Woche 5: Es phisht mal wieder in der Schweiz

Sowohl die Swisscom als auch die Kantonspolizei Zürich warnen auf Twitter vor neuen Phishing-Attacken. Die Vorfälle, vor denen der Telko warnt, folgen dem üblichen Muster: Unbekannte Cyberkriminelle verschicken falsche Swisscom-Rechnungen, die dem Original täuschend ähnlich sehen.

An vier Punkten lassen sich die Fälschungen jedoch erkennen:

• Der Domain-Name ist falsch

• Die Absenderadresse ebenfalls

• Das potenzielle Opfer wird nicht direkt angesprochen

• Die S/MIME-Signatur fehlt

Die Kantonspolizei Zürich warnt derweil vor einer neuen Phishing-Methode, wie sie mitteilt. Diese mache aktuell im Kanton die Runde – mehrere hundert Fälle seien schon bekannt. Die Cyberkriminellen hätten es auf die Zugangsdaten für die Benutzerkonten bei der Post abgesehen.

Haben die Cyberkriminellen auf diese Weise eine Identität gestohlen, bestellen sie mit diesen Informationen anschliessend Waren in Onlineshops. Sobald die Bestätigung eingeht, ändern sie im Webportal der Post die Lieferadresse für das Paket. Das Paket geht zum Betrüger, die Rechnung zum Opfer.

Die Pakete werden laut Mitteilung an Hoteladressen oder Paketautomaten umgeleitet. Sogenannte Paketagenten holen sie dann ab. Diese Agenten sind oft unwissende Mittäter, die denken, dass sie einer seriösen Tätigkeit nachgehen. Die Polizei warnt daher auch vor Stelleninseraten, die nach derartigen Paketagenten suchen. Man solle keine Pakete von Unbekannten entgegennehmen oder weiterleiten.

Warum Fitness-Tracker nichts auf geheimen Militärstützpunkten verloren haben

Was auf den ersten Blick harmlos erscheint, kann auch ganz anders ausgehen. Das realisiert wohl derzeit Strava, ein US-amerikanischer App-Entwickler. Das Unternehmen bietet die gleichnamige Fitness-Tracking-App an.

Die App verfügt zwar über einen privaten Modus, die meisten der 27 Millionen Nutzer teilen jedoch ihre liebsten Jogging- und Schwimm-Routen öffentlich. Strava sammelte all diese Daten und publizierte sie online in einer Heatmap. Diese zeigt jedoch mehr als nur die Fitness-Gewohnheiten der Nutzer.

Wie zu erwarten, ist die Karte hell erleuchtet in städtischen Regionen – ein Anzeichen für viel Aktivität. In Krisengebieten ist die Karte fast vollständig dunkel. Lediglich ein paar vereinzelte Flecken von Aktivität sind zu sehen, wie The Washington Post berichtet. Die Umrisse von bekannten US-Militärbasen.

Offenbar nutzen auch Soldaten die App gerne für ihre Fitness. Auch einige, die ihren Standort definitiv nicht preisgeben sollten. Wie Thehackernews berichtet, fanden einige Sicherheitsexperten auch geheime Stützpunkte auf der Heatmap – darunter etwa die berüchtigte Area 51. Weitere potenzielle sensible Militäreinrichtungen fanden sich in Somalia, Syrien und Hawaii. Die Experten fanden aber auch russische Stützpunkte in der Ukraine und eine geheime Raketenbasis in Taiwan.

Die Heimat von Katzenvideos und Monero-Minern

Die grosse Plage von 2017, Ransomware, könnte seinen Zenit bereits überschritten haben. Statt Geld zu erpressen, lassen Cyberkriminelle ihre Opfer immer häufiger lieber nach Kryptowährungen schürfen. Versteckte Scripts, sogenannte Miner, nutzen dabei die Rechenleistung des Opfers, der nichts davon mitkriegt. Sein PC läuft langsamer, er weiss aber nicht wieso.

Nun sind auch auf Youtube derartige Skripts aufgetaucht. Sie verstecken sich in Werbeanzeigen, wie Ars Technica berichtet. Entdeckt habe die Skripts der italienische Web-Entwickler Diego Betto. Ihm fiel auf, dass sein Anti-Virus-Programm immer dann Alarm schlug, wenn er auf Youtube unterwegs war.

Die Cyberkriminellen doppelten aber nach: Zumindest in einigen Fällen machten die schürfenden Anzeigen Werbung für ein falsches Anti-Virus-Programm. So könnten die Betrüger noch mehr Geld von ihren Opfern entwenden und weitere Schadprogramme auf ihren Rechnern installieren.

Google habe die Werbeanzeigen mit den schürfenden Skripten innerhalb von zwei Stunden entfernt, sagte eine Mediensprecherin gegenüber Ars Technica. Gemäss Trend Micro begann die Kampagne am 18 Januar. Eine Woche darauf verdreifachte sich die Anzahl Miner.

Und das wohl sicherste Passwort der Welt

Am 1. Februar war "Change your Password Day". Ein Aufruf, sich ein neues Passwort auszudenken. Denn noch immer dominieren 123456, 111111 und qwerty die Listen der häufigsten Passwörter. Zudem verwende jeder fünfte Internetnutzer dasselbe Passwort für verschiedene Dienste.

Hinter dem Aufruf und den Statistiken steckt das Hasso-Plattner-Institut (HPI), das sogleich ein paar nützliche Tipps für neue Passwörter gibt. Diese kommen vom HPI-Direktor Christoph Meinel.

Das Passwort sollte etwa mindestens 10 bis 15 Zeichen lang sein, Gross- und Kleinschreibung miteinbeziehen und aus verschiedenen Zeichentypen bestehen, aus Buchstaben, Zahlen und Sonderzeichen. Also ein sogenanntes hartes Passwort.

Inwiefern ein hartes Passwort tatsächlich sinnvoll ist, ist aktuell jedoch Gegenstand verschiedener Debatten. Der Erfinder dieser Regeln, Bill Burr, kritisierte das Vorgehen vergangenen August. Das führe nur dazu, dass mehr und mehr Leute auf den "Passwort vergessen"-Button klicken. Sinnvoller seien möglichst lange Sätze. Die könnte man sich leichter merken und seien zudem schwerer zu knacken, als kürzere Passwörter, die dafür Sonderzeichen beinhalten.

Auch das Satire-Magazin Postillon hat einen Vorschlag für den Change your Password Day. Das angeblich sicherste Passwort, das man verwenden könnte.

Und zum Nachschlagen: das kleine IT-Security-ABC. Über den Direktlink oder den Webcode SecurityABC in das Suchfeld eingeben.