Kategorien
Hardware & Software

Avast-Accounts gehackt: Tausende Nutzerdaten, PayPal-Accounts und Passwörter im Netz verfügbar

Sie nutzen die Antivirensoftware von Avast und haben das Produkt registriert oder sich im Forum angemeldet? Dann sollten Sie schleunigst das Kennwort ändern. Der Grund: die Webseite des Avast-Vertriebs (avadas.de) und das Avast-Forum wurden gehackt. Die Beute: Die Daten von rund 20.000 Avast-Kunden.

Kennwörter im Klartext

Avast (oder genauer gesagt: Avadas, der deutsche Distributor von Avast) wurde offenbar Opfer der „Turkish Agent Hacker Group“, die sich auch für Angriffe auf andere namhafte Firmen wie Asus, McDonald, Acer, Nokia oder Renault verantwortlich zeigt. Brisant ist, dass die erbeuteten Avast-Kundendaten bereits bei Filehostern als downloadbare rar-Datei auftauchen. In den downloadbaren Kundendaten stecken brisante persönliche Informationen, allesamt im Klartext und unverschlüsselt, darunter:

  • E-Mail-Adresse
  • Nutzername
  • Kennwort
  • Geburtsdatum
  • Telefonnummer
  • PayPal-Accountdaten

Weitere Informationen zum Avast-Hackerangriff finden Sie hier:

avast-hackerangriff-geknackt-passoerter-kennwoerter-nutzerdaten-gestohlen-2

Gegenmaßnahme: Kennwörter ändern

Unsere Empfehlung für Avast-Kunden: Ändern Sie umgehend Ihr Avast- und Ihr PayPal-Kennwort. Wenn Sie dasselbe Kennwort auch bei anderen Diensten wie Amazon oder Facebook verwenden, sollten Sie natürlich auch dort ein neues Passwort vergeben.

avast-hackerangriff-geknackt-passoerter-kennwoerter-nutzerdaten-gestohlen

Kategorien
Hardware & Software

Evernote Hackerangriff: Millionen Kennwörter gestohlen; jeder muss sein Kennwort neu vergeben

Sie speichern Ihre Notizen, Skizzen und anderen Dateien beim Clouddienst Evernote? Dann sollten Sie jetzt schleunigst handeln und Ihr Kennwort ändern. Der Grund: Evernote wurde von Hackern angegriffen, die Nutzernamen, E-Mails und verschlüsselte Kennwörter gestohlen haben.

Kennwort-Reset bei Evernote

In Evernote- Blog informiert das Unternehmen, dass ein Hackerangriff stattgefunden hat und persönliche Kontoinformationen wie Evernote-Benutzername, die verwendete E-Mail-Adresse sowie das verschlüsselte Passwort ausspioniert wurden. Aus Sicherheitsgründen hat Evernote daher die Kennwörter aller rund 50 Millionen Nutzerkonten zurückgesetzt. Dass merken Sie spätestens dann, wenn Sie zum Beispiel die Evernote-App das nächste Mal starten und keinen Zugriff mehr auf Ihre Daten haben.

evernote-hack-gehackt-hackerangriff-hacken-kennwort-passwort-aendern-aenderung

Evernote-Kennwort ändern

Um das Evernote-Kennwort zu ändern, rufen Sie die Webseite evernote.com/intl/de auf und klicken oben rechts auf „Anmeldung im Internet“. Jetzt sollte bereits die Meldung erscheinen, dass Ihr Evernote-Kennwort zurückgesetzt wurde. Vergeben Sie hier ein neues, sicheres Kennwort. Wie sichere Kennwörter aussehen, steht im Tipp „Unknackbare und sichere Kennwörter„. Nachdem Sie Ihr Evernote-Kennwort geändert haben, erhalten Sie per E-Mail eine Bestätigung.

evernote-hack-gehackt-hackerangriff-hacken-kennwort-passwort-aendern-aenderung-2

Achtung: Wenn – wie oben beschrieben – beim ersten Login der Hinweis auf die Kennwort-Rücksetzung nicht erscheint oder Sie ohne Ihr Zutun die Bestätigungsmail zu einem geänderten Kennwort erhalten, sollten Sie hellhörig werden. Da Evernote sämtliche Kennwörter aller Evernote-Nutzer zurückgesetzt hat, sollten Sie die Meldung beim ersten Login nach der Rundumlöschung auf jeden Fall sehen. Und falls Sie die E-Mail „Änderung des Evernote Passwortes bestätigt“ erhalten, obwohl Sie das Kennwort noch nicht geändert haben, haben vermutlich die Hacker bereits die Kennwörtänderung vorgenommen.

In beiden Fällen sollten Sie zur Sicherheit das Kennwort noch einmal manuell ändern. Dazu loggen Sie sich auf der Weboberfläche von Evernote ein, klicken oben rechts auf den Pfeil und wählen den Befehl „Einstellungen“. Mit dem Befehl „Ändere Passwort“ vergeben Sie anschließend ein neues Kennwort.

Kategorien
Internet & Medien

TrueCrypt-Container knacken: TrueCrack knackt passwortgeschützte TrueCrypt-Laufwerke in Sekunden

Wer etwas zu verbergen hat oder nicht möchte, dass jedermann so ohne Weiteres auf Dateien zugreifen kann, legt einen TrueCrypt-Container an. Das ist ein passwortgeschütztes Laufwerk, auf das Sie nur mit dem richtigen Kennwort zugreifen können. In der Fachwelt gilt TrueCrypt als äußerst sicher. Aber nur, wenn das Kennwort lang genug und kompliziert genug ist. Ist das nicht der Fall, lässt sich der Passwortschutz innerhalb von Minuten aushebeln.

TrueCrypt-Kennwörter herausfinden

TrueCrypt-Laufwerk werden vor allem auf Notebooks gerne eingesetzt. Geht das Notebook verloren oder wird es gestohlen, kann niemand auf die verschlüsselten Dateien im TrueCrypt-Laufwerk zugreifen. Oder doch?

Mit dem kostenlosen und frei verfügbaren Linux-Programm „TrueCrack“ lassen sich ganz einfach sogenannte Brute-Force-Attacken auf einen TrueCrypt-Container ausführen. Beim Brute-Force-Angriff werden einfach alle möglichen Buchstaben- und Zahlenkombinationen durchprobiert oder Begriffe aus einer Wortliste verwendet. Und da dabei nicht nur der Prozessor des Rechners, sondern auch der Prozessor der Grafikkarte verwendet wird, geht das rasend schnell.

Ein Beispiel: Kommt lediglich der normale Intel Core i7-Prozessor zum Einsatz, dauert das Ausprobieren von 10.000 Wörtern mit einer Länge von 10 Zeichen rund 11 Minuten. Nimmt man im GPU-Mode die Grafikkarte hinzu, ist das Ganz in 15 Sekunden erledigt.

truecrypt-kennwort-passwort-herausfinden-ermitteln-knacken-hack-hacken-truecrack-cracken-hacker-brute-force

Gegen TrueCrypt-Hacker-Angriffe schützen

Damit wird klar: Je einfacher das TrueCrypt-Kennwort gestrickt ist, umso schneller kommen Angreifer an die Daten des TrueCrypt-Containers. Die Angreifer müssen nur den TrueCracker lange genug laufen lassen, um alle möglichen Buchstaben- und Zahlenkombinationen auszuprobieren. Selbst mehrere Millionen Versuche sind kein Problem.

Unser Rat: Wenn Sie Ihren TrueCrypt-Container effektiv schützen möchten, gibt es zwei Möglichkeiten, die Sie auch kombinieren können. Zunächst sollten Sie ein möglichst langes und kompliziertes Kennwort verwenden, das vor allem in keinem Wörterbuch steht. Ideal sind Zufallskombinationen mit mindestens zehn Zeichen mit wechselnden Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen – je länger, desto besser. Wie Sie sich auch solch komplizierte Kennwörter trotzdem leicht merken können, steht in unserem Tipp „Unknackbare und sichere Kennwörter„.

Noch sicherer wird es wenn, Sie zusätzlich eine Schlüsseldatei verwenden. Das kann zum Beispiel eine beliebige PDF- oder eine Musikdatei sein. Das TrueCrypt-Laufwerk wird dann mit einer Kombination aus Kennwort plus Schlüsseldatei verschlüsselt. An den Inhalt des TrueCrypt-Containers kommt man nur mit Kennwort plus der Schlüsseldatei; alleine das Kennwort reicht nicht. Wie Sie TrueCrypt-Container mit Passwort plus Schlüsseldatei verschlüsseln, ist sehr gut auf der Seite www.fixmbr.de/truecrypt-anleitung-verwendung-von-keyfiles-schluesseldateien beschrieben.

Kategorien
Android Handy & Telefon

Android und Online-Banking-Hack: Vorsicht vor Sicherheitsupdates und Trojanern, die mTANs/SMS-TANs umleiten

Onlinebanking per mTAN-Verfahren gilt als sicher. Aber nicht, wenn Sie ein Android-Smartphone verwenden. Die Berliner Polizei warnt aktuell vor Banking-Trojanern für Android-Smartphones, die mTANs abfragen und umleiten. iPhones und andere Smartphones sind derzeit nicht betroffen.

Aufgepasst beim mTAN/SMS-Verfahren auf Android

Das mTAN-Verfahren ist eigentlich simpel und sicher: Sobald Sie zum Beispiel per Onlinebanking eine Überweisung tätigen, wird die notwendige Transaktionssnummern per SMS auf das Handy des Bankkunden übertragen. Erst wenn die richtige mTAN-Nummer aus der SMS ins Überweisungsformular eingegeben wird, wird die Überweisung durchgeführt. Das geht allerdings nur so lange gut, wie die mTANs auch wirklich auf dem richtigen Smartphone landen. Bei Android-Handys ist das nicht immer der Fall.

In den letzten Wochen sind beim Landeskriminalamt Berlin vermehrt Strafanzeigen von Bankkunden eingegangen, die per mTAN/SMS-TAN-Verfahren Opfer betrügerischer Geldabbuchungen wurden. Bislang sind nur Bankkunden mit Android-Smartphone betroffen.

Der mTAN-Hack im Detail

Und so funktioniert der Angriff: Im ersten Schritt wird auf dem Handy ein Trojaner installiert, der unbemerkt Kontonummer und Zugangs-PIN ausspioniert. Zur Installation des Trojaners erscheint auf dem Android-Handy ein Fenster mit der Aufforderung zu einem zwingend notwendigen Sicherheitsupdate für das mTAN-Bankingverfahren, bei der unter anderem die Handynummer und das Handymodell abgefragt werden. Wer die Daten eingibt, erhält daraufhin eine SMS mit einem Link zum einem „Sicherheitsupdate“. Per Klick auf den Link gelangt der Trojaner auf das Android-Handy.

Konten leergeräumt

Der Trojaner hat jetzt die Kontrolle über alle aufs Handy geschickten SMS, also auch die mTANs. Sämtliche mTANS, die von der Bank auf das Kundenhandy geschickt werden, werden jetzt vom Trojaner abgefangen und auf das Handy der Betrüger geschickt – auf dem eigenen Android-Handy kommen die mTANs nie an. Der Betrüger kann mit den ergaunerten mTANs beliebige Überweisungen autorisieren. In den zur Anzeige gebrachten Fällen wurden auf diese Weise komplette Konten inklusive Überziehungsrahmen leergeräumt.

Das können Sie tun

So können Sie sich schützen: Damit Ihr Konto nicht geplündert wird, sollten Sie auf keinen Fall vermeintliche Aufforderungen Ihrer Bank zu einem Sicherheitsupdate befolgen – weder per SMS, noch per E-Mail oder innerhalb einer App. Banken schicken keine derartigen Sicherheitsupdates. Im Zweifelsfall fragen Sie Ihre Bank, ob Aufforderung zum Sicherheitsupdate tatsächlich von Ihrer Bank stammt. Zudem sollten Sie sowohl auf dem Rechner als auch auf dem Android-Handy eine aktuelle Virenschutzsoftware installieren.

Bislang sind von dem mTAN/SMS-Hack lediglich Android-Smartphones betroffen, und zwar alle Modelle und Android-Versionen. Andere Smartphones wie Apples iPhone oder Windows Phones sind nicht betroffen, da hier zum einen alle Apps von Apple bzw. Microsoft auf Schadcode überprüft werden und zum anderen wichtige Kernfunktionen wie SMS nicht von externen Apps übernommen werden können.

Kategorien
Internet & Medien

Twitter Hack: Über 50.000 Twitter-Accounts inklusive Twittername und Kennwort stehen öffentlich im Netz – Ihrer auch?

Hoppla, gibt es bei Twitter etwa ein Datenleck? Ein bislang unbekannter Hacker ist in den Besitz von über 50.000 Twitter-Accounts inklusive Benutzername und Kennwort gelangt. Ob auch Ihr Name mit dabei ist, können Sie leicht nachprüfen.

Twitter gehackt?

Die New York Times berichtet über ein besorgniserregende Datenleck bei Twitter; erste Berichte gab es zuvor im Blog Air Demon. Offenbar wurden rund 55.000 Accounts gehackt bzw. deren Zugangsdaten erschnüffelt. Allerdings zeigt sich bei näherer Betrachtung, dass unter den 55.000 Namen rund 20.000 Duplikate sind. Twitter untersucht den Vorfall derzeit und betont, dass es sich vermutlich „nur“ um bereits abgelaufene Spam-Accounts handelt.

Die Liste der ausgespähten Twitter-Namen steht auf den folgenden fünf Seiten:

Ob Ihr Twittername unter den veröffentlichten Accounts ist, können Sie selbst überprüfen: Rufen Sie eine der Seite mit den Namenslisten auf, und drücken Sie die Tastenkombination [Strg][F], um die Suchfunktion des Browsers zu starten. Geben Sie Ihren Twitternamen oder einen Teil davon ins Suchfeld ein. Da die Listen nicht alphabetisch sortiert sind, sollten Sie alle fünf Listen durchforsten.

Ist Ihr Twittername dabei, sollten die Alarmglocken angehen: Ändern Sie dann unbedingt Ihr Twitter-Kennwort. Das geht ganz schnell auf der Seite twitter.com/settings/password. Und wenn Sie dasselbe Kennwort auch bei anderen Diensten oder in Shops wie ebay oder Amazon verwenden, sollten Sie auch dort das Kennwort ändern. Und zwar möglichst schnell.

Kategorien
Hardware & Software

WLAN-Router: Sicherheitslücke im Wi-Fi Protected Setup (WPS) – und wie Sie sich schützen

Ein Designfehler im Wi-Fi Protected Setup – kurz WPS – macht Millionen Router anfällig für Hackerangriffe. Student Stefan Viehböck aus Österreich hat herausgefunden, dass sich das automatische Setup per WPS ganz einfach aushebeln lässt. Bis die Router-Hersteller mit Firmware-Updates die Sicherheitslücke schließen hilft nur eines: das Abschalten der WPS-Funktion im Router.

11.000 Versuche genügen

Darum geht’s: Um das Anschließen von WiFi-Geräten zu vereinfachen, gibt es in vielen Routern die WPS-Funktion (Wi-Fi Protected Setup). Ohne Eingabe ellenlanger Sicherheitsschlüssel reicht die Eingabe einer PIN, um die Verbindung herzustellen. Bei der PIN-Eingabe gibt es zwei Varianten: Entweder kommt eine auf dem Client (z.B. dem WLAN-Stick) aufgedruckte PIN zum Einsatz, oder Sie müssen eine vom Router generierte bzw. auf dem Router aufgedruckte PIN eingeben. Und genau bei dieser letzten PIN-Methode gibt es einen eklatanten Designfehler.

Wie Viehböck in seinem PDF-Dokument „Brute forcing Wi-Fi Protected Setup“ erläutert, lässt sich der PIN-Schutz mit einfachen Mitteln aushebeln. Mit geschickten PIN-Anfragen lässt sich die sonst theoretische Menge von 10^8 Möglichkeiten (100.000.000) auf 10^4 + 10^3 Möglichkeiten (11.0o0) reduzieren. Um alle 11.000 PIN-Varianten durchzuprobieren, braucht es je nach Router zwischen knapp zwei und 92 Tagen.

Betroffen sind fast alle aktuellen Router, da nahezu jeder Hersteller mittlerweile die praktische WPS-Funktion zum schnellen Verbinden von WLAN-Sticks und ähnlichen WLAN-Geräten verwenden.

Um die Gefährlichkeit und Brisanz der Sicherheitslücke zu demonstrieren, arbeitet Viehböck, der das Fach Sichere Informationssysteme an der FH-Hagenberg studiert, derzeit an einem „Brute Force Tool“, das automatisch so lange die PINs eines Routers ausprobiert, bis die Verbindung steht. Das Hackertool wird auf Viehböcks Webseite veröffentlicht.

So stopfen Sie die WPS-Sicherheitslücke bei FritzBox, Speedport & Netgear

Bis die Router-Hersteller Firmwareupdates veröffentlichen und die Sicherheitslücke stopfen, bleibt nur das Abschalten der WPS-Funktion im Router. Zumindest die PIN-Methode sollten Sie deaktivieren; bei der Push-Button-Methode (bei der an den Geräten Tasten gedrückt werden müssen) ist derzeit keine Sicherheitslücke bekannt.

Wie Sie WPS abschalten ist von Hersteller zu Hersteller unterschiedlich. Bei den Fritz!Box-Modelle wie Fon WLAN 7270, Fon WLAN 7240 oder WLAN 3270 finden Sie die Option im Bereich „WLAN | Sicherheit“ bzw. „Erweiterte Einstellungen | WLAN | Sicherheit“.

Bei den Telekom-Speedport-Modellen schalten Sie WPS im Bereich „Konfiguration | Sicherheit | WPS-Betriebsart“ aus bzw. aktivieren ausschließlich die „Pusbutton-Methode“.

Bei Routern des Herstellers Netgear finden Sie die Option meist im Bereich „Advanced Wireless Setting“. Hier müssen Sie die Option „Disable Router’s PIN“ aktivieren, um die PIN-Methode der WPS-Funktion abzuschalten.

Kategorien
Facebook Internet & Medien Tipp des Tages

Facebook-Spam und -Virus: Meldung zu HCG-Tropfen (HCG-Drops) und Schlankheitspillen abschalten, Sicherheitsleck schließen

Eine gefährliche Facebook-Meldung macht derzeit die Runde. Plötzlich empfehlen Freunde HCG-Schlankheitstropfen und verlinken auf den Hersteller. Doch wer auf den Link klickt, fängt sich sofort einen Virus ein. Schuld sind nicht die Freunde, sondern Spammer und Virenverschicker, die mal wieder eine Facebook-Sicherheitslücke ausnutzen. Diese sollte man schleunigst schließen.

Die tollen HCG-Tropfen

Viele Facebook-Nutzer haben sich in den letzten Tagen gewundert, warum Freunde plötzlich Schlankheitspillen empfehlen und folgendes posten:

“Wenn du an Gewicht verlieren willst, solltest du HCG-Tropfen ausprobieren! Heute wiege ich 10 Kilos weniger und ich nehme die nur seit 18 Tage: <Link>“

Doch Vorsicht: wenn Sie auf den Link klicken, schlägt sofort der (hoffentlich installierte und aktualisierte) Virenscanner Alarm. Denn hinter den vermeintlichen Schlankheitspillen steckt ein Trojaner, der sich auf Ihrem Rechner einnisten möchte.

Was ist passiert? Auch wenn es so aussieht, wurde die Meldung nicht wirklich vom Freund (oder der Freundin) gepostet, sondern vom Spammer. Und das fast legal. Denn die Falschmeldung konnte der Spammer nicht etwa absetzen, weil das eigene Facebook-Konto gehackt wurde. Vielmehr wurde dem Spammer selbst die Erlaubnis zum Verschicken von Facebook-Meldungen unter eigenem Namen erteilt.

Ursache: Facebook-Apps

Schuld ist vermutlich ein Facebook-App/-Anwendung, der Zugriff auf das eigene Facebook-Konto gewährt wurde. Das passiert schneller als einem lieb ist. Beliebt ist zum Beispiel folgende Masche: Sie bekommen einen Hinweis auf ein „tolles Foto“ oder „tolles Video“. Um es anzugucken muss man nur hier und da klicken – und mit diesen Klick gibt man einer Facebook-App die Erlaubnis, nicht nur das Foto anzuschauen, sondern auch gleich das komplette Facebook-Konto auszuspionieren und zu übernehmen. In der Fachwelt wird diese Methode auf „Likejacking“ oder „like-jacking“ genannt, da damit nach „likes“ (Gefällt mir) gefischt wird.

Zwar erscheint immer eine „Anfrage zur Genehmigung“ – doch meist wird blind auf „Zulassen“ geklickt, um an das tolle Foto oder Video zu kommen. Die Folge: Der Entwickler der Facebook-App (der man den Zugriff gestattet hat) kann unter Ihrem Namen Postings wie das mit den Schlankheitspillen plus Links auf virenverseuchte Seiten verschicken.

Das Facebook-Leck stopfen

Wer vom HCG-Tropfen-Hack betroffen ist, sollte daher schleunigst seine Anwendungen-/Apps-Freigaben überprüfen und der HCG-App die Rechte wieder entziehen. So funktioniert’s:

1. Melden Sie sich bei Facebook an, und rufen Sie die Webseite www.facebook.com/settings?tab=applications auf. Alternativ klicken Sie oben rechts auf den Pfeil und dann auf „Kontoeinstellungen“ und „Anwendungen“.

2. Auf der folgenden Seite sind alle Facebook-Anwendungen aufgeführt, denen Sie Zugriff aufs eigene Facebook-Konto gewährt haben. Und genau hier liegt der Hase im Pfeffer. Vermutlich hat sich hier eine Anwendung eingeschlichen, die unter dem eigenen Namen die HCG-Tropfen-Spamnachricht veröffentlicht hat.

3. Generell gilt: Je weniger Anwendungen Zugriffsrechte haben, umso besser. Daher sollten Sie prüfen, welche Anwendungen Sie wirklich brauchen – und den Rest rigoros rausschmeißen. Um welche Rechte es sich handelt, erfahren Sie per Klick auf „Bearbeiten“.

4. Der wichtigste Schritt: Um einer Anwendung die Rechte wieder zu entziehen, klicken Sie rechts daneben auf das kleine „x“ und dann auf „Entfernen“. Damit wird der betroffenen Anwendung der Zugriff aufs eigene Facebook-Konto wieder entzogen.

5. Um komplett auf Nummer sicher zu gehen und auch auszuschließen, dass das eigene Facebook-Konto nicht geknackt wurde, sollten Sie zusätzlich Ihr Facebook-Kennwort ändern. Das geht auf der Seite www.facebook.com/settings?tab=account oder unter „Kontoeinstellungen | Allgemein | Passwort | Bearbeiten“.

Kategorien
Handy & Telefon

Windows 7 Phone Jailbreak: Mit ChevronWP7 das Windows 7 Phone entsperren

Wie beim iPhone gilt auch bei Microsofts Windows Phone 7 die Devise: Eigene Apps installieren verboten. Klar, dass es wie beim iPhone auch beim Windows Phone 7 nicht lange gedauert, bis der erste Jailbreak zum Knacken der Windows-7-Phone-Sperre fertig war. Seit Anfang November gibt es auch für das Windows 7 Phone einen Jailbreak.

Ohne Jailbreak lassen sich auf dem Windows 7 Phone lediglich Apps und Anwendungen aus dem offiziellen Marketplace installieren. Apps, die es nicht in den Marketplace schaffen, müssen draußen bleiben. Das ändert sich mit dem Jailbreak für Windows 7 Phone. Dann lassen sich Apps auch ohne den Marketplace installieren.

Der erste verfügbare Jailbreak fürs Windows 7 Phone nennt sich „ChevronWP7“. Das Jailbreak-Tool können Sie hier downloaden:

  • http://www.chevronwp7.com

Sobald der Jailbreak aktiviert wurde, lassen sich Apps installieren, die nicht im Marketplace-App-Store zu haben sind. Entwickler können ohne kostenpflichtiges Entwicklerkonto Apps auf Windows-Phone-7-Geräte installieren. Der Kopierschutz von Apps und Tools aus dem Marketplace wird durch das Tool nicht umgangen. Auch lässt sich der SIM- und Netlock der Handys nicht aufheben.

Laut den Entwicklern wird das Windows-7-Phone-Betriebssystem durch den Jailbreak nicht verändert. Falls es nicht gefällt, lässt es sich der Jailbreak recht einfach wieder rückgängig machen.

Trotzdem gilt: Durch den Jailbreak  verlieren Sie mitunter die Garantie und Gewährleistung aufs neue Windows 7 Phone. Zudem weiß man nie, was der Jailbreak genau mit dem Handy anstellt. Wer unsicher ist, sollte daher lieber die Finger vom Jailbreak lassen.