3. März 2017: Verschiedene Passwort-Manager-Apps für Android mit Sicherheitslücken
Passwort-Manager dienen zur Verwaltung der verschiedenen Zugangsdaten, die man für unterschiedliche Benutzerkonto anlegt. Um sich nicht unzählige Benutzernamen und Passwörter merken zu müssen, können die Daten in einer App gespeichert und mithilfe eines "Master-Passworts" geschützt werden. Manche Apps/Dienste bieten darüber hinaus eine geräteübergreifende Synchronisation an, sodass man auf allen Geräten auf die Passwörter zu greifen kann.
Nun haben Sicherheitsforscher bei mehreren Passwort-Manager-Apps für Android teils gravierende Sicherheitsmängel entdeckt. Betroffen sind unter anderem LastPass, Dashlane, Keeper und 1Password. Die Schwachstellen reichen vom Speichern des Master-Passworts im Klartext auf dem Gerät über eine unsichere Übertragung zwischen App und Cloud bis hin zu Schwächen in der Verschlüsselung der gespeicherten Daten.
Nach Bekanntgabe der Schwachstellen haben alle Hersteller Sicherheitsupdates für Ihre Apps veröffentlicht, die die Lücken schließen. Es wird empfohlen, die entsprechenden Aktualisierungen so bald wie möglich zu installieren. Eine ausführliche Liste betroffener Apps findet ihr in den untenstehenden Links.
Wie schütze ich mich?
Umgang mit Passwörtern beim BSI
Wer kann mir helfen?
Ergebnisse der Sicherheitsforscher mit Auflistung betroffener Apps (auf englisch)
23. Februar 2017: Trojaner auf Android manipuliert Banking-Apps
Derzeit verbreitet sich ein Trojaner für Android-Smartphones, der es auf Nutzer von Banking-Apps verschiedener Banken abgesehen hat: Befällt der Trojaner ein Gerät, wird beim Öffnen der App eine gefälschte Anmeldeseite gezeigt, die Anmeldename, PIN und Bankleitzahl abfragt. Die hier gemachten Angaben werden dann im Hintergrund an Betrüger weitergeleitet.
Der Trojaner verbreitet sich vorwiegend über Links in SMS- und MMS-Nachrichten und tarnt sich als angebliches Update (bspw. "Android Update" oder "Mobilfunk Update"), als Sicherheitszertifikat oder als andere App (z.B. "Netflix Beta" oder "Super Mario Run"). Es wird deshalb geraten, Software immer nur aus vertrauenswürdigen Quellen zu beziehen, bei Android-Geräten bspw. nur aus dem offiziellen Play Store.
Darüber hinaus solltet ihr generell auch auf Smartphones Schutzmaßnahmen ergreifen. Hierzu gehören insbesondere Sicherheits-Apps, regelmäßige Datensicherungen, die Installation von aktuellen Updates sowie die Vermeidung verdächtiger Seiten beim Browsen im Internet. Solltet ihr ungewöhnliches Verhalten in eurer Online-Banking-App feststellen, kontaktiert umgehend eure Bank.
Wie schütze ich mich?
Tipps zum sicheren Online-Banking mit Smartphones bei mobilsicher.de
Wer kann mir helfen?
Hilfe bei Onlinebankingvorfällen beim Ratgeber Internetkriminalität
14. Februar 2017: Gefälschter BKA-Sperrbildschirm fordert Strafzahlungen unter iOS
Betrüger versuchen derzeit, von iPhone- und iPad-Nutzern Geld zu erpressen: Beim Besuch unseriöser Seiten erscheint plötzlich ein Sperrbildschirm, der die weitere Nutzung des Browsers verhindert. Behauptet wird, dass das BKA angeblich den Browser gesperrt habe, weil der Nutzer illegale Inhalte heruntergeladen haben soll. Erst gegen die Zahlung einer Strafe von 200 Euro in Form von iTunes-Gutscheinen wird das Gerät angeblich wieder freigegeben.
Es wird geraten, der Zahlungsaufforderung auf keinen Fall nachzukommen: Zum einen gibt es bei Erpressungs-Trojanern nie eine Garantie dafür, dass nach einer Zahlung Daten tatsächlich wieder freigegeben werden, zum anderen lässt sich die Sperre im vorliegenden Fall leicht beheben, indem man den Verlauf löscht - eine Anleitung findet ihr in den Links unten.
Es wird darüber hinaus empfohlen, grundsätzlich auch bei mobilen Geräten Sicherheitsvorkehrungen zu treffen - haltet das System immer auf dem aktuellen Stand, nutzt Sicherheits-Apps und besucht vor allen Dingen keine unseriösen Seiten im Internet.
Wie schütze ich mich?
Smartphone, Tablet & Co. beim Ratgeber Internetkriminalität
Smartphone-Sicherheit bei der Polizeilichen Kriminalprävention
Wer kann mir helfen?
Anleitung zur Löschung des Verlaufs unter iOS
9. Februar 2017: Neue Amazon Phishing E-Mails im Umlauf
Unser Community Guide @UlrichZ hat euch (und uns) darauf aufmerksam gemacht, dass neue, vermeintlich von Amazon stammende Phishing -Mails im Umlauf sind. Hier findet ihr seinen Beitrag „Phishing -E-Mail/m-p/2454644#M738927" target="_blank">Vorsicht: "Amazon"- Phishing -E-Mail“ mit einem entsprechenden Screenshot.
Da es immer wieder Phishing -Mails gibt, die vermeintlich von Amazon stammen, findet ihr eine hilfreiche Seite über die sichere Identifizierung von Amazon E-Mails.
Es wird geraten, diese und ähnliche Mails umgehend zu löschen. Wenn ihr nicht sicher seid, ob eine Nachricht echt ist, lohnt sich eine telefonische Kontaktaufnahme beim jeweiligen Unternehmen. Öffnet darüber hinaus keine Links in verdächtigen E-Mails, sondern gebt die URL sicherheitshalber per Hand ein. Solltet ihr schon Daten auf der gefälschten Seite eingegeben haben, kontaktiert am besten umgehend den Kundendienst von Amazon und ändert eure Zugangsdaten.
Wie schütze ich mich?
Artikel zum Thema Phishing beim Ratgeber Internetkriminalität
Wer kann mir helfen?
Amazon Kundenservice
