispielsweise für nur ein paar Minuten oder für einen oder mehrere Registrierungsvorgänge und werden dann gelöscht, wenn sie nicht mehr benötigt werden. So wird die Gefahr verringert, daß beim Kapern einer Mailadresse gleich sämtliche genutzten Dienste herausgefunden werden
  4. Jeder genutzte Dienst sollte ein anderes Passwort haben ansonsten machen sich kriminelle Elemente die Faulheit der Nutzer, die mit einem Passwort Zugang zu vielen Diensten haben, zu eigen.
  5. Passwörter können ruhig die maximale Zeichenanzahl haben und sollten in keinem Wörterbuch stehen. Das heißt, es sollte eine rein zufällige Ausdwahl von Klein- und Großbuchstabenm, Ziffern, Umlauten und Sonderzeichen sein. Je zufälliger das Passwort ist, desto größer ist auch der Aufwand dieses zu knacken.

Fazit:

Die E-Mail Adresse ist heutzutage noch das zentrale Element in der Kommunikation im Internet. Auch wenn so manch einer sagt, daß die E-Mail auf einem sinkenden Schiff ist, kommt keiner drum herum, sich mit dieser bei den verschiedensten Diensten anzumelden. Wurde die Mailadresse einmal von Fremden gekapert, kann man aus dieser schnell ausgesperrt werden und die eigene Identität geklaut werden. Was für Folgen das hat, dürfte jetzt nun klarer sein. Es ist daher von essentieller Wichtigkeit, seine Mailadresse und seinen Rechner gut vor den Gefahren aus dem Internet zu schützen.

Sicherheitsnotiz – Schadplugin für WordPress

Seit kurzer Zeit geht eine Phishingwelle um, die sich besonders an WordPress-Administratoren richtet, also jene Leute, die WordPress nur technisch betreuen und jene, die es selbst betreuen und damit Bloggen. Die Phishing Mail soll dazu verleiten, eine kostenlose Pro-Version (Premium) des allseits beliebten All in One SEO Pack zu installieren.

Was ist das All in One SEO Pack? Wozu wird es gnutzt?

Das All in One SEO Pack ist ein Plugin um den Blog durch Seitenbeschreibungen, Tags und Titel (Überschrift) den Blog für Suchmaschinen freundlicher zu gestallten. Dadurch erhöht sich die Chance, bei Google und Co. in der Trefferliste weiter nach vorn zu gelangen. Hiervon gibt es eine kostenlose Version und eine, die man bezahlen muß. Die kostenpflichte Pro-Version umfasst einige Funktionen mehr als die kostenlose. Natürlich ist in der Pro-Version auch besserer Support enthalten.

Was hat es mit der Phihing-Mail nun auf sich?

Die Phishing-Mail bietet WordPress-Administratoren und Bloggern die kostenplfichtige Pro-Version von All in One SEO Pack kostenlos zum Download an. Klackert man auf den Downloadlink in der Mail, so wird man nicht auf die offizielle Plugin-Seite von WordPress geleitet,

http://wordpress.org/plugins/

sondern landet auf einer von Spammern infizierten Seite in Australien oder Brasilien mit den Domainkürzeln *.com *.au oder *.br. Ab hier sollte man bereits das Hirn einschalten und stutzig werden.

Laut der Sicherheitsfirma Sucuri haben bereits einige deren Kunden das Plugin installiert. Und hierbei wird es kriminell. Mit dem Plugin installiert man sich einen Schadcode, der eine Hintertür im Server öffnet und die index.php der betreffenden WordPress-Blogs austauscht. Ab diesem Zeitpunkt ist es möglich, daß Ganoven beliebigen Code in den Blog ihres Opfers einschleusen können, mit dem man die Rechner der Besucher der infizierten Blogseite angreifen kann. Manche Versionen des Schadcodes leiten die Besucher beispielsweise auf Pornoseiten oder andere Server weiter, die weitere Maleware verbreiten.

Fazit

WordPress ist eine beliebte Blogsoftware und daher weit verbreitet. Durch die hohe Verbreitung von WordPress ist es auch ein beliebtes Angriffsziel um Schadcode zu verbreiten oder Spam zu verschicken. Als Blogger der WordPress verwendet oder Administrator für die technische Betreuung für WordPress sollte man dieses natürlich von Anfang an gut absichern. Hierzu findet man im Netz seitenweise Tutorials und How to’s. Auch sollte man Plugins von der offiziellen WordPress-Seite nutzen und nicht irgendwelche dubiosen Angebote aus irgendwelchen Quellen, die mal irgendwer (unbekanntes) per Mail verschickt. Klar können sich auf der Plugin-Seite von WordPress auch dubiose Angebote finden, die Wahrscheinlichkeit ist hier geringer, denn die Community darf hier Bewertungen abgeben und die Zuätzlichen Funktionen auseinandernehmen und überprüfen.

Links

http://wordpress.org/plugins/ Offizielle Seite für WordPress Plugins

Sicherheitsnotiz – Gefährliches Java-Update

Seit einigen Tagen kursiert eine neue Masche, um den Computer mit Maleware (Schädlingen) zu infizieren. Das geschieht über Bannerwerbung. Geratet ihr auf eine Website, werdet ihr sofort, oder nach kurzer Zeit, auch ohne eigenes Zutun auf eine Seite weitergeleitet, die euch auffordert, ein Java Update mit der Version 7 Update 25 (7u25) herunterzuladen und zu installieren. Aktuell wird Java 7 Update 45 (7u45) ausgeliefert, also Augen auf. Es ist eine Weiterleitung von der eigentlich angesurften Seite und kein Pop-Up, auf eine der beiden folgenden Adressen, die ihr natürlich in der Adresszeile eures Browsers ablesen könnt.

http://freejave-web.com/index.php?dv1=Ybrant%20Digital
http://germangetjava.com/index.php?dv1=Ybrant%20Digital

Eine Whoisabfrage hat zu einer Firma mit dem Namen WHOISGUARD INC. in Panama geführt. Betroffen ist Windows ab XP (ich habe von Win XP 32-Bit gelesen) bis hin zu Windows 7 mit dem Browser Firefox, aktuell Versionen 24 und 25 mit aktiviertem Javascript und installiertem Java auf dem Rechner. Vorbeugen kann man augenscheinlich, wenn man Scripte und Javascript deaktiviert oder für den Firefox das Plugin NoScript installiert. Diese Aufforderung zum Java-Update tritt auf verschiedenen Seiten auf, die Bannerwerbung nutzen. Also scheint man damit die Betreiber von Bannerwerbung aufs Kreuz gelegt zu haben, um seine Schädlinge zu verbreiten.

Gefährliche Mails von einem Inkassobüro – angeblich im Auftrag von Walbusch

Vor etwas mehr als einer Woche ist bei meinem Vater eine E-Mail mit folgendem Inhalt eingegangen. Absender war ein gewisses Anwaltsbüro Frida Franke, welches im Namen der Walbusch GmbH Inkassoaufträge ausführen soll… angeblich.

Im Anhang dieser Mail befindet sich eine zip-Komprimierte Exe-Datei, die man öffnen soll, um an die Kontodaten des Inkassobüros zu kommen. Diesen Anhang bitte nicht öffnen und installieren.

Statt dessen installiert man sich auf dem System einen Trojaner, der erstens eine Backdoor im Windows-System öffnet, über die der gesamte Internetverkehr am benutzten Rechner mitgelesen werden kann. Zusätzlioch werden noch ein paar Schadprogramme und Maleware installiert.

Diese ganze Mail ist Betrug. Anwaltskanzeleien und Inkassobüros werden sich postschriftlich bei Ihnen melden. Sollten Sie sich dennoch nicht ganz sicher sein, ob tatsächlich ein Inkassoverfahren gegen Sie läuft, sollten Sie sich vorher bei der genannten Klärgerin, das ist meist die Firma, bei der Sie nicht bezahlt haben sollen, telefonisch oder per Post/Mail Infos einholen.

Gesendet: Montag, 17. Juni 2013 um 15:19 Uhr
Von: „Frida Franke Inkasso Anwaltschaft“ c .ibel@live.de
An: „Herr K.“
Betreff: Kostenrechnung an Herrn K. Anwaltschaft Mandantschaft Walbusch Online GmbH AG 17.06.2013
Sehr geehrter Walbusch Online GmbH AG Kunde Herr K.,

mit der Bestellung vom 01.04.2013 haben Sie sich vertraglich verpflichtet die Rechnung in Höhe von 431,00 Euro an unseren Mandanten zu überweisen.

Der Betrag ist bis heute nicht bei Walbusch Online GmbH AG eingegangen.

Weiterhin sind Sie aus Gründen des Verzuges dazu verpflichtet die Ausgaben unserer Leistung zu tragen.

Unser Anwalt-Büro wurden von der Firma Walbusch Online GmbH AG beauftragt die gesetzlichen Interessen zu vertreten. Die ordnungsgemäße Bevollmächtigung wurde notariell schriftlich versichert.

Die zusätzlichen Kosten unserer Inanspruchnahme errechnen sich nach dieser Abrechnung:

****************
18,00 Euro (nach Nummer 4429 RGV)
35,00 Euro (Vergütung gemäß RVG § 4 Abs. 1 und 2)
****************

Wir zwingen Sie mit Kraft unserer Mandantschaft den gesamten Betrag auf das Bankkonto unseren Mandanten zu übersenden. Die Kotonummer und die Lieferdaten der Bestellung finden Sie im angehängtem Ordner. Für den Eingang der Zahlung setzten wir Ihnen eine letzte Frist bis zum 22.06.2013

Mit freundliche Grüßen Frida Franke Inkasso Anwaltschaft