| |
DB8AS > VIRUS 12.06.15 10:03l 197 Lines 10195 Bytes #999 (0) @ DL
BID : C65DB0EAM000
Read: GUEST DK3UZ
Subj: BSI Newsletter 150611
Path: DB0FHN<DB0PM<OE2XZR<OE6XPE<DB0RES<DB0EAM
Sent: 150612/0742z @:DB0EAM.#HES.DEU.EU [Kassel DB8AS] DB19c1 $:C65DB0EAM000
From: DB8AS @ DB0EAM.#HES.DEU.EU (Jochen)
To: VIRUS @ DL
SICHER o INFORMIERT
-------------------
Der Newsletter des Bürger-CERT
Ausgabe vom 11.06.2015
Nummer: NL-T15/0012
Die Themen dieses Newsletters:
1. WhatsApp: Mit WhatsApp in die Abofalle
2. WhatsApp: Konten lassen sich leicht entführen
3. iOS: Schwachstelle in Apple Mail
4. Asus: Firmware-Update schützt vor Angreifern
5. Adobe: Aktualisierung für den Flash Player und Adobe AIR
6. Microsoft: Juni-Patchday
7. Facebook: Netzwerk führt stärkere Verschlüsselung ein
8. Geräteschutz: Tipps zum Schützen Ihrer mobilen Geräte
EDITORIAL
Liebe Leserin, lieber Leser,
zum 1. August 2012 trat ein Bundesgesetz in Kraft, das für
Online-Geschäfte vorsieht, Konsumenten klar und eindeutig darauf
hinzuweisen, dass sie im Begriff sind, eine Ware zu kaufen. Und zwar
bevor der Bestellvorgang abgeschlossen ist. Wenn Sie also zu den vielen
Nutzern von WhatsApp zählen, die ein teures Abonnement angeblich nur
dadurch abgeschlossen haben, dass Sie einem Link in einer Nachricht
gefolgt sind: Zahlen Sie nicht oder machen Sie die Lastschrift
rückgängig. Wir zeigen Ihnen auch, wie Sie verhindern, dass Ihre
Mobilrufnummer an dubiose Geschäftemacher weitergegeben wird, sodass
diese keine vorgeblichen Leistungen über Ihre Telefonrechnung mehr
abbuchen können.
Diese und weitere Meldungen rund um die Sicherheit im WWW finden Sie wie
immer in unserem Newsletter. Spannende Lektüre und sichere Stunden im
globalen Netz wünscht Ihnen
Ihr Buerger-CERT-Team
STÖRENFRIEDE
1. WhatsApp: Mit WhatsApp in die Abofalle
WhatsApp ist der Platzhirsch unter den Messengern. Unter dessen 800
Millionen Nutzern sind nun auch Spammer, die den Dienst für ihre Zwecke
missbrauchen. Sie versenden Nachrichten, die den Anschein erwecken, auf
neue Funktionen von WhatsApp hinzuweisen. Wer dem Link folgt, schließt
automatisch ein Abonnement ab, das 4,99 Euro pro Woche kostet. Die
Verbraucherzentrale
Sachsen [https://www.verbraucherzentrale-sachsen.de/whatsapp-whatsabo]
erklärt, dass die Forderungen über ein sogenanntes WAP-Billing mit dem
Mobilfunkanbieter abgerechnet werden. Sie erscheinen deshalb auf der
Telefonrechnung. Zahlen müssen Sie natürlich nicht. Ist der Betrag
bereits abgebucht, können Betroffene bis zu acht Wochen lang eine
Rückbuchung veranlassen. Betroffene sollen ferner gegenüber dem
Mobilfunkanbieter wie auch dem unseriösen Abo-Anbieter der Forderung
widersprechen.
Neben der Kontrolle von Kontoauszügen und Telefonrechnungen bietet eine
Sperre von Drittanbietern Schutz, die Sie formlos gegenüber Ihrem
Mobilfunkanbieter beantragen können. Ihr Mobiltelefon gibt dann nicht
mehr automatisch Ihre Telefonnummer an Drittanbieter weiter. Diesen ist
damit die Möglichkeit genommen, Ihnen Forderungen auf Ihre
Telefonrechnung zu schreiben. Telefonanbieter müssen dieser Aufforderung
kostenlos nachkommen. Manche Telefonunternehmen bieten auch Teilsperren
an, sodass Sie bestimmte Anbieter von der Sperre ausnehmen können. So
können Sie auch nach Einrichtung der Sperre weiterhin zum Beispiel
Parkgebühren unter Verwendung Ihres Smartphones bezahlen.
2. WhatsApp: Konten lassen sich leicht entführen
Wie einfach es ist, ein Konto von WhatsApp zu kapern, haben spanische
Blogger in einem Video
festgehalten [http://www.heise.de/security/meldung/l-f-WhatsApp-Konten-entfuehrbar-2682202.html].
Ein paar Minuten Zugriff auf das (gesperrte) Gerät des Opfers reichen
dafür aus. Zwar wird auch die Telefonnummer des gesperrten Telefons
benötigt, die herauszufinden sollte jedoch nicht allzu schwer sein. Das
elektronische Helferlein Siri zum Beispiel plappert die Nummer auch bei
gesperrtem Gerät aus.
Es ist deshalb wichtig, dass gesperrte Geräte wirklich gesperrt sind und
sich nicht Dienste wie Siri aufrufen lassen oder der Sperrbildschirm
eingehende Nachrichten mitsamt Kontaktdaten des Absenders anzeigt.
Entsprechende Einstellungen können Sie an ihrem Gerät vornehmen.
3. iOS: Schwachstelle in Apple Mail
Es kann passieren, dass Apples Online-Speicher iCloud den Kontakt zum
Gerät des Kunden verliert. Dann geht ein kleines Anmeldefenster auf, in
dem der Nutzer gebeten wird, sich erneut anzumelden. Das ist der erste
Teil des Problems.
Der zweite Teil: Ein Fehler im E-Mail-Programm von Apples iOS erlaubt das
Nachladen von HTML-Inhalten.
Beide Teile zusammen ergeben eine Bedrohung, bei der Kriminelle E-Mails
verschicken, die einen HTML-Inhalt nachladen, der dem aufklappenden
Anmeldefenster von iCloud ähnlich sieht. Wer nun meint, er habe erneut
den Kontakt zu iCloud verloren und seine Login-Daten rasch eingibt,
verschickt diese an Online-Kriminelle. Diese können dann
das iCloud-Konto
übernehmen [http://www.heise.de/security/meldung/iOS-Schwachstelle-in-Apple-Mail-ermoeglicht-offenbar-raffiniertes-iCloud-Phishing-2684896.html].
Apple ist das Problem bekannt, hält jedoch noch keine Aktualisierung für
das E-Mail-Programm bereit. Eine Möglichkeit, sich zu schützen wäre, die
für iCloud angebotene 2-Wege-Authentifizierung anzunehmen. Dessen
Einrichtung wird hier
beschrieben [http://www.macwelt.de/ratgeber/Zwei-Faktor-Authentifizierung-fuer-eine-Apple-ID-einrichten-8585218.html].
Dann reicht die Eingabe des Logins alleine für die Anmeldung nicht aus.
Zusätzlich wird eine SMS an Ihre hinterlegte Telefonnummer geschickt,
dessen enthaltener Code die Anmeldung abschließt. Ohne diese SMS können
die Versender der Phishing-E-Mail das iCloud-Konto nicht kapern.
SCHUTZMASSNAHMEN
4. Asus: Firmware-Update schützt vor Angreifern
In unserem letzten
Newsletter [https://www.buerger-cert.de/archive?type=widnewsletter&nr=NL-T15-0011]
berichteten wir über diverse Router-Modelle, die über manipulierte
Webseiten angreifbar sind. Der taiwanesische Hersteller Asus hat nun
Firmware-Updates herausgebracht, die dessen betroffenen Modelle vor den
genannten Angriffen schützen sollen. Die Aktualisierungen lassen sich
auch von der deutschsprachigen Webseite des Herstellers
herunterladen [http://www.asus-insider.de/guides/routerupdate/].
5. Adobe: Aktualisierung für den Flash Player und Adobe AIR
Adobe schließt mit den aktuellen Sicherheitsupdates mehrere
Sicherheitslücken [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T15-0042],
die es einem Angreifer über das Internet ermöglichen,
Sicherheitsmaßnahmen zu umgehen oder beliebige Befehle und Programme
auszuführen und damit die Kontrolle über das betroffene System zu
übernehmen.
6. Microsoft: Juni-Patchday
Microsoft
Sicherheits-Updates [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T15-0041]
dieses Monats betreffen unter anderem den Internet Explorer, Windows,
Office und den Windows Media Player. Auch das Windows Hausmittel zum
Entfernen bösartiger Software wird auf einen neuen Stand gebracht.
Sofern Sie nicht die empfohlene automatische Aktualisierung nutzen,
finden Sie auf den angegebenen Seiten Links zum Download der
Sicherheits-Updates. Nehmen Sie die Aktualisierungen dann bitte umgehend
vor.
PRISMA
7. Facebook: Netzwerk führt stärkere Verschlüsselung ein
Verschlüsselung mithilfe von Schlüsselpaaren funktioniert bekanntlich so:
Wenn jemand Ihnen eine verschlüsselte Nachricht zuschicken möchte,
benötigt dieser zum Verschließen der Nachricht Ihren öffentlichen
Schlüssel. Mit dem nur Ihnen bekannten privaten Schlüssel schließen Sie
diese dann auf. Möchten Sie verschlüsselt antworten, benötigen Sie den
öffentlichen Schlüssel Ihres Partners. Dass Verschlüsselung nicht weiter
verbreitet ist, liegt sicherlich auch an dem Problem der Verteilung und
Verwaltung öffentlicher Schlüssel. Als möglicher Verteiler könnte nun
Facebook, mit nach eigenem Angaben rund 1,4 Milliarden aktiven Nutzern
das größte soziale Netzwerk der Welt, aushelfen. Denn Facebook möchte
künftig E-Mails an seine Nutzer
verschlüsseln [http://www.golem.de/news/openpgp-facebook-verschluesselt-e-mails-1506-114383.html].
Nutzer des Netzwerkes können dafür in ihrem Profil ihren öffentlichen
Schlüssel hinterlegen. Statusmails von Facebook an den Nutzer werden dann
automatisch verschlüsselt und von Facebook signiert. Lassen
Facebook-Nutzer zu, dass ihr Schlüssel öffentlich einsehbar ist, könnte
das der Verbreitung von Verschlüsselung insgesamt dienlich sein, weil
über Facebook erkennbar wird, wer Verschlüsselung nutzt und wie dessen
öffentlicher Schlüssel lautet.
8. Geräteschutz: Tipps zum Schützen Ihrer mobilen Geräte
Die Zeitschrift PC-Welt hat Tipps zum Schutz von iOS- und
Android-Geräten [http://www.pcwelt.de/ratgeber/So-machen-Sie-Ihr-iPhone-oder-Android-Geraet-sicherer-Mobile-Sicherheit-9676096.html]
veröffentlicht.
Bei der Gelegenheit: Kennen Sie unsere Tipps zum
Basisschutz für Smartphone und
Co. [https://www.bsi-fuer-buerger.de/BSIFB/DE/MobileSicherheit/Basisschutz/basisschutz_node.html]
und unseren Basisschutz für
Apps [https://www.bsi-fuer-buerger.de/BSIFB/DE/MobileSicherheit/BasisschutzApps/basisschutzApps_node.html]?
-----------------------------------------------------------------------
Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot
des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14
Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und
aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit
und Richtigkeit nicht übernommen werden.
Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de
-----------------------------------------------------------------------
Veröffentlichung mit Genehmigung vom BSI.
vy 73, Jochen
db8as@db0eam.deu.eu
Read previous mail | Read next mail
| |
