Suchmaschine für gehackte Passwörter

Die bis­he­ri­gen Angebote zur Identifizierung gehack­ter Webaccounts funk­tio­nier­ten auf Basis der benutz­ten Email-Adresse. Seit kur­zem ist nun ein neu­er Service des Anbieters HaveIbeenpawned online. Eine Datenbank mit mehr als 306 Millionen (306 000 000) Einträgen gibt Auskunft, ob das eige­ne Lieblingspasswort kom­pro­mit­tiert ist.

Gehackte Accounts und deren Passwörter fin­den schnell Einzug in die Datenbanken von Knacksoftware, die zum auto­ma­ti­sier­ten Angriff und Hacking von Nutzeraccounts (z.B. über Wörterbuch- und Brute-Force-Attacken) genutzt wer­den. Ärgerlich, wenn das eige­ne Passwort dar­in vorkommt.

Vorsichtige Administratoren las­sen sol­che “bekann­ten” und somit unsi­che­re Passwörter erst gar nicht zur Auswahl durch den Nutzer bei Neuanlage eines Passworts in ihrem Netzwerk zu. Eine ent­spre­chen­de API stellt der Anbieter des Prüfservices, Troy Hunt gleich zur Einbindung bereit.

Wollen Sie nun Ihr eige­nes Lieblingspasswort über­prü­fen, ob die­ses noch sicher ist? Oder Ihren Passwortpool? Dann besu­chen Sie den Service online und füh­ren die Überprüfung Ihres Passworts durch.

Fritz!Box — der Spion im eigenen Haus

Wer sich mit dem Thema Hacking zum ersten Mal befasst, stößt schnell auf Beiträge zu Tools wie nmap, Wireshark oder gleich das fer­tig kon­fi­gu­rier­ter Hacking-Betriebssystem zum Download Kali-Linux. Doch dabei muss man eigent­lich gar nicht so tief in die Materie ein­drin­gen, steht der Sniffer zum Datenschnüffeln doch bereits in vie­len Haushalten und Organisationen zum Einsatz bereit. Die Rede ist von der AVM Fritz!Box!

Glauben Sie nicht? Sie haben eine Fritz!Box in Ihrem Netzwerk? Dann rufen Sie doch ein­fach mal die fol­gen­de URL auf — http://fritz.box/html/capture.html und stau­nen Sie. Zuerst sieht alles aus wie die nor­ma­le Anmelde-Oberfläche für das Konfigurationsinterface Ihrer Fritz!Box. Sobald Sie sich mit Administrator-Rechten in dem Login ange­mel­det haben, erscheint eine nicht im Anwender-Handbuch der Fritz!Box beschrie­be­ne Funktion samt Oberfläche. Willkommen beim inter­nen Schnüffeltool für Ihr Netzwerk!

Screenshot der Capture-Oberfläche der Fritz!Box

Screenshot Capture Oberfläche der Fritz!Box

Jetzt wäh­len Sie nur noch die Schnittstelle aus (die Auswahlmöglichkeiten enden nicht mit die­sem Screenshot, scrol­len Sie ein­fach mal wei­ter nach unten) und drücken den “Start”-Button. Wenn Sie der Meinung sind, genü­gend Informationen an die­ser Schnittstelle mit­ge­schnit­ten zu haben, klicken Sie auf “Stopp” und laden den Mitschnitt auf Ihr Endgerät her­un­ter. Nun reicht ein nor­ma­ler Textbetrachter — oder kom­for­ta­bler der Import in ein Tool wie Wireshark — und Sie haben die kom­plet­te Netzwerkkommunikation im Klartext vor sich — inklu­si­ve genutz­ter Zugangsdaten und Passwörter. Im Klartext, sofern kei­ne ver­schlüs­sel­ten Netzwerkverbindungen wie https oder ande­re für die Übertragung genutzt wur­den. Zahlreiche Programme und Apps, aber auch nicht sen­si­bi­li­sier­te Anwender über­tra­gen Daten unver­schlüs­selt über das Netzwerk. Nutzern soll­te man stets raten, aus­schließ­lich https-gesicherte Verbindungen im Browser zu nutzen.

Geht nur mit den gro­ßen Fritz!Boxen von AVM? EIn Trugschluss. Wir haben meh­re­re Modelle begin­nend von der 4020 (ohne DSL Modem) bis hin zur 7490 gete­stet, es geht!

Glauben Sie nicht? Machen Sie doch ein­fach selbst den Test. Aktivieren Sie das Mitschneiden wie oben beschrie­ben an der Schnittstelle, an der Sie mit Ihrem aktu­el­len Gerät ange­schlos­sen sind. Öffnen Sie wei­te­re Browserfenster, sur­fen Sie ein wenig, nut­zen Sie Anmelde- oder Registrierungsformulare. Dann zurück zur Fritz!Box-Oberfläche, Stopp, Download und Textbetrachter anwerfen.

Normalerweise kann die Funktion nur von inner­halb eines Netzwerks auf­ge­ru­fen wer­den. Sollte jedoch der Web-Zugang zu Ihrer Fritz!Box akti­viert und unsi­cher sein oder ein VPN-Zugang in Ihr inter­nes Netz kom­pro­mit­tiert sein, dann steht die Anmelde-Oberfläche auch ande­ren, eher uner­wünsch­ten Nutzern zur Verfügung. Eigentlich selbst­ver­ständ­lich, die Anmelde-Oberfläche der Fritz!Box mit einem star­ken Passwort zu sichern.

Eigentlich ist die­se Funktion zur Fehleranalyse inte­griert. Wie so oft bei sol­chen Funktionen, kann die­se jedoch auch zu bös­ar­ti­gen Zwecken genutzt wer­den. Sobald Zugang zur Oberfläche der Fritz!Box besteht, ist ein Mitschneiden des Datenverkehrs ALLER ange­schlos­se­nen Geräte möglich.

Wer sich nun frisch ans Werk macht, egal ob in sei­ner Behörde, sei­nem Unternehmen oder daheim im Privatnetzwerk, dem sei der Blick auf die Paragraphen 202a, 202b, 202c (Vorbereiten des Ausspähens und Abfangens von Daten), 303a sowie 303b Strafgesetzbuch nahe­ge­legt. Es han­delt sich hier um kein Kavaliersdelikt, son­dern um eine Straftat. Und das gilt auch für den Einsatz im hei­mi­schen pri­va­ten Netzwerk ohne Kenntnis der ande­ren Familienmitglieder / Nutzer. Auch im dienst­li­chen / geschäft­li­chen Umfeld soll­te der Einsatz zuvor mit der Behörden-/Unternehmensleitung, sowie dem Personal-/Betriebsrat und dem Datenschutz- sowie dem Informationssicherheitsbeauftragten abge­klärt wer­den. Der Einsatz durch einen Mitarbeiter außer­halb der IT und ohne Abstimmung ver­bie­tet sich von selbst.

Handlungsbedarf für Owncloud- und Nextcloud-Betreiber — kritische Sicherheitslücke

Das Bundesamt für Sicherheit in der Informationstechnik (kurz BSI) warnt in einer aktu­el­len Pressemeldung die Administratoren und Nutzer von Owncloud und Nextcloud (einem Fork von Owncloud) vor einer kri­ti­schen Sicherheitslücke. Über 20.000 Installationen in Deutschland sind poten­ti­ell ver­wund­bar. Betroffen sind u.a. gro­ße und mit­tel­stän­di­sche Unternehmen, öffent­li­che und kom­mu­na­le Einrichtungen, Energieversorger, Krankenhäuser, Ärzte, Rechtsanwälte und pri­va­te Nutzer.

Bereits im Februar hat das BSI die Betreiber auf das Sicherheitsrisiko hin­ge­wie­sen. Sehr viel ist seit­her nicht pas­siert, wie man der aktu­el­len Meldung ent­neh­men kann. Lediglich ein Fünftel der infor­mie­ren Einrichtungen hat reagiert und die Schwachstelle geschlossen.

Ob die eige­ne Cloud-Installation betrof­fen ist, kann mit dem Security-Scanner von Nextcloud online geprüft wer­den. Der BSI-Präsident redet nicht um den hei­ßen Brei herum:

Der Betrieb von Clouds mit ver­al­te­ten Software-Versionen, für die bereits seit lan­ger Zeit Updates der Hersteller bereit­ste­hen, ist fahr­läs­sig und macht es Kriminellen viel zu leicht, sen­si­ble Daten zu steh­len oder Geschäftsprozesse zu beeinflussen.”

Sollten Sie in Ihrer Organisation oder pri­vat eine Instanz von Owncloud oder Nextcloud betrei­ben, so prü­fen Sie bit­te zeit­nah unter dem og. Link oder mit­tels des Owncloud Vulnerability Scanners, ob Ihre Installation betrof­fen ist. Generell soll­te eine regel­mä­ßi­ge Prüfung auf Updates und deren Installation selbst­ver­ständ­lich und ein fester wie­der­keh­ren­der Termin im Kalender sein.

Wir bauen uns einen Erpressungstrojaner per Mausklick

Ein neu­es Geschäftsmodell hält Einzug. Wie heise.de berich­tet, steht die Ransomware Satan nun kosten­los  zur Verfügung. Über eine Weboberfläche im Tor-Netz kann sich nun jeder Abenteurer sei­nen eige­nen Kryptotrojaner zusam­men­klicken. So kön­nen nicht nur, aber auch die Erpresserbotschaft und die Höhe des Lösegelds in Bitcoins kon­fi­gu­riert wer­den. Die so erzeug­te Schadsoftware muss dann selbst ver­teilt wer­den. Entsprechende Word-Makros und infi­zier­te Windows-Hilfe-Dateien wer­den mit­ge­lie­fert und unter­stüt­zen dabei.

Ganz kosten­los ist der Service dann aller­dings doch nicht. Gezahlte Lösegelder gehen zuerst an die Drahtzieher hin­ter Satan. Diese brin­gen dann eine “Provision” für den Service in Höhe von 30% in Abzug. Lediglich der Rest geht dann an den Initiator und Trojanerbastler. Je mehr Geräte jedoch infi­ziert wer­den, desto weni­ger Provision soll fäl­lig sein.

Erste Virenscanner erken­nen die mit Satan gene­rier­ten Trojaner bereits. Das ist jedoch kein Grund zur Entwarnung. Bitte sen­si­bi­li­sie­ren Sie Ihre Mitarbeiter.

Kryptotrojaner Goldeneye greift gezielt Personalabteilungen an, Polizei warnt bundesweit

Mitarbeiter in Personalabteilungen, aber nicht nur die­se, soll­ten aktu­ell auf der Hut sein. Ein neu­er Kryptotrojaner namens “Goldeneye” (mög­li­cher­wei­se eine Anlehnung an die schlag­kräf­ti­ge Waffe in dem gleich­na­mi­gen James Bond Film) ist unter­wegs und nimmt gezielt Personalabteilungen ins Visier. Die als Bewerbung getarn­te Email ent­hält eine XLS Tabelle. Wird die­se geöff­net und die Sicherheitsabfrage zur Aktivierung der “Bearbeitungsfunktion” (gemeint ist die Ausführung von Makros) bejaht, geht der bereits von ande­rer Ransomware bekann­te Ablauf los. Da es sich bei Goldeneye augen­schein­lich um einen Ableger von Petya han­delt, einem zuvor bereits akti­ven Verschlüsselungstrojaner, wird das System zu einem Neustart gezwun­gen und dar­auf­hin die Verschlüsselung begon­nen (der Betrachter sieht der­weil einen Bildschirm, der an die Anzeige des Betriebssystemtools Chkdsk erinnert).

Mittlerweile hängt zahl­rei­chen Emails noch ein zusätz­li­ches PDF an. Email-Text und PDF-Inhalt sind in ein­wand­frei­em Deutsch ver­fasst und gau­keln eine Bewerbung vor. Wie heise.de berich­tet, wer­den teil­wei­se sogar aktu­el­le Stellenausschreibungen der betrof­fe­nen Organisation erwähnt. Weiterhin wer­den in Teilen nur orga­ni­sa­ti­ons­in­ter­ne Email-Adressen ange­spro­chen, inter­ne Ansprechpartner und Rufnummern genannt, die in der Form nicht frei ver­füg­bar sind. Die Versender müs­sen dem­nach eini­ges an Aufwand betrie­ben haben, um die Daten für eine so ziel­ge­rich­te­te Kampagne zu beschaf­fen. Da die ange­häng­te XLS Tabelle regel­mä­ßig geän­dert wird, tun sich vie­le Virenscanner zur Zeit noch sehr schwer.

Als Absender fun­giert iro­ni­scher­wei­se eine Email-Adresse eines Unternehmens, das unter ande­rem Entschlüsselungshilfe für von Petya betrof­fe­ne Organisationen anbie­tet. Sowohl das Unternehmen, die Ingenieursozietät Dipl.- Ing. Rolf B. Drescher VDI & Partner  als auch der Träger des Absendernamens “Rolf Drescher” beteu­ern nach­voll­zieh­bar, mit die­ser Angriffswelle nichts zu tun zu haben. Es wird viel­mehr ein Racheakt ver­mu­tet, da sich Goldeneye und Petya sehr ähn­lich sind. Aufgrund der vie­len Anfragen und Beschwerden wur­den die Arbeitsabläufe der Ingenieursozietät bereits stark beein­träch­tigt. Ob auch wei­te­re Email-Adressen für den Versand genutzt wur­den, ist zur Zeit nicht bekannt.

Nach Meldungen von heise.de sind akut betrof­fen Windows 7, Windows 10 und Server 2008. Die Schadroutine scheint auf Windows Server 2012 nicht zu funk­tio­nie­ren. Verlassen soll­te man sich dar­auf jedoch nicht. Auch zur Verschlüsselung von Dateien auf Netzfreigaben gibt es unter­schied­li­che Aussagen, ob die­se von “Goldeneye” erreicht wer­den oder nicht.

Bitte sen­si­bi­li­sie­ren Sie Ihre Mitarbeiter zeit­nah für die­se aktu­el­le Bedrohung. Sie soll­ten sich dabei nicht auf Mitarbeiter im Personalbereich beschrän­ken. Auch wenn Inhalt und Aufmachung der Email, gera­de durch die Nennung nur orga­ni­sa­ti­ons­in­ter­ner Fakten, noch so ver­trau­ens­wür­dig erschei­nen, es ist erhöh­te Aufmerksamkeit geboten.

Update 08.1216:

Anscheinend bedie­nen sich die Macher von Goldeneye an Daten der Bundesagentur für Arbeit, um ihren Kryptotrojaner samt Text so pas­send wie mög­lich auf die Zielorganisation zuzu­schnei­den. Dabei wer­den Daten ver­wen­det, die nicht den öffent­li­chen Stellenausschreibungen der Agentur zu ent­neh­men sind, son­dern aus dem inter­nen Bereich stam­men. Laut heise.de hat die Agentur dazu bis­her auf mehr­ma­li­ge Nachfragen kei­ne Stellung bezo­gen, son­dern ledig­lich auf die unrecht­mä­ßi­ge Verwendung des Agentur-Logos in den der Anfrage bei­ge­füg­ten Screenshots hingewiesen.

Wir hal­ten Sie informiert.

Locky erhält Updates

Lange Zeit hat man von Locky nicht mehr viel gehört, wäh­rend über ande­re Vertreter der Krypto-Trojaner zahl­reich berich­tet wur­de. Doch Locky ist nach wie vor aktiv und hat dazu gelernt. Wohl weni­ger gra­vie­rend ist die Tatsache, dass Locky nun die Dateiendung “.odin” statt “.locky” für die ver­schlüs­sel­ten Dateien ver­wen­det. Gravierender ist die Neuerung, dass für die erfolg­rei­che Arbeit nun kei­ne Online-Verbindung zum C&C Server der hin­ter Locky ste­hen­den Erpresser mehr not­wen­dig. Bisher konn­te Locky ohne die­se Verbindung nicht mit sei­nem Werk begin­nen. Nun benö­ti­gen neue­re Varianten die Server nicht mehr als Anstoß zur Erzeugung des loka­len Schlüssels. Die genaue Technik ist noch nicht bekannt.

Die Vorteile lie­gen klar auf der Hand: Die kosten­in­ten­si­ve Infrastruktur zum Betrieb der C&C Server ent­fällt. Lösegeldzahlungen wer­den nach wie vor über Links in Tor-Netz abge­wickelt. Aber auch den Ermittlern feh­len somit wert­vol­le Anhaltspunkte, um die Drahtzieher mög­li­cher­wei­se ding­fest zu machen.

Im Vergleich zu ande­ren Krypto-Trojanern steht für Locky nach wie vor kein Entschlüsselungstool zur Verfügung. Hier hilft nur zah­len, oder ein funk­ti­ons­fä­hi­ges Backup für ein Recovery zur Verfügung zu haben. Übrigens: Wie lan­ge lie­gen Ihre letz­te Überprüfung der Backup-Strategie oder ein voll­wer­ti­ger Recovery-Test zurück?

http://heise.de/-3354925

Wie sicher ist Ihre Bank?

Ja, ich bin beken­nen­der Nutzer von Online-Banking. Nein, ich sehe da kei­nen Widerspruch zum Thema Sicherheit. Das mag man­cher für blau­äu­gig hal­ten, jedoch gibt es durch­aus eini­ge Schutzmaßnahmen, die zum Thema Sicherheit beitragen:

  • Nutzung nur von Endgeräten mit aktu­el­len Patches, Sicherheitsfixes, Updates und natür­lich akti­vem und aktu­el­lem Virenscanner
  • Nutzung (und Kontrolle bei jeder Nutzung) von ver­schlüs­sel­ten Verbindungen im Browser zum Banking-Portal
  • Kein Online Banking über öffent­li­che Hot Spots
  • Trennung von Banking App und TAN Generator auf ver­schie­de­nen Endgeräten
  • und vie­le mehr.

Doch was nützt es, wenn die­se Maßnahmen durch bana­le Dinge unter­lau­fen werden?

Meine Nachricht an die Bank vom 11.08.2016:

Sehr geehr­te Damen und Herren! Es ist sehr unglück­lich, dass bei der SMS TAN die TAN direkt zu Beginn der Nachricht steht. Auf einem iPho­ne wird bei akti­vier­ter SMS Anzeige im Sperrbildschirm somit jedem die TAN ange­zeigt, der das Gerät in den Händen hält. Das hebelt den eigent­li­chen Schutz ja wie­der aus.”

bank1

Ich war etwas über­rascht, mei­ne Bank reagier­te noch am sel­ben Tag:

Sehr geehr­ter Herr Kuhrau,

vie­len Dank für Ihre Nachricht.

Sie haben eine Frage zum mTAN-Verfahren, die wir Ihnen ger­ne beant­wor­ten. bei Smartphones mit dem Betriebssystem iOS oder Android haben Sie die Möglichkeit, die Anzeige der Nachrichten im Sperrbildschirm aus­zu­blen­den. Somit wird Ihnen ange­zeigt, von wem Sie eine Nachricht erhal­ten haben aller­dings ohne den Inhalt der Nachricht.

Bei wei­te­ren Fragen sind wir ger­ne Ihr Ansprechpartner. Sie errei­chen unse­re Kundenbetreuung Montag bis Samstag von 07:00 bis 22:00 Uhr tele­fo­nisch unter xxx-xxxxxxxx. Bitte hal­ten Sie für Ihren Anruf Ihre Kundennummer und Ihre Telefon-PIN bereit.
Gerne kön­nen Sie uns direkt auf elek­tro­ni­schem Weg auf die­ses Schreiben ant­wor­ten. Wählen Sie hier­für bit­te unter dem Menüpunkt »Aktion« das Feld »Antworten«.

Mit freund­li­chen Grüßen
Ihre Bank”

bank2

Das hat mich dann nun doch etwas erstaunt. Von einem ande­ren Kreditinstitut weiß ich, dass die­se dort auch auf­ge­tre­te­ne “Sicherheitslücke” mit weni­gen Klicks sei­tens der Bank beho­ben wur­de. Diese Bank sieht das etwas anders. “Schalten Sie doch ein­fach eine Standardfunktion ihres Telefons aus, dann müs­sen wir uns nicht mit die­sem Problem rum­schla­gen!”, zumin­dest war das mein Empfinden.

Unbeirrt und zuver­sicht­lich habe ich noch mal freund­lich nachgehakt:

Hallo! Danke für die schnel­le Antwort. Ja, die Funktion ist mir bekannt. Stellt sich die Frage, was ist siche­rer: dar­auf zu hof­fen, dass Ihre Kunden mit SMS TAN die Benachrichtigung für den Sperrbildschirm aus­schal­ten (womit auch alle ande­ren Infos und Nachrichten weg­fal­len, was eine erheb­li­che Einschränkung der mensch­li­chen Komfortzone bedeu­tet — in der Praxis wis­sen wir, wie das aus­geht 🙂 ) oder von Ihrer Seite aus (wie ande­re Bankinstitute es bereits machen) den Platzhalter für die TAN in der SMS Maske ein­fach ans Ende in der Textvorlage verschieben?”

bank3

Klar, die Benachrichtigungen kön­nen im Sperrbildschirm deak­ti­viert wer­den. In die­sem Fall dann für alle SMS (eine Filtermöglichkeit ist mir nicht bekannt). Für eini­ge Anwender ist SMS eh “old school”, von daher wäre die Deaktivierung für sie zu ver­schmer­zen. Doch gera­de die “old school”-Generation abseits von Apps und Whatsapp tut sich damit sicher schwer. Hinzu kommt, dass nicht jeder Nutzer so firm ist, dass er weiß, wo und wie er die­se Nachrichten abstellt.

Nun, Antwort bis­her kei­ne. Ich hal­te Sie auf dem Laufenden.

Wie hält es Ihre Bank mit der Sicherheit von SMS TAN?

Online Passwort Speicher Lastpass mit Sicherheitslücke

Entgegen aller nach­voll­zieh­ba­ren Bedenken wer­den Online Passwort Speicher nach wie vor ger­ne genutzt. Dabei lie­gen die gesam­mel­ten Passwörter nicht mehr im Einflussbereich des jewei­li­gen Inhabers, son­dern auf (meist ame­ri­ka­ni­schen) Servern. Die Nutzerzahlen las­sen den Schluss zu, die Anwender ver­trau­en die­sen Services unge­bro­chen ger­ne ihre Passwörter an. Gesichert sind die­se dort mit einem Masterpasswort und diver­sen Techniken wie Verschlüsselung etc.

Doch ist das Vertrauen in sol­che Services gerecht­fer­tigt. Aktuell steht der Online Passwort Dienst LastPass in der Kritik. Jedoch nicht mit einem neu­en Sicherheitsproblem, son­dern mit einem älte­ren, das nicht kon­se­quent besei­tigt wur­de. Auch die Nutzer müs­sen sich dabei an die eige­ne Nase fas­sen, sofern Sie Updates von Lastpass und betrof­fe­ner Addons nicht durch­ge­führt haben. LastPass emp­fiehlt daher drin­gend, alle Updates (auch der dazu­ge­hö­ri­gen Browser-Addons) ein­zu­spie­len und das Master-Passwort schnell zu ändern.

Wir haben in der Vergangenheit bereits mehr­fach auf unse­rem Fachblog Datenschutz auf grund­le­gen­de und aktu­el­le Sicherheitsprobleme sol­cher Online Passwort Speicher hin­ge­wie­sen. Wir emp­feh­len nach wie vor Lösungen wie KeePass, die als Open Source zur Verfügung ste­hen. Hier kön­nen Sie den zen­tra­len Passwort-Speicher in eine ver­schlüs­sel­te Cloud Ihrer Wahl abspei­chern und somit eben­falls den Zugriff von allen Geräten und den mei­sten Betriebssystem bequem sicher­stel­len. Dabei sind sie nicht auf Gedeih und Verderb den Sicherheitsmaßnahmen des Anbieters ausgeliefert.

Im Unternehmensumfeld emp­fiehlt sich der Einsatz in Verbindung mit ent­spre­chen­den Mitarbeiterschulungen zum Umgang mit einer sol­chen Lösung. Wir unter­stüt­zen Sie ger­ne bei Konzeption, Einführung und Schulung.

SaaS = “Schadsoftware as a Service”, Hack zum Schnäppchenpreis im Web

Welcome back to the under­ground whe­re it’s a good time to be a bad guy”, mit die­sen Worten lei­tet SecureWorks den “2016 Underground Hacker Marketplace Report” ein.

Wollten Sie schon immer mal frem­de Webseiten (oder die eines Wettbewerbers) mit­tels DoS-Attacke (Denial of Service) lahm­le­gen? Kein Problem mehr, denn für 5 US Dollar in der Stunde kön­nen Sie die dazu­ge­hö­ri­ge Technik samt Bot-Netz dazu anmie­ten. Aktuelle Krypto-Trojaner erhal­ten Sie bereits für 80 US Dollar und das Angler Exploit Kit ist gera­de mal 20 US Dollar teu­rer. Angler unter­sucht die Browser von Webseitenbesuchern auto­ma­tisch auf bekann­te Schwachstellen und lie­fert dazu pas­sen­den Schad-Code aus. Die pas­sen­de Hardware für das Skimming von EC-Geräten wird für unter 400 US Dollar feil­ge­bo­ten. Sollten Sie noch nicht ganz firm im Umgang mit die­sen Techniken sein, so gibt es Online-Tutorials für 20 US Dollar gleich dazu.

Diese Zahlen prä­sen­tiert SecureWorks im “2016 Underground Hacker Marketplace Report”. Besonders betont SecureWorks den Fokus der Anbieter auf Kundenzufriedenheit. Nicht nur, dass sich die Anbieter auf den Untergrund-Software-Märkten mit Profil und genau­en Angaben zur Erfahrung in die­sem Métier dar­stel­len. Das hohe Level über­rascht jedoch weni­ger. Interessanter ist der Aspekt, dass der “Kunde” erst zahlt, wenn der gewünsch­te Erfolg erreicht ist. Das ist doch mal ein Service.

Den Report im PDF Format kön­nen Sie hier her­un­ter­la­den.

Kryptotrojaner mit Wurmfunktion gesichtet

Es war nur eine Frage der Zeit, jetzt ist es also soweit. Microsoft warnt vor einem neu­en Kryptotrojaner namens ZCryptor. Dieser nimmt sich Dateien mit über 80 Dateiendungen vor. Besonders unan­ge­nehm: zusätz­lich nistet sich ZCryptor in die Autostart-Routinen ein­ge­steck­ter USB-Sticks und USB-Laufwerke ein. Somit kann sich der Trojaner bei Nutzung die­ser Speicher an ande­ren Geräten auf die­se Systeme eben­falls verbreiten.

Einen Befall erken­nen Sie an der Dateiendung .zcrypt. Aktuell ist noch kein Tool zum Entschlüsseln ver­füg­bar. Betroffen sind aus­schließ­lich Windows-Systeme. Wer es bis­her noch nicht getan hat, soll­te spä­te­stens jetzt sei­ne Backup-Strategie prü­fen und anpas­sen. Und bit­te nicht ver­ges­sen, Recovery-Tests durch­zu­füh­ren. Das beste Backup hilft nichts, wenn es sich spä­ter nicht wie­der­her­stel­len läßt. Erfolgsprotokolle der Backup-Software sind allei­ne nicht ausreichend.

Wenn Sie mehr über ZCryptor erfah­ren wol­len, Microsoft hat eine Beschreibung dazu online (exter­ner Link) gestellt.