zum Inhalt springen zur Navigation springen zum Seitenende springen

zum Seitenanfang springen zur Navigation springen
Groups banner
Gruppe: Sicherheit im Internet
Gestartet von Multinator am 27.12.2017


Diskussionen

ALARM !!!! PHISHING-VERSUCH IN DER COMMUNITY

Von Multinator am 24.05.2018 um 21:58

heute wurde versucht in der community ein phishing zu starten. versprochen wurden 100€ pro 1000€ umsatz. alleine am link war klar zu erkennen, dass es sich NICHT um einen fidor.de link handelte, sondern um einen fidor.xxx-banking-de.xxx - link. des weiteren enthielt der phishing-link KEINE ssl-verschlüsselung. wurde der link angeklickt und versucht, die benutzer-daten einzugeben, sollte der browser die meldung geben, dass der text unverschlüsselt und für jeden lesbar übertragen wird. im gegensatz zu den bisherigen mir bekannten phishingmails, wurden hier tatsächlich wohl nur die real existierenden nutzerdaten akzeptiert. bei unsinnigen eingaben wie sonst, passierte nichts. bei eingabe der echten benutzerdaten dürfte nun folgendes passieren:
HTTP-user-login -- phishing-server (ggf. FIN-anfrage zur bestätigung) -- HTTPS-fidorbank.
jetzt kann der angreifer den kontostand sehen und nach belieben zugreifen. evtl. erst nach einigen tagen wenn der kontostand entsprechend hoch ist (lohn, gehalt, rente, etc.)

ICH GEHE DAVON AUS, DASS DIESES NUR DER ERSTE TEST WAR.
der nächste versuch dürfte wohl ein NICHT zertifiziertes ssl-zertifikat hat.


Agares schrieb am 25.05.2018 um 07:44

Fakedaten auf der ersten Login-Seite klappten, wird die FIN abgefragt. Somit wäre die Übernahme des Kontos möglich.


Multinator schrieb am 25.05.2018 um 20:30

danke für die info. bei mir ging es nicht mit den fakedaten.



fidorkonto schnell gehackt

Von Multinator am 04.04.2018 um 20:28

eigentlich wollte ich was anderes schreiben, aber es war doch gestern dieser hochintelligente, von qualitätsjournaliusmus durchzogene beitrag über das so leichte häcken eines fidorkontos. und wie auf kommando, kommt doch auch noch so eine einladung par excelance via geldanfrage, wo grade zu darum gebettelt wurde, dass doch bitte jemand sein konto hackt. hier trifft wirklich absolute geldgier, gepaart mit ignoranz, dummheit und internetunfähigkeit zusammen. anders ist es nicht erklärbar. für einen häcker ein absolutes schnäppchen. und wie macht er das jetzt? auf grund der anfrage, weiß der häcker jetzt, dass geld auf dem konto zu erwarten ist. dann war dieser i---ot auch noch so schlau, seine "webseite" zu veröffentliochen, mit dem hinweis darauf, dass nur er selber diese verändern dürfte. also muß diese schon des öfteren extern verbessert worden sein (da kann man nix versauen). weiter erfährt er, dass dem webseitenmurkser nur ein altes ipad zur verfügung steht. na bingo!!!!!!!!!. und jetzt kommt der obergau: ausweis gut aufgelöst sowie wunderschöne handschriftliche machwerke sowie 1-a zu lesende unterschrift. ein absoluter genuss. email, altes iphone, unsichere webseite, fidornick. fehlt passwort und fin. schnell austesten, welches iphon. entweder per überwachung der webseite, email und fidor-nick, oder mal eben schnell hin zu ihm und warten bis er einkauft.email mir backdoor schicken, oder besser, mal kurz das iphone "ausleihen und fake-ssl-zertifikat akzeptieren. aber bei der intelligenz ist er bestimmt selber behilflich. schnell ne gefakte fidorwebseite hochgezogen die alles 1 zu 1 weiterleitet. da falsches ssl-zertifikat vorliegt, haben wir auch eine ssl-verschlüsselung. hier tricksen wir jetzt eine fineingabe ein. aber wozu der ganze aufwand. zahlen wir doch einfach einen betrag auf sein konto als investorfirma ein, die sein konzept geil finden. um die transaktion, da investorfirma, mit fin un pin bestätigt werden muß, entsprechende mail mit link auf phishingseite. die intelligenzbestie ist bestimmt behilflich und zu doof es zu merken, da tatsächlicher geldeingang.

selber schuld, wer einen link aus dem emailpostfach öffnet, wenn die email nicht explizit angefordert wurde oder zeitnah erwartet gesendet wurde. (sollten jetzt tatsächlich mal zwei "verifizierunsmails ankommen, eine phishing, eine echt, beide löschen und etwas später neue echte verifizierungsmail anfordern. kommen wieder zwei gleichzeitig, ist der rechner verseucht.) selbst bei verifizierungsmails funktioniert es (meistens), wenn die mail via "copy and paste" in die browser geschoben wird. es ist zu sehen, das keine verschlüsselung vorliegt, oder der link abartig cryptisch aufgebaut ist.



onlinebanking

Von Multinator am 10.03.2018 um 11:37

hatten wir hier in der community wieder den fall, dass ein konto geplündert wurde. erheblicher 5-stelliger betrag. dazu wurde das passwort geändert und mehrere phones registriert in den app-einstellungen. wie geht ein solches? der dieb benötigt zum einem einen onlinezugang zum konto, zum anderem zugang zum handy/smartphone. zugang zum email-postfach und die fin. hierzu:
https://community.fidor.de/smart_questions/frage-zum-thema-sicherheit-hat.
oder zusammengefasst im beitrag von webneo500 in:
https://community.fidor.de/smart_questions/guten-tag-von-mein-konto-wurde/create_answer?page=3
nun ist es aber auch so, dass hacker gerne den datenverkehr von bankwebseiten beobachten, soziale foren durchforschen etc. und ganz gezielt nach schwachpunkten suchen, sobald ein lohnenswertes opfer gefunden scheint. das potenzielle opfer ist ausgemacht, bzw. im nächstem umfeld bekannt (familie?, freunde?, bekannte?, arbeitskollegen?, mitarbeiter?). wie würde ich vorgehen?
als erstes schauen, wie ich in den bankaccount reinkomme, sowie das emailpostfach ausmachen und versuchen zu hacken (schwache passwörter?). https://community.fidor.de/groups/sicherheit-im-internet/passworte-w1ea2i6jrwkwxjte2y5m
hab ich den bankaccount offen, oder das emailpostfach, weiß ich, ob es sich lohnt weiter zu machen. ggf. ist es auch einfacher,den computer des opfers zu hacken, denn dann hab ich alles (oft) sofort. noch besser ist ein direkter zugriff auf den rechner. soweit so gut. wird noch das handy und die fin benötigt. wenn ich glück habe, finde ich die fin noch im emailpostfach. bingo. fehlt noch das handy. ich weiß jetzt wo das opfer wohnt und wie es heißt (oder ggf. schon vorher). ich warte ab, bis ich kurz an das handy kann, ggf. mit komplizen (ist es privater oder arbeitbereich kann ich das alleine machen). ich (wir) mache(n) bankloggin, daten ändern , warte(n) m-tan ab, handy zurück. dieses kann auch über taschendiebstahl erfolgen, wo das handy dann in die tasche des opfers zurück kommt.
habe ich beim (smartphone)handyzugriff mehr zeit und kann das handy (smartphone) durchforschen, finde ich vielleicht auch das auf dem handy offene postfach sowie alle möglichen anderen daten.
sowohl im ersterem als auch im zweitem falle kann ich auch noch hingehen und die sim kopieren (hoher kostenfaktor, aber wen stört es wenn es immer wieder durchgeführt wird) oder die nummer software mäßig fälschen. https://de.wikipedia.org/wiki/Twinkarte https://de.wikipedia.org/wiki/Alternate_Line_Service .
kurz und gut, mache ich das ganze primitiv hab ich nur den bankaccount (dauerhaft) und handy/smartphone-zugriff (möglichst lange-dann ohne großen aufwand / nur kurz-dann etwas aufwändiger)
mach ich das "vernünftig" dann unbegrenzten zugriff auf emailkonto, bankaccount und handy/smartphone.

stellt sich die frage, wie kann das opfer dieses verhindern? email mit fin im postfach dauerhaft löschen. postfach nur nach passworteingabe zugängig machen (egal ob auf handy oder pc). sollte dieses nicht möglich sein, die passworte auf handy und pc hochgradig verschlüsseln). handy und pc darf sich aus dem ruhezustand nur nach passworteingabe wieder aktivieren lassen (passwort/pin).

und niemals etwas über einen email-link bestätigen. auch wenn es scheint, dass die email vom originalabsender zu kommen scheint z.b. info@ anbieter (fidor) .de kann es eine fake-email sein. hier hilft nur der quelltext weiter. aber ein einfacher test hilft hier auch weiter (allerdings würd ich das nicht unbedingt ausprobieren, es sei denn mit einem live-system). akzeptiert der link so sachen wie "scheiß betrüger" und "666" war es mit sicherheit nicht der anbieter (fidor).



dau-gamer und die folgen

Von Multinator am 24.02.2018 um 20:20

ach ja. bin ich mal wieder so weit. diesmal praktische erfahrung mit heimrouter, heimnetzwerk und konfiguration.
klemmte doch das win10 bei einem bekannten. mal konnte er sich einloggen, mal nicht. ja, den rechner hatte ich sauber aufgezogen und die tastatur klemmte auch nicht. kein langes gefackel, neu aufziehen. stunden später (win braucht ewigkeiten für die updates) ließ ich mal so zum spaß über das frische win 10 den scanner laufen. bingo....... keine 3 min, und der erste müll ward gefunden ?????????????????????????????????????????????????????. wie das? mmmmhhhhhh. sein sohn mit seinen kumpels war da, die sowieso immer mehr wissen, wissen wie alles schneller und besser geht. ich war heilfroh, nach dem die mich als absoluten dau und blödschwätzer sowie für unbelehrbar erklärt hatten. ruhe ist. gut. also mein knoppix gestartet und was finde ich? offenes w-lan im router und ein netzwerk via lan. und das hatte ich nicht so eingerichtet. wozu ein heimnetz wenn weder rechner,noch smartphone noch drucker o.ä. vernetzt sein sollen? jedem rechner seinen eigenen netzzugang. so weit so schlecht. die gamergruppe dann gefragt, ob die am router waren. nein, natürlich nicht. sohn vom bekannten nochmal gefragt, ober der am router war. nein.gut. dann wird die sicherrungsdatei euf den router zurückgespielt, die ich nach einrichtung des routers gemacht hatte. und damit war dann das geschrei groß. wie ich denn könne ...., ich solle sofort..... hab mir dann den rechner des sohnemannes geschnappt und den gescannt. nach 150 schadmeldungen hab ich gestoppt. alle rechner hatten nur admin-konto. mit tollen passworten. da hilft dann auch keine externe firewall. klassischer angriff von innen. naja. aber ich bin ja auch eine spassbremse. sowas macht ja nix. die rechner laufen doch.... die machen ja nur ihre online-games und benutzerkonto ist da ja echt scheiße. naja. das wlan hat jetzt wieder einen ordentlichen schlüssel mit beschänktem gerätezugang, ports sind wieder auf standart gestellt, kein externer zugriff auf den router mehr. und nein, dass passwort für den router wird nicht wieder aufgeschrieben. das bleibt jetzt bei mir.. also die prozedur mit der win-installation von vorne. und obwohl die kiddies wieder zockten, diesmal nur eine lan-leitung und dann deren rechner miteinander verbunden (die sind doch virenfrei, weil ja der scanner bei denen läuft,..... lol), klappte dann auch die installation einwandfrei, ohne dass danach dann schadsoftware darauf waren. fazit:die kiddie gamen jetzt nicht mehr hier, nachdem ich das internet jetzt so langsam gemacht habe.
und selbstverständlich habe ich sämtliche online-passworte neu gemacht, onlinespeicher und emailpostfach erstmal leer gefegt, was wichtig war, runtergezogen, gescannt, abgespeichert mit linux-livesystem, rechner reset, neu gescannt, ebenfalls mit linux. ja. sch... arbeit. aber jetzt bin ich mir sicher, dass zumindest keine bekannte schadsoftware auf dem rechner ist. und keine ebensolche im onlinespeicher oder email-postfach sein sollte.



passworte

Von Multinator am 19.02.2018 um 17:28

mach ich mal einfach weiter.

sag ich doch immer wieder: "NEIN, was du da hast ist kein passwort. das ist eine einladung mit rotem teppich und champangerempfang." was bekomm ich zu hören? "du bist ja ein praranoiker. wer soll den dadrauf kommen?"
da hilft wirklich nur kopf > wand. bei so intelligenten passworten wie "schalke 04, bvb-king,rosengarten, obercruiser, usw," braucht man kein hochkomplexes professionelles hackingsystem. sowas ist eine kleinigkeit, wenn man sich die hackerbibel durchliest. und ich will garnicht wissen wie alt die ist. und ein hackingbot wie es wol zigtausende im netz gibt, ist das eine minutensache. soweit so schlecht. stellt sich nun die frage, wie sieht so ein passwort aus? namen und begriffe alleine, und seien diese noch so kompliziert (tetrahydro-4hexapentan-5-sulfatfluorchloridalverbindung) welche in lexika oder fachbüchern zu finden sind, taugen auch relativ wenig, da es für sowas gigabyte große datenbanken gibt, welche sich jeder herunterladen kann. und für einen ganz normalem rechner ist das dann kein problem mehr. das geht razz-fazz. es ist dann zwar schon weniger wahrscheinlich dass da ein hackingbot erfolgreich ist, da diese meist schnell aufgeben (dann ist eben des nachbars rechner dran). aber wenn ein anderer bot feststellt, dass über diesen rechner interessante sachen laufen (onlinebanking), oder der rechner selber interessant ist (hohe rechnerkapazität, hohe speicherkapazität, großer datentraffic, o.ä) werden dann gezielt andere bots eingesetzt oder ein gezielter angriff gefahren. und dann BINGO! also muß ein passwort so aufgebaut werden, dass nur ein so genannter bruteforce-angriff gestartet werden muß. und ab fängt es an, für hacker uninteressant zu werden. und zwar mit jedem einzelnem zeichen. 4 - 5 zeichen sind auch mit brutforce schnell geknackt. starker rechner, starke grafikkarte, bingo. paar minuten. 6 - 7 zeichen da brauchst es schon immens mehr zeit. lohnt sich da dann kaum noch. besser sind 10 zeichen und mehr. bruteforce-angriff lohnt sich nicht mehr. selbst ein hochleistungsangriffsrechner braucht jetzt eine ewigkeit dafür. meine passwörter bestehen aus min. 12 zeichen, aus ziffern, buchstaben groß und klein so wie sonderzeichen. das ganze sollte dann auch für denjenigen, der das passwort benutzt dann auch irgend wie einen "sinn" machen. bei mir haben buchstaben und zahlen einen "rythmischen" aufbau, sonderzeichen trennen rythmus und sinn. niemandem möcht ich zumuten jedesmal *y>€4ö^Uk{tW einzutippen oder zu merken. macht es meiner meinung nach auch nicht wirklich sicherer. mein ältestes passwort ist seit über 15 jahren unverändert auf meinem erstem e-mailpostfach ungehackt, wobei ich weiß, dass es schon mehrfach versucht worden ist zu hacken.sieht ungefährt so aus:
Z9öÖ-d/c64co (ja ich hab ne halbe stunde gebraucht, um es sinngemäß umzubasteln)
Z9öÖ-d geht mir locker durch den kopf. / ist das trennungszeichen für den "sinn". der ist in diesem fall ein alter c64 heimcomputer. co steht für color. c64co macht aber für ein hackerprogramm nicht mehr sinn, als die zeichen davor, da sich diese als normale zeichenfolge darstellen.
damit wäre dann schonmal ein ganz guter grundstock geschaffen.
wieviele passworte werden jetzt gebraucht?
ist man der einzige, der zuhause an den rechner rangeht, reicht der grundstock, der entsprechend erweitert wird.
das administratorkonton bekäme dann: Z9öÖ-d/c64coadmin
benutzerkonto :Z9öÖ-d/c64cousernick
emailkonto :Z9öÖ-d/c64coich@meinemailkonto.land
wlanrouter (weboberflächen) :Z9öÖ-d/c64coheimwerknetzname
man kann natürlich auch die erste sequenz des passwortes mit variation verdoppeln:Z9öÖ-d/z9Öö-d/
und so weiter. ich selber handhabe das etwas anders, aber diesen tipp habe ich öfters gelesen in beiträgen von administratoren, die serverfarmen mit hochsensiblen daten verwalten.
auch geht es des öfteren durch die medien, wie sinnvoll es wäre, passworte des öfteren zu wechseln. hier scheiden sich wohl die geister. es gibt wohl hinweise darauf, dass ein öfterer passwortwechsel das hacken eines accounts wahrscheinlicher macht. aber das sollte dann jeder selber entscheiden.

da ich hier auch grade das wlan habe, erledige ich das auch gleich mit. wlanverschlüsselung. wep taugt nix. die ist extrem schnell geknackt. selbst mit altem rechner. da kann man fast genauso gut das wlan offen lassen.
also psk2 o.ä. meist wird hier ein 64 stelliger code angeboten, den man selber eintippen muss. das sollte man auch ausnutzen. hier benutze ich einen gpg- oder ca-certschlüssel, dem ich sequenzen mit drag&drop entnehme.

das kann man natürlich auch bei den passwörtern machen, aber die sind dann meist schwerer zu merken.

mh, ja. komm ich doch nochmal eben schnell zu den beliebten fingerabdruck und gesichtspassworten. also login via gesicht, oder fingerabdruck. grade bei smartphone. um das zu hacken, brauch ich bei der gesichterkennung nur eine hochaulösende aufnahme des besitzers. minihd-cameras im miniformat kosten fast nix. und wenn ich das handy klau, hab ich auch die fingerabdrücke. kein problem. auch das wischen mit dem finger über das display zwecks freischaltung ist meiner meinung nach unsicherer als eine pin, da es sich oft leichter beobachten lässt als das eintippen der pin.

(irgend etwas hab ich bestimmt wieder vergessen........)



Deepfreeze

Von Mrfrost am 05.02.2018 um 00:13

Ich benutze Deepfreeze, das Programm friert den PC ein.
Man kann temporär alles machen, löschen, installieren, Viren schlucken.

Nach einem Neustart ist alles wie es war.
Also nach einer sauberen Neuinstallation Deepfreeze installieren und das System bleibt sauber.

Bei Bedarf kann kann es natürlich auch deaktivieren für Updates, neue Software usw



grundlage installation des betriebsystems

Von Multinator am 31.01.2018 um 19:25

So. jetzt bin ich dazu gekommen, mit dem anzufangen, was ich eigentlich schreiben wollte.
Sicherheit im Internet.
Fast alle, die ich kenne, meinen mit Virenscanner und Fierwall ist es getan. Und ich hab dann immer das Palaver damit. Nur weil die meinen es besser wissen zu müssen, oder einfach nur zu faul und bequem sind.
Sicherheit fängt schon bei der Installation des Betriebssystems an. Grade bei Windows. Ich beschreib ganz einfach mal, wie ich es installiere.
Vor einer Win-Installation lade ich als erstes sämtliche Win-Updates herunter sowie einen Virenscanner. Hierzu dient mir ein Linux-livesystem wie Knoppix (bevorzugt), Puppy, Debian-Live o.ä.. anschließend wird das WinSystem installiert, Ohne das der Rechner am Netz hängt. ich hab schon ganz frisch aufgezogene Wins gesehen, die schon bei der Installation gekarpert wurden, wo der Virenscanner anschleißend nur noch Schaulaufen machte.
Das Win-Sytem bekommt bei Abfrage seinen Sytemnamen und sein Administrator-Account sowie sein Passwort. Und spätestens hier hakt es dann schon bei den meisten. "Putzi, Schatzi, my castle, BVB, Schalke04, Was Bin Ich Doof" sind definitiv alles andere als sichere Passworte. Stimmt, aber sehr bequem, wenn es denn schon unbedingt ein Passwort sein muss(sowas ist für einen Hacker eine Einladung mit rotem Teppich und Champangerempfang). Passwort was ich für halbwegs sicher halte, besteht aus min. 8 Zeichen, die kryptisch sein sollten. besser mehr. wie z.b.: L3*k=s<5+w
je länger, desto besser. Hier haben wir immerhin den Hauptschlüssel zum Rechner.
Da können wir den Rechner durchaus mal mit einer Bank vergleichen. Die will auch gut abgesichert sein. (wir hatten vor einiger Zeit einen Fall in der Community einen Fall, wo meiner Meinung nach gegen alle wichtigen Sicherheitslinien verstoßen wurde. 4-stelliger Schaden)
Den Hauptschlüssel hab ich jetzt. Wird das Win-System jetzt so benutzt, kann jeder der hier jetzt einbricht ganz problemlos Schadsoftware installieren, den Rechner ausspähen, Server im Hintergrund installieren, Botnet, Spamverteiler, illegale dateien zwischenspeichern.... usw, usw, usw....

Leider verlangt das Win-Sytem kein Benutzerkonto. Und das ist haarig. Eine Bank mit nur einem Schlüssel für alles.

Zwingend ist meiner Meinung nach ein Benutzerkonto (auch hier gilt kryptisches Passwort). Oder besser noch mehrere.
Ein Benutzerkonto hat wesentliche Einschränkungen gegenüber einem Administratorkonto. ES KÖNNEN KEINE Programme so einfach installiert werden. Und da nur das Benutzerkonto für das tägliche Arbeiten benutzt werden darf (soll), besteht schon mal ein riesiger Sicherheitsgewinn. wenn jemand jetzt einbricht, ist nicht sofort de ganze rechner in fremder hand. Zum surfen im Internet empfehle ich immer ein zweites Benutzerkonto, wo dann keine wichtigen Daten gespeichert sind.
Um bei dem Vergleich mit der Bank zu bleiben:
Administratorkonto -> Hauptschlüssel
Benutzerkonto -> Schalterschlüssel
Benutzerkontointernet -> Schalterschlüssel2

Bei Linux hab ich das da etwas einfacher. Suse, Debian, usw. VERLANGEN ein ADMIN- und ein BENUTZERkonto. Sonst kommt man nicht weiter. O.k. Ubuntu verlangt nur Benutzerkonto. Und einige Spezialdistributionen die grunsätzlich mit Adminrechten laufen.
Jetzt werden erst die Updates installiert, da hier wichtige Sicherheitspatches drin sind. Anschließend der Virenscanner. Ist es nur der Privatrechner, wo nichts gravierendes mit gemacht wird, ist man mit einem kostenlosen Virenscanner eigentlich ganz gut dabei. Avira, Kaspersky, um mal zwei Bekannte zu nennen. Werden allerdings Bankgeschäfte u.ä. auf dem Rechner getätigt, sollte man ruhig ein paar €'s ausgeben für die kostenpflichtige Version, da hier ein erweiterter Schutz angeboten wird. Und im Verhältnis zu einem eventuellem Schaden ist das kein Geld.
Wichtig ist auch, zu überprüfen, welche Programme standartmäßig einen Netzwerdienst laufen lassen. Ein Drucker hat nichts im Internet zu suchen (ich muß mich auch immer erst dadurchwurschteln, weil isch habe kein windows)
Nachdem der Virenscanner das erste mal durchgelaufen ist, kommt der Rechner ans Internet. Bevor es ans rumsurfen geht, wird erst nochmal Udate gefahren. Virenscanner und Systemupdate um dann auch wirklich auf dem aller neuestem Stand zu sein. (ich mache an dieser stelle einen kompletten festplattenspiegel. sollte das sytem geschrottet werden, kann ich den festplattespiegel wieder auffahren und erspare mir eine neuinstallation. ich selber bevorgunge dafür acronis, aber es gibt auch andere programme die genauso gut sein sollen)
Jetzt erst ist der Rechner fertig zum surfen.

Auch hier habe ich es bei Linux bequemer. Aktuelle Installations-CD herunterladen und installieren. Da sind meiner Erfahrung nach 99,9% aller Updates schon mit drauf. Oder bei einem Netistall sind alle Updates mit drin.

Was ich auch für extrem wichtig halte, das System extern so min alle 2 Monate zu überprüfen. Hier werden oft in Computerzeitschriften speziell für Win angepasste Linuxlive-systeme angeboten. Die lassen ganz einfach auf einen Stick installieren (auch unter win). Dann den Rechner vom Stick starten, Virenscanner updaten und anschließend den Rechner durchscannen. Das dauert zwar, aber nur so weiß man dann, dass der Rechner frei von aller bis dahin bekannter Schadsoftware ist.(da ich meistens diese undankbare aufgabe bekomme, wird der zuvorgemachte festplattenspiegel geupdatet.) Es kommt immer wieder vor, dass Schadsoftware den Virenscanner ausschaltet.



Lücken in Hardware

Von Multinator am 04.01.2018 um 20:37

Dieser kommt zwar erst ein paar Tage nachdem es durch die Ticker durchgelaufen ist, aber trotzdem. So etwas bleibt wohl immer aktuell, insbesondere, da es wohl konkrete Hinweise darauf gibt, daß staatliche Sicherheitsorgane die Hersteller von Hard- und Software auffordern solche einzubauen, bzw. Stillschweigen über nicht öffentlich bekannte Sicherheitslücken zu bewahren.
Gefunden hat diese Sicherheitslücke die TU Graz.
Diesmal sind es wieder Pozessoren, die ja in jedem PC vorhanden sind. Vor allem Intel-Prozessoren. AMD-Prozessoren wohl weniger. Allerdings auch einige wie Smartphones und co.
Betroffen von dieser Sicherheitslücke ist der virtuelle Speicherbereich.
Microsoft und Linux-entwickler arbeiten daran.
Linuxkernel 4.14.11 ist fertig
Microsoft hat auch erste Update. Allerdings arbeiten die wohl nicht mit allen Virenscannern zusammen, sofern diese nicht angepasst wurden. Microsoft warnt davor, dieses Update einzuspielen, bevor die Virenscanner nicht angepasst sind.
Kaspersky und Avast wollen ein entsprechendes Update am 9.1. fertig haben.

Nachteil beim Sicherheitsupdate ist, dass Windows wohl um die 30 % verlangsamt wird, Linux wohl so um die 5%.
Für den Browser Chome gibt es ein Sicherheitspatch welches einen Angriff etwas erschweren soll:
https://support.google.com/chrome/answer/7623121
Ebenso Firefox:
https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/


motardito schrieb am 06.01.2018 um 02:18

Am 17. Dezember 2017 habe ich im Internet ein girokonto eröffnet. Ich habe die "Verifizierung von Dokumenten" per Videokonferenz mit IDNOW oder POSTIDENT beantragt. Es ist nie möglich zu überprüfen, sie funktionieren nicht gut.
Meine Frage, bitte: Können Sie direkt in der Sandstrasse in München ein Konto eröffnen und sich die Dokumentation dort ansehen lassen?


Multinator schrieb am 09.01.2018 um 00:19

@motardito
Die Gruppe heißt hier "Sicherheit im Internet" und nicht "Meckerkasten, Beschwerdebox o.ä".



Fidor-Mail

Von Multinator am 27.12.2017 um 08:25

Vor ein Stunden hab im Ticker eine Warnung vor Fidor-Mails gelesen, in denen aufgefordert wurde, die neuen AGB's via Link zu akzeptieren.
Der erste Link ging wohl offensichtlich direkt auf die Fidorseite.
Der zweite Link wo man dann die neuen AGB's bestätigen sollte,allerdings auf einen ganz anderen Server. Aufbau in der Leiste ungefähr so:
https://fidor.de.betrug.server
Man wird aufgefordert, die AGB's zu bestätigen. Der Link der AGB's führen natürlich wieder zur orginalen Fidorseite.
Aber die Login-Daten inclusive FIN sind jetzt abgefischt.
Auch verhält sich diese Seite genau wie die richtige Fidorseite.
Nun ist es ja so, das unterschiedlich Plattformen mal durchaus einen Bestätigungs-Link in das Postfach setzen. Der Unterschied zwischen einem echtem und einem gefälschtem Bestätigungslink ist der, das der Gefälschte jegliche Dateneingaben mit Erfolg quittiert, was der Echte natürlich nicht macht.
Was ich grundsätzlich mache, wenn ich entsprechende links in meinem Postfach habe ist, als
1. den Link per copy and paste in die Browserzeile.
2. aus dem Ppstfach abmelden.
3. falsche Logindaten verwenden wie z.B.:
username: Ich bin nicht blöd
passwort: was bist du doof.
wird das akzepiert, wars Betrug.

Ergo System neu starten und anschließed diese Mail löschen ohne nochmal zu öffen.
(ach ja, ich benutze bei sowas grundsätzlich Linux-Livesysteme. Rechner neu starten, und alles ist wie frisch installiert)

Bei einem Windowssystem würde ich dann in so einem Fall erstmal den Virenscanner laufen lassen, in der Hoffnung, das die Signatur des Virus schon erkannt wurde.

Es gibt häufig Fakelinks die nicht so "einfach" zu erkennen sind wie dieser.


MadTed schrieb am 29.12.2017 um 16:19

Hi,
ja das mit dem Phishing ist schon gemein.

Erkennen kann man das vorallem an der benutzten Domain, die MUSS auf "fidor.de" enden, da darf nix hintendran stehen, sonst ist es nur eine Sub-Domain, welche beliebig von jedermann/frau eingerichtet werden kann.

Beispiel: Besitze ich z.B. die Domain "sicherbanking.de" kann ich jederzeit eine Sub-Domain "fidor.sicherbanking.de" einrichten. Also aufpassen.

Auch sollte die Verbindung über https:// stattfinden (verschlüsselt). Das erkennt man an dem Schloß-Symbol in der Adress-Leiste des Browsers. Das Schloß sollte geschlossen sein, meist ist es auch grün, was bedeutet, daß ein gültiges Sicherheitszertifikat für die Verschlüsselung hinterlegt ist. Dieses Sicherheitszertifikat sollte von einer anerkannten Authetifizierungsstelle ausgegeben sein. Das prüft der Browser in der Regel ab (Sicherheitseinstellungen). Da sich auch jeder eigene Sicherheitszertifikate erstellen kann, ist das besonders wichtig.

Die Sicherheitszertifikate von FIDOR sind von "COMODO CA Limited" verifiziert, und nur von denen. Anzeigen kann man sich das lassen indem man auf das Schloß-Symbol klickt und "weitere Informationen" anklickt.

Noch Fragen?!?

Greets,
MadTed


pause schrieb am 02.01.2018 um 16:06

Ich bin leider auf so eine Phishing Mail hereingefallen. Es hat dann 4 Wochen gedauert bis ich wieder Zugang zu meinem Konto bekommen habe (es war niemand von der Bank erreichbar - Telefon laufend besetzt - mit emails wurde man immer auf später vertröstet etc.). Dann erst nach 4 Wochen habe ich dann gesehen, dass man mir 900 Euro gestohlen hat. Ich frage mich wer haftet denn für diesen Betrug? Wie kommt dieser Betrüger zu meiner Mail-Adresse und wie kann es sein, dass 900 Euro einfach überwiesen werden obwohl ein Limit von 500 Euro pro Überweisung erfasst ist?


Multinator schrieb am 02.01.2018 um 18:14

Ja, eine E-mailadresse ist ganz einfach zu ermitteln. Selbst bei hochgradiger Verschlüsselungen wird zwischen Sender und Empfänger immer noch Verbindungsdaten (nicht Inhaltsdaten) im Klartext übertragen. Darüber lässt sich dann auch die Emailadresse auslesen (nicht deren Inhalt). Hat jetzt jemand diese Emailadresse und weiss, dass die mit einer Bank gekoppelt ist, ist der nächste Schritt, eine entsprechende Phishing-mail zu schicken, in der Hoffnung, dass diese geöffnet wird (Anhang mit Virus) oder einen in der Mail enthaltenen Link (ggf. neues SSH-Zertifikat???) geklickt wird. Beides ist nicht gut. Nicht jeder Virus wird von Virenscannern erkannt. Und ein neues SSH-Zertifikat zu bestätigen (man-in-the-middle-angriff) mehr als gefährlicht.
Eine weitere Möglichkeit ist, das Betriebssystem selber anzugreifen (Backdoor). Offene Ports? Firewall? Teamvier o.ä.?
Garnicht gut, wenn man dann nur ein Benutzerkonto auf dem Rechner hat (viele Windows-Nutzer), weil das dann nämlich das Administratorkonto ist. D.h. beliebige Installation von Programmen ohne eine weitere Bestätigung. Im Gegensatz zu einem normalem Benutzerkonto. Da kann man nicht so einfach installieren.

Fazit:
Ich würde als erstes die Festplatte ausbauen zwecks Betrugsbeweis (oder forensisch clonen) Anzeige bei der Polizei. Betriebssystem neu aufziehen. Letzters auf jeden Fall.
Ach ja. vorher noch wichtige Daten sichern (auf anderem Datenträger).
Wenn auf die alte Festplatte das System neu aufgezogen wird, die Festplatte vorher komplett löschen mit entsprechenden Programmen (wipe oder shred unter Linux),weil beim einfachen neuformatieren alle Daten incl. Virus und co. auf der Festplatte bleiben.
Bei so einem Betrug bleibt man (meines Wissens nach) auf dem Schaden sitzen. Es sei denn, der Geldempfänger ist noch zu ermitteln.



Mitgliedschaft
Klicken Sie hier um Mitglied zu werden!

zum Seitenanfang springen zum Seitenende springen