So können Sie feststellen ob Ihre
Webseite eine Schwachstelle hat.

Ist die Webseite anfällig gegen Phishing/Clickjacking?28.07.2015 – ( KOD )

Ist die Webseite anfällig gegen Phishing/Clickjacking?

In dem Beispiel können Sie Ihre Webseite testen, ob diese anfällig gegen Phishing/Clickjacking ist.

Selbstverständlich können nicht alle Sicherheitslücken überprüft werden. Da das hier getestete Sicherheitsrisiko fast ohne jeglichen Aufwand zu schließen ist, sollte jeder Webmaster die entsprechenden Vorkehrungen treffen.

Die Testseite zeigt im Ansatz Clickjacking/Phishing (entführen eines Mausklicks, abfischen von Zugangsdaten) bei unsicheren Webseiten. Hiermit wäre es möglich die Zugangsdaten (z.B. Ihr WordPress Zugang) auszuspähen. Wenn Sie mehr zu Clickjacking/Phishing erfahren wollen, suchen Sie im Netz.

Das Testbeispiel ist nicht als Beispiel geeignet, wie ein Hobby-Hacker an Ihre Zugangsdaten gelangen kann. Es zeigt aber, wie schnell man durch einen unachtsamen Klick diese preisgeben kann. Stellen Sie sich nur einmal vor, Sie haben vor dem Mausklick in entsprechende Felder Ihre Zugangsdaten eingegeben.

Ein ausgefeilteres Bespiel habe ich dem Datenschutzbeauftragen zugestellt. Er sieht dieses Sicherheitsleck so wie ich als schwerwiegende an. Schwerwiegend auch deshalb, weil die Beseitigung max. 5 Minuten (für einen Anfänger) in Anspruch nimmt.

Webmaster, die öffentliche Seiten erstellen und dieses Sicherheitsleck nicht beseitigen, sind beratungsresistent oder einfach nur ….. oder grob fahrlässig.

Man wird sich wundern. Bei fast allen Seiten die Sie testen werden, wird man diese Sicherheitsrisiko vorfinden. Und dann wird das ja wohl nicht so schlimm sein. Die Anderen haben das Risiko auch nicht beachtet. Wenn etwas passiert, wird das Geschrei groß sein. Versuchen Sie es aber einmal mit der Webseite für Ihr Onlinebanking (Login).

HINWEIS: Im Rahmen eines wohl eigens aufgesetzten Projekt, angelehnt an „Jugend forscht“ wurden Lösungen implementiert, die zeigen wie …….. man die Sache angehen kann. Bevor man den Test macht, sollte man die Vorgehensweise dieser ….. kennen. Siehe hierzu: Es gibt Webmaster die sperren Besucher aus.

Hier geht es zum Test

Seit 2011 weise ich auch diverse Unternehmen und auch Kommunen auf dieses Problem hin. Auch die Sparkasse Dieburg hatte in 2011 dieses Sicherheitsrisiko nicht beachtet. Die Sparkasse hat anders als verschiedene besser wissende oder vermeintlich besser geschulte Webmaster gehandelt und das Problem beseitigt.

…..[]…Wir haben Ihren Hinweis aufgenommen und bereits an unser Rechenzentrum zur weiteren Verifizierung weitergeleitet.

Und schwupp, das Problem war beseitigt. Siehe.

Nachtrag
Eine große Stadt in Bayern wehrt sich jetzt gegen diese Art von Angriff.

Siehe auch
» Der Hessische Datenschutzbeauftragte. Datenschutz
» Bundesamt für Sicherheit in der Informationstechnik BSI

#ArtikelMerkenFuerKommunalwahl


Bundesamt für Sicherheit
in der Informationstechnik BSI

BSI, Clickjacking, Phishing26.07.2015 – ( KOD )
 
 
IT-Sicherheitsgesetz ist am 25. Juli 2015 in Kraft getreten

[..]Mit Inkrafttreten des IT-Sicherheitsgesetzes müssen Webseiten-Betreiber technische und organisatorische Maßnahmen nach dem Stand der Technik ergreifen, um sowohl unerlaubte Zugriffe auf ihre technischen Einrichtungen und Daten als auch Störungen zu verhindern.

Das BSI stellt oftmals fest, dass auf Webservern veraltete und angreifbare Softwareversionen laufen. Eine grundlegende und wirksame Maßnahme ist daher das regelmäßige und rasche Einspielen von Software-Updates und Sicherheitspatches, die jeder Anbieter eines Telemediendienstes beachten sollte.[..]Quelle: BSI Hervorhebungen durch den Admin

Na, dann werden wir mal sehen, wie genau man es mit der Sicherheit in diesen Punkten nimmt. Ich werde berichten.
 
 


Bundestag sperrt über 100.000 Websites

Bundestag sperrt über 100.000 Websites. Clickjacking27.06.2015 – ( KOD )
 
 
Bundestag sperrt über100.000 Websites

[..]Generell sei nach dem Cyber-Angriff die Filterung von Websites „eine der ersten Maßnahmen und als vorläufige Abwehrmaßnahme sehr effektiv“ gewesen, erklärte der CDU-Politiker weiter. Auch künftig werde es im Parlament strengere Regeln für mehr IT-Sicherheit geben müssen. Aus Sicht der Unionsfraktion werde dazu auch weiterhin die Filterung gefährlicher Server im Internet gehören. Dabei solle sich das Parlament auf Informationen der Sicherheitsbehörden wie des Bundesamts für Sicherheit in der Informationstechnik (BSI) und des Bundesamts für Verfassungsschutz (BfV) stützen.[..] Lesen Sie weiter bei Handelsblatt.com

 
Obwohl sich in letzter Zeit die Nachrichten zu „Cyber-Angriff“ Angriffen häufen, schlafen viele weiter den „Schlaf der Gerechten“. Man setzt veraltete Softwareversionen ein (evtl. dadurch auch keine Sicherheitsupdates mehr) und schützt den Webauftritt nicht einmal mit einfachsten Mitteln.

Mich wundert, in Bezug auf einen erfolgreichen Hack, nichts mehr.

 
Siehe auch
  Gravierende Sicherheitslücken bei Typo3
  Bundesamt für Sicherheit warnt von Clickjacking
  Tool mit zur Überprüfung einer sicheren Typo3 Version
  Webseiten mit der Grundsicherung geschützt?
 
 


Bundesamt für Sicherheit warnt von Clickjacking

Bundesamt für Sicherheit warnt von Clickjacking26.06.2015 – ( KOD )
 
 
BSI nennt das Folgende GRUNDSCHUTZ

Wird die Webanwendung Ziel eines Clickjacking-Angriffs, so werden Inhalte der Webanwendung in einem nicht sichtbaren Frame eingebunden. Besucht ein Benutzer eine Webseite, in der dieser Frame eingebunden ist, so werden Klicks auf sichtbare Inhalte unwissentlich vom unsichtbaren Frame abgefangen. Ist der Benutzer an der Webanwendung angemeldet, so können auf diese Weise zugriffsgeschützte Aktionen in der Webanwendung unbefugt ausgeführt werden. Um dies zu vermeiden, muss die Webanwendung sicherstellen, dass die Inhalte der eigenen Webanwendung nicht in Frames verwendet werden.[..] Lesen Sie weiter beim BSI. Bundesamt für Sicherheit in der Informationstechnik

Wenn jemand auf seinen Servern Kundendaten speichert und diese Kleinigkeit nicht beachtet geht er fahrlässig mit dem ihm anvertrauten Daten um. Denen gehört ganz kräftig in den Arsch getreten.

Man sollte sich überlegen, wenn z.B. die eignen Bankdaten auf einem solch ungeschützten Rechner abgelegt sind, ob man nicht das Löschen der Daten verlangt.

Wohlgemerkt. Es geht um eine Kleinigkeit. Umsetzbar in Sekunden und der Rechner ist ein wenig sicherer.
 
Bei einem großen Service Anbieter habe ich, wegen unsicheren LOGIN, über den Datenschutzbeauftragten die Löschung der Daten, die nicht zur Rechnungserstellung benötigt werden, löschen lassen. Mein Beispiel für den unsicheren Login hat überzeugt. Nicht für die Rechnungstellung erforderlich sind u.a. die Bankdaten. OK. Ich renne jetzt jeden Monat mit einer Überweisung zur Bank. Da muss man konsequent sein.
 
 
Siehe auch
  Gravierende Sicherheitslücken bei Typo3
 
 


Hacker greifen
Zulassungsbehörden in Hessen an.

Hacker greifen Zulassungsbehörden in Hessen an. Clickjacking23.06.2015 – ( KOD )

Hacker greifen Zulassungsbehörden in Hessen an.
[…]In Hessen waren 23 von 25, in Rheinland-Pfalz alle 39 Zulassungsstellen betroffen. Sie blieben geschlossen, wie der Sprecher weiter sagte. Spezialisten in beiden Bundesländern waren den Morgen über damit beschäftigt, die Software wieder betriebsbereit zu bekommen. Mittlerweile sollten die Stellen wieder geöffnet sein.[…] Lesen Sie weiter bei Heise.de
Hoffen wir, dass die Daten der Bürger auf den Servern der Stadt Rödermark sicher aufgehoben sind.

Bei der Offenbach-Post konnte man auch lesen: [..] Betroffen ist auch das Offenbacher Bürgerbüro [..]

Solange es noch Unternehmen oder öffentliche Einrichtungen gibt, die versäumen einfachste Mittel gegen Angriffe einzusetzen, haben es die Hacker leicht. Eine beliebte Methode der Hacker ist das Clickjacking. Um dieser Methode ein Einfallstor zu verschließen bedarf kein/kaum Aufwand. Wie Sie bei den Beispielen unter dem folgenden Link sehen können, wird selbst dieses einfach zu verschließende Einfallstor vielfach nicht geschlossen. Beispiele wo ein Angriff möglich ist..

Fehlendes Sicherheitsverständnis auch bei einigen Typo3 Anwendern.
Es soll auch Unternehmen bzw. Behörden geben, die mit Softwareversionen arbeiten, bei denen es keinen offiziellen Support (Sicherheitsupdates) mehr gibt. Ob all diese Unternehmen, Behörden einen KOSTENPFLICHTIGEN Pflegevertrag (z.B. Typo3 bis 15.000,00 Euro) abgeschlossen haben?

[..]Seit dem 25. März 2014 gibt es mit „TYPO3 CMS 6.2 LTS“ die zweite TYPO3-Version mit Langzeitsupport. Der Support für Version 4.5 wurde von offizieller Seite bis Ende März 2015 verlängert und bietet ausreichend Zeit, um die erforderliche Migration von Version 4.5 auf Version 6.2 gründlich vorzubereiten.[..] Quelle: marketing-factory

Auch ohne Update werden TYPO3 4.5-Installationen nach Ablauf des Langzeit-Supports weiterhin funktionieren – jedoch erhöht sich das Sicherheitsrisiko enorm, da Fehler und Sicherheitslücken von offizieller Seite nicht mehr behoben werden. [..]Quelle: (Hervorhebungen durch den Admin) marketing-factory

[..]Wer also noch TYPO3 CMS 4.5 nutzt und nicht in weniger als einem Monat eine potenziell unsichere Installation betreiben oder einen nicht unerheblichen Geldbetrag investieren möchte, der sollte schleunigst auf TYPO3 CMS 6.2 oder TYPO3 CMS 7.1 updaten.[..] Quelle: (Hervorhebungen durch den Admin) t3n.de


HiB. Anhörung zum IT-Sicherheitsgesetz

HiB. Anhörung zum IT-Sicherheitsgesetz. Clickjacking07.04.2015 – ( KOD )
 

01. Anhörung zum IT-Sicherheitsgesetz
Innenausschuss
Berlin: (hib/HAU) Der Innenausschuss führt am Montag, 20. April 2015 eine öffentliche Expertenanhörung zu dem von der Bundesregierung vorgelegten Entwurf eines IT-Sicherheitsgesetzes (18/4096) durch. Acht Sachverständige werden ab 14 Uhr im Raum 3.101 (Anhörungssaal) des Marie-Elisabeth-Lüders-Hauses gemeinsam mit dem Ausschuss über die Regierungsvorlage diskutieren. Interessierte Zuhörer werden gebeten, sich mit Namen und Geburtsdatum bis zum 16. April 2015 beim Ausschuss anzumelden: innenausschuss@bundestag.de
Lesen Sie weiter bei Bundestag.de

 
Clickjacking. Eine (von vielen) Möglichkeiten an Ihre Daten, z.B. Zugangsdaten für ????, zu gelangen.

Angreifer lassen die ahnungslosen Anwender – scheinbar – auf die überlagerten Objekte klicken. Tatsächlich jedoch wird der ursprüngliche Inhalt (Button/Link) der Internetseite ausgelöst. So geschieht es, dass der User – anstatt lediglich auf die ihm vorgegaukelten Links an einer Stelle zu klicken – eine vom Hacker definierte, beliebige Aktion auslöst. Quelle Wikipedia

Hier Beispiele von Webseiten. Geschützte und ungeschützte Webseiten gegen diese Art von Angriff.
Testen Sie folgenden Webseiten auf evtl. Angriffspunkte.
 
Link für allgemeinen Zugriff gesperrt.

 


Hacker-Angriffe.
Clickjacking und Phishing

Hacker-Angriffe. Clickjacking und Phishing04.08.2011 – ( KOD ) Anlass ist der heutige Zeitungsbericht Zwielichtige Ratten

Das jahrelang vertrauliche Daten von Behörden und Firmen abgegriffen werden, wundert mich nicht. Firmen und Behörden machen es den Angreifern teilweise auch recht leicht.

Ich habe vor einiger Zeit ein Beispiel veröffentlicht und als Beispielseite die Sparkasse Dieburg und die Webseite von unserem Bürgermeister Roland Kern aufgeführt.
Die Reaktion auf ein recht einfach zu beseitigendes Sicherheitsrisiko war ernüchternd.

Der Webmaster von unserem Bürgermeister Kern fühlte sich belästigt und die Sparkasse Dieburg (bzw. die übergeordnete/verantwortliche Stelle) unternimmt nichts.
###########################
Nachtrag 15.11.2011

Die Sparkasse Dieburg hat das Sicherheitsloch geschlossen.
Die aufgeführten Beispiele mit Seiten der Sparkasse funktionieren nicht mehr.

###########################

Aber um was geht es genau.
Sicherheitsexperten berichten:

Am Anfang der Attacke steht der Phishing-Angriff. Hierbei wird versucht, an Zugangsdaten zu gelangen. Mit diesen Informationen kann es möglich sein die Kontrolle über den Rechner zu erlangen. Zumindest ist es aber möglich Bankanbuchungen zu tätigen oder z.B. eMails zu lesen.

Wenn die von mir aufgeführte Möglichkeit, einen Webseitenbesucher zu täuschen geschlossen wird, ist das nicht gleichbedeutend mit der Ausrottung von Phishing-Aktionen.
Es ist aber eine Möglichkeit weniger vorhanden.

Ich sehe das so. Die teileweise schlecht geschulten Mitarbeiter von Firmen oder selbsternannte Webmaster ohne Ausbildung werden weiterhin das größere Risiko darstellen.
Aber Schuld wird der Internetnutzer sein.

Bei Phishing ist es auch für den Angreifer von Nutzen, eine Webadresse zu haben, die der angegriffenen in etwa ähnelt. Eine URL (Webadresse) kostet dem Unternehmen die unglaubliche Summe von ca. 12,00 Euro im Jahr. Da fragt man sich, haben nur die Hacker das Geld sich täuschen ähnliche Webseiten zuzulegen? Gefährdet Unternehmen/Einrichtungen/Institute Geld sollten sich zumindest die ÄHNLICHSTEN Adressen reservieren, um damit das Phishing ein wenig zu erschweren. Oder hat man sich darüber noch keine Gedanken gemacht?
Natürlich ist mir klar, man kann nicht alle Webseiten die ähnlich sind für sich beanspruchen. Aber wenn man im Jahr ca. 3000,00 Euro für die Sicherheit der Internetnutzer ausgibt, sind schon einige Lücken geschlossen. Die Vielzahl an Domains würden für die Unternehmen keinen (ganz minimal) Aufwand bedeuten.

Sparkasse freie URL
Sparkasse freie URL

Es ist schon schwierig auf Anhieb den Unterschied zu finden.
Original
bankingportal.sparkasse-dieburg.de/portal/portal/StartenIPSTANDARD
Fälschung
bankingportal.sparkasse-dieburg.be/portal/portal/StartenIPSTANDARD

Was soll mit dem Phishing eigentlich erreicht werden?
Betrug:
Man versucht an Zugangsdaten für z.B. ON-Line-Banking heranzukommen um von Ihrem Konto Geld abzubuchen.

Spionage:
Der heutige Bericht in der Zeitung zielte aber darauf ab, Zugangsdaten zum System zu erlangen um damit die Möglichkeit zu haben, den Rechner in seine Gewalt zu bringen. Damit können die Hacker ferngesteuert so arbeiten, als wenn diese autorisierte Mitarbeiter der Firma sind.

Da kann man sich die Finger wund schreiben und auch telefonieren. Man lernt immer mehr desinteressierte Menschen kennen.

Stadt Rödermark, BM und Sparkasse sind informiert


Geldraub über das Internet.

Rödermark. Geldraub über das Internet. Sparkasse Dieburg.20.07.2011 – ( KOD ) In der Offenbach-Post finden Sie den Artikel:

Internetgauner räumen Konto leer

 
Für mich war folgender Punkt von Interesse:
Aus OP-Online

Lechleiter, der unter anderem bei der Sparkasse Dieburg ein Online-Konto hat, druckte das Formular aus dem Allgäu aus und schickte es an die Zentrale nach Groß-Umstadt. Der Rat von dort: den Computer neu formatieren und darauf achten, dass immer aktuelle Virenschutzprogramme installiert sind. „Da hatte ich auf ein bisschen mehr Hilfe gehofft“, sagt Lechleiter und regt eine Stabsstelle gegen „Phishing-Attacken“ als Anlaufstelle für Kunden an….Lesen Sie den ganzen Artikel bei op-online .

Am 28.05.2011 habe ich der Sparkasse Dieburg die Möglichkeit aufgezeigt, um mit einer geschickt angelegten Phishing-Aktion über die ORIGINALSEITE der Sparkasse Dieburg evtl. an TAN und PIN zu gelangen.
 
Natürlich zeigt das Beispiel nur ganz GROB die Vorgehensweise. Für den Mitarbeiter, der sich mit dem Thema Internetsicherheit befasst, müssen die Alarmglocken läuten.
 
Das angefertigte Beispiel läuft nur mit Firefox und Chrome. Beim Internetexplorer wird die Trickserei sichtbar.
 
Hier geht es zu dem Beispiel: Clickjacking am Beispiel der Sparkasse.
 
 
Registrieren Sie sich beim Bürger-Frühwarn-System für Rödermark.