Spam – keepmydesktop

Sichere, unterschiedliche Passwörter wählen

Wusstet ihr, dass an die Öffentlichkeit geratene Datenlecks bis zu 4% aus dem Passwort „123456“ bestehen? [1] Dass triviale Passwörter wie „1234abc“ oder „passwort“ nicht sicher sind, sollte eigentlich als selbstverständlich gelten. Andererseits empfinde ich es aber auch als eine Zumutung, eine Passwort wählen zu müssen, was z.B. 20 Zeichen lang ist, aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen besteht und natürlich nicht den 10 letzten Passwörter ähnelt.

Klar kann ich jedes Passwort zufallsgenerieren und in meinem Browser speichern, aber was nützt mir das, wenn es mir unterwegs auf einem anderen Rechner nicht einfällt? Das Internet lebt ja schließlich davon, dass man von überall darauf zugreifen kann (möchte). Hier ist es, so denke ich, das Beste ein gesundes Mittelmaß zwischen Merkbarkeit und Sicherheit zu finden. Wer gerne ein paar konkrete Empfehlungen zur Wahl eines individuellen Passworts haben möchte, findet unter anderem beim BSI Informationen dazu.

Auch sollte man nicht für alle Onlinedienste das selbe Passwort wählen, aus offensichtlichen Gründen. Bei mir persönlich haben sich, im Sinne des eben genannten Kompromisses, über die Jahre „Passwortpools“ gebildet. Dazu habe ich meine (zahlreichen) Online-Dienste in verschiedene Kategorien eingeteilt, je nach Sensibilität der gespeicherten Daten. Meine „kritischen“ Accounts, also z.B. Zahlungsdienstleister, Händler besitzen alle individuelle Passwörter. Für Konten mit mittlerer bzw. niedrigerer Priorität habe ich ein Set von verschiedenen, der Situation entsprechend sicheren Passwörtern, die ich ggf. durchrotiere. Parallel dazu führe ich eine Liste mit allen Passwörtern, so dass ich im Falle einer Kompromittierung schnell sehen kann, welche Konten noch betroffen sein könnten und die Passwörter ändern kann.

Passwörter nicht im Klartext speichern

Google Chrome verschlüsselt standardmäßig die gespeicherten Zugangsdaten mit den Informationen des eingeloggten Windows-Nutzers [3], bei Mozilla Firefox kann man ein Master-Passwort setzen, um die Zugangsdaten selbst zu sperren. Auch externe Programme wie keypass (open source) gibt es für solche Zwecke, habe ich ehrlicherweise aber noch nie genutzt. Keinesfalls sollte man alle seine Passwörter in einer Textdatei ablegen. Ich bevorzuge es, meine Passwörter „analog“, also handschriftlich zu sichern. So brauche ich mir zumindest keine Gedanken über „gehackt“ werden oder einen Datenverlust machen.

2-Faktor-Authentifizierung nutzen

Bei der 2F-Authentifizierung wird beim Log-In neben dem Passwort noch eine weitere Kontrollinstanz hinzugefügt. So muss ich nach der Eingabe des Passworts den ersten Login auf einem Rechner zusätzlich noch per Authenticator-App, SMS oder E-Mail mit einem Code bestätigen. Das verbessert die Kontosicherheit erheblich, mit geringem Aufwand. Mehr Informationen dazu…

Bei meiner letzten „großen“ Passwort-Revision im Mai (als ich diesen Beitrag begonnen habe…), konnte ich bei fast der Hälfte meiner Online-Dienste eine 2F-Überprüfung aktivieren. Also, gleich umstellen! Außerdem sollte man die Backup-Codes gut aufheben (am Besten nicht auf dem PC), damit man 2F-Authentifizierung im Falle eines Verlusts (des benötigten Tokens) wieder zurücksetzen kann.

Kontointegrität prüfen

Einige Anbieter (darunter Google) ermöglichen es einem zu prüfen, wann und vor allem von wo der letzte Login stattgefunden hat und benachrichtigen einen z.T. automatisch, wenn dort verdächtige Aktivitäten erkannt werden (bei mir wurde mal vor einem Login-Versuch aus China gewarnt).

Außerdem gibt es seit längerer Zeit verschiedene Online-Anbieter, die an die Öffentlichkeit geratene, gestohlene Datensätze analysieren und einen kostenlos darüber informieren, wenn eigene Daten wie die E-Mail Adresse oder die Telefonnummer darunter sind. Das kann man einfach und unkompliziert z.B. bei haveibeenpwned oder avast prüfen.

Bei Google Chrome findet dies seit längerem automatisch und unbemerkt statt (Einstellung „Warnen, wenn Passwörter durch eine Datenpanne preisgegeben werden“). Auch bei Mozilla Firefox gibt es dieses Feature inzwischen. [2]

Wie handhabt ihr eure Passwörter? Schreibt mir doch in die Kommentare, was eure Strategie bei der Passwortwahl ist!

Fast jeder hat schon einmal eine Spam-Mail in seinem E-Mail Postfach gehabt. Schließlich haben sie eine lange Tradition, da gibt es die lustigsten Geschichten: Gewinnspiele, vermeintliche Abmahnungen, Verwandte, Viagra-Bestellungen, Kontozugriffe, Passwortänderungen, Rechnungen oder Angebote… aber eines haben sie alle gemeinsam – sie wollen einen in die Irre führen.

So eine Spam-Mail kann aber auch täuschend echt sein, besonders, wenn scheinbar private Daten enthalten sind. Vor einiger Zeit habe ich zwei solcher Spam-Mails erhalten und möchte sie nun hier auf dem Blog vorstellen um zu zeigen, woran man erkennt, dass diese Mails falsch sind. Auf keinen Fall sollte man auf so eine Mail antworten (dadurch bestätigt man die Existenz seiner Adresse) oder gar persönliche Informationen wie Passwörter oder Bankdaten eingeben. Wo wir dann auch beim sog. Phishing wären.

Unter dem Begriff Phishing versteht man Versuche, über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten eines Internet-Benutzers zu gelangen und damit Identitätsdiebstahl zu begehen. Ziel des Betrugs ist es, mit den erhaltenen Daten beispielsweise Kontoplünderung zu begehen und den entsprechenden Personen zu schaden. (https://de.wikipedia.org/wiki/Phishing)

Lest euch zunächst die folgende Mail durch und stellt euch vor, euer Name und Adresse würde auf den verpixelten Flächen stehen. Wie wirkt das auf euch?

Beispiel 1: Rechnung von Online24 Pay AG (mit Zip als Anhang)

spam1 — **Beispiel 1: Rechnung von Online24 Pay AG (mit Zip als Anhang)**

Oh, aber werfen wir mal einen genaueren Blick darauf. Grundsätzlich werden keine Abmahnungen per E-Mail verschickt, man sollte also von Anfang an skeptisch sein.

Online24 Pay AG In Google eingegeben, und keinerlei Informationen über so ein Unternehmen gefunden. Bei einer Firma mit der Größe einer Aktiengesellschaft (AG) sollte man schon etwas im Internet finden können.
Schreibfehler tragen nicht gerade zur Seriosität bei.
Hier wird man misstrauisch. Wie kann es sein, dass der Absender meine Adressdaten kennt? Die Antwort: Einer der vielen Webseiten, bei der man in der Vergangenheit einmal seine persönlichen Daten hinterlegt hat (v.a. Online-Shops), muss kompromittiert und die Daten gestohlen worden sein. Das erklärt dann auch, warum die Angaben (in meinem Fall) veraltet sind. Höchste Zeit, die Passwörter zu ändern!
Firmen müssen nicht einen Rechtsanwalt oder Gericht betätigen, um unbezahlte Rechnungen an ein Inkassobüro zu übergeben. Der gerichtliche Mahnbescheid kommt erst im Anschluss. [1]
Es wird auf eine vermeintliche Rechnung im Anhang (ZIP-Datei) verwiesen, diese enthält mit hoher Wahrscheinlichkeit Malware, die u.U. sogar Passwörter und Bankdaten abgreifen soll.
Signiert ist die Mail von einem angeblichen Rechtsanwalt, diese müssen sich im Anwaltsregister der BRAK registrieren und können dort auf ihre Legitimität geprüft werden. [2] Es fällt aber auch ins Auge, dass jegliche weiteren Kontaktdetails zum Unternehmen, der Anwaltskanzlei oder dem Inkassobüro fehlen. Auch in Google ist nichts zu finden.

Zusammenfassend: Es soll im Laufe des ersten Lesens der E-Mail so viel Druck beim Empfänger aufgebaut werden, dass dieser zunächst den Anhang öffnet um sich die vermeintlichen Rechnungsdetails anzuschauen, bevor Zweifel aufkommen.

Beispiel 2: Zahlung von Sofortüberweisung Co. KG (mit Zip als Anhang)

spam2 — **Beispiel 2: Zahlung von Sofortüberweisung Co. KG (mit Zip als Anhang)**

Auch diese Mail ist nach dem gleichen Prinzip aufgebaut. Von daher decken sich die genannten Erläuterung z.T. mit den obigen. Diesmal gibt es das genannte Unternehmen wirklich (1.). Ist man sich nicht sicher, kann man nach Informationen auf der Webseite dieses Unternehmens suchen und ggf. über die offiziellen Kontaktdaten (nicht aus der Mail!) Kontakt aufnehmen. Streng genommen gibt dieser Satz allerdings kein Sinn, da man „kein Geld an Sofortüberweisung“ überweist. So funktioniert Sofortüberweisung (Wikipedia)…

Beispiel 3 und 4: Bestellungen bei Amazon, PayPal und andere Online-Bezahldienste

Bei den folgenden vermeintlichen Mails von Amazon bzw. PayPal handelt es sich ebenfalls um einen Phishingversuch. Große Internetpräsenzen sind häufig betroffen, da sich damit eine größere Zahl von potentiellen „Opfern“ erreichen lässt. Im folgenden Beispiel haben die Ersteller der Phishing-Mail das Layout der Mails täuschend echt gefälscht. Dabei gehen die Betrüger meist gleich vor: Unter einem vermeintlich dringenden Grund wird der Nutzer gebeten, seine Login-Daten zu „verifizieren“ oder zu bestätigen, also über den in der Mail enthaltenen Link einzugeben. Dieser führt dann auf eine fremde Seite.

Quelle: Screenshot / onlinewarnungen.de

Die beiden im Bild gezeigten Nachricht sind gefälscht und man sollte auf keinen Fall seine Login-Daten eingeben. Beim zweiten Lesen fallen diverse kleinere Rechtschreibfehler ins Auge, die zusammen mit einer meist kryptischen Absender-Adresse Zweifel aufkommen lassen sollten. Grundsätzlich hat jeder Anbieter seine eigenen „Regeln“ für Mails bezüglich der Information seiner Kunden, bitte diese aber nicht um die direkte Eingabe bzw. Bestätigung seiner Kontodaten. Weitere Details finden sich auf den offiziellen Hilfeseiten von Amazon und PayPal. Wer sich trotzdem verunsichert fühlt, sollte sich über die reguläre WWW-Adresse (also nicht über den Mail Link) direkt im Browser einloggen und den Inhalt der Mail in der Kontoübersicht prüfen. Vor dem Einloggen unbedingt auf das Sicherheitszertifikat (SSL) in der Browser-Adressleiste achten, ob man auf der „richtigen“ Webseite ist.

Beispiel 5: Erbschaften und Geldtransfer

Von: Dr. Kingsley Moghalu (OON) <kingsley.moghalu@online.ee>
Gesendet: Dienstag, 25. September 2018 00:27
Betreff: Unser Ref: CBN / ABJ / vol. 012 / 392284-18

Unser Ref: CBN / ABJ / vol. 012 / 392284-18

DIE ZENTRALBANK VON NIGERIA HAT VON PRÄSIDENTEN MUHAMMADU BUHARI BEAUFTRAGT, ALLE HERVORRAGENDEN ZAHLUNGEN ZU BERÜCKSICHTIGEN, DIE ENTHALTEN; UNBEZAHLTE VERERBUNG / ANSPRUCHSANSPRUCH, INVESTITIONEN, VERTRAGSZAHLUNGEN, LOTTO PAY OUT, E.T.C ..

SIE SIND DRINGEND ZURÜCKGEZOGEN, WEIL IHR NAME AUFGEFÜHRT WORDEN IST UND IHR ZAHLUNGSPRÜFUNG UND ATM-KARTE AUSGESTELLT WORDEN IST UND BEREIT FÜR ABHOLUNG.

Hochachtungsvoll,
Dr. Kingsley Moghalu (OON)

Http://link

Vermeintliche Erbschaften, lukrative Investitionen oder Mithilfe bei dubiosen Überweisungen aus dem Ausland stellen eine weitere Form des Spam-Betrugs dar. Oft sind die international versandten Mails schon an der schlechten Sprachausführung zu erkennen. Man wird dazu aufgefordert, sich über einen Link zu melden, der dann weitere Instruktionen (Einrichtung eines Bankkontos im Ausland o.Ä.) bereithält oder direkt zur Eingabe von Bankdaten auffordert. Auf jeden Fall nicht anklicken…