Kategorien
Android Handy & Telefon

Neue Version des Banking-Trojaners „Marcher“ greift Android-Geräte an.

Wie bereits Anfang des Jahres 2017, warnt jetzt erneut das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor einer neuen Version des Banking-Trojaners Marcher. Er liest vom infizierten Gerät die PIN-Nummern, sowie die SMS mit TAN-Nummern aus und leitet sie an die Cyber-Gangster weiter, die dann das Konto plündern können.

Zudem soll Marcher auch den Start von Banking-Apps erkennen und eine eigene Oberfläche starten können, die vom Original kaum zu unterscheiden ist. So kann er dann auch die Informationen weiterer Eingaben auslesen.

Die Tarnung

Marcher tarnt sich beispielsweise als Adobe-Flashplayer-Update. Wenn du eine solche Aufforderung bekommst, darfst du keinesfalls zustimmen.

Er kommt zwar nicht über den Google Play Store auf dein Gerät, wohl aber über Spiele und Apps mit „Erwachseneninhalten“. Dabei werden oft Fakes von Originalspielen verwendet. Wie Anfang des Jahres mit der Fälschung von Super Mario Run.

Abwehrmöglichkeiten

Im Falle einer Infektion, aber auch schon bei einem Verdacht, sollte man keine sensiblen Transaktionen mehr mit dem Handy oder Tablet durchführen.

Das BSI rät, einen Virenscanner für Android zu benutzen. Zusätzlich kann das Gerät auf die Werkseinstellungen zurückgesetzt werden. Bei weiterbestehenden Zweifeln ist eine Neuinstallation des Android-Betriebssystems empfehlenswert.

Vor dem Zurücksetzen oder der Neuinstallation solltest du natürlich deine persönlichen Daten einem Backup unterziehen und auf dem bereinigten Gerät anschließend alle Zugangsdaten und Passwörter ändern.

Das BSI rät auch, die Bank zu informieren, damit diese ebenfalls ihre Sicherheitsmaßnahmen treffen kann.

Antiviren-Software

Leider empfiehlt das Bundesamt keinen speziellen Virenscanner oder Hersteller von Antiviren-Software. Manche Portale, wie zum Beispiel Chip.de, empfehlen Kaspersky Security Cloud für PCs und Smartphones.

Diese Antiviren-Software bietet Schutz vor Viren, Trojanern, Malware und Phishing-Versuchen. Weiter Tools sind beispielsweise ein VPN-Client, ein Passwort-Manager und das Safe-Money-Modul, das den Online-Zahlungsverkehr absichert.

Die Kaspersky Security Cloud kostet pro Jahr knapp 70 Euro und schützt dafür mehrere Geräte. Das ist auf jeden Fall günstiger als ein leergeräumtes Bankkonto.

Kategorien
Chrome Facebook Firefox Google Internet & Medien Opera

Zwei-Faktor-Authentifizierung: Nicht immer so sicher, wie versprochen.

Viele Webseiten bieten Ihren Nutzern eine zweifache Absicherung des Login-Bereiches an. Dazu gehört beispielsweise auch Ebay. Bei der sogenannten Zwei-Faktor-Authentifizierung wird dir nach der Eingabe der Logindaten ein zusätzlicher Code gesendet. Der meist per SMS oder per E-Mail versendete Code muss dann ebenfalls auf der Webseite eingegeben werden, damit der persönliche Bereich freigegeben wird. Aber auch diese Absicherungs-Variante ermöglicht Hackern den Webseiten-Einbruch ohne deine Logindaten zu kennen.

Webbrowser, wie beispielsweise Chrome oder Firefox, legen bei Webseitenanmeldungen Cookies an, die später zur Wiedererkennung verwendet werden. Da macht auch eine Zwei-Faktor-Authentifizierung meist keine Ausnahme.

Es sei denn, der Webseitenbetreiber verzichtet auf Cookies beim Login-Vorgang. Dadurch geht der Komfort bei der Anmeldung verloren, weil du jedes mal beide „Sicherheitsschleusen“ durchschreiten musst. Aber Bequemlichkeit ist das größte Sicherheitsrisiko.

So kommen die Hacker an deine Anmeldedaten

Ein Angreifer führt ein Session Sidejacking durch, um an deine Anmeldedaten zu kommen. Dabei zeichnet er deinen Datentraffic auf. Die hierzu verwendete Software kann unterschiedlich sein (z. B. Wireshark). Mit diesem Tool hat er zuvor schon das Netzwerk, z. B. einen öffentlichen Hotspot, infiziert.

Anschließend analysiert er deinen Datentraffic (z. B. mit Hamster und Ferrit) und extrahiert damit die Login-Cookies. Das Passwort und/oder die Zugangscodes sind in den Cookies zwar nicht in Klarschrift sichtbar, aber das ist auch nicht nötig. Der Hacker verwendet den kompletten Cookie, um sich gegenüber der Webseite zu authentifizieren. Da ist kein Passwort notwendig, weil die Webseite ihn als „Wiederkehrer“ erkennt.

Wie schützt man sich?

Wenn man einmal davon absieht, dass man sich auf sensiblen Webseiten nicht anmeldet, wenn man unbekannte WLAN/LAN-Netzwerke nutzt, dann ist eine gute Firewall unerlässlich. Außerdem sollte das Anlegen von Cookies gänzlich untersagt und die Browserdaten nach jeder Onlinesession gelöscht werden.

Auf die HTTPS-Webseiten (SSL/TLS-Verschlüsselung) alleine, sollte man sich auf keinen Fall verlassen.

Kategorien
Android Handy & Telefon iPhone Windows Phone

Anonyme Smartphone-Accounts erfolgreich einrichten

Wenn man sein Smartphone nutzen möchte, ohne persönliche Daten preiszugeben, muss meist auf einige Funktionen, wie beispielsweise den App Store von Apple oder auf Google Play verzichten. Ein System-Account muss nämlich nicht zwingend angelegt werden. Wenn man einige Dinge beachtet, ist eine anonyme Nutzung – auch mit System-Account – möglich.

Grundvoraussetzung ist lediglich eine anonyme E-Mail-Adresse. Im Web wird man mit den entsprechenden Suchbegriffen schnell fündig, zum Beispiel bei Posteo.

Dieser deutsche E-Mail-Anbieter speichert keine personen- oder postfachbezogenen Daten. Weder bei der Anmeldung, noch bei der Bezahlung. Weitere Infos über Posteo kannst du in diesem Artikel nachlesen.

Ein anderer Aspekt bei einer anonymen Handy-Nutzung sind Daten von Zahlungsverkehren. Spätestens beim Kauf von Apps werden nachverfolgbare Daten produziert. Dies kann man mit Guthabenkarten der einschlägigen App-Stores verhindern. Ein positiver Nebeneffekt ist dabei, dass beim Verlust des Smartphones, der Finder (oder Dieb) nicht auf gespeicherte Bankverbindungen zurückgreifen kann. Der Verlust des Handys ist schon schlimm genug, aber wenigstens kann dann kein Bankkonto geplündert werden.

Für alle anderen Onlinezahlungen kann man eine Prepaid-Kreditkarte verwenden. Empfehlenswert ist in diesem Zusammenhang die Visa-Karte des Anbieters Wirecard. Sie ist unter anderem auch an Tankstellen erhältlich und kann durch Barzahlung (25, 50 und 100 Euro) aufgeladen werden. Für die Registrierung benötigt man nur eine Mobilfunk-Nummer. Aber das sollte mit dem, wie oben beschriebenen, anonymen Account kein Problem sein.

Weitere Infos zu Wirecard gibt es auf der Webseite www.mycard2go.com.

Kategorien
Shopping

Wichtig: Regelmäßiges Ändern des Amazon-Passwortes

Zugangsdaten für Online-Dienste oder -Shops sollten regelmäßig geändert werden. Das gilt insbesondere für die Webseiten von Branchen-Riesen wie Microsoft, Ebay, Zalando und Amazon. Sie sind recht häufig Ziel von Hacker-Angriffen, da hier eine Menge Zugangs- und Zahlungsdaten abgegriffen werden können.

Die häufigste Art, an sensible Daten zu gelangen, sind die sogenannten Phishing-Mails. Sie sehen so aus, als kämen sie direkt vom Anbieter, führen jedoch auf gefakte Webseiten.

Solltest du auf eine Phishing-Mail hereingefallen sein, ist es jetzt höchste Zeit, dieses Passwort zu ändern. Bei Amazon beispielsweise, findest du die Passwortänderung nur mit etlichen Mausklicks. Hier die Zusammenfassung:

  1. Rufe in deinem Browser die Webseite www.amazon.de auf.
  2. Melde dich mit deinen bisherigen Zugangsdaten bei Amazon an.
  3. Klicke im Kontextmenü von Mein Konto nochmals auf den Eintrag Mein Konto.
  4. Im Bereich Kontoeinstellungen klickst du auf Namen, E-Mail-Adresse oder Passwort andern.
  5. Gegebenenfalls muss du dich nochmals mit deinen Zugangsdaten legitimieren.
  6. Auf der Seite Kontoeinstellungen ändern klickst du bei Passwort auf den Button Bearbeiten
  7. In das erste Feld gibst du das aktuelle Passwort ein, im nächsten das Neue und im dritten Feld wiederholst du das neue Kennwort.
  8. Schließe die Passwortänderung mit der Schaltfläche Änderungen speichern ab.

 

Tipp:

Zu deiner Sicherheit solltest du für Passwortänderungen generell auf keinen Link in einer E-Mail oder einer fremden Webseite klicken. Die Gefahr ist einfach zu groß, auf Schadwebseiten umgeleitet zu werden. Tippe dazu die Adresse der betreffenden Webseite, hier www.amazon.de, in die Adresszeile deines Browsers ein.
Wie du ein sicheres Passwort erstellst, dass du dir auch noch gut merken kannst, erfährst du in diesem Artikel.

Kategorien
Geld & Finanzen Lifestyle & Leben

Cash-Trapping – Neue Betrugsmasche am Geldautomaten

Die Polizei warnt vor einer Betrugsmasche, die immer häufiger an Geldautomaten eingesetzt wird. Beim sogenannten Cash-Trapping wird der Geldausgabeschacht des Bankautomaten manipuliert.

Die Geldinstitute bekommen das Skimming von Bankkarten immer besser in den Griff. Bei dieser Variante des Betruges werden vor dem Eingabeschacht Kartenlesegeräte angebracht, die automatisch den Magnetstreifen der Bankkarte kopieren und an die Betrüger übermitteln. Zusammen mit den ebenfalls angebrachten Tastaturen wird auch noch die Geheimnummer ausgespäht.

Da dies aber einen recht großen technischen Aufwand bedeutet, wird das Cash-Trapping immer beliebter. Hier wird einfach eine Leiste mit doppelseitigem Klebeband auf dem Geldausgabeschacht angebracht, an dem das ausgezahlte Geld einfach kleben bleibt.

cash-trajpping-geldfalle-betrug-geldautomat-neue-masche-gauner-stehlen-skimming-leist-klebeband

Der Kunde merkt zunächst nicht, dass der Automat manipuliert ist, denn es wird eine Störung angezeigt. Der Bankautomat merkt zwar, das etwas nicht stimmt, kann aber die festgeklebten Scheine oftmals nicht wieder einziehen. Meist verlassen dann die Kunden unverrichteter Dinge den Schalterraum. Ist die Luft dann rein, entfernen die Gauner anschließend die Leiste und das Geld.

Gegen diese Masche kann man sich recht einfach wehren. Die Gauner sind meist in der Nähe um das Geschehen zu beobachten. Daher solltest du vor dem Geldabheben auf „unbeteiligte“ Personen im Schalterraum achten. Besonders dann, wenn die Gesichter dieser Personen durch Mützen, Kapuzen oder großen Sonnenbrillen größtenteils verdeckt sind. Das schützt sie vor den Kameras in den Banken.

Erhältst du dann beim Auszahlungsvorgang kein Geld und die oben erwähnte Störung wird angezeigt, ist Vorsicht geboten. Den Automaten solltest du dann nicht mehr aus den Augen lassen. Während der Geschäftszeiten rufst du einen Bankangestellten hinzu. Bitte einen anderen Kunden dafür um Hilfe oder rufe mit dem Handy bei der Bank an. Und außerhalb der Geschäftszeiten ist am besten die Polizei über die Notrufnummer 110 zu informieren.

In beiden Fällen gilt: Nicht von „hilfsbereiten“ Fremden vom Automaten weglocken lassen!

Kategorien
Hardware & Software

Alle Zugangsdaten, PIN-Nummern und Kontodaten sicher aufbewahren und nur eigenen Geräten zugänglich machen

Wichtige Zugangsdaten, Passwörter und Pin-Nummern für Handy und Geldkarten sollten richtig gesichert werden. Gerade die PIN für Geld-Abhebungen am Geldautomaten sollten nicht als Notiz im Handy oder als Zettel im Geldbeutel aufbewahrt werden. Beides kann man schnell verlieren. Wer sich aber trotzdem eine Gedächtnishilfe anschaffen möchte, der ist mit der „Subsembly Wallet“ gut bedient.

Datentresor mit einer 256-Bit-AES-Verschlüsselung

Das Passwort-Verwaltungsprogramm ist nur 1,8 MB groß und kann zudem auch auf einem USB-Stick als portable Version verwendet werden. Geschützt wird Ihr Datentresor mit einer 256-Bit-AES-Verschlüsselung, die nicht ohne weiteres zu knacken ist. Zusätzlich gibt es auch die entsprechenden Apps für Android, iOS, iPhone/iPad/iPod, Blackberry und Kindle Fire.

Download und Installation

Zum Herunterladen der Windows-Version rufen Sie die Webseite www.subsembly.com/de/downwallet.html auf, klicken auf den Button „Download“ und folgen dann den Download-Anweisungen. Weiter unten auf der Webseite finden Sie ebenfalls die Versionen für mobile Endgeräte.

subsembly-wallet-datensafe-sichern-handy-pin-mac-iphone

Nach der Installation starten Sie das Programm „Subsembly Wallet“ und klicken auf das Plus-Zeichen um einen neuen Datentresor anzulegen. Im nachfolgenden Dialogfenster bestätigen Sie durch die Schaltfläche „OK“ die 30-tägige Testversion.

neu-daten-tresor-anlegen-plus-zeichen-testversion-30-tage

Im Anschluss erscheint noch ein Info-Fenster, dass Sie mit „Weiter“ bestätigen. Danach geben dem neuen Datentresor einen Namen und klicken auf „Weiter“…

name-datentresor-eingeben-speicherpfad-festlegen-subsembly-wallet-testversion

…um das Passwort für den Datentresor anzulegen. Mit „Weiter“ bestätigen Sie diesen Vorgang.

datentresor-passwort-vergeben-eintragen-alphanummerisch-staerke-beachten

Erfassung und Speicherung von Zugangsdaten

Im Hauptfenster markieren Sie auf der linken Seite eine der Kategorien und wählen in der Menüleiste die Option „Neues Element“ aus, um einen Datensatz anzulegen.

neu-element-anlegen-daten-erfassen-wallet-kindle-fire-sicherheit-passwort

Im Eingabefenster erfassen Sie nun die entsprechenden Zugangs- oder Bankdaten und speichern diese mit „OK“. Im Register „Notizen“ können noch weitere Zusatzinformationen eingegeben werden.

dialogfenster-daten-konto-element-256-aes-bit-verschluesselung-sicher

Cloud-Speicherung für mobilen Zugriff

Möchten Sie mit allen Geräten auf den Datentresor zugreifen, dann speichern Sie ihn einfach in der Cloud. Wählen Sie dazu im Startbildschirm das Wolkensymbol aus, um einen Datentresor zu speichern.

alle-geraete-zugriff-wallet-subsembly-datentresor-cloud-absichern

Auch wenn nach dem 30-tägigen Testzugang der Windows-Version 9,95 fällig werden, sind diese gut investiert. Mit wenig Aufwand können alle sensiblen Zugangsdaten gut gesichert werden, unabhängig davon, welches Gerät gerade genutzt wird.

Kategorien
Hardware & Software Office

TIFF-Bilder transportieren den Banking-Trojaner „Citadel“

Derzeit wird bei Microsoft vor einer gravierenden Sicherheitslücke bei TIFF-Bildern gewarnt. Die Dateien werden von Kriminellen mit dem Banking-Trojaner „Citadel“ versehen, um an die Benutzerrechte des infizierten Computers zu gelangen. Bis zur endgültigen Lösung des Problems bietet Microsoft einen Fix-it-Patch an, der das schlimmste verhindern soll.

microsoft-trojaner-tiff-bild-citadel-luecke-sicherheit-grafikbibliothek

Im Security TechCenter werden im „Microsoft Security Bulletin MS13-096-Kritisch“ weitere Informationen über die Remotecodeausführung bereitgestellt. Ebenfalls können hier die Patches für die betroffenen Programmteile kostenlos heruntergeladen werden.

microsoft-bulletin-technet-citadel-banking-trojaner-abwehr-gegenmassnahmen-ms13-096-kritisch

Die Fix-it-Notlösung verhindert die Anzeige der TIFF-Bilder komplett. Bleibt nur zu hoffen, dass Microsoft die Sicherheitslücke schnell schließt.

Kategorien
Internet & Medien

Phishing-Webseiten erkennen

Phishing-Mails sind ganz schön gemein. Über gefälschte E-Mails locken Betrüger Sie auf gefälschte Webseiten, um Ihnen dort PIN- und TAN-Nummern zu entlocken. Wie Sie erst gar nicht auf Phishing-Mails hereinfallen und Fisching-Mails sofort erkennen, haben wir bereits im Tipp „Phishing-Mails erkennen“ beschrieben.  Sollten Sie trotz aller Vorsicht versehentlich doch einmal auf einen Link in einer Phishing-E-Mail geklickt haben, ist es noch nicht zu spät. Erst wenn Sie auf der gefälschten Seite Zugangsdaten oder PIN und TAN-Nummern eingeben und das gefälschte Formular abschicken, haben die Gauner ihr Ziel erreicht. Anhand einiger Merkmale können Sie leicht erkennen, ob Sie sich auf einer Phishingseite befinden.

Phishing-Seiten lassen sich anhand folgender Merkmale leicht erkennen:

Fehlender Buchstabe s in https

Die wichtigsten Erkennungsmerkmale finden Sie in der Adresszeile des Browsers. Alle seriösen Anbieter übertragen Eingabeformulare nur in verschlüsselter Form. Sobald Sie das Eingabeformular für Kontonummer und PIN aufrufen, müssen in der Adresszeile statt http die Buchstaben https stehen. Das s steht für Sicherheit und zeigt an, dass alle Daten verschlüsselt an die Bank übertragen werden. Fehlt der Buchstabe s handelt es sich mit aller Wahrscheinlichkeit um eine gefälschte Seite. Sie sollten den Browser dann sofort schließen.

phishing-webseiten-erkennen

Fehlendes Schlosssymbol

Sichere Verbindungen zur Hausbank werden im Internet Explorer mit einem kleinen Symbol eines Vorhängeschlosses gekennzeichnet. Sie finden das Symbol rechts neben der Adresszeile. Mit einem Mausklick auf das Schloss können Sie das zugehörige Sicherheitszertifikat der Bank einsehen. Bei vertrauenswürdigen Webseiten wird die gesamte Adresszeile zusätzlich grün eingefärbt. Fehlt das Schlosssymbol, handelt es sich um eine Phishing-Webseite.

phishing-webseiten-erkennen-2

phishing-webseiten-erkennen-3

Fehler in der Adresse

Phishingseiten verwenden meist eine leicht geänderte Adresse. Statt www.postbank.de lautet die Adresse zum Beispiel www.post-security-update.com. Oder die Adresse führt nicht zu einer Seite mit der deutschen Kennung .de, sondern ausländischen Kürzeln wie .ru für Russland.

Eingabe von PIN- und TAN-Nummer auf einer Seite

Beim Onlinebanking haben es Phishing-Betrüger auf Ihre PIN- und TAN-Nummern abgesehen. Sobald auf einer einzigen Seite PIN- und TAN-Nummer gleichzeitig oder gleich mehrerer TAN-Nummern eingegeben werden sollen, ist etwas faul. Keine Bank verlangt die gleichzeitige Eingabe von PIN und TAN-Nummer auf einer Seite. Beim Onlinebanking wird die PIN ausschließlich für den Zugang zum Onlinekonto verwendet, die TAN-Nummern für Überweisungen und ähnliche Transaktionen – gemeinsam werden Sie von Banken nie abgefragt.

phishing-webseiten-erkennen-4

So sehen sichere Onlinebanking-Seiten im Internet Explorer und Firefox-Browser aus: Wichtig sind die Buchstaben https in der Adresszeile (1 im Bild oben), das Schlosssymbol (2) sowie das grün eingefärbte Sicherheitszertifikat (3). Fehlen die Sicherheitsmerkmale, handelt es sich mit großer Wahrscheinlichkeit um eine Phishingseite.