Schlagwort: abgreifen

  • Wifi-Spot: Unitymedia und ihre WLAN-Sicherheitslücke sind immer noch aktuell

    Ein Sprichwort besagt: „Gegensätze ziehen sich an.“ Das scheint wohl auch Unitymedia und deren WLAN-Sicherheit zu betreffen. Bereits Anfang des Jahres 2016 warnte das Unternehmen davor, die Standard-Passwörter, die auf der Rückseite des Routers mit einem Aufkleber angebracht sind, weiterhin zu benutzen. Sie sollten sobald als möglich gegen ein eigenes Passwort ersetzt werden. Nun gibt es offenbar nach dem Start von WifiSpot wieder (oder immer noch) ein Sicherheitsproblem. Bei einigen Nutzern, deren WLAN-Router für das freie WLAN-Netz freigeschaltet wurden, sind die Standard-Passwörter geknackt worden.

    Über diese Sicherheitslücke, die Unitymedia seit Bekanntwerden immer noch nicht geschlossen hat, gewährt den Zugriff über das Netzwerk auf die Daten des oder der angeschlossenen Computer.

    Sie ist außerdem so eklatant groß, dass es keine hochspezialisierten Hacker braucht, um einen Angriff auf einen WLAN-Router durchzuführen. Mit den richtigen Suchbegriffen findet jedes Kind im Google Play Store die passende Router-Keygen-App zum Auslesen des Standard-Passwortes.

    Unitymedia hat auf dieses Problem (wie auch im Januar) lediglich mit dem Rat reagiert, dass die Kunden ihr Standard-Passwort gegen ein Eigenes ersetzen sollen.

    Zusätzlich hat das Unternehmen (Vorsicht, Ironie!) sogar noch eine Info-Seite (FAQ) geschaltet, wie man bei den Geräten das Passwort ändert. Es betrifft nämlich nicht nur ein Gerät sondern gleich sechs Modelle:

    1. Ubee Modem
    2. Fritz!Box 6360
    3. Fritz!Box 6490
    4. Technicolor Modem TC7200
    5. Horizon Box
    6. Connect Box

    Tipp:

    In diesem Artikel erfährst du, wie einfach man sichere Passwörter erstellt, die man sich sogar gut merken kann.

  • Outlook und GMail: Phishing-Mails als solche rechtzeitig erkennen

    E-Mails unbekannter Herkunft sollte man immer skeptisch gegenüberstehen. So weit, so gut. Das wird von den meisten Menschen auch beachtet. Bei Phishing-Mails ist aber alles anders. Sie geben vor, von einer vertrauenswürdigen Firma zu stammen. Und sie wollen nur eines: Unsere Zugangsdaten zu Online-Shops und die Daten für unseren Zahlungsverkehr. Aus diesem Grund werden häufig die Webseiten bekannter Finanzinstitute wie Sparkassen oder der Online-Bezahldienst PayPal imitiert. In der Eingangsmail wirst du aufgefordert, deine Zugangsdaten zu bestätigen oder dich über die in der Mail integrierten Links und Schaltflächen bei deinem Konto anzumelden. Einer solchen Aufforderung solltest du aber nie Folge leisten.

    Die Weiterleitungen auf die gefakte Webseiten sind mittlerweile so gut gemacht, dass sie von dem Original kaum zu unterscheiden sind. Enthielten die Phishing-Mails und die Fake-Seiten früher noch etliche stilistische Unterschiede und Rechtschreibfehler, so sind sie heutzutage sogar mit einer persönlichen Anrede versehen.

    Da muss man schon genauer hinsehen, um die Spreu vom Weizen zu trennen. Da meistens nur die größten Unternehmen kopiert werden, kann man sie recht einfach an dem verwendeten E-Mail-Server als Fake oder Original identifizieren.

    Und zwar so: 

    Bei Outlook öffnest du die Nachricht – ohne jedoch einen eventuellen Anhang zu öffnen – und klickst auf Datei | Eigenschaften. Bei älteren Versionen, wie Outlook 2007, reicht ein Rechtsklick im Posteingang auf die betreffende E-Mail und die Auswahl des Kontextmenüeintrages Nachrichtenoptionen.

    Im Bereich der Internetkopfzeilen scrollst du bis zum Eintrag Received. Handelt es sich bei der Mail um einen Phishing-Versuch, wird die hier angezeigte Domain nicht mit der, des vorgegaukelten Unternehmens übereinstimmen. In diesem Fall sollte die E-Mail umgehend im Papierkorb landen.

    Ich beispielsweise, erhalte ich öfters Phishing-Mails die vom Absender-Server jatrabel.com stammen, und PayPal-Nachrichten imitieren, die ich auf diese Weise identifiziere und sofort lösche.

    Google Mail

    Bei dem E-Mail-Client von Google, dem GMail, ist die Verfahrensweise ähnlich. Öffne die Nachricht und klicke auf den kleinen Pfeil (Mehr) rechts neben dem Antwort-Pfeil und wähle im Aufklappmenü Original aus.

    Tipp:

    Oft reicht es auch nur aus, wenn du deinen Mauszeiger auf eine eingebettete Schaltfläche bewegst. Die mit diesem Button verknüpfte URL zeigt auch an, wohin die Weiterleitung führt. In meiner PayPal-Phishing-Mail war es die mehr als zweifelhafte Adresse grabify.ga.

  • Kreditkartenzahlungen im Internet sicherer machen

    Die Zahlungsvorgänge sind  im Internet recht einfach und bisweilen leider auch gefährlich. Nicht jeder Onlineshop sichert seine Kreditkartenzahlungen richtig ab. Dazu kommt noch, dass zahlreiche „Phishing-Seiten“ im Netz versuchen, mit gefälschten Bankwebseiten Ihre Kreditkarten-Daten abzugreifen. Auch die „Skimming„-Methode ist im Augenblick bei den Dieben sehr beliebt. Hier wird am Geldautomat versucht, mit zusätzlich angebrachter Technik Ihre Bankdaten auszuspähen. Wenn Sie aber nicht auf Kreditkartenzahlung im Web verzichten möchten, dann fragen Sie Ihre Bank doch mal nach dem „Mastercard-Securecode“ oder dem „Verified by Visa“.

    Nicht sicher genug: Die CVC- /CVV-Nummer

    Das sind zusätzliche Passwörter, die bei der Zahlung im Internet eingegeben werden müssen. Die Eingabe der dreistelligen Prüfziffer (CVC- /CVV-Nummer) auf der Rückseite der Kreditkarten ist nicht immer ausreichend. Viele Banken lassen offensichtlich eine zu hohe Anzahl von Eingabeversuchen zu, mit der man durch Ausprobieren, oder automatisierte „Brute-Force-Angriffe“ früher oder später die richtige Prüfziffer herausfinden kann.

    Sicherheit durch ein zusätzliches, persönliches Kennwort

    Diese zusätzliche Sicherheitssperre gibt es nicht automatisch. Sie muss erst eingerichtet werden. Ihr Bankberater kann Sie darüber informieren. Bei den großen Bankhäusern sollte das kein Problem darstellen.

    Informationen erhalten Sie beim Bankberater

    Die großen Bankhäuser wie beispielsweise die Commerzbank, die Sparkassen und die Deutsche Bank, bieten dieses Sicherheitsverfahren an.

    bild-1-mastercard-kreditkarte-zahlung-onlineshop-secure-code-verified-by-visa-persönliches-kennwort-erweiterung-skimming-phishing-unterstützen-absichern

    Beide Verfahren, der „Mastercard Securecode“ und das „Verified by Visa“, stellen zwar eine zusätzliche Sicherheit für den Käufer dar, werden leider aber nicht bei allen Online-Shops eingesetzt. Im Zweifel gilt aber: Lieber nicht in einem ungesicherten Online-Shop kaufen!

    Die sicherste Methode

    Die sicherste Methode für „König Kunde“ ist immer noch der Einkauf auf Rechnung. Da schlägt man zwei Fliegen mit einer Klappe. Vor der Zahlung können Sie sich vom Zustand und der Qualität des Artikels überzeugen und gegebenenfalls bei Mängeln die Sendung direkt wieder zurückschicken. Zum Zweiten können Sie eventuelles Zahlungsziel ausreizen, wenn auf der Rechnung beispielsweise heißt: „Zahlung innerhalb einer Woche nach Rechnungserhalt“.