Schlagwort-Archive: Social Engineering

Osama bin Laden auf Facebook zum Leben erweckt?

Originalartikel von Rik Ferguson (Director of Security Research & Communication, Trend Micro)

Wie immer verschwenden die Cyber-Kriminellen keine Zeit und machen sich so auch den Tod von Osama bin Laden und dessen weltweite Wirkung zunutze, um ihre üblichen Fallen auf Facebook auszulegen.

Gerade habe ich einen Anruf von einem "besorgten Familienmitglied" erhalten, der einem Virus im Facebook-Chat zum Opfer gefallen ist.

Die Infektionskette begann mit einer Chat-Nachricht von einem Freund, die folgendermaßen lautete: "watch the video of them killing osama bin laden live! (Schau mal, hier siehst du, wie Osama bin Laden getötet wird!)" und einen Link zum entsprechenden Video enthielt. In der Nachricht wurde das Opfer mit seinem Namen angesprochen, was das Ganze noch glaubwürdiger machte.

Der Link führt zu einer Seite, die den Facebook-Benutzern, die solche Nachrichten häufiger erhalten, vertraut vorkommt. Aber wie mein "besorgtes Familienmitglied" bestätigen kann, legt sie arglose Benutzer herein.

Bild vergrößern

In den Anweisungen auf der Seite wird das Opfer aufgefordert, den "Video-Code" in die Adressleiste des Browsers zu kopieren, um das Video zur Hinrichtung des Terrorfürsten anzuzeigen. In einem Blog mag diese Aufforderung ungewöhnlich sein, im Live-Chat mit einem vertrauenswürdigen Freund aber kommt Ihnen eine solche Nachricht wahrscheinlich völlig harmlos vor.

Dieser Code, den Sie in die Adressleiste des Browsers kopieren, ist ein JavaScript, das einfach eine weitere JavaScript-Datei aufruft, die auf einer infizierten, ansonsten aber völlig harmlosen Website gehostet wird. Diese zweite Datei listet alle Ihre Facebook-Freunde auf, sendet ihnen Chat-Nachrichten, lädt sie zu einer Veranstaltung ein und aktualisiert Ihren Facebook-Status permanent. Der Video-Link wird umgehend auf Ihrer Facebook-Seite veröffentlicht, um andere unbedarfte Facebook-Benutzer anzulocken. Außerdem wird er massenhaft in personalisierten Chat-Nachrichten und Veranstaltungseinladungen an Ihre Liebsten (also Ihre Facebook-Freunde) versendet.

Die eingesetzte Methode entspricht exakt derjenigen, die bei den häufig zu findenden Scams zu Tools für die Ermittlung von Profilbesuchern verwendet wird. Die hier beschriebene bösartige JavaScript-Datei enthält sogar die Zeile "var eventdesc = ‘Hey everyone, \n\ fb now lets you see who viewed your profile! to enable this feature, go here!", aus der sich schließen lässt, dass es sich hier schlicht um eine leicht abgewandelte Falle handelt.

Was lernen wir also daraus? Das Erste und Einfachste ist wohl: Wenn Sie einen unerwünschten Link von jemandem erhalten – und sei es ein Freund – fragen Sie nach, ehe Sie auf den Link klicken. Man kann ja nie wissen – vielleicht tun Sie Ihren Freunden sogar einen Gefallen und machen sie darauf aufmerksam, dass sie hereingelegt wurden. Und noch wichtiger: Kopieren Sie NIEMALS irgendetwas anderes als einen LINK in die Adressleiste Ihres Browsers!

Übrigens handelt es sich bei dem beschriebenen Angriff nicht um den einzigen Osama-Betrug, der zurzeit auf Facebook kursiert. Ich habe viele Versionen eines weiteren Angriffs entdeckt, der das so genannte Clickjacking mit einem falschen CAPTCHA verwendet, um Benutzer dazu zu bringen, den bösartigen Code auf ihrer Facebook-Seite zu veröffentlichen.

Bild vergrößern

 

70 Millionen Kunden von Sony-Sicherheitslücke betroffen

Originalartikel von Rik Ferguson (Director of Security Research & Communication, Trend Micro)

Aktuelle Neuigkeiten von Sony bestätigen die schlimmsten Befürchtungen vieler Kunden: Zwischen dem 17. und 19 April verschaffte sich eine „unbefugte“ Person Zugriff auf die persönlichen Daten der über 70 Millionen Sony-Kunden. Gestohlen wurden folgende Daten:
 
Name
Anschrift
E-Mail-Adresse
Geburtsdatum
Anmeldename und Kennwort für PlayStation Network/QRiocity und die Online-ID.

 
Darüber hinaus wurden möglicherweise folgende Daten entwendet:
Rechnungsanschrift
Kaufhistorie
Antworten auf die Kennwortsicherheitsfrage von PlayStation Network/QRiocity
sämtliche oben genannten Daten für Unterkonten (z. B. die Konten der Kinder von Sony-Kunden).

 
Zwar liegen zurzeit keine Beweise dafür vor, dass auch auf Kreditkartendaten zugegriffen wurde, jedoch kann Sony diese Möglichkeit nicht ausschließen und informiert seine Kunden entsprechend.
 
Was bedeutet das für Sie? Nun, wenn Sie zu den Benutzern zählen, die auf allen Websites das gleiche Kennwort verwenden, ist jetzt der Zeitpunkt gekommen, mit dieser Gewohnheit zu brechen und Ihr Kennwort zu ändern. Die Cyber-Kriminellen haben jetzt Ihre E-Mail-Adresse und Ihr Einheitskennwort, dazu noch möglicherweise die Antworten auf Ihre Sicherheitsfragen, die auch gerne mehrfach verwendet werden.
 
Sie sollten nie das gleiche Kennwort auf mehreren Websites verwenden, sondern für jede Website ein eigenes Kennwort auswählen. Es nicht so aufwändig oder schwierig, wie Sie vielleicht denken. Behelfen Sie sich folgendermaßen: Erstellen Sie ein komplexes Kennwort mit Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen, wie beispielsweise $%&!. Denken Sie sich nun eine Methode aus, wie Sie dieses Kennwort für die einzelnen Websites anpassen können. Sie können zum Beispiel den ersten und letzten Buchstaben des Website-Namens jeweils an den Anfang und das Ende des Kennworts setzen – das macht es einerseits unverwechselbar, lässt sich aber andererseits gut merken.
 
Eine weitere, sehr gängige Möglichkeit zum Hacken eines Kontos ist das Ausspionieren der Sicherheitsfrage bzw. Frage zum Zurücksetzen des Kennworts. Wenn Sie also aufgefordert werden, Antworten auf Sicherheitsfragen anzugeben, überlegen Sie, ob Ihre Antworten wirklich sicher sind. „Sicher“ bedeutet, dass nur Sie die Antwort auf diese Fragen kennen. Wenn Sie eigene Fragen erstellen können, dann sollten Sie diese Möglichkeit nutzen. Bei Standardfragen wie „Name der Grundschule“ oder „Name des ersten Haustiers“ sollten Sie daran denken, dass die Antwort nicht der Wahrheit entsprechen muss, sondern einfach nur gut merkbar sein sollte.
 
Angesichts der Warnung von Sony sollten Sie auch Ihre Bankkonten im Auge behalten und regelmäßig auf unbefugte Aktivitäten überprüfen.