Schlagwort-Archive: Passwörter

Neue Malware-Funktionen zum Stehlen von Passwörtern und Kryptogeld

IT-SecuritySchadsoftware folgt inzwischen vergleichbaren Entwicklungsschritten wie professionelle Software-Entwicklung auch. Immer neue Funktionen kommen zu den vorhandenen Features hinzu. So auch bei neuen Varianten der Ransomware Cerber. Durch Dateiverschlüsselung erpresste Kryptowährungs-Einheiten reichen den Cyberkriminellen nicht mehr, neue Varianten stehlen die Kryptogeld-Wallet (quasi das „digitale Portemonnaie“) und löschen sie anschließend auf dem Rechner. Zudem ziehen die Schädlinge die Passwörter aus den Webbrowsern Chrome, Firefox und Internet Explorer ab, unter anderem wohl, um an das Kryptogeld in den verschlüsselten Wallets heranzukommen.

Diese Evolution der Malware lässt sich immer wieder beobachten und zeigt, dass ein Schutzkonzept nicht nur aus der Installation und Wartung einer Virenschutz-Lösung bestehen kann. Um beispielsweise die gelöschte Wallet sowie die verschlüsselten Dateien wiederherzustellen, ist ein Backup nötig. Am Besten mit einem eigenen Backup-Konto erstellt, sodass Schädlinge im Benutzerkontext keinen Zugriff auf die Backups erhalten und diese nicht mitverschlüsseln können. Um dem Passwortdiebstahl aus dem Webbrowser vorzubeugen, bietet sich ein Passwort-Manager wie Sticky Password an. Diese legen die Zugangsdaten in eigenen verschlüsselten Containern ab, sodass die unsichere Speicherung im Webbrowser entfällt.

Internationaler „Ändere-dein-Passwort-Tag“

logo-sticky-passwordDer erste Februar ist der internationale „Ändere-dein-Passwort-Tag“. Er soll die Bedeutung von guten, komplexen, sicheren Passwörtern für den Privatsphären- und Datenschutz hervorheben. Da es inzwischen recht häufig zum Diebstahl von Datenbanken mit Zugangsdaten von Unternehmen – nur ein Beispiel aus jüngerer Vergangenheit, der den Internetdienstleister Yahoo betraf – kommt, ist ein regelmäßiges Ändern der Passwörter sinnvoll, um so mögliche Einbrecher doch wieder aus dem Konto auszusperren.

Dies führt aber bei erzwungenen Passwort-Wechseln alle paar Monate jedoch mitnichten zu besserer Sicherheit. Die neu gewählten Passwörter werden von den Nutzern, um sie sich besser merken zu können, nach einfachen Schemen erstellt und lassen sich so wieder einfach knacken. Daher empfiehlt sich ein Passwortmanager wie Sticky Password, das nicht nur Passwörter für alle Web- und Programmkonten sicher speichern und durch Eingabe eines Master-Kennworts zugänglich machen kann. Es hat auch eine Funktion zur Erstellung sicherer, komplexer Passwörter an Bord. Und das Ganze geht nicht nur auf Windows-Rechnern, sondern auch auf Macs und sogar auf dem Smartphone von Apple oder mit Android. Damit wird das regelmäßige Wechseln der Passwörter zum Kinderspiel! Und führt zu tatsächlich mehr Sicherheit.

01. Februar: Der offizielle Ändere-Dein-Passwort-Tag

logo-sticky-passwordDer erste Februar ist seit nunmehr vier Jahren der weltweite „Ändere-Dein-Passwort-Tag“. Er soll Computernutzer auf die Wichtigkeit des Passwort-Wechsels hinweisen und so unter anderem zu mehr Sicherheit von Online-Zugängen und privater Daten sorgen.

Da die beliebtesten Passwörter nach wie vor „123456“ bis „12345678“, „geheim“ und „passwort“ sind, sollte man natürlich ein komplexeres Passwort wählen: Groß- und Kleinbuchstaben gemischt, mit Sonderzeichen und Zahlen verfeinert. Keinesfalls sollte ein real genutztes Wort dabei herauskommen, da diese mit lexikalischen Angriffen leicht geknackt werden können. Am einfachsten ist es, sich eine „Passphrase“ auszudenken. „Jeden Tag um 12 Uhr esse ich zu Mittag!“ – wenn man hier immer das erste oder die ersten beiden Zeichen der einzelnen Wörter verwendet, erhält man ein sicheres Passwort: „JTu1Ueizm!“ respektive „JeTaum12UhesicMi!“.

Noch komfortabler gelingt das Nutzen sicherer Passwörter, wenn man einen Passwortsafe wie Sticky Password nutzt. Mit einem etwa nach obigem Vorbild gewählten, sicheren Masterkennwort kann man für alle Zugänge von dem Programm komplexe, sichere Passwörter erstellen und verwalten lassen. Man muss sich dann lediglich dieses eine Passwort merken und hat trotzdem viele unterschiedliche Passwörter im Einsatz.

Weihnachtszeit ist Phishing-Zeit

logo-sticky-passwordAlle Jahre wieder: Pünktlich zur Hochzeit des E-Commerce in der Vorweihnachtszeit wollen auch die Cyberkriminellen einen Schnitt machen und versuchen, mittels Phishing an die Zugangsdaten zu Online-Konten zu gelangen – um diese dann leer zu räumen. Es lässt sich ein starker Anstieg an Phishing-E-Mails beobachten, die selbst Experten zum genauen Hinsehen zwingen.
2015-12-01-Paypal-Phish
 
Die Mails enthalten meist den korrekten Namen des Empfängers. In vielen Fällen stimmt sogar die Adresse. Optisch sind die Mails nicht von originalen Paypal-E-Mails zu unterscheiden. Einige Kleinigkeiten weisen jedoch auf Phishing hin:



  • Eine Bestellung und Bezahlung wie angegeben hat nicht stattgefunden
  • Zunächst wird im Text eine Summe von 176 Euro genannt, weiter hinten in der Mail dann ein anderer Betrag
  • Während das Wort „Storno“ noch korrekt geschrieben wurde, heißt die Schaltfläche „Stonierung“, es fehlt ein „r“.
  • Der vermeintliche Link enthält ebenfalls diesen Schreibfehler.
  • Der Link ist unverschlüsselt, während Paypal nur verschlüsselte Verbindungen nutzt:
    2015-12-01-Paypal-Phish-3-korrekt



2015-12-01-Paypal-Phish-2
Die Seite, auf der man landet, zeigt tatsächlich eine falsche Adresse an. Die Verbindung ist nicht verschlüsselt. Die ganzen Links auf der Seite sind unbenutzbar, lediglich die Schaltflächen „zur Problemlösung“ führen zu dem Formular, in dem man seine Zugangsdaten eingeben soll, damit die Angreifer damit dann das Konto leeren können.

Diese Phishing-Mails werden zunehmend schwieriger zu erkennen. Auch Experten müssen genauer hinsehen. Man kann sich jedoch recht einfach vor derartigem Phishing schützen: Ein Passwort-Manager wie Sticky Password erkennt die Phishing-URL nicht als Original-Adresse und füllt das Formular daher nicht aus!

Geschrieben von Dirk Knop.

Safer Internet Day 2015

avg_logo_deAm heutigen Dienstag findet der alljährliche Safer Internet Day statt – Ziel ist es, für die Gefahren aus dem Internet zu sensibilisieren. Bei den Gefahren, die durch die Preisgabe persönlicher Informationen und Daten etwa in sozialen Netzen lauern, kann nur eine Schulung helfen. Für die größten Angriffsflächen rein technischer Natur jedoch kann Software den Nutzer unterstützen.

Die weitaus größte Gefahr lauert immer noch beim Surfen im Netz. Cyberkriminelle versuchen, durch manipulierte Werbung auf Werbeservern, die in fast jede Internetseite integriert sind für eine Monetarisierung der Inhalte, Sicherheitslücken in der installierten Software zum Einschleusen etwa von Trojanern auszunutzen. Auf den infizierten Rechnern können sie dann Zugangsdaten zu Online-Konten mitprotokollieren, den Rechner zur Erpressung von Unternehmen etwa mittels DDoS-Attacken nutzen oder einfach Spam-E-Mails darüber versenden.

Ein paar einfache Schutzmaßnahmen genügen, um diese Bedrohung umfassend einzudämmen. So sollte die installierte Software stets auf dem aktuellen Stand gehalten werden. Dazu gehören die Windows-Updates – aber auch die ganzen Programme, die mit dem Internet in Verbindung stehen, benötigen häufig Aktualisierungen. Darunter fallen Webbrowser, Java, PDF-Reader oder wie kürzlich gesehen der Flash Player von Adobe. Der Fall des Flash-Player zeigt, dass es eine ständige Aufgabe ist, die Aktualisierungen zu suchen und zu installieren.

Gegen Exploit-Versuche von manipulierter Werbung auf Webseiten helfen der Online Shield und Link Scanner von AVG. Diese erkennen viele Angriffsmuster und können sie blockieren, bevor es zu Schaden auf dem Rechner kommt. Ein weiteres Puzzleteil im Sicherheitskonzept ist schließlich ein Passwort-Manager wie Sticky Password. Der verwaltet mit einem Masterpasswort verschlüsselt die Zugangsdaten zu allen Online-Konten und zu Programmen. Dadurch kann man die automatisch generierten hochkomplexen Passwörter aus Sticky Password verwenden und diese auch regelmäßig mit Unterstützung vom Programm ersetzen. Cyberganoven können so nicht an diese immer wichtiger werdenden Zugangsdaten gelangen beziehungsweise nichts damit anfangen.

Sicherheit ist immer ein Kompromiss aus Benutzbarkeit und Komplexität der Sicherungsmaßnahmen. Ein sehr guter Sicherheitsgrad lässt sich aber schon mit diesen recht einfachen Mitteln erreichen.

Geschrieben von Dirk Knop.

Verbesserter Passwort-Manager Sticky Password Premium

logo-sticky-passwordDas neue Sticky Password Premium erweitert die unterstützten Plattformen um Mac OS X. Die Synchronisierung von Passwörtern ist jetzt AES-verschlüsselt im WLAN geräteübergreifend möglich. Zudem kann auf Smartphones mit Fingerabdrucksensor der Zugriff auf die eigenen Passwörter anstatt mit Master-Kennwort mit einem Fingerabdruck freigegeben werden.

Ein Passwort-Manager wie Sticky Password Premium hilft, ein vernünftiges Sicherheitskonzept mit komplexen Passwörtern für jedes einzelne Konto einfach umzusetzen. Der integrierte Passwort-Generator erstellt auf Knopfdruck automatisch ein solches komplexes Passwort, das auch künftigen Anforderungen gerecht wird. Als Nutzer muss man sich lediglich das Master-Passwort merken oder kann sogar per Fingerabdruck die Anmeldung an seine Konten freigeben. Damit schiebt man Identitätsdiebstahl effizient einen Riegel vor.

Geschrieben von Dirk Knop.

Nur 100 Malware-Programmierer weltweit

logo-sticky-passwordIn einem BBC-Interview hat der Chef der Europol-Cybercrime-Einheit Troels Oerting eine Einschätzung der derzeitigen Malware-Szene abgeliefert. Im Kern lieferten lediglich 100 Malware-Programmierer die Basis der derzeit beobachteten Schädlingsschwemme.

Die Schadsoftware-Programmierer seien besser ausgestattet als die Europol, so Oerting, und hätten weniger Hindernisse. Sie böten ihre Schädlinge in Untergrund-Foren an, sodass dann auch völlig unbedarfte Nutzer zu Cyberkriminellen werden könnten.

Die Programmierer sitzen Oerting zufolge großteils im russischsprachigen Raum. Die Zusammenarbeit mit den dortigen Behörden verbessere sich stetig. Würde man die dortigen Cybergangs unschädlich machen, würde der Rest Malware-Szene ebenfalls zusammenbrechen, ist sich Oerting sicher.

Privatnutzer sollten sich nicht nur um Schadsoftware Sorgen. Insbesondere Identitätsdiebstahl sei eine große Gefahr – der Zugang zum Apple- oder Google-Konto ermögliche, das komplette Leben eines anderen zu übernehmen, führte Oerting aus.

Um die Identität zu schützen, sollte man die Zugänge zu Online-Konten mit starken Passwörtern sichern. Dabei hilft ein Passwortsafe wie Sticky Passwort. Der Nutzer muss sich nur ein Masterpasswort merken und kann damit alle Konten verwalten und ihnen beliebig komplexe Passwörter vergeben. Dank verschlüsselter Cloud-Speicherung gelingt dies auch plattformübergreifend. Nicht nur vom PC aus, auch mit dem Tablet oder Smartphone hat man mit dem richtigen Masterkennwort alle Zugänge sicher im Griff.

Geschrieben von Dirk Knop.

Zugangsdaten tausender E-Mail-Konten aufgetaucht

logo-sticky-passwordIm Internet sind erneut Zugangsdaten zu E-Mail-Konten aufgetaucht. Zehntausende der 60.000 Datensätze betreffen deutsche Mailkonten. Darunter befinden sich auch zahlreiche Zugänge zu Firmen- und Behörden-Mailboxen, meldet heise online.

Die Daten lagen unverschlüsselt und frei zugänglich auf Drop-Zones auf gehackten Servern im Internet. Drop-Zones nennen sich die Zielserver von Trojanern, auf denen diese ihre von infizierten Rechnern ergaunerten Daten ablegen. Das Netzwerk-Sicherheitszentrum BUND-CERT wurde über diese Daten informiert. Daher wird es wahrscheinlich in Kürze wieder eine Abfragemöglichkeit geben, mit der man die eigene E-Mail-Adresse überprüfen kann.

Bei der Wahl komplizierter, sicherer Passwörter hilft Sticky Password. Es kann nicht nur Passwörter für alle Arten von Konten erstellen, sondern diese auch gleich verwalten – plattformübergreifend, vom PC bis zum Smartphone. Man benötigt nur noch sein Masterkennwort und kann sich damit sicher und komfortabel im Netz bewegen. Ein Passwortwechsel lässt sich mit Sticky Password mit wenigen Klicks durchführen – und schon ist das eigene Mailkonto auf wieder ordentlich gesichert!

Geschrieben von Dirk Knop.

Umgehend eBay-Passwörter ändern!

logo-sticky-passwordCyberkriminelle haben die Kundendatenbank des Auktions- und Handelsportals eBay entwendet. Neben persönlichen Daten wie Name, Anschrift und E-Mail-Adresse ist darin auch verschlüsselt das Passwort enthalten. Diese Verschlüsselung ist jedoch nicht mehr sicher, da die Datendiebe nun mit beliebigem Rechen- und Zeitaufwand die Passwörter entschlüsseln können.

Daher sollten eBay-Nutzer jetzt dringend ihre Passwörter ändern, um nicht Opfer von Identitätsdiebstahl und anderen kriminellen Handlungen zu werden. Hierbei sollte ein kompliziertes Passwort gewählt und für jedes Online-Konto ein eigenes verwendet werden.

Hierbei unterstützt Sticky Password den Nutzer: Es verwaltet nicht nur die kompli­zier­ten Passwörter – auch auf dem iPhone, Android-Smartphone und unterwegs auf dem USB-Stick -, sondern bietet auch Komfortfunktionen zum Erstellen davon. Zu­dem erkennt die Software auf den meisten Webseiten Anmeldeformulare auto­matisch und kann den Anwender selbsttätig einloggen. Man benötigt dann nur noch das Haupt­kenn­wort und kann damit viele sichere Kontozugänge verwalten.

Geschrieben von Dirk Knop.

BSI warnt: 16 Millionen E-Mail-Konten gehackt

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt aktuell davor, dass bei Analysen von Botnetzen 16 Millionen gekaperte E-Mail-Zugänge entdeckt wurden. Die Daten umfassen E-Mail-Adresse und Passwort und ermöglichen Identitäts­diebstahl.

Auf einer eigens dafür eingerichteten Website können Anwender ihre E-Mail-Adresse überprüfen. Gehört die eigene E-Mail-Adresse zu den kompromittierten Konten, erhält der Empfänger dann eine E-Mail mit weiteren zu ergreifenden Maßnahmen. Deren Betreff kündigt das BSI auf der Website an. Unverlangt zugesandte E-Mails mit dem Absender BSI oder welche mit anderem Betreff sollten Empfänger vorsichtig behandeln und keine Anhänge daraus öffnen.

Da viele Nutzer oftmals ein und dasselbe Passwort für unterschiedliche Dienste nutzen, ist mit diesen Daten meist ein vollständiger Identitätsdiebstahl möglich. Kriminelle können mit diesen Daten dann etwa Waren bestellen und so dem eigentlichen Besitzer Probleme bereiten.

Daher empfiehlt sich, einen Passwort-Safe und -Generator wie Sticky Password zu verwenden, der für jede Website ein eigenes Passwort anlegt und verwahrt. Mit dem Master-Kennwort kann man dann diverse Konten sicher nutzen.

Geschrieben von Dirk Knop.