ACHTUNG - Datenklau - 16 Mio Nutzerkonten betroffen ...

[RaVe]

Nabend zusammen,

 

habe soeben im Netz etwas beunruhigendes zum Thema Datenklau,Emailadressen und Passwörter gefunden.Zugangsdaten von 16 Mio Nutzern sind anscheinend kompromitiert.

 

 

Hier mal nen paar Quellen:

 

 

 

http://www.chip.de/news/BSI-warnt-vor-gigantischem-Identitaetsdiebstahl-So-testen-Sie-ob-auch-Ihre-Daten-betroffen-sind_66679710.html

 

 

http://www.nzz.ch/aktuell/panorama/internet-kriminalitaet-millionen-von-online-nutzerdaten-gestohlen-1.18225786

 

 

http://www.welt.de/newsticker/dpa_nt/infoline_nt/computer_nt/article124062170/16-Millionen-E-Mail-Konten-geknackt.html

 

 

http://www.n-tv.de/technik/Millionen-deutsche-Nutzerkonten-gekapert-article12117001.html

 

 

 

 

Ich dachte ich mache mal nen Thread auf, da einige bestimmt auch ihre Emailadresse usw. für Paypal nutzen.

 

 

Trotzdem nen schönen Abed noch.

[mirabella]

Man kann auf einer vom Bundesamt für Sicherheit in der Informationstechnik

bereitgestellten Webseite überprüfen, ob die eigene E-Mail-Adresse betroffen ist.

 

Link: https://www.sicherheitstest.bsi.de

Bearbeitet: 21. Januar 2014 von mirabella

[bastelbert]

... könnte man, wenn der tolle BSI-Server nicht gleich nach Veröffentlichung unter der Last zusammengebrochen wär.

[BMWE30cabriolet]

ich weiss nich... ich trau mittlerweile nichtmalmehr nem BSI....

im zweifel lieber gleich die passwörter ändern,

ich brauch keinen "zwischenhändler"....

[bemini]

Sehr Vorteilhaft bei sowas: "Zwei-Stufen-Authentifizierung"

 

Nutze ich seit ein paar Jahren z.B. für mein E-Mail-Postfach, und anderer Accounts, bei denen das angeboten wird.

 

Hierbei wird zum einen ein klassisches Kennwort benötigt, und zum anderen ein Code, der per SMS kommt, oder per App auf dem Smartphone generiert wird. Auch möglich ist es - bspw. bei Google - eine Codeliste auszudrucken, damit man auch ohne Handy reinkommt. Kann man sich vorstellen wie die TAN-Verfahren..

 

siehe dazu auch:

http://de.wikipedia.org/wiki/Zwei-Faktor-Authentifizierung#Tokenlose_Zwei-Faktor-Authentifizierung

[Pilly]

Musst du dann jedes mal, wenn du deine Emails checken willst nen Code per SMS bekommen und lesen?

[bemini]

Nein, denn man kann bestimmte Geräte sozusagen als "vertraulich" einstufen, sodass dort nicht erneut nach einem Code gefragt wird, läuft u.a. über Cookies. Smartphone/Tablet z.B. synchronisiert sich ohne jeglichen manuellen Eingriff, wenn man sich einmal mit Passwort und Code angemeldet hat. Aufm PC bleibt man auch angemeldet(wenn man das beim Login auswählt), solange man den gleichen Browser benutzt, und keine Cookies o.ä. löscht. Zusätzlich kann ich einzelnen Geräte den Status "vertraulich" auch wieder entziehen. Und ich kann alle offenen "Seasons"(z.B. Postfach auf einem PC geöffnet) schließen/nachverfolgen. IP, Zeit, System und Zugriffsstandort werden gespeichert.

 

Man wird natürlich so gesehen zum gläsernen Menschen, aber das muss man ja nun nach den NSA-Geschichten wirklich keinem mehr erzählen. Immerhin weiß ich hier, was gespeichert wird. Aber das ist ein anderes Thema..

 

Das Beispiel bezog sich auf die Google-Dienste. Nutze die 2-Stufenverifizierung aber auch bei Dropbox, Facebook etc.

 

Gruß Felix

Bearbeitet: 21. Januar 2014 von bemini

[derschwen]

Ich schalte einfach mein Hirn ein und boykottiere "dieses" unsägliche Betriebssystem ......

[choppa]

Nein, denn man kann bestimmte Geräte sozusagen als "vertraulich" einstufen, sodass dort nicht erneut nach einem Code gefragt wird, läuft u.a. über Cookies.

 

Und da ist bereits die 1. Schwachstelle die ich angreifen würde, wollte ich denn etwas böses.

 

 

Aufm PC bleibt man auch angemeldet(wenn man das beim Login auswählt)

 

Hier besteht Sicherheitsrisiko Nr. 2

 

 

 

Das Problem mit den gehackten Mailadressen besteht zudem eher darin, daß viele Onlineshops Lücken

in ihrem System haben.

Sicherlich hat es der eine oder andere schon erlebt daß er mal unter vollem Namen angemailt und zu

irgendwelchen Datenangaben aufgefordert wurde.

Oft passiert das, wenn man kurze Zeit vorher in irgendeinem Onlineshop Ware bestellt hat.

Auffällig ist u.a. Conrad Elektronik, DHL Paketservice und Paypal.

Fast immer wenn ich mit einen von denen zu tun hatte kamen kurzerhand irgendwelche gefakten Mails herein.

Und ich weiß daß mein Rechner unter Garantie nicht infiziert ist.

 

Was auch sehr wichtig ist: Erlaubt eurem verwendeten Mailprogramm nur Zugriff auf die benutzen

Mail-Ports (Port 25 und Port 110 zum Senden und Empfangen).

Meinetwegen auch noch die Ports für IMAP und verschlüsselte Anmeldung.

Ein Mailer hat sonst an anderen Ports nichts zu suchen, schon gar nicht an Port 80 (http)

 

Viele Fake-Mails laden ihre schädlichen Inhalte beim Öffnen übers Internet nach, beispielsweise

Scripte die dann ohne Vorwarnung im Hintergrund ausgeführt werden.

Wer sein Mailprogramm gleich um die dafür notwendigen Ports beschneidet erhält nur inaktive Textmails.

Lediglich Datenanhänge (Zip, Rar, Exe) müssen dann noch mal gesondert angesehen werden, oder

besser gleich gelöscht wenn der Absender unbekannt ist.

Dazu sollte man sich ein eingeschränktes Nutzerkonto, nur zum Surfen, anlegen.

Allein die Tatsache NICHT als Admin unterwegs zu sein, was bei Windows ja immer noch Standard zu

sein scheint, verhindert 90% der Infektionen.

Den Rest muß das eigene Hirn bewältigen. Leider verlassen sich viele auf den installierten Virenscanner

und denken sich "Scheiß drauf, einfach machen - mein Antivirus schlägt im Notfall ja Alarm"

 

Diese Philosophie ist falsch, das Antivirenprogramm sollte die aller..allerletze Festung sein, die (hoffentlich)

das schlimmste verhindert, sollte ein Anwender wirklich alle guten Vorsätze über Bord geworfen haben.

 

Es gibt übrigens auch gute Software, mit der man sich Mails noch vor dem Download auf dem Mailserver

ansehen kann. Alles Bösartige kann dann nicht auf dem eigenen PC ausgeführt werden.

Sieht man dort etwas unbekanntes - löschen, und dann erst alle Mails vom Server abrufen.

 

Faustregel bezüglich Sicherheit:

Alles was den Komfort erhöht bzw. die eigene Faulheit unterstützt, mindert auf der anderen Seite die Sicherheit.

Bearbeitet: 22. Januar 2014 von choppa

[bemini]

Und da ist bereits die 1. Schwachstelle die ich angreifen würde, wollte ich denn etwas böses.

 

Hier besteht Sicherheitsrisiko Nr. 2

 

 

Natürlich ist da ein Sicherheitsrisiko vorhanden, wenn man als Nutzer explizit auswählt "angemeldet bleiben" oder "auf diesem gerät nicht mehr nach codes fragen". Aber das ist die Entscheidung des Nutzers, ob er der Bequemlichkeit wegen z.B. auf seinem Privat-PC angemeldet bleibt. Hier ist die Sicherheit vermutlich am größten, weil man wenn überhaupt dann hier eine Firewall, Antivirusprogramm etc. installiert hat, was bei dem Computer eines Bekannten oder so nicht immer der Fall ist. Da haben es Keylogger und Co dann einfach.

 

Es geht ja aber hier um die allgemeine Verbesserung der Accountsicherheit, und da ist die genannte 2-Stufen-Verifikation um längen besser als ein einfaches Passwort, welches du teilweise in Sekunden hacken kannst...

 

Zum Thema Mailprogramme:

 

Der Tipp mit den Ports ist gut, aber wenn man kann sollte man immer auf die Weboberfläche des Anbieters zurückgreifen. Dann läuft man gar nicht erst Gefahr, dass irgendwelche Scripts ungewollt und automatisch ausgeführt werden. Zudem besteht die Möglichkeit bei den meisten Anbietern die Anhänge online zu öffnen / nach Viren zu überprüfen.

 

Wird jetzt aber zuviel Offtopic ;)

 

In diesem Sinne, immer die Augen offen halten...

[choppa]

Besser als nichts ist das bestimmt, da hast Du recht.

 

Was auch schon viel helfen würde wäre, wenn man nach der Eingabe seines Passwortes noch einmal

zusätzlich mit der Maus eine persönliche Zahlenkombination auf einer Bildtastatur nachklicken müsste.

 

Dadurch müssen keine Tasten auf der Tastatur betätigt werden, es würden nur Mauspositionsdaten generiert,

ohne Aufschluß auf den Inhalt der angeklickt wurde. Schlechte Karten für (einfache) Keylogger, die

nicht in der Lage sind Bildschirm-Screenshots anzulegen und zu übertragen.

Letzteres fällt einem Opfer aber widerum eher auf, weil erhöhter Internettraffic erzeugt würde.

 

Joah, Möglichkeiten zum Schutz gibt es viele, aber dann sinkt der Komfort natürlich immer weiter.

[Blacky]

Der Test war bei mir Negativ.

 

Für die restliche Sicherheit habe ich Ubuntu (Betriebssystem Linux) drauf.

 

Da ich auch Online-Banking habe und

auf mehreren fremden Web-Seiten den Aushilfs-Administrator spiele,

habe ich vor 4 Jahren einen Rechner auf das Betriebssystem Ubuntu umgestellt.

 

Wenn ich nicht gerade Zocke benutze ich hauptsächlich ein Ubuntu-Rechner im Netz.

 

100% ist kein Rechner sicher.

 

http://olimex.files.wordpress.com/2013/03/ubuntu_904.jpg?w=430