ACHTUNG: neue Phishing Attacken!

Heute bekamen wir Mails, die als Anhang eine in Word geschriebene Word-Datei beinhalten. Wenn man den Anhang öffnet, kommt noch einmal ein Bild, welches aussieht wie eine Word-Datei, wenn man da drauf klickt, holt das System aus dem Internet böse Schadsoftware nach!

Die Mails an sich sehen unverfänglich aus und wenn man mit Online-Shops arbeitet, bitte genau aufpassen, ob und von wem man eine Rechnung, Nachricht, etc. erwartet und im Zweifelsfall nicht öffnen – wenn es echt ist, dann wird schon ein erneuter Kontakt erfolgen.

pishing2pishing

 

Identitätsdiebstahl

Bei einem Identitätsdiebstahl wird das Konto eines Users, dass er auf einer WebPage wie Dropbox, LinkedIn, Adobe, Google, Microsoft, … verwendet hat, geknackt und dazu benutzt, um z.B. einzukaufen, Kreditkartendaten zu übernehmen, genaue Spam-Mails zu versenden, den User zu erpressen, etc.

Meist wird durch eine Sicherheitslücke im Konto-System des Websites-Betreibers gleich die ganze User-Datenbank des Anbieters samt allen relevanten personenbezogenen Daten gestohlen – siehe c´t 2016, Heft 23.

Es gibt Hinweise darauf, dass zwei Suizid-Fälle nach Bekanntwerden des Ashley-Madison-Leak in Toronto auf Erpresserschreiben zurückgehen könnten.

Um vor einem Identitätsdiebstahl geschützt zu werden, empfiehlt es sich, auf jeder WebPage unterschiedliche, sichere Kennwörter zu nehmen, eine Multi-Faktor-Authentifizierung zu aktivieren und ganz allgemein regelmäßig zu überprüfen, ob der Account in einer der gehackten Datenbanken auftaucht.

Um nicht in der Kennwörterflut unterzugehen, kann man z.B. ein Kennwort (mind 8 Zeichen, mind 3 aus den 4 verschiedenen Zeichensätzen) verwenden und z.B. vorne und hinten jeweils den Anfangs- und den Endbuchstaben anhängen. Natürlich kann man diese verschiedenen Kennwörter einfach auf einer Liste zusammenschreiben und halt aufpassen, dass diese nicht verloren geht. Alternativ kann man Passwortmanager wie KeePass, LastPass oder 1Password verwenden.

Man sollte auch überprüfen, wie das Kennwortzurücksetzverfahren abläuft – korrekte SMS-Adresse, alternative Mail-Adresse, TANs, damit nicht durch ein einfaches Kennwort-Reset jemand anderer in den Account kommt.

Auch sollte man bei den WebPages, wo dies möglich ist, eine Multi-Faktor-Authentifizierung, z.B. via SMS auf das Handy aktivieren. Das ist zwar eine kleine Mehrarbeit, bringt aber viel Sicherheit!

Auf Webpages wie leakedsource.com oder haveibeenpwned.com kann man überprüfen, ob man in einer der geklauten Datenbank zu finden ist (diese Datenbanken aus dem Darknet kommen höchstwahrscheinlich aus Konkurrenzdenken der verschiedenen Hacker oder Hackergruppen ans Tageslicht – alles in den spannenden Artikeln in der aktuellen c´t 2016, Heft 23 nachzulesen).