So können Sie feststellen ob Ihre
Webseite eine Schwachstelle hat.

Ist die Webseite anfällig gegen Phishing/Clickjacking?28.07.2015 – ( KOD )

Ist die Webseite anfällig gegen Phishing/Clickjacking?

In dem Beispiel können Sie Ihre Webseite testen, ob diese anfällig gegen Phishing/Clickjacking ist.

Selbstverständlich können nicht alle Sicherheitslücken überprüft werden. Da das hier getestete Sicherheitsrisiko fast ohne jeglichen Aufwand zu schließen ist, sollte jeder Webmaster die entsprechenden Vorkehrungen treffen.

Die Testseite zeigt im Ansatz Clickjacking/Phishing (entführen eines Mausklicks, abfischen von Zugangsdaten) bei unsicheren Webseiten. Hiermit wäre es möglich die Zugangsdaten (z.B. Ihr WordPress Zugang) auszuspähen. Wenn Sie mehr zu Clickjacking/Phishing erfahren wollen, suchen Sie im Netz.

Das Testbeispiel ist nicht als Beispiel geeignet, wie ein Hobby-Hacker an Ihre Zugangsdaten gelangen kann. Es zeigt aber, wie schnell man durch einen unachtsamen Klick diese preisgeben kann. Stellen Sie sich nur einmal vor, Sie haben vor dem Mausklick in entsprechende Felder Ihre Zugangsdaten eingegeben.

Ein ausgefeilteres Bespiel habe ich dem Datenschutzbeauftragen zugestellt. Er sieht dieses Sicherheitsleck so wie ich als schwerwiegende an. Schwerwiegend auch deshalb, weil die Beseitigung max. 5 Minuten (für einen Anfänger) in Anspruch nimmt.

Webmaster, die öffentliche Seiten erstellen und dieses Sicherheitsleck nicht beseitigen, sind beratungsresistent oder einfach nur ….. oder grob fahrlässig.

Man wird sich wundern. Bei fast allen Seiten die Sie testen werden, wird man diese Sicherheitsrisiko vorfinden. Und dann wird das ja wohl nicht so schlimm sein. Die Anderen haben das Risiko auch nicht beachtet. Wenn etwas passiert, wird das Geschrei groß sein. Versuchen Sie es aber einmal mit der Webseite für Ihr Onlinebanking (Login).

HINWEIS: Im Rahmen eines wohl eigens aufgesetzten Projekt, angelehnt an „Jugend forscht“ wurden Lösungen implementiert, die zeigen wie …….. man die Sache angehen kann. Bevor man den Test macht, sollte man die Vorgehensweise dieser ….. kennen. Siehe hierzu: Es gibt Webmaster die sperren Besucher aus.

Hier geht es zum Test

Seit 2011 weise ich auch diverse Unternehmen und auch Kommunen auf dieses Problem hin. Auch die Sparkasse Dieburg hatte in 2011 dieses Sicherheitsrisiko nicht beachtet. Die Sparkasse hat anders als verschiedene besser wissende oder vermeintlich besser geschulte Webmaster gehandelt und das Problem beseitigt.

…..[]…Wir haben Ihren Hinweis aufgenommen und bereits an unser Rechenzentrum zur weiteren Verifizierung weitergeleitet.

Und schwupp, das Problem war beseitigt. Siehe.

Nachtrag
Eine große Stadt in Bayern wehrt sich jetzt gegen diese Art von Angriff.

Siehe auch
» Der Hessische Datenschutzbeauftragte. Datenschutz
» Bundesamt für Sicherheit in der Informationstechnik BSI

#ArtikelMerkenFuerKommunalwahl


Bundesamt für Sicherheit
in der Informationstechnik BSI

BSI, Clickjacking, Phishing26.07.2015 – ( KOD )
 
 
IT-Sicherheitsgesetz ist am 25. Juli 2015 in Kraft getreten

[..]Mit Inkrafttreten des IT-Sicherheitsgesetzes müssen Webseiten-Betreiber technische und organisatorische Maßnahmen nach dem Stand der Technik ergreifen, um sowohl unerlaubte Zugriffe auf ihre technischen Einrichtungen und Daten als auch Störungen zu verhindern.

Das BSI stellt oftmals fest, dass auf Webservern veraltete und angreifbare Softwareversionen laufen. Eine grundlegende und wirksame Maßnahme ist daher das regelmäßige und rasche Einspielen von Software-Updates und Sicherheitspatches, die jeder Anbieter eines Telemediendienstes beachten sollte.[..]Quelle: BSI Hervorhebungen durch den Admin

Na, dann werden wir mal sehen, wie genau man es mit der Sicherheit in diesen Punkten nimmt. Ich werde berichten.
 
 


Fragen zu Sicherheitslücken

Fragen zu Sicherheitslücken. Typo3, WordPress, Blog, Sicherheitslücken, Clickjackig, Phishing 27.06.2015 – ( KOD )
 
 
Ein Kommentar zu „Gravierende Sicherheitslücken bei Typo3“ wurde komplett entfernt.

Die gestellten Fragen möchte ich hier beantworten.
Damit sich der Fragesteller auch wiedererkennt.
„Es ist ja nur ein CMS System“ (Content Management System)

Richtig. Es ist nur ein CMS-System.
Was kann man damit fürchterliches anrichten?
Vorweg. Ein schlampiger WEB-Auftritt in Bezug auf Sicherheit kann Rückschlüsse auf andere Bereiche geben. Für Anwendungen die von außen zu erreichen sind.
 
Was man anrichten kann?
Bin ich an die richtigen Zugangsdaten des CMS-Systems (beispielsweise Typo3 oder auch WordPress. Bei Seiten ohne Grundsicherung für Hacker kein großes Problem) gelangt, mache ich folgendes:
Ich ändere die Passwörter. Bis einem der Administratoren auffällt, hier stimmt was nicht, vergeht je nach Interesse an seinem System eine gewisse Zeit. Ich könnte auch noch zur Verwirrung beitragen. Nach einem jetzt falschen Login (ich habe ja die Zugangsdaten geändert) könnte ich eine Info schicken. „Zur Zeit wegen Wartungsarbeiten bei (Provider) ……“ Damit könnten sich dann die Administratoren zufrieden geben und meine Falle (die ich nach 17.00h starte) hat einen längere Zeit zum Überleben.
 
Die Falle
Ich platziere eine ganz tolle Information.
„Damit Sie mit uns schneller in Verbindung treten können haben wir……..eine besonderen Service eingerichtet. Klicken Sie auf den folgenden Link und installieren Sie die Service-App von …..“
 
Folgen
Da dieser Hinweis auf der ORIGINALSEITE ihres Vertrauens steht, klicken Sie den Link an und installieren damit eine Schadsoftware.
 
Lassen wir es bei diesem kleinen Beispiel. Man könnte sich die Finger wund schreiben.
Geheimnisse sind das hier keine.
 
Ich hoffe Ihre Fragen sind damit beantwortet. Bei weiteren Fragen bitte eine Mail (ich kann Ihre Aufregung ja verstehen) oder in einem etwas anderen Ton über die Kommentarfunktion.
 


Aktuelle Phishing-Mail

Aktuelle Phishing-Mail11.08.2014 – ( KOD )
 
 
Folgende Phishing Mail wird zurzeit verschickt.;
LINKS IN DER MAIL BITTE NICHT MIT DER LINKEN MAUSTASTE ANKLICKEN.
In der Mail sind zum Verständnis die Links im Original erhalten.

+-+-+- Mail
Bitte folgen Sie den Anweisungen des untenstehenden Links:
www-hsh-nordbank.de/kundenservise/sepa.abteilung
Nach Vervollständigung dieses Schrittes werden Sie von einem Mitarbeiter unseres Kundendienstes zum Status Ihres Kontos kontaktiert.
Beim Online-Banking haben Sie per Mausklick alles im Griff! Mit dem komfortablen Online-Banking Ihrer HSH Nordbank …
weiteres aus der Mail können wir uns ersparen

Sie sehen oben den Link auf
„www-hsh-nordbank.de/kundenservise/sepa.abteilung“.
Das könnte eine Seite der hsh-nordbank sein. Das ist aber nicht der Link dem nach einem Klick gefolgt wird. Wenn Sie den Mauszeiger auf den Link positionieren und dann die rechte Maustaste betätigen, wählen Sie aus dem angezeigten Menü den Punkt „Adresse des Links kopieren“. Kopieren Sie dann diese Adresse z.B. in einen Editor.

Wie Sie dann sehen, ist das Ziel (Link) nicht wie angegeben
„www-hsh-nordbank.de/kundenservise/sepa.abteilung“
sondern
http://meytriyuliana.web.id/www.hsh-nordbank.de/hshnordbank-sepa.htm„.

Das „www.hsh-nordbank.de“ in dem Link können Sie sich vorstellen wie ein Unterverzeichnis von C: auf Ihrer Festplatte. Das /hshnordbank-sepa.htm ist die Datei (HTML-Seite) die angezeigt wird. Die eigentliche Webseite die Sie ansurfen ist „http://meytriyuliana.web.id„. Hierbei dürfte es sich um eine gekaperte Seite aus Indonesien handeln. Der Betreiber hat wahrscheinlich keine Kenntnis über den Missbrauch seiner Webseite.

Einen Link den Sie anklicken können.
Klicken Sie den folgenden Link an um ein Ergebnis zu sehen. Keine Angst. Sie werden auf eine Webseite des Betreibers vom „Blog für Rödermark“ geleitet. Die angezeigte Webseite zeigt Ihnen als .jpg-Datei (also keine Eingabe möglich) die von den Abzockern bereitgestellte Phishing Seite. Auf dem Bild nicht mehr zu sehen die Abfrage nach Benutzer und PIN.
www-hsh-nordbank.de/kundenservise/sepa.abteilung


Zugangsdaten geklaut?

Abzocker Phishing. Zugangsdaten geklaut? 05.05.2013 – ( KOD )

Wenn einem die Zugangsdaten zum eigenen Webauftritt geklaut werden
Ich kenne die Firma nicht, die sich hinter www.rotulodocorpo.com.br verbirgt. Ich vermute aber stark, dass hier ein Unberechtigt an die Zugangsdaten gelangt ist und diese Seite (ohne Wissen des Betreibers) für seine Betrugsversuche nutzt.

Die Mail

Sehr geehrter Kunde,

die Sparkasse arbeitet derzeit an technischen Arbeiten in der Abteilung Internet-Banking.
Dieser Abschnitt befasst sich mit der Installation einer neuen Software zur Aktualierung Ihres Internet-Banking-Kontos, welches nach der Umstellung auf das neue SEPA-Verfahren seit Februar 2014 notwendig geworden ist.
Um diesen Service nutzen zu können, empfehlen wir Ihnen den Link unten anzuklicken und die erforderlichen
Informationen für die Aktualisierung zu vervollständigen.

KLICKEN HIER

Nach Abschluss der Vervollständigung Ihrer Daten wird Ihr Internet-Banking-Konto automatisch aktualisiert.
Zusätzlich wird sich einer unserer Mitarbeiter mit Ihnen in Verbindung setzen um das Softwareupdate fertigzustellen.
Wir bedanken uns für Ihr Vertrauen und verbleiben

Mit freundlichen Grüßen
Ihr Sparkassen Kundendienst

Natürlich keine Mail der Sparkasse. Der Link unter „KLICKEN HIER“ zeigt auf: http://www.rotulodocorpo — dot — com — dot — br/Anmelden/Sepa/Sicherheit/Sepa-Rechner/EBanking/index.htm

Wie kann so etwas passieren?
Eigentlich ganz einfach, wenn man die Zugangsdaten kennt. Ein Server der Webseiten zur Verfügung stellt, ist kein Hexenwerk. Der Server ist ein ganz normaler PC mit Festplatte und aufrufbaren Dateien. Die Organisation der Dateiverzeichnisse können Sie in etwa mit Ihrem häuslichen PC vergleichen. Kennen Sie einen Pfad zu einer anzeigbaren/aufrufbaren Datei (.exe, .com, .pdf, .doc……) können Sie das Programm oder die Dateien aufrufen.

Geben Sie z.B. https://www.rm-news.de/index.php im Webbrowser ein, wird die Datei index.php aus dem Verzeichnis www.rm-news.de (vereinfacht ausgedrückt) aufgerufen und im Internet Explorer angezeigt.

Der Pfad mit der aufzurufenden Datei könnte auf einem PC so aussehen:
c:AnmeldenSepaSicherheitSepa-RechnerEBankingindex.htm

Wenn Sie eine eigene Internetpräsenz haben, müssen die Webseiten mit einem geeigneten Programm auf Ihren Webserver transportiert werden. Diesemgeeignete Programm– sind die Zugangsdaten zu Ihrem Server bekannt. Und dann muss es auch schon gut sein. Geraten diese Zugangsdaten in die falschen Hände kann einiges an Unfug, natürlich in Ihrem Namen, angestellt werden.

Zugangsdaten sind bekannt
Der Eindringling wird Ihren eigentlichen Webauftritt unangetastet lassen. Er wird auf Ihren Webserver neue Verzeichnisse/Pfade einrichten. Z.B: Anmelden/Sepa/Sicherheit/Sepa-Rechner/EBanking.
In das letzte Verzeichnis wird z.B. die Datei – index.htm – abgelegt. Rufen Sie jetzt über einen Link in einer eMail diese Seite mit der vorgestellte URL (im Beispiel: www.rotulodocorpo -dot- com -dot- br) auf, erscheint die folgende Seite:

Betrugsversuch. Abzocker
Betrugsversuch. Abzocker

Für jeden ersichtlich: „Eine solche Seite kann NICHT von der Sparkasse kommen“

Kann man als Webseitenbetreiber solche Machenschaften erkennen?
Was ist ein ganz beliebter Spruch von Rechtsanwälten? KOMMT DARAUF AN!
Publizieren Sie Ihre Webseiten ausschließlich und automatisch mit dem Programm, mit dem Sie auch die Webseiten erstellen, ist die Gefahr recht groß die Manipulationen zu übersehen. Arbeiten Sie mit einem FTP-Programm, können Sie Veränderungen in der Verzeichnisstrucktur erkennen und reagieren. Allerdings wird der Betreiber eines kleinen bis mittleren Webauftritts wohl kaum täglich eine neue Version seiner Webseite (per FTP) auf den Server transportieren. Also auch hier ist ein Erkennen von Eindringlingen ein Glücksspiel.
 
Fazit
Behalten Sie die Zugangsdaten für sich. Sorgen Sie für ein sicheres Password.
 
 
Am 11.11.2013 wurde eine solche Aktion von einem anderen Webserver gestartet. Lesen Sie hier den entsprechenden Artikel.
 


Verdächtige Mail von Amazon.
Phishing Mail

Abzocker. Phishing Mail. Verdächtige Mail von Amazon23.01.2014 – ( KOD )
 
Verdächtige Mail von Amazon.
Phishing Mail. Angeblich von Amazon.

 
Passend zu » Millionen Online-Zugangsdaten gekapert « jetzt eine Mail (ist eine Phishing Mail) die angeblich von Amazon kommen soll.

Sehr geehrte …….
Wir müssen Ihnen mitteilen, dass unser Sicherheitssystem einen unbefugten Zugriff auf Ihren Account festgestellt hat.
Fremde IP-Adresse lautet 93.137.36.184

Um eine Kontosperrung zu vermeiden, bitten wir Sie eine Identitatsbestätigung vorzunehmen.
Überprüfen Sie Ihr Account, indem Sie auf den Link klicken
Wir bitten um Verständnis und danken für Ihre Mithilfe.

 
Sachen die auffallen: Anrede falsch. Was soll die Angabe einer fremden IP-Adresse? Der Link zeigt auf http://httpsi.org/sicher/deu/kunde Diese Mailadresse entspricht NICHT den Vorgaben von Amazon. Siehe weiter unten.
 
Wenn Sie Ihre Daten bei Amazon ändern wollen, geben Sie den Link VON AMAZON (https://www.amazon.de/) unbedingt selbst ein

Wie kann man eine Mail von Amazon erkennen?

Amazon schreibt dazu:
…verlinken nur auf Websites, die mit http:// „xyz“.amazon.de oder https:// „xyz“.amazon.de beginnen.
Beispiele:
http://www.amazon.de
https://payments.amazon.de
http://sellercentral.amazon.de
Beachten Sie, dass vor der Endung „amazon.de“ ein Punkt steht. Seiten wie „payments-amazon.de“ gehören nicht zu Amazon.
Quelle: http://www.amazon.de/gp/help/customer/display.html?nodeId=15344101#b

 
 
Siehe auch
» Amazon. Achtung Phishing Mail
» Was ist Phishing? Kann ich mich davor schützen? 
 

Achtung Phishing. Angeblich Mail von der Sparkasse.

Achtung Phishing

Langsam nehmen die Mails zur Umstellung auf das SEPA-Verfahren immer groteskere Formen an. Eine von vielen Mails (vorliegender Fall Phishing) die man so täglich bekommen kann.

Sehr geehrter Kunde,

die Sparkasse arbeitet derzeit an technischen Arbeiten in der Abteilung Internet-Banking.
Dieser Abschnitt befasst sich mit der Installation einer neuen Software zur Aktualierung Ihres
Internet-Banking-Kontos zur Umstellung auf das neue SEPA-Verfahren, welches ab dem 01. Februar 2014
für alle Banken Europaweit umgestellt werden muss.Um diesen Service nutzen zu koennen, empfehlen
wir Ihnen den Link unten anzuklicken und die erforderlichen Informationen für die Aktualisierung zu vervollständigen.

http://colegiuldeadministratie.ro/Sparkasse/Sepa/Aktualisieren/Sicherheit/

Nach Abschluss der Vervollständigung Ihrer Daten wird Ihr Internet-Banking-Konto automatisch aktualisiert.
Zusätzlich wird sich einer unserer Mitarbeiter mit Ihnen in Verbindung setzen um das Softwareupdate fertigzustellen.
Wir bedanken uns für Ihr Vertrauen und verbleiben

Mit freundlichen Grüßen

Ihr Sparkassen Kundendienst

Was fällt bei dieser Mail, die natürlich NICHT von der Sparkasse ist, auf?
Es werden keine Umlaute verwendet. Nicht üblich bei einem deutschen Institut.

Der Link. Es ist kaum vorstellbar, dass Ihre Sparkasse Sie aus Rumänien aus anschreibt. http://colegiuldeadministratie.ro/
 

Achtung Phishing
Achtung Phishing

So einen Dreck würde die Sparkasse nicht publizieren.