BSI: IT-Sicherheit lässt weiterhin zu wünschen übrig

Bundesinnenminister Horst Seehofer und BSI-Präsident Arne Schönbohm haben in Berlin den Lagebericht zur IT-Sicherheit 2018 vorgestellt. Obwohl im Berichtszeitraum 2017/2018 größere Angriffswellen mit Ransomware ausgeblieben sind, hat es so viele kritische Angriffe gegeben, dass die Bedrohungslage vom Bundesamt für Sicherheit in der Informationstechnik (BSI) unverändert kritisch eingeschätzt wird.

Mehr bei Heise Security

iCloud für Windows: Mehr Sicherheitslücken

Ein knappes Dutzend sicherheitsrelevanter Probleme steckten in dem PC-Client für den Apple-Dienst.

Wer den Apple-Speicher- und Abgleichdienst iCloud auf seinem PC verwendet, sollte einen Blick in dessen Softwareaktualisierung werfen: Der Hersteller hat in dieser Woche ein wichtiges Update publiziert. iCloud für Windows 7.7 kommt zwar nicht mit neuen Funktionen, stopft aber eine große Anzahl an potenziell gefährlichen Sicherheitslücken.

Mehr unter Heise

Kritische Sicherheitslücke gefährdet Milliarden WhatsApp-Nutzer

Eine Sicherheitslücke in WhatsApp ermöglicht es, ein Smartphone mit einem einzigen Video-Call zu kapern. Potentiell betroffen sind Milliarden WhatsApp-Nutzer.

Mit einem einzigen Videoanruf könnte ein Angreifer eine Sicherheitslücke ausnutzen, die im Code des Messengers WhatsApp schlummerte. Googles Project Zero, ein Team von Elite-Hackern hat diesen Fehler entdeckt und jetzt veröffentlicht – eine Woche nachdem WhatsApp eine fehlerbereinigte iOS-Version bereit gestellt hatte. Das fällige Android-Update gibt es bereits seit 28. September.

Mehr unter Heise

Uber verschweigt Datendiebstahl bei 57Mio Nutzern

Uber hat den Hack über ein Jahr lang verschwiegen.

Die Angreifer haben Uber Code bei Github durchsucht und dort Zugangsdaten gefunden welche Ihnen letztlich den Zugriff auf die Kundendaten ermöglichte.

Uber hat den Angreifern $100’000 bezahlt um die Daten zurückzuhalten.

Gemäss Gesetz hätte Uber sowohl die zuständigen Behörden wie auch die betroffenen Kunden informieren müssen.

Experten sind sich einig, dass die Vertuschung des Hacks schwerer wiegt als der erfolgreiche Angriff als solches – die Behörden wurden inzwischen aktiv und haben eine Untersuchung begonnen.

US Cert warnt vor ASLR Schwachstelle in Windows

Durch die Schwachstelle in ASLR (Adress Space Layout Randomization) alloziert non-Dynamicbase Applikationen an vorhersehbare Positionen und macht somit die Vorteile von ASLR zunichte.

Microsoft klärt die Situation zur Zeit ab.

Details bei CERT

Gestohlene iPhones kosten doppelt so viel wie neue iPhones

Für gestohlene iPhones werden in Osteuropa Preise von $2100 bezahlt – die Käufer wollen aber nicht einfach ein iPhone kaufen sondern diese Mobiltelefone dienen als Basis für einen ausgeklügelten Scam.

Die Kriminellen warten darauf, dass die Opfer die “Finde mein iPhone” Funktion aktivieren und senden den Opfern dann ein Phishing mail mit einem vorgegaukelten iCloud Login.

Wenn die Opfer dann die Zugangsdaten zu iCloud eingeben und die Kriminellen diese erhalten haben entsperren sie das entsprechende Mobiltelefon und können es auf dem Schwarzmarkt verkaufen.

Die Diebe verwenden dazu Tools wie MagicApp, AppleKit oder das FMI.php Framework um das Unlocking zu automatisieren.

Als Gegenmassnahme sollte die 2 Faktor Authentifizierung bei iCloud aktiviert werden, zudem sollten regelmässig Backups von den Geräten erstellt werden und bei allen Mail Nachrichten welche eine User Aktion verlangen sollte zuerst immer an die Möglichkeit eines Phishing Angriffs gedacht werden.

 

Chrome vertraut Symanec Zertifikaten nicht mehr

Ab April 2018 wird Chrome von Symentec vor dem 1. Juni 2016 ausgestellten Zertifikaten nicht mehr vertrauen. Bereits vorgängig wurden von Symentec herausgegebene Extended Validation Zertifikate heruntergestuft.

Symantec Zertifikate werden unter anderem auch mit Thawte, Verisign, Equifax, Geotrust und RapidSSL gebrandet.

Das Vertrauen in die Zertifikatsinfrastruktur wurde durch verschiedene Vorfälle gestört, unter anderem wurden Richtlinien nicht eingehalten und anderen Firmen ohne ausreichende Prüfung die Herausgabe von Zertifikaten anvertraut.

Details sind im Google Security Blog zu finden.

Android Botnetz WireX ausgeschaltet

Ein Android Botnetz mit mehreren 100’000 Geräten in mehr als 100 Ländern wurde ausgeschaltet. Google hat die involvierten Trojaner-Apps aus dem Store entfernt und auch von den betroffenen Geräten zwangs-deinstalliert.

Das Botnetz griff immer mehr Ziele hauptsächlich im Hotel und Gatronomiebereich an und geriet deshalb in den Fokus von verschiedenen Sicherheitsexperten.

Über 300 Apps aus dem Google Play Store enthielten die Botnet Funktion – erfüllten aber vordergründig die Hauptfunktion für welche die User die App installierten. Im Hintergrund verbanden sich die Apps aber mit den Command and Control Servern der Hacker. Obwohl die Apps inzwischen nicht mehr verfügbar und deinstalliert sind – die Command and Control Server der Angreifer konnten bisher noch nicht alle stillgelegt werden.

Bild Emperor-Monkey CC BY 3.0

Melani meldet 21’000 gestohlene Zugangsdaten zu Internet Diensten

Die Melde- und Analysestelle Informationssicherung MELANI hat rund 21’000 Zugangsdaten bestehend aus Login und Passwort erhalten, die offensichtlich gestohlen wurden und nun für illegale Zwecke missbraucht werden.

Der Melde- und Analysestelle Informationssicherung MELANI wurden von vertraulicher Quelle rund 21’000 Kombinationen von Zugangsdaten zu Internet-Diensten gemeldet. Diese wurden entwendet und sind nun in den Besitz von unberechtigten Drittpersonen geraten. MELANI hat keine Kenntnis darüber, wo die Daten entwendet worden sind.

In vielen Fällen besteht der Benutzername der betroffenen Zugangsdaten aus der E-Mail-Adresse. Verwenden Internet-User bei solchen Logins für verschiedene Online-Portale dasselbe Passwort, ermöglicht dies den Tätern auf einfache Weise, diese Zugangsdaten für illegale Zwecke (Betrug, Erpressung, Phishing usw.) zu missbrauchen.

MELANI hat deshalb ein Online-Tool publiziert, mit dem sich überprüfen lässt, ob die eigene E-Mail Adresse respektive die verwendeten Loginnamen betroffen sind. Das Tool kann unter der externen Webseite https://www.checktool.ch aufgerufen werden. Für die Überprüfung ist nur die Eingabe der E-Mail-Adresse respektive des Benutzernamens notwendig. Diese wird nicht im Klartext übermittelt und auch nicht gespeichert.

MELANI rät allen Personen und Unternehmen, diesen Check durchzuführen. Sollte ein Konto betroffen sein, gibt das Online-Tool eine entsprechende Meldung aus. In diesem Fall empfiehlt MELANI den Betroffenen folgende Massnahmen:

  • Ändern Sie das Passwort sämtlicher Online-Konten, die mit der betroffenen E-Mail-Adresse verknüpft sind (Email-Konto, Online-Shops, E-Banking, soziale Medien etc.).
  • Verwenden Sie bei jedem Internet-Dienst/Online-Portal ein separates Passwort.
  • Aktivieren Sie wo immer möglich die 2-Faktor Authentisierung.
  • Überprüfen Sie in den nächsten Wochen jegliche Art von Kontoauszügen, iTunes-Belastungen usw. Sollten Sie Unregelmässigkeiten feststellen, setzen Sie sich bitte sofort mit Ihrer Bank resp. dem entsprechenden Unternehmen in Verbindung.
  • Alle in den E-Mail-Kontakten aufgeführten Personen dahingehend informieren, dass sie beim Empfang von E-Mails mit Ihrem Absender vorsichtig sein und im Zweifelsfall bei Ihnen rückfragen sollen.

Quelle: www.melani.admin.ch

E-Banking: Angreifer haben es auf jetzt Aktivierungsbriefe abgesehen

Ende 2016 hat MELANI in einem Newsletter darauf hingewiesen, dass Kriminelle vermehrt mobile Authentifizierungsmethoden beim E-Banking im Visier haben. Nun gehen die Angreifer  gemäss neuer MELANI Mitteilung einen Schritt weiter und versuchen Opfer dazu zu bringen, eine Kopie des von der Bank erhaltenen Briefes, welcher Aktivierungsdaten für die die Zwei-Faktor Authentifizierung (2FA) des E-Bankings enthält, an die Betrüger zu senden.

Seit 2016 versuchen Angreifer mit Hilfe von Schadsoftware («Malware») wie beispielsweise «Retefe» mobile Authentifizierungsmethoden auf dem Smartphone mittels Social Engineering zu umgehen. Betroffen von solchen Angriffen sind Benutzerinnen und Benutzer von PhotoTAN, CrontoSign und SecureSign. Dies ist unabhängig von dem verwendeten Smartphone-Betriebssystem (Android, iOS).

Seit rund zwei Wochen beobachtet die Melde- und Analysestelle Informationssicherung (MELANI) nun auch vermehrt Angriffe, bei welchen die Angreifer versuchen, an Briefe von Banken mit Aktivierungsdaten zu gelangen. Dieser Aktivierungsbrief enthält üblicherweise ein Mosaikbild, welches beim erstmaligen Login eines Gerätes ins E-Banking mit einer App wie PhotoTAN, CrontoSign oder SecureSign eingescannt bzw. abfotografiert werden muss. Anschliessend wird das entsprechende Gerät von der Bank für die mobile Authentifizierungsmethode zugelassen.  Diese Briefe werden in der Regel von der Bank per Briefpost an die Kundinnen und Kunden versendet. Die Angreifer versuchen nun, mittels Social Engineering an die Aktivierungsdaten zu gelangen und fordern das Opfer dazu auf, diesen Brief einzuscannen oder zu fotografieren und an die Betrüger zu übermitteln.

Betrüger fordern das Opfer nach dem Login ins E-Banking auf, den Aktivierungsbrief
einzuscannen und den Betrügern zu übermitteln.
Durch die Bekanntgabe der Information, welche im Aktivierungsbrief in Form eines Mosaikbildes hinterlegt sind, ist es den Betrügern unter Umständen möglich, sich in das E-Banking des Opfers einzuloggen, indem sie ein weiteres Smartphone für die Zwei-Faktor Authentifierzung (2FA) aktivieren. Ab diesem Zeitpunkt können sich die Angreifer jederzeit in das E-Banking Portal einloggen und ohne das Wissen des Opfers betrügerische Zahlungen von dessen Konto in Auftrag geben.

Im Umgang mit E-Banking empfiehlt MELANI:

  • Den Aktivierungsbrief, welchen Sie von der Bank erhalten haben, ist persönlich. Teilen Sie diesen mit niemanden, auch nicht mit der Bank, selbst wenn Sie dazu aufgefordert werden. Im Zweifelsfall kontaktieren Sie telefonisch Ihre Bank oder Ihren Kundenberater.
  • Stellen Sie sicher, dass Sie beim Login-Vorgang ins E-Banking auf dem mobilen Gerät (beispielsweise Smartphone oder dediziertes PhotoTAN-Gerät) wirklich das Login bestätigen und dass es sich nicht bereits um die Visierung einer Zahlung handelt.
  • Falls Sie eine Zahlung visieren, lesen Sie immer den ganzen Text auf dem mobilen Gerät und überprüfen Sie Betrag und Empfänger (Name, IBAN) der Zahlung, bevor Sie diese freigeben.
  • Installieren Sie Smartphone-Apps nur aus dem offiziellen App-Store (Google Play bzw. Apple App Store). Installieren Sie niemals Apps aus unbekannten Quellen, auch nicht wenn Sie dazu aufgefordert werden. Modifizieren Sie Ihr Gerät nicht so, dass wesentliche Sicherheitsmechanismen ausgehebelt werden (z.B. „rooten“, „jailbreaken“).
  • Spielen Sie Sicherheitsupdates sowohl für den Computer wie auch für das Mobiltelefon ein, sobald eine solche Aktualisierung vorhanden ist.
  • Sollten Sie beim Login in das E-Banking Unregelmässigkeiten feststellen, kontaktieren Sie unverzüglich Ihre Bank. Solche Unregelmässigkeiten sind beispielsweise:
    • Sicherheitsmeldung vor dem Login ins E-Banking. Zum Beispiel „In Zusammenhang mit der Modernisierung des Sicherheitssystems kann von Ihnen beim Einloggen ins Benutzerkonto eine zusätzliche Identifizierung angefordert werden. […]
    • Fehlermeldung nach dem Login ins E-Banking. Zum Beispiel „Fehler! Wegen eines technischen Problems sind wir unfähig, die Seite zu finden, nach der Sie suchen. Versuchen Sie bitte in 2 Minuten noch einmal.
    • Sicherheitsmeldung nach dem Login ins E-Banking (z.B. „Sicherheitsmassnahme“), bei welcher Sie dazu aufgefordert werden, Festnetz- oder Handy-Nummer einzugeben
    • Aufforderung zur Installation einer Mobile-App nach dem Login ins E-Banking
    • Nach dem Login ins E-Banking erfolgt eine Weiterleitung auf eine Website, die nicht in Zusammenhang mit der Bank steht (z.B. auf google.ch).
    • Timer nach dem Login ins E-Banking. Zum Beispiel: „Bitte warten… (Bitte warten Sie eine Minute, die Seite nicht neu laden)

Quelle: MELANI