DB0FHN

DB8AS  > VIRUS    03.02.12 16:33l 274 Lines 15534 Bytes #999 (0) @ DL
BID : 322DB0EAM000
Read: GUEST DK3UZ
Subj: BSI Newsletter 120202
Path: DB0FHN<DB0MRW<DB0SIF<DB0EAM
Sent: 120203/1115z @:DB0EAM.#HES.DEU.EU [Kassel DB8AS] DB19c1 $:322DB0EAM000
From: DB8AS @ DB0EAM.#HES.DEU.EU (Jochen)
To:   VIRUS @ DL


SICHER o INFORMIERT
Der Newsletter von www.buerger-cert.de
Ausgabe vom 02.02.2012
Nummer: NL-T12/0003

Die Themen dieses Newsletters:
1. Wertvoller Code: Bezahlsystem Paysafecard lockt Betrüger an
2. Facebook-Accounts in Geiselhaft: Lösegeld-Trojaner verlangt 20 Euro
3. Falsche Jobangebote: Spam-E-Mails im Namen der Bundesagentur für Arbeit
4. Trojaner-Apps im Android-Market: Malware läuft auf Hunderttausenden Geräten
5. Media-Markt und Saturn verschenken nichts: Gutscheine bei Facebook sind Fälschungen
6. äpcAnywhere“ unsicher: Symantec warnt vor eigenem Produkt
7. Update für Chrome-Browser: Google behebt vier Sicherheitslücken
8. Update für Opera: Browser in der Version 11.61 veröffentlicht
9. DNS-Changer-Schäden beseitigen: Gratis-Tool stellt Netzwerkeinstellungen wieder her
10. Update für Firefox, Thunderbird und SeaMonkey: Mozilla schließt mehrere Schwachstellen
11. Allianz gegen Spam und Co.: Führende E-Mail-Anbieter entwickeln neue Filtertechnik

EDITORIAL
    Guten Tag,
    bezahlen im Internet muss sicher sein. Eine Möglichkeit sind
    elektronische Zahlungsmittel, die nach dem Prepaid-Prinzip funktionieren:
    Eine Karte wird virtuell mit einem Geldbetrag aufgeladen, dazu gehört ein
    Zahlencode. Beim Online-Shopping dient der Code als Zahlungsmittel, bis
    der Geldbetrag aufgebraucht wird. Der Käufer gibt sonst keine Daten von
    sich Preis – ein im Prinzip sicheres System. Online-Betrüger versuchen
    nun jedoch durch Tricks an die Zahlencodes zu kommen – und somit an das
    Geld der Anwender.
    Mehr Infos zu diesem Thema sowie weitere Meldungen rund um die Sicherheit
    im WWW finden Sie wie immer in unserem Newsletter. Spannende Lektüre und
    sichere Stunden im globalen Netz wünscht Ihnen
    Ihr BUERGER-CERT-Team

STÖRENFRIEDE
    1. Wertvoller Code: Bezahlsystem Paysafecard lockt Betrüger an

    Die äPaysafecard“ ist ein elektronisches Zahlungsmittel, das ähnlich
    funktioniert wie eine Prepaid-Karte. Verbraucher können die Karte im
    Handel erwerben und erhalten damit einen dem Kaufbetrag entsprechenden
    16-stelligen Code, mit dem sie beispielsweise in Online-Shops bezahlen
    können. Ist das auf der Karte vermerkte Guthaben aufgebraucht, wird der
    Code ungültig. Internetkriminelle versuchen immer wieder, an den
    Zahlencode und damit an das Karten-Guthaben zu gelangen.
    Aktuell warnt der Herausgeber der
    Karten [http://www.paysafecard.com/de/sicherheit/] vor zwei
    Betrugsmaschen:
    Websites in der Optik der Paysafecard-Seite suggerieren Anwendern, sie
    könnten ihr Guthaben verdoppeln, wenn sie ihren Code in eine Maske
    eingeben und versenden. Dieser Trick dient allein dazu, Zugriff auf den
    Code und das Guthaben zu bekommen.
    Varianten der als Bundespolizei-, BKA- und Gema-Virus bekannten
    Schadprogramme sperren die Computer von Anwendern. Für eine Entsperrung
    wird ein äBußgeld“ eingefordert, das u.a. per Paysafecard bezahlt werden
    kann. Anwendern wird geraten derartigen Aufforderungen nicht Folge zu
    leisten.

    2. Facebook-Accounts in Geiselhaft: Lösegeld-Trojaner verlangt 20 Euro

    Der Blog
    botfrei.de [http://blog.botfrei.de/2012/01/carberp-trojaner-erpresst-facebook-nutzer/]
    berichtet über einen Trojaner, der Facebook-Accounts in Geiselhaft nimmt.
    Das Schadprogramm beruhe auf dem Fachleuten bereits bekannten
    Carberp-Trojaner. Anwender können ihren Rechner infizieren, indem sie
    manipulierte PDF- und Word-Dokumente öffnen. Wird dann eine
    Facebook-Website aufgerufen, klinkt sich Carberp in den Browser ein
    (Man-in-the-Middle-Attacke) und leitet den Anwender auf eine gefälschte
    Facebook-Seite um, die ihm mitteilt, sein Account für das soziale
    Netzwerk sei gesperrt. Um die vermeintliche Sperrung aufzuheben, soll der
    Anwender eine Gebühr in Höhe von 20 Euro leisten – und zwar über den
    Bezahldienst Ukash, eine Art Pre-Paid-Bezahlsystem, bei dem Zahlender und
    Empfänger anonym bleiben. Eine Zahlung des geforderten Betrags habe
    jedoch keinen Effekt, die Seite bleibe gesperrt.

    3. Falsche Jobangebote: Spam-E-Mails im Namen der Bundesagentur für
    Arbeit

    Die Bundesagentur für Arbeit (BA) warnt vor
    E-Mails [http://www.arbeitsagentur.de/nn_27044/zentraler-Content/Pressemeldungen/2012/Presse-12-003.html#top],
    in denen den Adressaten lukrative Jobangebote versprochen werden. Als
    Ansprechpartner werden Unternehmen mit Sitz im Ausland genannt. Die
    Absender dieser E-Mails sind nicht zu ermitteln. In den Spam-E-Mails
    werde behauptet: äIhre Kontaktadresse erhielten wir von der Agentur für
    Arbeit, bei der Sie als Bewerber registriert sind.“
    Die BA weist darauf hin, dass sie in keinerlei Zusammenhang mit
    derartigen E-Mails steht. Die Spam-E-Mails hätten vermutlich das Ziel an
    reale Nutzerdaten zu gelangen. Möglicherweise enthielten die E-Mails auch
    Viren oder Trojaner. Die BA rät dazu, unaufgefordert erhaltene E-Mails,
    die eine Arbeit versprechen, ungelesen zu löschen.

    4. Trojaner-Apps im Android-Market: Malware läuft auf Hunderttausenden
    Geräten

    Symantec, Anbieter von IT-Sicherheitslösungen, nennt in seinem
    offiziellen Firmenblog 13
    Apps [http://www.symantec.com/connect/fr/blogs/androidcounterclank-found-official-android-market]
    aus dem Android Market, die mit einem Trojaner verseucht sind. Der
    Trojaner äAndroid.Counterclank“ dient laut Symantec dem Diebstahl von
    Anwender- und Verbindungsdaten. Er findet sich in Spiele-Apps der
    Anbieter iApps7 Inc., Ogre Games und redmicapps. Manipulationen
    offenbaren sich auf zweierlei Weise: Bei infizierten Geräten steckt der
    Trojaner in der Hauptanwendung. Wird diese ausgeführt, startet ein
    äapperhand“ genannter Dienst. Ein weiteres Zeichen ist ein Such-Symbol
    auf dem Startbildschirm des Smartphones. Laut heise
    security [http://www.heise.de/security/meldung/Android-Spiele-enthalten-Trojaner-1424081.html]
    dürften die Trojaner-Apps auf mehreren hunderttausend Smartphones und
    Tablet-PCs laufen, lege man die Downloadzahlen im Android Market
    zugrunde. Einige der infizierten Programme seien im Android Market nach
    wie vor erhältlich. Der Trojaner lasse sich durch die Deinstallation der
    Apps entfernen.

    5. Media-Markt und Saturn verschenken nichts: Gutscheine bei Facebook
    sind Fälschungen

    Im Oktober eröffnete der Elektronikfachmarkt Saturn seinen Online-Shop,
    im Januar folgte Media-Markt. Spammer nutzen dies, um über Facebook
    Anwender zu erreichen. So ist es im Security-Blog von G
    Data [
    http://blog.gdatasoftware.com/blog/article/update-a-50EUR-gift-card-for-free-hey-im-no-fool.html]
    nachzulesen. Anwender werden anlässlich der Online-Shop-Eröffnungen
    jeweils mit vermeintlichen 50-Euro-Einkaufsgutscheinen dazu verführt,
    etwa im Fall des Media-Markt-Spams die Website mm-gutscheine.info
    anzuklicken. Auf dieser und anderen verlinkten Websites wird jedoch vor
    allem Werbung eingeblendet – woran die Spammer dann Geld verdienen.
    Anzeichen dafür, dass Schadcode übertragen wird oder Anwenderdaten
    gephisht werden, gibt es laut G Data nicht. Die Spam-Nachrichten
    erscheinen in der von beiden Handelsketten bekannten Aufmachung. Beide
    Handelsketten haben sich von der Aktion distanziert und empfehlen,
    derartige Nachrichten zu ignorieren bzw. zu löschen, es gebe derzeit
    keine Gutscheinaktionen.

SCHUTZMASSNAHMEN
    6. äpcAnywhere“ unsicher: Symantec warnt vor eigenem Produkt

    Mitte Januar gab der Hersteller von IT-Sicherheitssoftware Symantec
    bekannt, dass ihm im Jahr 2006 Quellcodes für verschiedene Programme
    gestohlen wurden. Hierüber berichtete u.a. der IT-Newsdienst
    heise
    security [http://www.heise.de/security/meldung/Symantec-bestaetigt-Source-Code-Klau-1416537.html].
    Lange hieß es, es bestehe keine Gefährdung der Computersysteme von
    Symantec-Kunden, da die Quellcodes veraltet seien. Nun muss Symantec
    Anwender doch vor der Nutzung von äpcAnywhere“ warnen, einer Software zur
    Steuerung von Fernzugriffen auf Computer. Hacker könnten mithilfe des
    Quellcodes die Verschlüsselung aushebeln und Computer, auf denen die
    Software läuft, angreifen. Möglich seien etwa Man-in-the-Middle-Attacken
    und der Aufbau unautorisierter Verbindungen zwischen Computern und
    Netzwerken. Im englischsprachigen Unternehmensblog gibt es Links zu
    ersten Updates sowie Installationsanleitungen. Zudem hat Symantec
    ein englischsprachiges, zehnseitiges
    PDF [http://www.symantec.com/connect/sites/default/files/pcAnywhere%20Security%20Recommendations%20WP_01_23_Final.pdf]
    veröffentlicht, in dem Hintergründe, Probleme und Lösungen
    zusammengefasst sind. Symantec empfiehlt, auf die Nutzung von pcAnywhere
    zu verzichten, bis Updates veröffentlicht wurden.

    7. Update für Chrome-Browser: Google behebt vier Sicherheitslücken

    Nur rund zwei Wochen nach dem letzten Browser-Update veröffentlicht
    Google erneut eine aktualisierte Version seines Browsers Chrome. Die
    Version 16.0.912.77 schließt vier als ähoch“ eingestufte
    Sicherheitsrisiken. Außerdem meldet Google in den
    Veröffentlichungsinformationen [http://googlechromereleases.blogspot.com/2012/01/stable-channel-update_23.html],
    dass mit dem vorangegangenen Update (Version 16.0.912.75) eine
    äkritische“ Lücke geschlossen wurde, die in den damaligen
    Veröffentlichungsinformationen nicht erwähnt wurde.
    Das Bürger-CERT empfiehlt ein Update, um eine Ausnutzung der
    Schwachstellen zu verhindern. Dies erfolge am einfachsten über die
    automatische Update-Routine des Browsers. Dabei wird das Update im
    Hintergrund heruntergeladen und mit dem Beenden des Browsers installiert.
    Alternativ stellt Google die aktuelle Chrome-Version im
    Internet zum Download [http://www.google.de/chrome/] zur Verfügung.

    8. Update für Opera: Browser in der Version 11.61 veröffentlicht

    Der kostenlose Browser Opera liegt in der aktualisierten Version 11.61
    vor. Das Update behebt diverse Funktionsstörungen und schließt zwei
    Sicherheitslücken. Opera Software stuft in seinen
    Informationen zur
    Veröffentlichung [http://www.opera.com/docs/changelogs/windows/1161/]
    das Sicherheitsrisiko der einen Lücke als äniedrig“, das der anderen als
    ähoch“ ein. So lasse es die alte Browserversion sogenannte XSS-Angriffe
    (Cross-Site Scripting) zu. Das Update auf die neue Opera-Version erfolgt
    automatisch durch den Browser. Opera 11.61 steht für Windows, Linux und
    Mac OS X aber auch zum manuellen
    Download [http://de.opera.com/] bereit.

    9. DNS-Changer-Schäden beseitigen: Gratis-Tool stellt
    Netzwerkeinstellungen wieder her

    Mit Hilfe des Schnelltests auf
    dns-ok.de [http://www.dns-ok.de/] können Anwender prüfen,
    ob die Netzwerkeinstellungen von Computern durch den Trojaner
    äDNS-Changer“ manipuliert wurden. Anwender, deren Systeme betroffen sind,
    mussten bisher die DNS-Einstellungen manuell korrigieren. Auf der Website
    www.dns-ok.de können Anwender nun ihr System auf eine mögliche
    DNS-Changer-Infektion überprüfen und geänderte Netzwerkkonfigurationen
    mit Hilfe eines Tools des Softwareherstellers Avira automatisch auf die
    Windows-Standard-Einstellung zurücksetzten. Der Link zum Download der
    Avira DNS-Repair-Software erscheint allerdings nur, wenn bei der
    Systemanalyse eine Infektion festgestellt wird. Das Programm kann auch
    manuell von der Avira-Website [www.avira.de/dnschanger]
    heruntergeladen werden. Eine Anleitung mit
    Screenshots [http://blog.botfrei.de/2012/01/mit-dem-avira-dns-repair-tool-die-netzwerkeinstellungen-zurucksetzen/]
    zur Handhabung des Tools gibt es außerdem auf der Website botfrei.de.

    10. Update für Firefox, Thunderbird und SeaMonkey: Mozilla schließt
    mehrere Schwachstellen

    Wie das
    Bürger-CERT [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T12-0004]
    auf seiner Internetseite mitteilt, hat Mozilla mehrere Schwachstellen in
    Firefox, Thunderbird und SeaMonkey geschlossen. Diese Schwachstellen
    können von einem entfernten, anonymen Angreifer ausgenutzt werden, um
    beliebigen Code mit den Rechten des angemeldeten Benutzers auszuführen,
    um den Rechner des Opfers zum Absturz zu bringen (Denial of Service), um
    einen Cross-Site Scripting Angriff durchzuführen oder um Daten
    offenzulegen oder zu manipulieren. Zur erfolgreichen Ausnutzung dieser
    Schwachstelle muss der Angreifer den Anwender dazu bringen eine
    manipulierte E-Mail oder Webseite zu öffnen.
    Das Bürger-CERT empfiehlt das von Mozilla bereitgestellte
    Sicherheitsupdate so bald wie möglich zu installieren.

PRISMA
    11. Allianz gegen Spam und Co.: Führende E-Mail-Anbieter entwickeln neue
    Filtertechnik

    15 Unternehmen aus der Internet- und IT-Servicebranche haben sich unter
    dem Kürzel DMARC zu einer Allianz gegen Online-Betrugsversuche
    zusammengeschlossen. Ziel der Firmen - darunter Google, Yahoo, AOL,
    Microsoft, Paypal und Facebook - ist es, einen technischen Standard zu
    etablieren, um etwa Spam- und Phishing-E-Mails auf Anbieterseite
    frühzeitig zu entdecken und so von Anwendern fernzuhalten. Dies berichten
    u.a. golem.de [http://www.golem.de/1201/89399.html] und
    computerwoche.de [http://www.computerwoche.de/security/2503995/].
    DMARC steht für äDomain-based Message Authentication, Reporting and
    Conformance“ (deutsch etwa: domainbasierte Authentifizierung, Meldung und
    Konformitätserklärung von Nachrichten). Mit dem Filter-Standard – der auf
    bekannten Filtertechniken aufbaut – sollen E-Mail-Empfänger laut golem.de
    einfacher bestimmen können, ob eine E-Mail wirklich von dem angegebenen
    Absender stammt und was zu tun ist, wenn es sich um einen Betrugsversuch
    handelt. Zudem können Absender festlegen, dass E-Mails, die angeblich von
    ihnen stammen, aber nicht durch den Filter authentifiziert werden können,
    empfängerseitig direkt gelöscht oder in den Spamordner verschoben werden
    sollen. Die Allianz arbeitet bereits seit rund 18 Monaten an dem neuen
    Standard, hat sich aber erst jetzt der Öffentlichkeit präsentiert. Die
    Filtertechnik ist bereits in Feldversuchen im Einsatz und soll in naher
    Zukunft als technischer Standard allgemein zur Verfügung stehen. Mehr
    Informationen zum Thema und Erklärungen zur Funktionsweise des Filters
    gibt es auf der englischsprachigen Projekt-Homepage
    dmarc.org [http://www.dmarc.org/].




-----------------------------------------------------------------------
Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot
des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14
Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und
aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit
und Richtigkeit nicht übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de
-----------------------------------------------------------------------

Die Veroeffentlichung in PR wurde mir vom BSI genehmigt.

vy 73, Jochen

ax.25 : db8as at db0eam.deu.eu
e-mail: db8as at db0eam.de



Read previous mail | Read next mail