Amazon ist wohl eine der beliebtesten e-Commerce-Plattformen im Web. Da liegt es für Kriminelle auf der Hand, die Popularität für eigene Zwecke zu missbrauchen. Normalerweise läuft das über eine – mehr oder weniger ordentlich formulierte – E-Mail samt Anhang, den man bitte installieren soll. Nun scheinen einige Kriminelle einen Schritt weiter gegangen zu sein und bauen die Amazon-Seite im Detail nach.
Wie von anderen Angriffswellen gewohnt, erhalten die potentiellen Opfer eine E-Mail. Diesmal sollen sie aber nicht den Anhang herunterladen, sondern auf eine Webseite wechseln (siehe Screenshot). Der Unterschied zu anderen Attacken ist die gut gemachte Fälschung: Neben dem Amazon-Logo verfügt das jeweilige Formular über die passenden Farben, ein stimmiges Design und wirkt insgesamt erstaunlich authentisch.
Die Kriminellen setzen darauf, dass ihre Fälschung so gut ist, dass sie bei der Abfrage der Daten recht mutig vorgehen: Neben E-Mail-Adresse und Amazon-Passwort fragen sie gleich noch persönliche Daten sowie Informationen zu hinterlegten Konten und Kreditkarten ab.
Im ersten Durchgang setzten die Kriminellen auf die Webseite kundenstatus.eu, die mittlerweile aber vom Netz genommen wurde. Es dürften allerdings in Zukunft noch weitere Domains auftauchen, die mit dieser Attacke aufwarten. Seien Sie daher in Zukunft besonders vorsichtig, wenn Sie auf einen Link klicken. Besser noch: Klicken Sie in E-Mails nicht auf den Link, sondern geben Sie die Adresse des jeweiligen Dienstes direkt ein. Sollte es sich um eine legitime Anfrage handeln, wird Sie der Dienst spätestens nach dem Login darauf hinweisen. In unserem Safety & Security Center haben wir zahlreiche weitere Hintergrundinformationen zum Thema Phishing zusammengestellt.
Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.
Seien Sie misstrauisch, wenn Sie aktuell E-Mails von der Adresse „privacy@microsoft.com“ erhalten. Denn dabei handelt es nicht um offizielle E-Mails von Microsoft, sondern um Nachrichten von Kriminellen, die Ihre Passwörter für Windows Live, Yahoo oder Google stehlen wollen. Wie die Antivirenspezialisten von Sophos in ihrem Blog schreiben, tarnen sich die E-Mails als Nachrichten über ein Update für Windows. Damit reiten die Kriminellen offensichtlich auf der Welle des kürzlich veröffentlichten Sicherheitsupdates für den Internet Explorer.
Inzwischen verschicken die Betrüger auch deutschsprachige E-Mails (siehe Screenshot). In diesen informieren die Betrüger ihre potentiellen Opfer darüber, dass ihre Windows-Installation als unsicher erkannt wurde. Über einen Klick auf einen Link in der E-Mail könne man dies beheben. Klicken Sie den Link keinesfalls an, denn er führt zu einer Phishing-Seite, die auf den ersten Blick www.microsoft.com ähnelt. Die Phishing-Seite fordert die Nutzer dazu auf, sich mit einem der vier abgebildeten E-Mail-Provider (Google, Windows Live, Yahoo oder AOL) anzumelden - und fragt dann Nutzername und Passwort ab. Anschließend leitet die Seite den Nutzer auf unsere offizielle Hilfestellung zum Update weiter.
Unsere aktuellen Updates erhalten Sie niemals per E-Mail, sondern ausschließlich über die integrierte Windows Update-Funktion, ihr eventuell installiertes Update-Management oder den jeweiligen Knowledge-Base-Eintrag (zur aktuell geschlossenen IE-Lücke gehört etwa dieser hier). Weitere Informationen rund um das Thema Spam und Phishing haben wir in unserem Safety & Security Center zusammengestellt.
Im Oktober startet die gemeinsam von Microsoft, Cisco und NetApp ausgerichtete Veranstaltungsreihe "Data Center Bootcamp“. Dabei wird es um die Frage gehen, wie Microsofts Private Cloud basierend auf Windows Server 2012 mit der Flexpod Lösung von Cisco und NetApp ein ideales Zusammenspiel für eine moderne IT Infrastruktur ergibt – von Datenwachstum bis hin zu Mobilisierung und Sicherheitsanforderungen.
Der Vormittag dieses eintägigen Trainings besteht aus einem theoretischen Teil, am Nachmittag ist dann Zeit für die Praxis: Auf eigenen Laptops besteht für Teilnehmer die Möglichkeit, die Vorteile aus der Verbindung von Windows Server 2012 und Flexpod durch „Hands-on Lab“-Übungen selbstständig kennenzulernen.
Die Veranstaltungsreihe startet am 9. Oktober 2012 in Kirchheim bei München und endet am 18. Oktober in Berlin. Weitere Gelegenheit zum Kennenlernen von Windows Server 2012 und Flexpod gibt es am 10. Oktober in Köln, am 11. Oktober in Eschborn, am 16. Oktober in Hamburg und am 17. Oktober in Stuttgart. Die Anmeldung erfolgt über Cisco.
Einmal mehr haben sich die Mühen der US-Kollegen gelohnt: Die Experten in Redmond haben genügend Beweise gesammelt, um einen Richter davon zu überzeugen, Microsoft die rechtlichen Grundlagen zum Abschalten von 500 verschiedene Malware-Varianten des Botnets Nitol zu verschaffen. Alle Details inklusive eines Videos gibt es im Blog der Kollegen.
Zu Anfang stand eine Studie. In ihrem Rahmen fanden wir heraus, dass sich Kriminelle in verschiedene Lieferketten zwischen Hersteller und Kunden gesetzt hatten. Genauer gesagt gab es Händler, die ihren Kunden Computer mit gefälschten und/oder Malware-verseuchten Programmen verkauften. Dabei dachten sich viele Händler wahrscheinlich nichts Böses, die Kriminellen könnten sie mit besonders günstigen Angeboten gelockt haben - und die Händler infizieren so unwissend ihre Kunden, denen sie einen besonders guten Preis machen wollten.
Die Malware für das Nitol-Botnet beschränkte sich dabei allerdings nicht nur auf die vorinfizierten Rechner, im Gegenteil. Die bösartigen Programme setzten auf USB-Speichergeräte um weitere Rechner zu infizieren. Die Schadprogramme selbst haben es ebenfalls in sich: Sie können nicht nur Eingaben auf dem Rechner, etwa Zugangsdaten und Passwörter, aufzeichnen, sondern verwandeln den infizierten PC in einen Spam-Versender oder einen Endpunkt für eine Denial-of-Service-Attacke.
Microsoft konnte dieses Botnet größtenteils übernehmen, indem wir das Urteil nutzen, um die Domain des Botnets durch eine eigens dafür angelegtes DNS (Domain Name System)-Infrastruktur zu leiten. Damit blocken wir nicht nur den Zugriff für Nitol, sondern zusätzlich über 70000 weitere bösartige Subdomains. Sollten Sie den Verdacht haben, dass Ihr PC von Nitol (oder einem anderen Botnet) infiziert wurde, empfehlen wir Ihnen einen Blick auf unser Virus and Security Solution Center.
Zum Einstieg in den neuen Server von Microsoft verschenkt MS Press ein ebook – und zwar in drei Formaten: PDF, ePub und MOBI.
http://blogs.msdn.com/b/microsoft_press/archive/2012/09/05/free-ebook-introducing-windows-server-2012-rtm-edition.aspx
Wenn Sie Ihre PIN an einem Geldautomaten eintippen, wie halten Sie eigentlich Ihre zweite Hand? Hoffentlich so über dem Eingabefeld, dass eine eventuelle Kamera die Eingabe nicht aufnehmen kann. Falls ja, dann gehören Sie zu den wenigen Leuten, die diesen einfachen Ratschlag beherzigen. Meint zumindest der Sicherheitsexperte Brian Krebs.
Aber von vorne: Krebs hat nach eigenen Angaben Videoaufnahmen ausgewertet, die von Skimmern gedreht wurden. Darauf ist das Pinpad eines Geldautomaten zu sehen. Die Aufnahmen gehören zu einem zweiten Gerät, das in den Kartenschlitz gesteckt wird. Dieses Gerät kopiert anschließend die Daten vom Magnetstreifen der Karte, während die Kamera die Eingabe der PIN aufzeichnet. Durch den Abgleich des Zeitcodes zwischen Video und Kartenkopie können die Kriminellen anschließend den PIN zu den Kartendaten zuordnen. Der letzte Schritt – die Kopie der eigentlichen Karte mittels Blankokarten und Drucker – ist dann ein Leichtes und dem unerlaubten Einkauf steht wenig entgegen.
Laut Krebs könnte zumindest das Abfangen der Zugangsnummer verhindert werden, indem die Bankkunden ihre zweite Hand über das PIN-Feld legen und die Dateneingabe so vor neugierigen Augen schützen. Laut einem zweiten Video, das Krebs in seinem Blog verlinkt hat, scheinen Europäer beim Abheben etwas vorsichtiger zu sein.
Die Videos geben eine gute Übersicht darüber, wie die Kriminellen an die Zugangsdaten zu Konten gelangen. Krebs warnt aber davor, dass dies bei weitem nicht die einzige Methode ist, um an die PIN zu gelangen. Teilweise ersetzen die Kriminellen die Tastatur komplett oder erweitern diese um eine Komponente, mit der die Eingabe abgefangen werden kann.