Die Themen dieses Newsletters:
Deaktiviert: Lücke in Adobe Flash ermöglicht das Ausspionieren von Twitter-PasswörternEinstellungen ändern: Schwachstelle im Internet Explorer entdecktGar nicht heiß: Betrüger versenden gefälschte Hotmail-NachrichtenDoppel-Phishing: Twitter fordert Nutzer zum Ändern des Passworts aufPasswort-Schreck: Datenfischer nehmen World of Warcraft-Spieler ins VisierGarantiert was faul: Internetkriminelle locken mit iPhone-GarantieverlängerungGeschmacklos: Hacker nutzen Falschmeldung über Tod von Johnny Depp zur Verbreitung von SchadcodeUpdate auf Version 4: Google beseitigt 13 Schwachstellen in ChromeAußer der Reihe: Microsoft schließt kritische Lücke im Internet ExplorerManipulierte Multimedia-Dateien: Sicherheitslücke in Real Player geschlossenSicher mobil: Apple veröffentlicht OS 3.1.3 für iPhone und iPod touchSchnell installieren: Updates für Mac OS X erschienenTrauriger Rekord: 22 Millionen Schadprogramme in 2009Schlechte Luft: Datenfischer stehlen Emissionszertifikate
Eine Schwachstelle in Adobe Flash ermöglicht Angreifern, Benutzername und Passwörter von Twitter-Nutzern auszuspähen. Dies meldet die IT-News-Seite ZDNet. Ein auf Flash basierendes Twitter-Widget, mit dem man sich Status-Updates anzeigen lassen kann, verursacht das Problem. Das Widget wurde von Twitter vorübergehend deaktiviert. Nach Angaben des Unternehmens ist bislang kein unerlaubter Zugriff auf Nutzerkonten über die genannte Schwachstelle bekannt. Anwender, die den Verdacht haben, ihr Account sei von Dritten missbraucht worden, sollen sich per E-Mail an die Twitter-Betreiber wenden. Die Mailadresse lautet: accountsafe@twitter.com.
Microsoft hat am 3. Februar ein Security Advisory veröffentlicht, in dem eine Schwachstelle im Internet Explorer beschrieben wird. Aktuell ist kein Patch verfügbar. Das Bürger-CERT empfiehlt daher die Internet Explorer Sicherheitseinstellungen in der Zone "Internet" und der Zone "Lokales Intranet" auf "Hoch" zu setzen. Internet Explorer Version 7 und 8 sind unter Windows Vista und Windows 7 im sogenannten "Protected Mode" von der Schwachstelle nicht betroffen. Es ist daher zu prüfen, ob der "Protected Mode" im Internet Explorer unter Windows Vista und Windows 7 aktiviert ist. Weitere Informationen hat das Bürger-CERT in einer Technischen Warnung zusammengefasst.
Kriminelle versenden derzeit gefälschte Mails des Freemail-Account-Anbieters Hotmail. Dies berichtet das IT-Sicherheitsunternehmen Sophos. In der Nachricht heißt es, man habe die Detailinfos zum Nutzerkonto nicht verifizieren können. Damit der E-Mail-Service weiter zur Verfügung stehe, solle man die Informationen bestätigen oder gegebenenfalls auf den aktuellen Stand bringen. Dazu könne man den angegebenen Link nutzen. Folgt der Empfänger dem Link, wird er auf eine gefälschte Windows Live Seite geleitet, auf der er seine Windows Live ID sowie das Passwort eingeben soll. Die Informationen werden nach der Eingabe jedoch an die Betrüger geleitet. Empfänger sollten die Mail umgehend löschen.
Der Microblogging-Dienst Twitter geht davon aus, dass Kriminelle sich Zugang zu mehreren Twitter-Konten verschaffen konnten. Das Unternehmen hat daher einige Anwender per E-Mail aufgefordert, ihr Passwort zu ändern. Es wird vermutet, dass Kriminelle an die Zugangsdaten von Nutzern verschiedener Torrent-Webseiten und -Foren gelangen konnten. Zugriff auf die Twitter-Konten erhielten die Betrüger, weil Nutzer auf Twitter offenbar die gleichen Passwörter wie in den Torrent-Foren benutzten. Anwender sollten generell darauf achten, für unterschiedliche Internet-Dienste verschiedene Passwörter zu verwenden und diese in regelmäßigen Abständen zu ändern. Tipps zum Thema sichere Passwörter gibt das BSI auf seiner BSI-FÜR-BÜRGER-Seite.
Betrüger versenden derzeit gefälschte Mails, die angeblich von Blizzard, dem Anbieter des Online-Spiels "World of Warcraft", stammen sollen. Darüber berichtet das IT-Sicherheitsunternehmen G Data. In der Nachricht wird behauptet, dass das Passwort des Nutzers kürzlich auf der Account-Management-Webseite geändert wurde. Wenn der Nutzer diese Änderung persönlich vorgenommen habe, müsse man nicht weiter tätig werden. Andernfalls solle der Spieler mit dem Unternehmen Kontakt aufnehmen - am besten über den in der Mail angegebenen Link. Kommt der Nutzer dieser Aufforderung nach, wird er auf eine gefälschte World of Warcraft Log-in-Seite geleitet. Gibt der dort seine Nutzerdaten ein, landen diese bei den Betrügern. Die Zugangsdaten zu einem World of Warcraft-Account bringen Kriminellen auf dem Schwarzmarkt bis zu 30 Euro. Mehr Infos zum Thema Phishing gibt es auf der BSI-FÜR-BÜRGER-Seite.
Derzeit verbreiten Kriminelle E-Mails, in denen dem Empfänger eine vermeintliche kostenfreie Garantieverlängerung für das Apple iPhone angeboten wird. Darüber berichtet das IT-Sicherheitsunternehmen Sophos. Die Mails tragen Betreffzeilen wie "Important: Your iPhone warranty extension for one year!" ("Wichtig: Ihre iPhone Garantieverlängerung für ein Jahr!"). Um das spezielle Angebot nutzen zu können, solle man dem angegebenem Link folgen. Kommt man dieser Aufforderung nach, wird der Nutzer auf eine gefälschte Apple-Webseite geleitet. Dort soll man die Seriennummer des iPhones, die IMEI-Nummer sowie den Gerätetyp angeben. Im Anschluss landen diese Angaben jedoch direkt bei den Betrügern. Was die Kriminellen mit diesen Angaben vorhaben, ist nicht ganz klar - Empfänger der Mail sollten diese jedoch sofort löschen und keinesfalls weiterleiten.
Kriminelle nutzen derzeit eine Falschmeldung über den Tod von Johnny Depp um Anwender auf manipulierte Webseiten zu locken. Dies meldet das IT-Sicherheitsunternehmen Trendmicro. Im Internet verbreitet sich seit Kurzem die Nachricht, Johnny Depp sei betrunken in einen tödlichen Autounfall verwickelt worden. Betrüger haben daraufhin Webseiten mit vermeintlichem Videomaterial des Unfall erstellt und diese Seiten mit Schlüsselbegriffen zum Tod des Stars versehen. Die Schlüsselbegriffe sorgen dafür, dass die Seiten von Suchmaschinen gefunden und mit in ihre Trefferlisten aufgenommen werden. Wird bei einer Suchmaschine nun nach Infos zu dem Unfall gesucht, tauchen unter anderem auch Links zu den manipulierten Webseiten auf. Will der Nutzer dort das vermeintliche Unfallvideo ansehen, wird er aufgefordert, zunächst einen Videocodec herunterzuladen. Kommt er der Aufforderung nach, installiert sich jedoch ein Trojanisches Pferd auf dem PC. Dieses lädt weitere Schadprogramme aus dem Netz nach. Anwender sollten ihr Antivirenprogramm stets auf dem aktuellen Stand halten und grundsätzlich keine Software aus nicht vertrauenswürdigen Quellen installieren.
Google hat seinen Browser Chrome in Version 4 veröffentlicht. In der aktualisierten Fassung wurden insgesamt 13 Schwachstellen beseitigt, von denen sechs als kritisch eingestuft wurden. Die Schwachstellen ermöglichten Angreifern bislang, Schadcode auf fremden Computern auszuführen oder Daten auszuspähen. Anwender sollten Chrome 4 schnellstmöglich einspielen. Die fehlerbereinigte Version steht auf der Google-Chrome-Seite zum Download bereit. Außerdem kann sie über die integrierte Update-Funktion bezogen werden.
Microsoft hat ein Update veröffentlicht, das mehrere gefährliche Schwachstellen in Windows-Systemkomponenten beseitigt, die Mitte Januar bekannt geworden waren. Die Sicherheitslücken lassen sich mit Hilfe manipulierter Webseiten unter anderem dazu ausnutzen, Schadsoftware auf fremden Rechnern auszuführen. Betroffen sind beispielsweise Internet Explorer 5.01, 6, 7 und 8. Das BÜRGER-CERT rät Anwendern dazu, das Update MS10-002 (KB 978207) umgehend einzuspielen. Dies geschieht am einfachsten über einen Besuch der Windows Update-Webseite.
Mehrere Schwachstellen im Real Player ermöglichten Angreifern bislang, mithilfe von manipulierten Multimedia-Dateien Schadsoftware auf fremde Rechner zu schleusen. Der Hersteller hat ein Update veröffentlicht, das die Sicherheitslücken schließt. Anwender sollten die aktualisierte Fassung umgehend einspielen. Die geeignete Version für die jeweilige Umgebung kann der Hersteller-Updateseite entnommen und dort heruntergeladen werden.
Mit OS 3.1.3 für iPhone und iPod touch schließt Apple insgesamt fünf Sicherheitslücken, die zum Teil als kritisch eingestuft werden. Die Schwachstellen ermöglichen Angreifern beispielsweise, mithilfe von manipulierten Audio-Dateien oder TIFF-Bildern Schadsoftware auf fremde Computer zu schleusen. Außerdem könnten über eine Sicherheitslücke Nutzerdaten ausgelesen werden. Anwender sollten OS 3.1.3 umgehend installieren. Das Update kann von der Apple-Webseite heruntergeladen werden.
Apple hat mit seinem Update 2010-001 insgesamt zwölf Schwachstellen in verschiedenen Anwendungen beseitigt. Die Sicherheitslücken konnten bislang von Angreifern dazu genutzt werden, um Schadcode auf fremden PCs auszuführen oder Informationen auszuspähen. Betroffen sind Mac OS X 10.5 und Mac OS X 10.6. Nutzer sollten das bereitgestellte Update umgehend einspielen. Dies geschieht am einfachsten über die automatische Softwareaktualisierung oder über einen Besuch der Apple-Downloadseite.
Im Jahr 2009 wurden über 22 Millionen neue Schadprogramme registriert - dies zeigt der Jahresreport des IT-Sicherheitsunternehmens Panda Security. Seit 2008 stieg die Anzahl der Schadsoftware von 17 Millionen auf 40 Millionen an. Den größten Anteil am Gesamtvolumen hatten Trojanische Pferde und gefälschte Antivirensoftware, auch Scareware genannt. Das Unternehmen fand außerdem heraus, dass lediglich acht Prozent aller E-Mails legitim sind - bei 92 Prozent handelt es sich um Spam. Soziale Netzwerke wie Facebook, Twitter oder YouTube würden immer häufiger zur Verbreitung von Schadsoftware genutzt. Deutlich zugenommen hätten im Jahr 2009 auch die Manipulation von Ergebnissen von Suchmaschinen.
Mithilfe von gefälschten Mails ist es Kriminellen gelungen, sich Zugang zu Datenbanken mit Emissionszertifikaten zu verschaffen. Sie versendeten Mails an Unternehmen mit der Aufforderung eine Webseite zu besuchen und dort die zugeteilten Benutzerdaten einzugeben. So erhielten die Datenfischer Zugriff auf die Emissionsrechte der Unternehmen und verkaufen diese Rechte weiter. Phishing-Mails, mit denen Computerkriminelle PC-Nutzer auf gefälschte Internetseiten locken und Passwörter stehlen, sind an sich nicht neu. Neue Qualität hat die gezielte, professionelle und oftmals langfristig geplante Vorgehensweise der Betrüger. Nicht nur Privatanwender stehen im Fokus der Kriminellen. Lukrativ ist Phishing auch im Unternehmensumfeld. Hier wird die Gefahr zunehmend größer. Im Trend liegen auch individualisierte Angriffe auf kleinere Zielgruppen. Das BSI informiert in einer aktuellen Pressemitteilung und auf seiner BSI-FÜR-BÜRGER-Seite über das Thema Phishing.
