bei Computer-Problemen - DIREKT die Profis rufen: 02429 909-904
 

IT-Nachrichten für Düren und Umgebung:
Sicherheitsbericht vom 29.11.2019




bsi

Liebe LeserInnen,
heute ist Black Friday, aber viele Händler bieten bereits jetzt zahlreiche, teilweise sehr hohe
Rabatte an. Das kann sehr verlockend sein. Doch Sicherheitsexperten stellen rund um den
Shopping-Aktionstag eine deutliche Zunahme von Phishing-E-Mails fest, über die keine
Sonderangebote, sondern Schadprogramme auf Rechnern verbreitet werden. Auch sogenannte Fake-Shops
stellen eine akute Betrugsgefahr dar – mehr dazu lesen Sie in der Rubrik „In den Schlagenzeilen“.
Über die „Schattenseiten von Black Friday und Cyber Monday“ schreibt auch EuroSecurity:
(Hyperlink aufrufen)
orsicht-vor-scams-und-smishing
Damit Sie unbesorgt Schnäppchen jagen können, haben wir alles Wissenswerte sowie Sicherheitstipps
für das „Einkaufen im Internet“ für Sie zusammengestellt:
(Hyperlink aufrufen)
t_node.html
Einer ganz anderen Gefahr für ihre IT-Infrastruktur sahen sich derweil estnische Behörden
ausgesetzt: Ratten haben dort dutzende Meter Glasfaser-Datenkabel durchgeknabbert und so für den
Ausfall mehrerer Online-Bürgerdienste gesorgt, wie Spiegel Online berichtete:
(Hyperlink aufrufen)
t-a-1297681.html
Vor Ratten können wir Sie zwar nicht schützen, dafür versorgen wir Sie auch in dieser
Newsletter-Ausgabe wieder mit aktuellen Schlagzeilen aus der Welt der Informationssicherheit sowie
nützlichen Tipps und Hinweisen.
Viel Spaß beim Lesen wünscht Ihnen
Jan Lammertz / Team BSI-für-Bürger
Inhalt

-----------------
1. Jogginganzug vom Hausarzt, Winkekatze vom Ruderverein: Fake-Shops bedrohen Online-Einkäufe
2. Mit falschen Karten gespielt?
3. Passwort „Bambi“: Zugangsdaten auf Abwegen
4. Sicherheitslücke im Router: Der gläserne Patient
5. Erneutes Datenleck bei OnePlus


Bleiben Sie up-to-date-----------------
6. Sicherheitslücken in Kaspersky-Produkten, phpMyAdmin, ClamAV, Microsoft Outlook for Android und Google Chrome
7. Tracking-Smartwatch verrät Standort und persönliche Daten tausender Kinder weltweit
8. Sicherheitslücke in älteren WhatsApp-Versionen
9. Android-Schwachstelle ermöglicht Spionage


Gut zu wissen-----------------
10. Gefahr auch südlich der Mauer: Game of Thrones kann Ihren Rechner infizieren
11. Großer Doppelerfolg in China: Browser gehackt, Betriebssysteme nicht
12. Wenn das Smartphone verschwindet ...


Kurz erklärt-----------------
13. Kontaktloses Bezahlen


Was wichtig wird-----------------
14. Support-Ende für Windows 7 in 52 Tagen

1. Jogginganzug vom Hausarzt, Winkekatze vom Ruderverein: Fake-Shops bedrohen Online-Einkäufe

„Expired Domains“ können zur Gefahr im Netz werden: Es handelt sich dabei um Website-Adressen, die früher beispielsweise Vereinen, Parteien oder Arzt-Praxen gehörten, dann aber zum Verkauf standen. Jetzt können sie genutzt werden, um gefälschte Online-Shops zu betreiben, wie die „Online Marketing Rockstars“ (OMR) auf ihrer Website berichten. Mehr als 16.000 Websites wurden allein in Deutschland gezählt. Glücklicherweise sind solche Fake-Seiten relativ einfach zu erkennen: „Als Zahlungsmethoden werden meist nur Vorkasse (...) oder Kreditkarte (...) angeboten. Ein Impressum fehlt eigentlich immer; die Texte sind schlecht, vermutlich mit einem Translator-Tool, übersetzt.“

Tipps für sicheres Online-Shopping finden Sie bei BSI für Bürger: (Hyperlink aufrufen)

Zum Artikel der OMR: (Hyperlink aufrufen)


2. Mit falschen Karten gespielt?

Mehr als 450.000 Nutzerkonten des Online-Kartensammelspiels „Magic: The Gathering“ waren aufgrund eines frei zugänglichen Datenbank-Back-ups kurzzeitig einsehbar - samt E-Mail-Adressen und gehashten Passwörtern. Das berichtet Heise Online mit Verweis auf das Nachrichtenportal TechCrunch. Das Leck ist bereits behoben, ein Datenmissbrauch läge nach Angaben des Spieleentwicklers nicht vor. Als Vorsichtsmaßnahme will das Unternehmen trotzdem einen Passwortwechsel von den NutzerInnen verlangen.

Empfehlungen für sichere Passwörter finden Sie hier: (Hyperlink aufrufen)

Zur Meldung von Heise Online: (Hyperlink aufrufen)


3. Passwort „Bambi“: Zugangsdaten auf Abwegen

Erst am 12. November hat Disney sein Streaming-Angebot Disney+ gestartet und schon jetzt werden technische Schwierigkeiten und Sicherheitsprobleme gemeldet: Angeblich kursieren Zugangsdaten einzelner NutzerInnen im Internet, während andere KundInnen mit ihren Zugangsdaten nicht auf ihre Benutzerkonten zugreifen konnten, so Heise Online. ZDNet hat derweil herausgefunden, dass solche Zugangsdaten zu Preisen zwischen drei und elf US-Dollar auch bereits gehandelt werden. Eine Bestätigung und Reaktion von Disney steht noch aus (Stand 26.11.).

Zur Meldung von Heise Online über den Vorfall: (Hyperlink aufrufen)

Auch ZDnet berichtete: (Hyperlink aufrufen)


4. Sicherheitslücke im Router: Der gläserne Patient

Die Patientenkartei einer Celler Arztpraxis war frei im Internet einsehbar. Das zeigte eine investigative Recherche des Computermagazins c’t. Von der Sicherheitslücke waren unter anderem rund 20.000 Stammdaten betroffen. Die Schwachstelle ist offensichtlich über die ungeschützte „Digitalisierungsbox Premium“ der Telekom (Hersteller: Bintec Elmeg) entstanden. Kleine Unternehmen und Dienstleister, die diesen Router einsetzen, sollten unbedingt die aktuelle Firmware einspielen, rät das BSI. Der Fehler wird aber erst nach einem Werksreset oder einer frischen Konfiguration behoben.

Zur CERT Bund Meldung: (Hyperlink aufrufen)

Der ganze Bericht der c‘t: (Hyperlink aufrufen)


5. Erneutes Datenleck bei OnePlus

Zum zweiten Mal innerhalb von zwei Jahren musste der Smartphone-Hersteller OnePlus einräumen, dass Kundendaten in falsche Hände geraten sind. Dieses Mal hatten Unbefugte Zugriff auf die E-Mail-Adresse, den Klarnamen sowie die Postanschrift von KundInnen, unter anderem auch aus Deutschland. „Der Anbieter will den Fehler korrigiert haben“, heißt es in der Golem-Meldung. Weitere Details dazu nannte das Unternehmen nicht.

BSI-Tipps für den „Schutz für Smartphone und Co.“ finden Sie hier: (Hyperlink aufrufen)

Zur Meldung von Golem: (Hyperlink aufrufen)

----------------------------------------------------


----------------------------------------------------
Bleiben Sie up-to-date


6. Sicherheitslücken in Kaspersky-Produkten, phpMyAdmin, ClamAV, Microsoft Outlook for Android und Google Chrome

Das BSI warnt vor Schwachstellen in Kaspersky-Produkten, phpMyAdmin, ClamAV, Microsoft Outlook für Android und Google Chrome. Es wird empfohlen, die bereitgestellten Sicherheitsupdates zeitnah zu installieren, um die Sicherheitslücken zu schließen.

Eine Übersicht der Warnmeldungen gibt es hier: (Hyperlink aufrufen)


7. Tracking-Smartwatch verrät Standort und persönliche Daten tausender Kinder weltweit

Die chinesische Smartwatch SMA-WATCH-M2 für Kinder, die per SIM-Karte als GPS-Tracker funktioniert, weist große Sicherheitslücken auf. Laut des unabhängigen Prüfinstituts AV-TEST erfolgt die Kommunikation zwischen der Uhr und der mobilen App, über die Eltern den Standort und andere Daten einsehen können, völlig unverschlüsselt und ohne funktionierenden Authentifizierungsmechanismus. Angreifer könnten so auf persönliche Daten der Kinder zugreifen, exakte Positionsdaten verfolgen sowie Gespräche mithören und manipulieren. Das Prüfinstitut hat den Hersteller informiert, der bisher noch nicht reagiert hat (Stand 26.11.). AV-Test rät dazu, keine Smartwatches von unbekannten Herstellern zu verwenden, sondern auf zertifizierte Produkte von etablierten Unternehmen zu setzen.

Aufmerksam sollten Sie auch beim Kauf von Smart Toys für Kinder sein. Mehr dazu erfahren Sie hier: (Hyperlink aufrufen)

Zur Meldung von Heise Online: (Hyperlink aufrufen)


8. Sicherheitslücke in älteren WhatsApp-Versionen

Facebook warnt vor einer Schwachstelle bei älteren WhatsApp-Versionen, über die eine speziell präparierte MP4-Datei verschickt werden kann. Die manipulierten Videodateien gewähren Hackern Zugriff auf die infizierten Smartphones. Auch wenn die Aktualisierung von WhatsApp standardmäßig automatisch erfolgt, ist es ratsam, die Einstellungen der App unter „Hilfe“ und „App-Info“ zu prüfen und gegebenenfalls die aktuellste Version manuell zu installieren.

Zur Meldung von Heise Online: (Hyperlink aufrufen)


9. Android-Schwachstelle ermöglicht Spionage

Ein Bug in vielen Smartphones mit dem Betriebssystem Android treibt sein Unwesen: Ohne Wissen der BenutzerInnen können installierte Apps die Zugriffsbeschränkung auf Kamera und Mikrofon umgehen und Fotos und Videos samt Ton erstellen. Wenn die App den üblichen Zugriff auf gespeicherte Daten hat, kann sie das Material auf einen Server übertragen. Die Schwachstelle ermöglicht weitreichende Spionage. Sowohl Google als auch Samsung haben ein Sicherheitsupdate herausgegeben, um den Programmfehler zu beheben.

Zur Meldung von Heise Online: (Hyperlink aufrufen)


----------------------------------------------------
Gut zu wissen


10. Gefahr auch südlich der Mauer: Game of Thrones kann Ihren Rechner infizieren

Nicht nur der Vorfall beim neuen Streaming-Anbieter Disney zeigt, dass der digitale Konsum von Inhalten wie Musik, Videos, Serien und Filmen mit Sicherheitsrisiken verbunden sein kann. Eine noch größere Gefahr stellen inoffizielle, also illegale Streaming-Seiten dar. So schätzt das Online-Magazin manage-it etwa, „dass Internetnutzer beim Besuch einer illegalen Streaming-Seite 28 Mal häufiger mit Malware infiziert werden als es beim Zugriff auf legale Plattformen der Fall ist“. Allein die im vergangenen Jahr illegal heruntergeladenen Folgen der Kultserie „Game of Thrones“ enthielt Studien zufolge fast 10.000 verschiedene Arten von Malware. Einen echten Schutz davor gibt es für private Geräte nicht. Hilfreich ist einzig, solche illegalen Angebote zu meiden – nicht nur aus Sicherheitsgründen eine gute Idee. Firmenrechner mit Zugriff auf Streaming-Dienste können über ein hohes Sicherheitsniveau gesichert werden.

manage-it über die Gefahren beim Streaming: (Hyperlink aufrufen)


11. Großer Doppelerfolg in China: Browser gehackt, Betriebssysteme nicht

Beim „Tianfu-Cup“ in der chinesischen Millionenstadt Chengdu gelangen Hackern insgesamt 20 Hacks bei Internetbrowsern wie Chrome, Edge und Safari. Aber das ist nicht der einzige Erfolg: „An acht Produkten“, meldet Heise Online, „unter anderem Ubuntu 19.10/CentOS 8 und Windows Server 2019, bissen sich die Teams jedoch die Zähne aus und mussten aufgeben“. Beides ist tatsächlich eine Erfolgsmeldung: Einerseits zeigen gelungene Hacks den Anbietern existierende Schwachstellen auf, bevor kriminelle Eindringliche sie für Straftaten nutzen können. Andererseits erhöhen Betriebssysteme, die nicht gehackt werden können, den Schutz auf Computern von PrivatnutzerInnen und Unternehmen.

Über die unterschiedlichen Formen von Hacking erfahren Sie hier mehr: (Hyperlink aufrufen)

Zur Meldung von Heise Online über den Tianfu-Cup: (Hyperlink aufrufen)


12. Wenn das Smartphone verschwindet ...

... hat es sich nur sehr selten von selbst auf den Weg gemacht. Manchmal geht es verloren, häufiger aber hatten Diebe ihre Finger im Spiel. Laut BSI werden täglich etwa 600 Smartphones gestohlen. Die Saarbrücker Zeitung informiert darüber, wie VerbraucherInnen persönliche Daten auf ihren Smartphones schützen können: Dazu gehört es zum Beispiel, die IMEI zu notieren, die individuelle Kennnummer eines Telefons. Sie ist beispielsweise auf dem Typenschild an der Verpackung abzulesen oder kann mit der Tastenkombination *#06# direkt auf dem Telefon abgerufen werden. Außerdem raten Verbraucherschützer dazu, Sperrbildschirme einzurichten, die den unbefugten Zugriff auf die Geräte deutlich erschweren.

Das BSI informiert darüber, wie Sie vermeiden können, dass Diebe auf Ihre persönlichen Daten auf dem gestohlen Handy zugreifen können: (Hyperlink aufrufen)

Weitere Tipps zum Schutz von Smartphones finden Sie hier: (Hyperlink aufrufen)


----------------------------------------------------
Kurz erklärt


13. Kontaktloses Bezahlen

Immer mehr Menschen zahlen kontaktlos – per NFC-fähiger Giro- oder Kreditkarte oder per Smartphone. Bereits im letzten Newsletter (Ausgabe 24) haben wir über die NFC-Technologie berichtet, die diese neue Zahlungsmethode möglich macht. Kontaktloses Bezahlen ist einfach, bequem und sicher, wenn Sie ein paar Sicherheitshinweise beachten. Seit Montag gibt es ein brandneues Video auf dem YouTube-Kanal des BSI, welches auch der BSI für Bürger Mediathek zu finden ist, das erklärt, wie Sie kontaktloses Bezahlen nutzen können und was es dabei zu beachten gilt: (Hyperlink aufrufen) oder: (Hyperlink aufrufen)


----------------------------------------------------
Was wichtig wird


14. Support-Ende für Windows 7 in 52 Tagen

Microsoft hatte sich verpflichtet, 10 Jahre Produktsupport für Windows 7 bereitzustellen. Diese Verpflichtung endet jetzt: Am 14. Januar 2020 stellt das Unternehmen den Support für die Betriebssystemversion Windows 7 ein. Anschließend sind weder technische Unterstützung noch Softwareupdates über Windows Update zum Schutz des PCs verfügbar. Aktuellen Zahlen zufolge setzen noch etwa 27 Prozent der InternetnutzerInnen auf Windows 7. Es ist empfehlenswert, vor Januar auf Windows 10 umzusteigen, damit Sicherheit und Support gewährleistet sind.

Meldung von Microsoft: (Hyperlink aufrufen)

SERVICE-LINE: 02429 909-904 (Mobilfunk: 0151 56657347)









Stichworte (Tags): IT-Nachrichten GD-System.de, Windows Updates, Sicherheitslücken, Patches, IT-Service Hürtgenwald GD-System.de, PC-Hilfe Düren GD-System.de, Computernotdienst RurEifel GD-System.de