7. April 2014

BSI und kein Ende von Unsinn

Zum aktuellen Klau von 18 Millionen E-Mail-Adressen

BSI ist das »Bundesamt für Sicherheit in der Informationstechnik«, hier in Bonn, staatlich und teuer. Immer wieder verzapft es gutgemeinten Unsinn, der dann scheint’s brav verkürzt von halbamtlichen Stellen wie der DPA, der Deutschen Presse-Agentur, weiter- und in Blättern bedenkenlos wiedergeben wird.

Frisches Beispiel: »Gigantischer Datenklau«. Die lange BSI-Meldung hier. Die Originalmeldung von DPA konnte ich nicht finden, die Suche dort nach »Datendiebstahl« bleibt erfolglos. Doch was der Bonner General-Anzeiger daraus gemacht hat hier.
   Und jetzt der Unsinn, zitiert nach dem General-Anzeiger-Artikel.
1. »Die Analyse der Daten und das Prüfverfahren seien technisch nicht unkompliziert, sagte der Innenressortsprecher.« – Zum Überprüfen, ob das Passwort einer E-Mail-Adresse stimmt, braucht man sich nur beim zuständigen E-Mail-Server anzumelden versuchen. Der Vorgang kann automatisiert in Sekunden ablaufen.
2.»Das BSI rät allen Internet-Nutzern, einige wesentlichen Schritte zur Sicherheit zu ergreifen, darunter auf jeden Fall auch fünf ›Kernmaßnahmen‹. Wer im Netz unterwegs ist, sollte dafür beispielsweise ›keinesfalls ein Administrator-Konto‹ nutzen. Alle gängigen Betriebssysteme böten die Möglichkeit an, sich auch als Nutzer mit eingeschränkten Rechten anzumelden, betont die Behörde.« – Recht hat sie, die Behörde, aber mit den geklauten E-Mail-Zugängen hat das überhaupt nichts zu tun. Wer zum Beispiel seine E-Mail über einen sog. Webmailer online abruft – wie inzwischen die meisten – ist nur über seinen Browser mit dem E-Mail-Service verbunden, u. z. verschlüsselt, wie bei Homebanking. Wie und was sonst noch auf seinem Rechner läuft, ist einerlei. Er mag seine Mail sogar bei Nachbarn abrufen, das Passwort ist und bleibt geklaut, solange er’s nicht ersetzt.
   Ich empfehle einfach Nachdenken.

Und nun ein aktueller, persönlich erlebter Fall.
   Mein Nachbar arbeitet sei je her mit AOL, America Online. Schon vor einem Jahr wurde sein E-Mail-Zugang hinterrücks geknackt. Damit wurden dann Spam-Mails versandt, z. T. an seine im AOL-Mailkonto gespeicherten Adressaten. Daraufhin hat er das Passwort geändert, und aus war der Spuk.Vor wenigen Wochen wurde sein Passwort allerdings wieder geklaut, wieder wurden Spam-Mails versandt. Mein Freund versuchte nun wieder, das Passwort zu ändern. Das ging jetzt nicht mehr! Der Dieb oder die Diebin (wollen wir das mal politisch korrekt formulieren) hatte die Sicherheitsfrage und wohl auch die Bestätigungsadresse geändert. Mein Freund kam zwar von seinem Hauptrechner wie immer an seine AOL-Mails heran, nicht aber von anderswoher. Mein Freund versuchte dann, bei AOL anzurufen, was im Prinzip unmöglich ist. Individueller Support wird für dergleichen Gratiskonten nicht gegeben. Erst nach tagelangem mühsamen Insistieren gelang es ihm, in Amerika (oder Indien?) einen Mitarbeiter zu finden, der sein Konto wiederherstellte.

Hier die heute, Montag, 7. April vom BSI aktualisierte Meldung. Jetzt wird auch beschrieben, wie die geknackten Adressen zur Spam-Verteilung genutzt werden, u. z. aus einem »Bot-Netz«: »Das Botnetz ist noch in Betrieb, die gestohlenen Identitäten werden aktiv ausgenutzt.« Was ein Bot-Netz ist, weiß z. B. die Wikipedia, natürlich auch der Antivirenspezialist Kaspersky. Im Jahr 2008 schätzte er, dass jeder zehnte Rechner ein Bot-Beteiligter sei (Quelle). Wie man einfach und sicher feststellt, ob man selbst Teil eines Botnetzes geworden ist, weiß selbst Kaspersky nicht, das hab’ ich schon einmal nachgefragt. Bleibt nur zu sagen: »Und wenn schon … «

Link hierher: http://blogabissl.blogspot.com/2014/04/bsi-und-kein-ende-von-unsinn.html

PS. Hier ein Hinweis, wie die Passwörter geklaut wurden: »An die Passwörter für E-Mail-Konten gelangen die Täter gemäß Kobik-Chef über das sogenannte Phishing. Dabei nutzen die Kriminellen die Gutgläubigkeit ihrer Opfer aus: Sie fordern diese dazu auf, die Zugangsdaten für das Konto über einen angefügten Link zu ändern. Der Link führt dann allerdings nicht auf die Seite des Mail-Anbieters, sondern auf eine von den Tätern identisch aufgesetzte Webseite.« Als Muster ein typischer Phishing-Versuch, frisch von heute:


Keine Angst, das ist hier ist nur ein Abbild, ein Screenshot. Wenn ich mit meinem alten Trick (»Antworten« klicken, dann auf »Nur Text« stellen, gucken – aber nicht weitermachen) die wahre Zieladresse sichtbar mache:

… dann sieht man, dass der Phishing-Versuch von einem »harmoniegoirle.nl« stammt. Schnell mal in »Whois« zum Beispiel hier nachgesehen, wer da dahintersteckt, komme ich erwartungsgemäß ans Ende der Fahnenstange: »As the registrant's address is not in the Netherlands, the registrant is obliged by the General Terms and Conditions for .nl Registrants to use SIDN's registered office address as a domicile address. More information on the use of a domicile address may be found at https://www.sidn.nl«.
   Auch beim Registrierer »The Registrar Company B.V.« gibt’s keine weiterführende Adresse. Den hab’ ich mal angemailt.
   Am einfachsten erkennt man Phishing, wenn man Deutsch kann, zumal Rechtschreibung.

Keine Kommentare: