Hi, ich bin
Lars und komme aus der IT-Branche. Weil ich ein Fan von Ace' grandiosen
Geschichten bin, lese ich auch seinen Blog. Ich finde es persönlich sehr
gut, dass er auch seine Erfahrungen mit den Phishingmails teilt und so
ein wichtiges Bewusstsein schafft: Alles was per Email kommt ist
potenziell gefährlich. Jeder aufmerksame Leser auf dieser Seite weiß,
dass Links in offensichtlichen bösartigen Mails absolut Tabu sind und
wenn man sich nicht sicher ob was an der Mail dran ist, sollte man
einfach mit seinen eigenen Lesezeichen zu Paypal (oder was auch immer)
surfen und die Tatsachen so überprüfen.
Problem sind die weniger offensichtlichen Mails. So haben die Leute bei "Symantec" Emails entdeckt, welche etwas fieser sind. Diese haben böse Buben
Emails verschickt, mit einem Link zu "einem wichtigen Dokument", welches
in Google Docs hinterlegt sein soll. Bei normalen Phishingmails könnte
man spätestens anhand der Linkadresse zum Dokument die Gefahr erkennen.
Aber diese, äußerst pfiffigen, bösen Jungs haben sich bei Google
Cloudspeicher gemietet und darauf verlinkt. Es ist also ein wirklich
echter Google Link mit SSL Verschlüsselung und der Browser würde
bestätigen: Jepp, hier gehts nach Google. Nach einem Klick(was wir alle
natürlich trotzdem nicht machen würden), landet man auf einer Seite, die
genau so aussieht wie der Google Anmeldebildschirm. Selbst ein halbwegs
vorsichtiger Mensch würde jetzt vielleicht denken: "Na klar, ich will
ein Dokument auf Google Docs ansehen, dafür muss ich mich anmelden". In
Wirklichkeit schickt diese Anmeldeseite die eingegeben Daten allerdings
nicht an Google, sondern an die bösen Jungs. Zu aller Gemeinheit geht
danach wirklich wohl ein Google Dokument auf, sodass man das Dilemma
nicht einmal mitbekommt. Und grade der Google Account ist bares Geld
wert, denn damit sind gegebenenfalls Käufe aus dem Appstore möglich. Und
sämtliche andere interessanten Dienste, die Google so anbietet:
Adressen, Kalender, Email und so weiter.
Nun gut, Gefahr erkannt,
Gefahr gebannt. Könnte man meinen. Aber eine solche gefakte Anmeldeseite
könnte auch auf andere Weise den Weg zu euch finden. Stellt euch ein
Popup vor, welches diese Anmeldeseite anzeigt. Man ist vielleicht noch
so vorsichtig und die prüft die Adresszeile. Hier zeigt der Browser:
Seite kommt von Google und ist mit SSL verschlüsselt, alles prima. Da
kann man schon mal schwach werden... Nun bietet Google immerhin eine
(sehr sinnvolle) sogenannte "zwei Faktor Authentifizierung"an:
Bei jedem Anmelden von einem (neuen) Rechner oder Gerät, bekommt man
eine SMS (oder Anruf) mit einem Code geschickt, der zum Anmelden
ebenfalls notwendig ist. So ist der Google Account sicher, solange der
böse Bube nicht auch noch das eigene Handy in der Hand hat.
Nachdem
man das Verfahren aktiviert hat und sich grade zurücklehnen will, "weil
nun ja wirklich nichts mehr schief gehen kann". Sorry Leute, ich muss
euch nochmal etwas rütteln: Welche Logindaten habt ihr eigentlich bei
Google? Ist das Passwort zufällig gleich oder sehr ähnlich dem Passwort
von Facebook oder anderen Diensten? Denn Emailadresse und Passwort haben
die bösen Buben ja in den oben beschrieben Fällen trotzdem bekommen.
Sie können sich nur bei Google, dank der zwei Faktor Authentifizierung,
nicht anmelden. Wenn die bösen Buben jetzt das Passwort(vielleicht noch
leicht abgewandelt) und die Emailadresse bei verschiedenen anderen
interessanten Diensten (Ebay, Paypal, Facebook) ausprobieren, könnten
sie Glück haben. Dieses Passwortrecycling, oder auch im Comic nebenan
"password reuse" genannt, ist eine echte Gefahr. Jaja, ich weiß, für
jeden Dienst vollkommen verschiedene Passwörter sind unfassbar
unhandlich. Und für mich persönlich sind sämtliche Ansätze, sich
unterschiedliche Passwörter zu merken, misslungen. Daher habe ich mich
für einen sogenannten Passwortsafe entschieden, den ich euch noch kurz
Vorstellen will.
Ein Passwordsafe, dient zum Erzeugen und Speichern
von Passwörtern mit den dazugehörigen Accountdaten. Diese
Passwortdatenbank wird dann verschlüsselt abgespeichert und sollte mit
einem guten Passwort geschützt werden. Ein einziges Passwort für alle
Dienste sozusagen. Ein solches Programm sollte Open Source sein, damit
der Hersteller keine Hintertüren einbauen kann.
Ich verwende, privat wie beruflich, Keepass,
welches relativ verbreitet ist. Zur praktischen Nutzung: Mit dem
Programm, erzeugt man zunächst eine leere Datenbank bei der man für
jeden Dienst einen Eintrag anlegt. Keepass kann auch ein Passwort nach
selbst definierten Richtlinien erzeugen. Jetzt verwendet man kein
Passwort mehr doppelt und wenn eine Email/Passwort Kombination, auf
welchen Wege auch immer, in die falschen Hände gerät, passiert nichts,
außer dass der eine Dienst eben kompromittiert ist. Nach dem Verändern
des Passworts, hättte sich auch das erledigt.
Diese
Vorsichtsmaßnahmen reichen aus, um kein allzu leichtes Opfer von solch
"gestreuten" Angriffen zu werden. Wenn Geheimdienste etwas über euch
erfahren wollen, werden sie das wohl weiterhin. Und die NSA wird
vermutlich überall wo es etwas interessantes gibt, ihre Finger bereits
drin haben, noch bevor wir überhaupt irgendwo ein Passwort eingeben...
kriegt man auch dank ISBN z.B. auf Amazon und im Buchhandel.Was ich darüber hinaus anbieten kann, ist die
Wenn einfache Antworten einfach falsch sind und vor allem kein einziges
Problem lösen [Gesundheits-Check]
-
Alice Weidel auf X zum Anschlag in Magdeburg: „Die Bilder aus #Magdeburg
sind erschütternd! In Gedanken bin ich bei den Hinterbliebenen und
Verletzten. Wan...
vor 5 Stunden
8 Kommentare:
Ich hatte heute ne Phishingmail im Eingang
Ein Glück das ich nicht Jake mit vornamen heiße
Postbank Online-Banking
Online Banking Service
Sehr geehrter Herr Jake xxxx,
Seit dem 01. Februar 2014 ist der neue Zahlungsverkehr SEPA aktiv. Das bedeutet für Sie, dass alle Zahlungsbewegungen in Europa (einschließlich Deutschland) in dem neuen internationalen SEPA Format benutzt werden müssen.
Aus diesem Anlass müssen wir die Richtigkeit Ihrer Daten überprüfen. Damit das System ordnungsgemäß umgestellt werden kann.
Dazu bitten wir Sie sich bis zum 24.03.2014 zu verifizieren.*
*Link gelöscht*
Mit freundlichen Grüßen
Ihr Postbank Banking Service
*Wird die Verifizierung nicht innerhalb dieser Frist gemacht, wird eine Gebühr von 14,99 Euro fällig und Sie müssen sich in einer Filiale melden.
Deutsche Postbank AG
Friedrich-Ebert-Allee 114 - 126
53113 Bonn
habs schon mal weiter unter gepostet (bei der letzten phishingwarnung von Ace
Du solltest bloggen, diese Mail veröffentlichen und als den Spam bezeichnen, der sie ist. ^^
Juhu, es ist online :)
Aus den Links hättest allerdings du ruhig echte Links machen können. Und den wenns möglich wäre den xkcd Comic als Bild einzubinden, wäre das auch nicht schlecht ;)
Aber ist auch nicht so wichtig...
Hab sie an die postbank und die verbraucherzentrale an Phishingmail weitergeleitet
Das mit den Comic kriege ich ohne Hilfe nicht hin, aber die Links einbinden sollte ich schaffen. ^^
Sorry, wollte nichts an Deinem Artikel verändern und dachte auch, die Links wären in HTML eingebettet...
Nathan, das kann helfen. Ob es das tatsächlich tut, weiß ich nicht. Bis dahin leisten wir hier Basisarbeit.
Vergesst nicht nervige Anrufe mal miteinzufügen. "Wir rufen sie an weil sie bei einem Gewinnspiel gewonnen haben, bitte hinterlassen sie ihre Kontodaten."
Oder reine Comupterbots, die alle möglichen Nummern anrufen und ein Häkchen machen, wenn sich beim Anruf jemand meldet, um die Daten dann teuer zu verkaufen...
Kommentar veröffentlichen