Newsletter SICHER • INFORMIERT vom 15.04.2021
Ausgabe: 08/2021
Datenleck bei Corona-Tests, Cyberkriminelle stehlen hunderte Millionen Facebook- und LinkedIn-Datensätze & vermehrt gefälschte SMS im Umlauf
In den Schlagzeilen
1. Ausgeplaudert: 1,3 Millionen Datensätze von Clubhouse-NutzerInnen im Netz
In einem Forum für HackerInnen sollen Unbekannte 1,3 Millionen benutzerbezogene Daten der Social-Media-Plattform Clubhouse veröffentlicht haben. Das berichtet Golem unter Berufung auf die Seite Cybernews. Die Daten enthielten demnach User-IDs, Namen, Foto-URLs oder auch Benutzernamen. Sensible Informationen wie Passwörter sollen nicht in den Datensätzen enthalten sein. Allerdings ließen sich bereits auch die anderen Informationen für Social-Engineering-Angriffe nutzen. Clubhouse selbst äußerte sich zunächst nicht zu dem Vorfall (Stand 11.04.). Unklar bleibt in den Berichten über den Vorfall, wie die Kriminellen an die Daten gelangt sein könnten. Das audiobasierte soziale Netzwerk war schon in der Vergangenheit wegen schwacher Datensicherheit in die Kritik geraten, wir berichteten auch in diesem Newsletter darüber.
BSI-Tipps zum Schutz vor Social-Engineering-Angriffen
Golem zu den gestohlenen Clubhouse-Daten
2. Datenleck bei Corona-Tests
Persönliche Daten wie Wohn- und E-Mail-Adressen von Tausenden Menschen, die einen Corona-Test in einem Zentrum der Firma Eventus Media International gemacht haben, ließen sich frei im Internet abrufen, berichtet die Tagesschau. Betroffen seien die Daten von Ende März sowie Anfang April Getesteten in Hamburg, Berlin, Leipzig und Schwerte. Der Grund sei eine Sicherheitslücke auf der Internetseite gewesen, durch die Abruf-Codes für 17.000 Testtermin-Registrierungen im Netz auffindbar waren. Eventus Media International gibt an, dass Problem nach dem Hinweis der JournalistInnen geschlossen zu haben. Das BSI rät Betroffenen, Kontakt mit der zuständigen Datenschutzbehörde aufzunehmen. Für alle Sicherheitsthemen rund um Covid-19 hat das BSI mittlerweile eine Sonderabteilung eingerichtet, um bei Sicherheitslücken und Cyberangriffen schnell unterstützen zu können.
Die Tagesschau über das Datenleck bei Corona-Testzentren
3. Cyberkriminelle stehlen 500 Millionen LinkedIn-Datensätze
LinkedIn-NutzerInnen könnten in der nächsten Zeit besonders stark in das Visier von Cyberkriminellen geraten. Grund dafür sind 500 Millionen LinkedIn-Datensätze, die Hacker gestohlen haben sollen. Wie Computer Bild unter Berufung auf die Seite Cybernews berichtet, sollen Kriminelle die Daten in einschlägigen Foren zum Kauf anbieten. Als Beweis erhalten potenzielle KäuferInnen demnach zwei Millionen Datensätze, die unter anderem Namen, E-Mail-Adressen oder auch Angaben zur Berufserfahrung enthielten. Passwörter sollen die Datensätze nicht enthalten. Computer Bild zufolge könnten Kriminelle sich die Informationen jedoch bei gezielten Cyberangriffen zunutze machen – zum Beispiel beim Spear-Phishing. AngreiferInnen könnten speziell auf die Opfer angepasste Webseiten und E-Mails erstellen, um Firmengeheimnisse zu erbeuten oder Schadsoftware einzuschmuggeln. Woher die Datensätze stammen, ist dem Bericht zufolge noch unklar.
Infos zu Spear-Phishing gibt es in diesem BSI-Beitrag
4. Fake-Shop täuscht Playstation-KundInnen
Playstation-EnthusiastInnen warten bereits seit einigen Monaten darauf, dass die neueste Spielekonsole endlich wieder im Handel verfügbar ist. Die wachsende Ungeduld nutzen Cyberkriminelle aus und haben bereits mehrere Fake-Shops errichtet, wie Heise Online schreibt. Die betrügerischen Shops seien aufwendig gestaltet, nur Hinweise wie kleine Rechtschreibfehler und Bilddetails mit kyrillischen Verpackungsaufschriften deuteten darauf hin, dass die vermeintliche PlayStation 5 Konsole nie ankommen wird. Heise Online warnt zudem, dass ein Ende der immer wieder aufploppenden Fake-Shops für die Spielekonsole nicht in Sicht sei.
BSI-Hinweise, worauf beim Online-Einkauf zu achten ist und wie Sie Fake-Shops erkennen
5. Daten von hunderten Millionen Facebook-NutzerInnen erneut veröffentlicht
Vollständige Namen, Telefonnummern, Geburtsdaten: Die persönlichen Daten von mehr als 500 Millionen Facebook-NutzerInnen sind erneut ins Netz gelangt. Wessen Daten betroffen sind, darüber will der Konzern nach eigenen Angaben nicht informieren, wie Heise Online berichtet. Einem Facebook-Sprecher zufolge seien die Daten bereits älter und nicht durch einen Hack entwendet worden – an der Chronologie der Ereignisse bestünden jedoch laut Heise Online Zweifel. Die für Facebook zuständige Datenschutzbehörde habe eine Untersuchung angekündigt. Ob eigene Daten in dem Facebook-Leak enthalten sind, können NutzerInnen beispielsweise mit den Online-Diensten "Have I Been Pwned" überprüfen. Viele Menschen berichten in den vergangenen Tagen über verdächtige SMS auf ihrem Smartphone im Zusammenhang mit dem Datenleck bei Facebook, schreibt Heise Online. In der Rubrik "Bleiben Sie up-to-date" erfahren Sie mehr über die neue Welle an Smishing-Angriffen.
Mehr Informationen über Angebote wie "Have I Been Pwned" finden Sie in diesem BSI-Artikel
Heise Online über das Datenleck bei Facebook
Bleiben Sie up-to-date
6. Aktuelle Warnmeldungen des Bürger-CERT
Das "Computer Emergency Response Team" des BSI informiert regelmäßig über Schwachstellen in Hard- und Software. Aktuell gibt es Meldungen zu Google Android (11, 10, 0, 8.1); Kaspersky Anti-Virus (< 20 Patch L, < 21.2, < 21.3), Kaspersky Internet Security (< 20 Patch L, < 21.2, < 21.3), Kaspersky Internet Security for Mac (< 21.1) und Kaspersky Total Security (< 20 Patch L, < 21.2, < 21.3); Trend Micro AntiVirus for mac (< 10.5.2088, 11.0.2062); Open Source ClamAV (< 0.103.2); sowie Mozilla Thunderbird (< 78.9.1).
7. Smishing: Angriffe per SMS nehmen zu
Bereits vor zwei Monaten haben wir in diesem Newsletter über eine Gefahr berichtet, die sich in den vergangenen Tagen enorm verbreitet hat: Smishing, eine Wortschöpfung aus den Begriffen SMS und Phishing – dem Diebstahl von Zugangsdaten über gefälschte Nachrichten oder E-Mails. In der SMS geben die TäterInnen vor, dass die EmpfängerInnen ein Paket erhalten sollen oder eine Sendung zurückgeschickt werden müsse. Ein Link in der Nachricht soll angeblich zu der notwendigen App bekannter Logistikunternehmen wie FedEx oder DHL führen. Doch dahinter verbergen sich etwa die Android-Schadprogramme "MoqHao" oder "FluBot". iOS-NutzerInnen werden auf Werbe- oder Phishing-Seiten weitergeleitet. Wichtig: Sollten Sie den Verdacht haben, eine solche Nachricht empfangen zu haben, dann klicken Sie nicht auf den Link und löschen Sie die Nachricht umgehend.
Weitere BSI-Informationen – auch für den Fall, dass Sie einen Smishing-Link angeklickt haben
8. Update schleust Malware auf Gigaset-Smartphones
Schadsoftware sei über Update-Server auf Gigaset-Smartphone gelangt, schreibt Computer Bild, und sorge unter anderem dafür, dass sich der Akku schnell entleere, die Geräte sich verlangsamen oder Messenger-Dienste wie WhatsApp gesperrt seien. Betroffen seien ältere Modelle wie das Gigaset GS170 und GS180, potenziell gefährdet seien auch die Geräte GS100, GS160, GS270 (plus) sowie GS370 (plus), wie das Unternehmen mitteilt. Eine Infizierung sei seit dem 7. April nicht mehr möglich. Laut Gigaset seien bereits Maßnahmen getroffen worden, um die Schadsoftware automatisch von infizierten Smartphones zu befreien. Dazu müsse das Gerät mit dem Internet verbunden und idealerweise ans Ladegerät angeschlossen sein.
Allgemeine Informationen zu Infektionsbeseitigung bei Smartphones und Tablets finden Sie beim BSI
Computer Bild zur Malware auf Gigaset-Smartphones
Gut zu wissen
9. Vorsicht, wenn Microsoft anruft!
Bereits seit 2014 warnt Microsoft seine NutzerInnen immer wieder vor betrügerischen Anrufen, nun berichtet der Tagesspiegel über die Betrugsmethode und aktuelle Fälle. Die Masche hat sich nicht verändert: Das Telefon klingelt und am anderen Ende der Leitung drängt der vermeintliche Kundensupport von Microsoft darauf, Zugang zum Computer zu erhalten, um ein Sicherheitsproblem zu lösen. Tatsächlich besteht jedoch gar kein IT-Problem. Die BetrügerInnen sitzen häufig in ausländischen Call-Centern und sind darauf aus, via Fernzugriff Trojaner auf den Geräten zu installieren. So verschaffen sie sich Zugang zu sensiblen Daten, etwa für das Onlinebanking, und erbeuten hohe Geldsummen. Was Sie sich merken sollten: Echte Microsoft-MitarbeiterInnen rufen niemals an. Unser Rat ist es, direkt aufzulegen! Sollten sich die BetrügerInnen auf dem Mobiltelefon statt auf dem Festnetz melden, ist weitere Vorsicht geboten: Die Nummer könnte Teil eines Datenlecks sein und Sie sollten Ihre Passwörter als Vorsichtsmaßnahme lieber ändern.
Der Tagesspiegel zum Support-Betrug
10. Forscher entdecken Angriffsmöglichkeit per Zoom
Im Rahmen eines Hackerwettbewerbs soll es Sicherheitsforschern gelungen sein, ohne Zutun der BenutzerInnen Schadcode über das Videokonferenzsystem Zoom auszuführen. Für das Aufzeigen der Hacking-Möglichkeit erhielten sie ein Preisgeld von 200.000 US-Dollar, berichtet das Onlineportal Golem. Sie sollen drei Sicherheitslücken der Software kombiniert haben. Dem Portal zufolge gaben die Forscher jedoch keine Details bekannt, da die Lücken noch nicht geschlossen worden seien. "Der Angriff soll sowohl unter Windows als auch unter MacOS funktionieren, auf iOS und Android wurde er noch nicht getestet", schreibt Golem. Der Zoom-Hersteller erläuterte, dass an einem Patch gearbeitet werde.
Golem über die Sicherheitslücken in Zoom
Zeitlos wichtig
11. Smart Meter Gateway: Die Kommunikationseinheit für ein intelligentes Messsystem
Die Digitalisierung macht vor der Energieversorgung nicht halt. Ein Smart-Meter-Gateway sorgt ermöglicht es, dass vertrauliche Daten sicher gesendet oder empfangen werden können. Das ist die Grundvoraussetzung für ein intelligentes Stromnetz der Zukunft, in dem die Erzeugung, Speicherung und der Verbrauch von Energie optimal gesteuert und aufeinander abgestimmt werden können. Das BSI legt dabei die sicherheitstechnischen Anforderungen für die Entwicklung, Produktion und Auslieferung der Smart-Meter-Gateways und deren Betrieb fest. Eine zentrale Rolle spielt dabei Verschlüsselung der Daten. Wenn Sie mehr darüber erfahren möchten, schauen Sie in unser Smart Meter FAQ für VerbraucherInnen. Dort erklären wir auch im Detail, was intelligente Messsysteme sind, welche Vorteile Sie haben und wie das BSI an der Digitalisierung des Stromnetztes beteiligt ist.
BSI-Erklärvideo zu Smart-Meter-Gateways
Zahl der Woche
12. 130.000 US-Dollar Prämie für einen Hacker
Eine Methode für alle – das schien sich ein Hacker gedacht zu haben, der in die Systeme mehrerer großer Tech-Konzerne eingedrungen sein soll. Finanzen.net zufolge hat Alex Birsan die Methode der "Dependency Confusion" genutzt, um unter anderem in die Systeme von Apple, PayPal, Microsoft und Tesla einzudringen. Von "Dependencies" – auf Deutsch "Abhängigkeiten" – spricht man, wenn ein Programm externe Software oder Hilfsmodule benötigt, um zu funktionieren. Diese externen Komponenten werden oftmals als Packages bzw. Pakete bezeichnet. "Birsan überspielte privat genutzte "Dependency Packages" mit öffentlichen Malware-Packages, die den gleichen Namen trugen", schreibt das Portal. Die Pakete mit Schadprogramm würden auf Server hochgeladen werden, die Unternehmen für bestimmte Software nutzten. Findet ein Unternehmenssystem mehrere gleichnamige Dependencies, so werde stets das mit der höheren Versionsnummer heruntergeladen. Dementsprechend habe der Hacker seine Schadsoftware mit einer sehr hohen Versionsnummer betitelt, um den automatisierten Installationsprozess auszutricksen. Für seinen Hinweis auf diese Sicherheitslücke, die die Unternehmen durch eine Umstellung ihrer Systemabläufe geschlossen haben sollen, erhielt Birsan eine Prämie von 130.000 US-Dollar von den Unternehmen.
Was wichtig wird
13. BSI "trötet" jetzt auch auf der Open-Source-Plattform Mastodon
Nutzen Sie den Microblogging-Dienst Mastodon? Falls ja, dann finden Sie dort seit Neuestem auch das BSI unter https://social.bund.de/@bsi. Mastodon ist eine auf freier Software basierende und datenschutzfreundliche Alternative zum Kurznachrichtendienst Twitter. Auf der Open-Source-Plattform wird das BSI von nun an regelmäßig Kurznachrichten zu verschiedenen technischen Themen veröffentlichen. Folgen Sie gern @bsi@social.bund.de und erhalten Sie unsere "Tröts", wie die maximal 500 Zeichen langen Nachrichten bei Mastodon heißen.
Komplette BSI-Meldung zu Mastodon
Ihnen gefällt dieser Newsletter? Empfehlen Sie ihn Familie, FreundInnen oder KollegInnen unter
- Kurz-URL:
- https://www.bsi.bund.de/dok/15190476