zum Inhalt springen zur Navigation springen zum Seitenende springen

zum Seitenanfang springen zur Navigation springen
Groups banner
Gruppe: Sicherheit im Internet
Gestartet von Multinator am 27.12.2017


Diskussionen

Phishingseiten mit Fidorkredit

Von Multinator am 19.08.2018 um 20:12

Tobi-WI machte auf folgende Seite aufmerksam: https://www.coaching-pros.de/index.php, wobei ee sich um eine Phishingseite handeln dürfte. Der SSL-Schlüssels für https stammt vom "Let'sEncrypt", deren Schlüssel auch für die Links in Phishingmails benutzt wird. Agares hat folgendes herausgefunden (Zitat):
Interessant, die angegebene HRB im Impressum scheint mal von Lendico gewesen zu sein, obwohl lendico eine andere auf der eigenen Seite hat https://www.northdata.de/Lendico+Deutschland+GmbH,+Berlin/Amtsgericht+Charlottenburg+%28Berlin%29+HRB+152413+B
Will man jetzt versuchen hier einen Kredit zu erhalten, muß man eine Ausweiskopie mit hochladen. Mit den eingegebenen persöhnlichen Daten kann jetzt Zugriff auf (fast) jedes
Online geführte Konto genommen werden, da Telefonnummer und Adresse bekannt sind (Bankdaten dürften im weiterem Antrag dazukommen) und die Kopie des Ausweises vorliegt.

Und wem es nicht sofort auffällt: sämtliche dort gepostesten Medienberichte von FocusMoney, Capital, etc sind selbstverständlich Fake.
Und baugleiche Seite ohne https, aber ebenso Phishing:http://okay-kredit.de/anfrage.php


Agares schrieb am 20.08.2018 um 09:10

Wichtig: Nicht auf Zertifikate von Anbietern wie Let's enc vertrauen. Deren Zertifikate dienen nur zur Transportverschlüsselung und sagen nichts über die Internetseite selbst aus.

Zitat:

Thanks for the report. Our current policy does not allow us to revoke certificates for sites suspected of engaging in phishing, distribution of malware, or other forms of fraud. We recommend reporting such sites to Google Safe Browsing and the Microsoft Smart Screen program, which are able to more effectively protect users. Here is the Google reporting URL:

https://www.google.com/safebrowsing/report_badware/

If you'd like to read more about our policies and rationale, you can do so here:

https://letsencrypt.org/2015/10/29/phishing-and-malware.html

We've closed your ticket number ### as there is no further action we can take.

All the best,
The Let's Encrypt Team


Agares schrieb am 21.08.2018 um 20:56

coaching-pros.de" scheint vom Netz, nachdem es in der Blacklist von google landete


Multinator schrieb am 21.08.2018 um 21:09

Ich hab die auch an BSI, Verrbraucherzentrale, Mozilla, etc weitergegeben.



ACHTUNG: VORSICHT: WARNUNG: SPAM MIT WEITERLEITUNG AUF SSL-VERSCHLÜSSELTE SEITE

Von Multinator am 07.08.2018 um 01:32

Jetzt ist es soweit. Wurden in Phishingmailsmails bisher Links verwendet, die nur auf unverschlüsselte Seiten weitergeleitet habe und von daher eigentlich spätesten dadurch erkannt werden sollten, hat sich dieses nun geändert. Jetzt wird mit Links gearbeitet, die auf eine gefakte Fidor-Login-Seite gehen. Im Gegensatz zu früheren Phishingmails ist die Fakeseite jetzt mit einem gültigem SSL-Zertifikat versehen und es werden Cookies verwendet. Das SSl-Zertifikat stammt auf der Pshingseite von Let's Encrypt, während das Fidor-Zertifikat von Symantec Corporation stammt Des weiteren werden ungültige Eingaben nicht wie bisher einfach akzeptiert. Des weiteren wird auch der Browserverlauf analysiert (selbst im Privatem Modus), so dass auf einem anderem Rechner auf dem bisher kein Fidor-Login stattfand, der Link auf eine ganz andere Seite weiterleitet. Was hier vor Phishing schützt, ist der Fakt, dass weder der Link noch die Fakeseite eine fidor.de-Domain ist.
Der Phishing-Link geht erstmal auf eine Google-Seite, die die URL stark verkürzt. Und führt tatsächlich nur auf die Fidor-Fake-Phishinseite wenn er auf einem Rechner geöffnet wird, auf dem zuvor ein erfolgreicher Login zu einem Fidorkonto stattfand. Ein Versuch sich vorher mit falschen Daten bei Fidor einzuloggen führt ebenfalls nicht dazu dass sich die Phishingseite öffnet. Dieses gilt auch, wenn der Browser im Privatem Fenster (Privacy-Mode) gestartet wurde. Auf einem Rechner, auf dem vorher noch nie ein aktiver erfolgreicher Fidor-Login erfolgt war, geht der Link auf mega.nz . Dieses gilt auch, wenn der Phishing_Link im Tor-Browser geöffnet wird.
Hier wir mit verschiedenen Adressen gearbeitet
goo.gl-Link führt auf Fidorrechner zu fidor.ich-klau-deine-daten-Domain
goo.gl-Link führt im Tor-Browser und Fidor-freiem Rechner zu mega.nz

Alle 5 Kommentare vollständig anzeigen

Multinator schrieb am 07.08.2018 um 07:49

Kleine Korrektur:
statt "goo.gl-Link führt im Tor-Browser und Fidor-freiem Rechner zu mega.nz"
muß es heißen "goo.gl-Link führt im Tor-Browser oder Fidor-freiem Rechner zu mega.nz"
@FotoBLN
Wurde schon ausprobiert, ob das reCaptcha auftauch, wenn die Cookies und Scripte auf der Phishinseite akzeptiert, bzw. freigeschaltet wurden? Viele surfen ohne NoScript, uBlock oder ähnliche Blocker.


heartofgold schrieb am 07.08.2018 um 07:52

Sind bestimmte E-Mail Anbieter (z.B. t-online.de oder web.de) eigentlich stärker von Phishing Mails betroffen als andere? Ich nutze einen gmail.com Account für den Fidor-Login und habe dort noch nie eine Phishing-Mail bezüglich Fidor erhalten.


Multinator schrieb am 07.08.2018 um 17:30

t-online kann ich jetzt nichts Negatives sagen. Bekannter ist schon Ewigkeiten dort und hat keine Maläste. Bei web.de sieht es anders aus. Als ich mein Postfach dort noch aktiv hatte, kamen jeden Tag etliche Spams. Selbst heut kommen noch immer mal nen paar, obwohl web.de seit Jahren nicht mehr aktiv genutzt wird. Und wo Spams landen, dort findet sich auch Phishing ein. Ich hatte dort regelmäßig Phishingmails drin von Seiten, die mir absolut unbekannt waren, oder von Banken, bei denen ich nie ein Konto hatte. gmail hat da wohl auch einen ähnlich aggressiven Spamfilter wie maibox.org und andere professionelle Mailboxanbieter.



ALARM !!!! PHISHING-VERSUCH IN DER COMMUNITY

Von Multinator am 24.05.2018 um 21:58

heute wurde versucht in der community ein phishing zu starten. versprochen wurden 100€ pro 1000€ umsatz. alleine am link war klar zu erkennen, dass es sich NICHT um einen fidor.de link handelte, sondern um einen fidor.xxx-banking-de.xxx - link. des weiteren enthielt der phishing-link KEINE ssl-verschlüsselung. wurde der link angeklickt und versucht, die benutzer-daten einzugeben, sollte der browser die meldung geben, dass der text unverschlüsselt und für jeden lesbar übertragen wird. im gegensatz zu den bisherigen mir bekannten phishingmails, wurden hier tatsächlich wohl nur die real existierenden nutzerdaten akzeptiert. bei unsinnigen eingaben wie sonst, passierte nichts. bei eingabe der echten benutzerdaten dürfte nun folgendes passieren:
HTTP-user-login -- phishing-server (ggf. FIN-anfrage zur bestätigung) -- HTTPS-fidorbank.
jetzt kann der angreifer den kontostand sehen und nach belieben zugreifen. evtl. erst nach einigen tagen wenn der kontostand entsprechend hoch ist (lohn, gehalt, rente, etc.)

ICH GEHE DAVON AUS, DASS DIESES NUR DER ERSTE TEST WAR.
der nächste versuch dürfte wohl ein NICHT zertifiziertes ssl-zertifikat hat.

Alle 4 Kommentare vollständig anzeigen

Multinator schrieb am 25.05.2018 um 20:30

danke für die info. bei mir ging es nicht mit den fakedaten.


Spitzbart schrieb am 31.07.2018 um 14:35

Schickt mir doch bitte jemand die Phishing-Links!
Ich sammle so ein Zeug und schau mir gerne die Technik dahinter an.
Ggf. finde ich gar was über die Drahtzieher heraus.

Ich selbst bekomme super selten Phishing Mails dank meines recht unkonventionellen Mailsystems. (Essentiell für jeden Account eine andere Mailadresse, automatisiert und mit eigenen Domains. Preis für Domains und Server ~30-40€ im Jahr)


Multinator schrieb am 31.07.2018 um 19:56

Phishinglinks tauchen regelmäßig neue hier auf. Da muß man nur etwas warten. Bei welchem Provider bist du? Weil des Servers wegen wäre es evtl. interessant.



fidorkonto schnell gehackt

Von Multinator am 04.04.2018 um 20:28

eigentlich wollte ich was anderes schreiben, aber es war doch gestern dieser hochintelligente, von qualitätsjournaliusmus durchzogene beitrag über das so leichte häcken eines fidorkontos. und wie auf kommando, kommt doch auch noch so eine einladung par excelance via geldanfrage, wo grade zu darum gebettelt wurde, dass doch bitte jemand sein konto hackt. hier trifft wirklich absolute geldgier, gepaart mit ignoranz, dummheit und internetunfähigkeit zusammen. anders ist es nicht erklärbar. für einen häcker ein absolutes schnäppchen. und wie macht er das jetzt? auf grund der anfrage, weiß der häcker jetzt, dass geld auf dem konto zu erwarten ist. dann war dieser i---ot auch noch so schlau, seine "webseite" zu veröffentliochen, mit dem hinweis darauf, dass nur er selber diese verändern dürfte. also muß diese schon des öfteren extern verbessert worden sein (da kann man nix versauen). weiter erfährt er, dass dem webseitenmurkser nur ein altes ipad zur verfügung steht. na bingo!!!!!!!!!. und jetzt kommt der obergau: ausweis gut aufgelöst sowie wunderschöne handschriftliche machwerke sowie 1-a zu lesende unterschrift. ein absoluter genuss. email, altes iphone, unsichere webseite, fidornick. fehlt passwort und fin. schnell austesten, welches iphon. entweder per überwachung der webseite, email und fidor-nick, oder mal eben schnell hin zu ihm und warten bis er einkauft.email mir backdoor schicken, oder besser, mal kurz das iphone "ausleihen und fake-ssl-zertifikat akzeptieren. aber bei der intelligenz ist er bestimmt selber behilflich. schnell ne gefakte fidorwebseite hochgezogen die alles 1 zu 1 weiterleitet. da falsches ssl-zertifikat vorliegt, haben wir auch eine ssl-verschlüsselung. hier tricksen wir jetzt eine fineingabe ein. aber wozu der ganze aufwand. zahlen wir doch einfach einen betrag auf sein konto als investorfirma ein, die sein konzept geil finden. um die transaktion, da investorfirma, mit fin un pin bestätigt werden muß, entsprechende mail mit link auf phishingseite. die intelligenzbestie ist bestimmt behilflich und zu doof es zu merken, da tatsächlicher geldeingang.

selber schuld, wer einen link aus dem emailpostfach öffnet, wenn die email nicht explizit angefordert wurde oder zeitnah erwartet gesendet wurde. (sollten jetzt tatsächlich mal zwei "verifizierunsmails ankommen, eine phishing, eine echt, beide löschen und etwas später neue echte verifizierungsmail anfordern. kommen wieder zwei gleichzeitig, ist der rechner verseucht.) selbst bei verifizierungsmails funktioniert es (meistens), wenn die mail via "copy and paste" in die browser geschoben wird. es ist zu sehen, das keine verschlüsselung vorliegt, oder der link abartig cryptisch aufgebaut ist.


Spitzbart schrieb am 31.07.2018 um 14:36

Woah, was ist denn hier los?
Bei längeren Texten benutzt doch bitte Groß- und Kleinschreibung. Das ist ein echter Bonus für die Lesbarkeit.


Multinator schrieb am 31.07.2018 um 19:52

@Spitzbart
hatte meine Gründe wegen der konsequenten Kleinschreibung. Hab aber hoch- und heilig versprochen, mich der modernen Technik und der sich hieraus ergebenden Möglichkeiten in Bezug dessen anzupassen.



onlinebanking

Von Multinator am 10.03.2018 um 11:37

hatten wir hier in der community wieder den fall, dass ein konto geplündert wurde. erheblicher 5-stelliger betrag. dazu wurde das passwort geändert und mehrere phones registriert in den app-einstellungen. wie geht ein solches? der dieb benötigt zum einem einen onlinezugang zum konto, zum anderem zugang zum handy/smartphone. zugang zum email-postfach und die fin. hierzu:
https://community.fidor.de/smart_questions/frage-zum-thema-sicherheit-hat.
oder zusammengefasst im beitrag von webneo500 in:
https://community.fidor.de/smart_questions/guten-tag-von-mein-konto-wurde/create_answer?page=3
nun ist es aber auch so, dass hacker gerne den datenverkehr von bankwebseiten beobachten, soziale foren durchforschen etc. und ganz gezielt nach schwachpunkten suchen, sobald ein lohnenswertes opfer gefunden scheint. das potenzielle opfer ist ausgemacht, bzw. im nächstem umfeld bekannt (familie?, freunde?, bekannte?, arbeitskollegen?, mitarbeiter?). wie würde ich vorgehen?
als erstes schauen, wie ich in den bankaccount reinkomme, sowie das emailpostfach ausmachen und versuchen zu hacken (schwache passwörter?). https://community.fidor.de/groups/sicherheit-im-internet/passworte-w1ea2i6jrwkwxjte2y5m
hab ich den bankaccount offen, oder das emailpostfach, weiß ich, ob es sich lohnt weiter zu machen. ggf. ist es auch einfacher,den computer des opfers zu hacken, denn dann hab ich alles (oft) sofort. noch besser ist ein direkter zugriff auf den rechner. soweit so gut. wird noch das handy und die fin benötigt. wenn ich glück habe, finde ich die fin noch im emailpostfach. bingo. fehlt noch das handy. ich weiß jetzt wo das opfer wohnt und wie es heißt (oder ggf. schon vorher). ich warte ab, bis ich kurz an das handy kann, ggf. mit komplizen (ist es privater oder arbeitbereich kann ich das alleine machen). ich (wir) mache(n) bankloggin, daten ändern , warte(n) m-tan ab, handy zurück. dieses kann auch über taschendiebstahl erfolgen, wo das handy dann in die tasche des opfers zurück kommt.
habe ich beim (smartphone)handyzugriff mehr zeit und kann das handy (smartphone) durchforschen, finde ich vielleicht auch das auf dem handy offene postfach sowie alle möglichen anderen daten.
sowohl im ersterem als auch im zweitem falle kann ich auch noch hingehen und die sim kopieren (hoher kostenfaktor, aber wen stört es wenn es immer wieder durchgeführt wird) oder die nummer software mäßig fälschen. https://de.wikipedia.org/wiki/Twinkarte https://de.wikipedia.org/wiki/Alternate_Line_Service .
kurz und gut, mache ich das ganze primitiv hab ich nur den bankaccount (dauerhaft) und handy/smartphone-zugriff (möglichst lange-dann ohne großen aufwand / nur kurz-dann etwas aufwändiger)
mach ich das "vernünftig" dann unbegrenzten zugriff auf emailkonto, bankaccount und handy/smartphone.

stellt sich die frage, wie kann das opfer dieses verhindern? email mit fin im postfach dauerhaft löschen. postfach nur nach passworteingabe zugängig machen (egal ob auf handy oder pc). sollte dieses nicht möglich sein, die passworte auf handy und pc hochgradig verschlüsseln). handy und pc darf sich aus dem ruhezustand nur nach passworteingabe wieder aktivieren lassen (passwort/pin).

und niemals etwas über einen email-link bestätigen. auch wenn es scheint, dass die email vom originalabsender zu kommen scheint z.b. info@ anbieter (fidor) .de kann es eine fake-email sein. hier hilft nur der quelltext weiter. aber ein einfacher test hilft hier auch weiter (allerdings würd ich das nicht unbedingt ausprobieren, es sei denn mit einem live-system). akzeptiert der link so sachen wie "scheiß betrüger" und "666" war es mit sicherheit nicht der anbieter (fidor).



dau-gamer und die folgen

Von Multinator am 24.02.2018 um 20:20

ach ja. bin ich mal wieder so weit. diesmal praktische erfahrung mit heimrouter, heimnetzwerk und konfiguration.
klemmte doch das win10 bei einem bekannten. mal konnte er sich einloggen, mal nicht. ja, den rechner hatte ich sauber aufgezogen und die tastatur klemmte auch nicht. kein langes gefackel, neu aufziehen. stunden später (win braucht ewigkeiten für die updates) ließ ich mal so zum spaß über das frische win 10 den scanner laufen. bingo....... keine 3 min, und der erste müll ward gefunden ?????????????????????????????????????????????????????. wie das? mmmmhhhhhh. sein sohn mit seinen kumpels war da, die sowieso immer mehr wissen, wissen wie alles schneller und besser geht. ich war heilfroh, nach dem die mich als absoluten dau und blödschwätzer sowie für unbelehrbar erklärt hatten. ruhe ist. gut. also mein knoppix gestartet und was finde ich? offenes w-lan im router und ein netzwerk via lan. und das hatte ich nicht so eingerichtet. wozu ein heimnetz wenn weder rechner,noch smartphone noch drucker o.ä. vernetzt sein sollen? jedem rechner seinen eigenen netzzugang. so weit so schlecht. die gamergruppe dann gefragt, ob die am router waren. nein, natürlich nicht. sohn vom bekannten nochmal gefragt, ober der am router war. nein.gut. dann wird die sicherrungsdatei euf den router zurückgespielt, die ich nach einrichtung des routers gemacht hatte. und damit war dann das geschrei groß. wie ich denn könne ...., ich solle sofort..... hab mir dann den rechner des sohnemannes geschnappt und den gescannt. nach 150 schadmeldungen hab ich gestoppt. alle rechner hatten nur admin-konto. mit tollen passworten. da hilft dann auch keine externe firewall. klassischer angriff von innen. naja. aber ich bin ja auch eine spassbremse. sowas macht ja nix. die rechner laufen doch.... die machen ja nur ihre online-games und benutzerkonto ist da ja echt scheiße. naja. das wlan hat jetzt wieder einen ordentlichen schlüssel mit beschänktem gerätezugang, ports sind wieder auf standart gestellt, kein externer zugriff auf den router mehr. und nein, dass passwort für den router wird nicht wieder aufgeschrieben. das bleibt jetzt bei mir.. also die prozedur mit der win-installation von vorne. und obwohl die kiddies wieder zockten, diesmal nur eine lan-leitung und dann deren rechner miteinander verbunden (die sind doch virenfrei, weil ja der scanner bei denen läuft,..... lol), klappte dann auch die installation einwandfrei, ohne dass danach dann schadsoftware darauf waren. fazit:die kiddie gamen jetzt nicht mehr hier, nachdem ich das internet jetzt so langsam gemacht habe.
und selbstverständlich habe ich sämtliche online-passworte neu gemacht, onlinespeicher und emailpostfach erstmal leer gefegt, was wichtig war, runtergezogen, gescannt, abgespeichert mit linux-livesystem, rechner reset, neu gescannt, ebenfalls mit linux. ja. sch... arbeit. aber jetzt bin ich mir sicher, dass zumindest keine bekannte schadsoftware auf dem rechner ist. und keine ebensolche im onlinespeicher oder email-postfach sein sollte.



passworte

Von Multinator am 19.02.2018 um 17:28

mach ich mal einfach weiter.

sag ich doch immer wieder: "NEIN, was du da hast ist kein passwort. das ist eine einladung mit rotem teppich und champangerempfang." was bekomm ich zu hören? "du bist ja ein praranoiker. wer soll den dadrauf kommen?"
da hilft wirklich nur kopf > wand. bei so intelligenten passworten wie "schalke 04, bvb-king,rosengarten, obercruiser, usw," braucht man kein hochkomplexes professionelles hackingsystem. sowas ist eine kleinigkeit, wenn man sich die hackerbibel durchliest. und ich will garnicht wissen wie alt die ist. und ein hackingbot wie es wol zigtausende im netz gibt, ist das eine minutensache. soweit so schlecht. stellt sich nun die frage, wie sieht so ein passwort aus? namen und begriffe alleine, und seien diese noch so kompliziert (tetrahydro-4hexapentan-5-sulfatfluorchloridalverbindung) welche in lexika oder fachbüchern zu finden sind, taugen auch relativ wenig, da es für sowas gigabyte große datenbanken gibt, welche sich jeder herunterladen kann. und für einen ganz normalem rechner ist das dann kein problem mehr. das geht razz-fazz. es ist dann zwar schon weniger wahrscheinlich dass da ein hackingbot erfolgreich ist, da diese meist schnell aufgeben (dann ist eben des nachbars rechner dran). aber wenn ein anderer bot feststellt, dass über diesen rechner interessante sachen laufen (onlinebanking), oder der rechner selber interessant ist (hohe rechnerkapazität, hohe speicherkapazität, großer datentraffic, o.ä) werden dann gezielt andere bots eingesetzt oder ein gezielter angriff gefahren. und dann BINGO! also muß ein passwort so aufgebaut werden, dass nur ein so genannter bruteforce-angriff gestartet werden muß. und ab fängt es an, für hacker uninteressant zu werden. und zwar mit jedem einzelnem zeichen. 4 - 5 zeichen sind auch mit brutforce schnell geknackt. starker rechner, starke grafikkarte, bingo. paar minuten. 6 - 7 zeichen da brauchst es schon immens mehr zeit. lohnt sich da dann kaum noch. besser sind 10 zeichen und mehr. bruteforce-angriff lohnt sich nicht mehr. selbst ein hochleistungsangriffsrechner braucht jetzt eine ewigkeit dafür. meine passwörter bestehen aus min. 12 zeichen, aus ziffern, buchstaben groß und klein so wie sonderzeichen. das ganze sollte dann auch für denjenigen, der das passwort benutzt dann auch irgend wie einen "sinn" machen. bei mir haben buchstaben und zahlen einen "rythmischen" aufbau, sonderzeichen trennen rythmus und sinn. niemandem möcht ich zumuten jedesmal *y>€4ö^Uk{tW einzutippen oder zu merken. macht es meiner meinung nach auch nicht wirklich sicherer. mein ältestes passwort ist seit über 15 jahren unverändert auf meinem erstem e-mailpostfach ungehackt, wobei ich weiß, dass es schon mehrfach versucht worden ist zu hacken.sieht ungefährt so aus:
Z9öÖ-d/c64co (ja ich hab ne halbe stunde gebraucht, um es sinngemäß umzubasteln)
Z9öÖ-d geht mir locker durch den kopf. / ist das trennungszeichen für den "sinn". der ist in diesem fall ein alter c64 heimcomputer. co steht für color. c64co macht aber für ein hackerprogramm nicht mehr sinn, als die zeichen davor, da sich diese als normale zeichenfolge darstellen.
damit wäre dann schonmal ein ganz guter grundstock geschaffen.
wieviele passworte werden jetzt gebraucht?
ist man der einzige, der zuhause an den rechner rangeht, reicht der grundstock, der entsprechend erweitert wird.
das administratorkonton bekäme dann: Z9öÖ-d/c64coadmin
benutzerkonto :Z9öÖ-d/c64cousernick
emailkonto :Z9öÖ-d/c64coich@meinemailkonto.land
wlanrouter (weboberflächen) :Z9öÖ-d/c64coheimwerknetzname
man kann natürlich auch die erste sequenz des passwortes mit variation verdoppeln:Z9öÖ-d/z9Öö-d/
und so weiter. ich selber handhabe das etwas anders, aber diesen tipp habe ich öfters gelesen in beiträgen von administratoren, die serverfarmen mit hochsensiblen daten verwalten.
auch geht es des öfteren durch die medien, wie sinnvoll es wäre, passworte des öfteren zu wechseln. hier scheiden sich wohl die geister. es gibt wohl hinweise darauf, dass ein öfterer passwortwechsel das hacken eines accounts wahrscheinlicher macht. aber das sollte dann jeder selber entscheiden.

da ich hier auch grade das wlan habe, erledige ich das auch gleich mit. wlanverschlüsselung. wep taugt nix. die ist extrem schnell geknackt. selbst mit altem rechner. da kann man fast genauso gut das wlan offen lassen.
also psk2 o.ä. meist wird hier ein 64 stelliger code angeboten, den man selber eintippen muss. das sollte man auch ausnutzen. hier benutze ich einen gpg- oder ca-certschlüssel, dem ich sequenzen mit drag&drop entnehme.

das kann man natürlich auch bei den passwörtern machen, aber die sind dann meist schwerer zu merken.

mh, ja. komm ich doch nochmal eben schnell zu den beliebten fingerabdruck und gesichtspassworten. also login via gesicht, oder fingerabdruck. grade bei smartphone. um das zu hacken, brauch ich bei der gesichterkennung nur eine hochaulösende aufnahme des besitzers. minihd-cameras im miniformat kosten fast nix. und wenn ich das handy klau, hab ich auch die fingerabdrücke. kein problem. auch das wischen mit dem finger über das display zwecks freischaltung ist meiner meinung nach unsicherer als eine pin, da es sich oft leichter beobachten lässt als das eintippen der pin.

(irgend etwas hab ich bestimmt wieder vergessen........)



Deepfreeze

Von Mrfrost am 05.02.2018 um 00:13

Ich benutze Deepfreeze, das Programm friert den PC ein.
Man kann temporär alles machen, löschen, installieren, Viren schlucken.

Nach einem Neustart ist alles wie es war.
Also nach einer sauberen Neuinstallation Deepfreeze installieren und das System bleibt sauber.

Bei Bedarf kann kann es natürlich auch deaktivieren für Updates, neue Software usw



grundlage installation des betriebsystems

Von Multinator am 31.01.2018 um 19:25

So. jetzt bin ich dazu gekommen, mit dem anzufangen, was ich eigentlich schreiben wollte.
Sicherheit im Internet.
Fast alle, die ich kenne, meinen mit Virenscanner und Fierwall ist es getan. Und ich hab dann immer das Palaver damit. Nur weil die meinen es besser wissen zu müssen, oder einfach nur zu faul und bequem sind.
Sicherheit fängt schon bei der Installation des Betriebssystems an. Grade bei Windows. Ich beschreib ganz einfach mal, wie ich es installiere.
Vor einer Win-Installation lade ich als erstes sämtliche Win-Updates herunter sowie einen Virenscanner. Hierzu dient mir ein Linux-livesystem wie Knoppix (bevorzugt), Puppy, Debian-Live o.ä.. anschließend wird das WinSystem installiert, Ohne das der Rechner am Netz hängt. ich hab schon ganz frisch aufgezogene Wins gesehen, die schon bei der Installation gekarpert wurden, wo der Virenscanner anschleißend nur noch Schaulaufen machte.
Das Win-Sytem bekommt bei Abfrage seinen Sytemnamen und sein Administrator-Account sowie sein Passwort. Und spätestens hier hakt es dann schon bei den meisten. "Putzi, Schatzi, my castle, BVB, Schalke04, Was Bin Ich Doof" sind definitiv alles andere als sichere Passworte. Stimmt, aber sehr bequem, wenn es denn schon unbedingt ein Passwort sein muss(sowas ist für einen Hacker eine Einladung mit rotem Teppich und Champangerempfang). Passwort was ich für halbwegs sicher halte, besteht aus min. 8 Zeichen, die kryptisch sein sollten. besser mehr. wie z.b.: L3*k=s<5+w
je länger, desto besser. Hier haben wir immerhin den Hauptschlüssel zum Rechner.
Da können wir den Rechner durchaus mal mit einer Bank vergleichen. Die will auch gut abgesichert sein. (wir hatten vor einiger Zeit einen Fall in der Community einen Fall, wo meiner Meinung nach gegen alle wichtigen Sicherheitslinien verstoßen wurde. 4-stelliger Schaden)
Den Hauptschlüssel hab ich jetzt. Wird das Win-System jetzt so benutzt, kann jeder der hier jetzt einbricht ganz problemlos Schadsoftware installieren, den Rechner ausspähen, Server im Hintergrund installieren, Botnet, Spamverteiler, illegale dateien zwischenspeichern.... usw, usw, usw....

Leider verlangt das Win-Sytem kein Benutzerkonto. Und das ist haarig. Eine Bank mit nur einem Schlüssel für alles.

Zwingend ist meiner Meinung nach ein Benutzerkonto (auch hier gilt kryptisches Passwort). Oder besser noch mehrere.
Ein Benutzerkonto hat wesentliche Einschränkungen gegenüber einem Administratorkonto. ES KÖNNEN KEINE Programme so einfach installiert werden. Und da nur das Benutzerkonto für das tägliche Arbeiten benutzt werden darf (soll), besteht schon mal ein riesiger Sicherheitsgewinn. wenn jemand jetzt einbricht, ist nicht sofort de ganze rechner in fremder hand. Zum surfen im Internet empfehle ich immer ein zweites Benutzerkonto, wo dann keine wichtigen Daten gespeichert sind.
Um bei dem Vergleich mit der Bank zu bleiben:
Administratorkonto -> Hauptschlüssel
Benutzerkonto -> Schalterschlüssel
Benutzerkontointernet -> Schalterschlüssel2

Bei Linux hab ich das da etwas einfacher. Suse, Debian, usw. VERLANGEN ein ADMIN- und ein BENUTZERkonto. Sonst kommt man nicht weiter. O.k. Ubuntu verlangt nur Benutzerkonto. Und einige Spezialdistributionen die grunsätzlich mit Adminrechten laufen.
Jetzt werden erst die Updates installiert, da hier wichtige Sicherheitspatches drin sind. Anschließend der Virenscanner. Ist es nur der Privatrechner, wo nichts gravierendes mit gemacht wird, ist man mit einem kostenlosen Virenscanner eigentlich ganz gut dabei. Avira, Kaspersky, um mal zwei Bekannte zu nennen. Werden allerdings Bankgeschäfte u.ä. auf dem Rechner getätigt, sollte man ruhig ein paar €'s ausgeben für die kostenpflichtige Version, da hier ein erweiterter Schutz angeboten wird. Und im Verhältnis zu einem eventuellem Schaden ist das kein Geld.
Wichtig ist auch, zu überprüfen, welche Programme standartmäßig einen Netzwerdienst laufen lassen. Ein Drucker hat nichts im Internet zu suchen (ich muß mich auch immer erst dadurchwurschteln, weil isch habe kein windows)
Nachdem der Virenscanner das erste mal durchgelaufen ist, kommt der Rechner ans Internet. Bevor es ans rumsurfen geht, wird erst nochmal Udate gefahren. Virenscanner und Systemupdate um dann auch wirklich auf dem aller neuestem Stand zu sein. (ich mache an dieser stelle einen kompletten festplattenspiegel. sollte das sytem geschrottet werden, kann ich den festplattespiegel wieder auffahren und erspare mir eine neuinstallation. ich selber bevorgunge dafür acronis, aber es gibt auch andere programme die genauso gut sein sollen)
Jetzt erst ist der Rechner fertig zum surfen.

Auch hier habe ich es bei Linux bequemer. Aktuelle Installations-CD herunterladen und installieren. Da sind meiner Erfahrung nach 99,9% aller Updates schon mit drauf. Oder bei einem Netistall sind alle Updates mit drin.

Was ich auch für extrem wichtig halte, das System extern so min alle 2 Monate zu überprüfen. Hier werden oft in Computerzeitschriften speziell für Win angepasste Linuxlive-systeme angeboten. Die lassen ganz einfach auf einen Stick installieren (auch unter win). Dann den Rechner vom Stick starten, Virenscanner updaten und anschließend den Rechner durchscannen. Das dauert zwar, aber nur so weiß man dann, dass der Rechner frei von aller bis dahin bekannter Schadsoftware ist.(da ich meistens diese undankbare aufgabe bekomme, wird der zuvorgemachte festplattenspiegel geupdatet.) Es kommt immer wieder vor, dass Schadsoftware den Virenscanner ausschaltet.



Lücken in Hardware

Von Multinator am 04.01.2018 um 20:37

Dieser kommt zwar erst ein paar Tage nachdem es durch die Ticker durchgelaufen ist, aber trotzdem. So etwas bleibt wohl immer aktuell, insbesondere, da es wohl konkrete Hinweise darauf gibt, daß staatliche Sicherheitsorgane die Hersteller von Hard- und Software auffordern solche einzubauen, bzw. Stillschweigen über nicht öffentlich bekannte Sicherheitslücken zu bewahren.
Gefunden hat diese Sicherheitslücke die TU Graz.
Diesmal sind es wieder Pozessoren, die ja in jedem PC vorhanden sind. Vor allem Intel-Prozessoren. AMD-Prozessoren wohl weniger. Allerdings auch einige wie Smartphones und co.
Betroffen von dieser Sicherheitslücke ist der virtuelle Speicherbereich.
Microsoft und Linux-entwickler arbeiten daran.
Linuxkernel 4.14.11 ist fertig
Microsoft hat auch erste Update. Allerdings arbeiten die wohl nicht mit allen Virenscannern zusammen, sofern diese nicht angepasst wurden. Microsoft warnt davor, dieses Update einzuspielen, bevor die Virenscanner nicht angepasst sind.
Kaspersky und Avast wollen ein entsprechendes Update am 9.1. fertig haben.

Nachteil beim Sicherheitsupdate ist, dass Windows wohl um die 30 % verlangsamt wird, Linux wohl so um die 5%.
Für den Browser Chome gibt es ein Sicherheitspatch welches einen Angriff etwas erschweren soll:
https://support.google.com/chrome/answer/7623121
Ebenso Firefox:
https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/


motardito schrieb am 06.01.2018 um 02:18

Am 17. Dezember 2017 habe ich im Internet ein girokonto eröffnet. Ich habe die "Verifizierung von Dokumenten" per Videokonferenz mit IDNOW oder POSTIDENT beantragt. Es ist nie möglich zu überprüfen, sie funktionieren nicht gut.
Meine Frage, bitte: Können Sie direkt in der Sandstrasse in München ein Konto eröffnen und sich die Dokumentation dort ansehen lassen?


Multinator schrieb am 09.01.2018 um 00:19

@motardito
Die Gruppe heißt hier "Sicherheit im Internet" und nicht "Meckerkasten, Beschwerdebox o.ä".



Mitgliedschaft
Klicken Sie hier um Mitglied zu werden!

zum Seitenanfang springen zum Seitenende springen