Archiv der Kategorie: Schadsoftware und Sicherheitstipps

Warnungen vor Schadsoftware, Viren und Trojanern; Tipps und Sicherheitsstrategien, Antivirensoftware

Achtung Referrer #Spam

Immer häufiger sprechen uns Händler auf „komische Links“ an, die im Shop unter „Wer ist online?“  oder in Google Analytics als Quelle auftauchen. Besucher kommen von merkwürdigen Domains um den Shop zu besuchen.

Vorweg, dies ist KEIN Zeichen dafür das Sie gehackt wurden. Es handelt sich nur um die Quelle, von der aus der Besucher Ihren Shop besuchte. Meistens ist dies Google, Bing, oder eine Website, die über Ihren Shop berichtet hat.

Immer häufiger jedoch tauchen die genannten „komischen Links“ auf, wie zum Beispiel

Secret.ɢoogle.com You are invited! Enter only with this ticket URL. Copy it. Vote for Trump!

Wir warnen dringend davor, diese URLS anzuklicken, zu kopieren oder sonstwie zu besuchen !!

Diese Vorgehensweise nennt sich Referrer Spam und zielt auf die Neugierde desjenigen, der den Link entdeckt. Sobald Sie diese URL aufrufen, ziehen Sie sich Malware, also einen Virus oder Trojaner, auf Ihren Rechner.

Ignorieren Sie daher solche Links einfach, sie sind harmlos – solange sie man nicht aufruft. (und nein, man kann das nicht sperren).

#Ransomware: Erpressungstrojaner verbreiten sich blitzartig in Deutschland

Die aktuell größte Sicherheitsbedrohung im deutschen IT Bereich nennt sich „Ransomware“. Dies sind Schadprogramme, die sich verbreiten und alle infizierten Laufwerke verschlüsseln. Beim Aufruf des Laufwerkes erscheint dann statt der Daten ein Fenster mit einer Zahlungsaufforderung und dem Versprechen, nach Erhalt der Zahlung würden die Daten wieder entschlüsselt werden.

Ransomware verbreitet sich rasant!

Diese Ransomware verbreitet sich momentan rasant, weltweit aber auch auch speziell in Deutschland. Das zeigt eine Analyse des Bundesamtes für Sicherheit in der Informationstechnik.
Demnach tragen vor allem Betroffene, die auf die Erpressung eingehen, zu dem Erfolg und weiteren Verbreitung der Ransomware bei. Laut BSI ziehen die Kriminellen mittlerweile sogar Kapazitäten aus anderen Betrugsbereichen ab um sie verstärkt für das Verteilen von Ransomware einzusetzen.

Ransomware Verbreitung in Deutschland

Gegen neuere Ransomware – Versionen gibt es kein Gegenmittel

Ist die Festplatte erst einmal verschlüsselt, hilft nur: sofort abschalten und einen IT Spezialisten aufsuchen. Dieser sollte untersuchen, um welche Version der Ransomware es sich genau handelt und ob es für diese Version schon Gegenmittel gibt. Ältere Versionen wurden bereits geknackt und „Gegensoftware“ dazu geschrieben. Hat man eine neuere Version, bleibt nur die Möglichkeit auf eine Lösung zu warten, oder alle Daten zu löschen und aus einem Backup wiederherzustellen.

Ransomware macht unmittelbar und brutal Unternehmensschwachstellen deutlich!

Das BSI schreibt:

Bei Ransomware-Vorfällen werden Versäumnisse bei der Prävention deutlich aufgezeigt. Schlecht gepflegte Systeme, fehlende, veraltete oder nicht überprüfte Software-Backups, schwache Administrator-Passworte, fehlende Netzsegmentierung uvam. rächen sich bei Ransomware sofort durch die eingetretenen Schäden.

Hier wird mal wieder deutlich, wie ÜBERLEBENSWICHTIG für Unternehmen regelmäßige Backups sind und regelmäßige Updates. Gerade wer keine Backups macht, riskiert im wahrsten Sinne des Wortes seine Existenz.

Um Backups Ihrer PCs anzulegen können Sie zB die Software „Acronis“ verwenden. Wichtig ist, das Sie nach Erstellen des Backups die Backupfestplatte physisch vom Computer trennen. Ansonsten wird Ihr Backup im Notfall ebenfalls verschlüsselt.

#edit: 23.03.2016

Aufgrund diverser Nachfragen:
potentiell sind auch Linux und Mac Rechner gefährdet, da die aktuelle Ransomware auf dem NW.js Framework aufbaut, so das Angreifer die Ransomware cross-plattform tauglich schreiben können und mit wenigen Handgriffen passend für Linux und OS X machen.  NW.js Framework wird von Virenscannern als legitim betrachtet und kein Alarm geschlagen, somit wird die Notwendigkeit von Backups noch deutlicher.

#Changeyourpassword – Ändern Sie Ihr Passwort. JETZT.

Am 1. Februar ist traditionell der Passwort-ändern-Tag. Denn auch heute ist das beliebteste Passwort immer noch „123456“, neben „Passwort“ oder bestenfalls der Vorname des neugeborenen Kindes nebst Geburtsjahr. Darüberhinaus nutzen die allermeisten User ein und dasselbe Passwort für alle Dienste, bei denen sie sich das Passwort aussuchen dürfen. Selbst für so sensible Dienste wie E-Mails.

Haben Sie sich schon einmal darüber Gedanken gemacht, was passieren könnte, wenn jemand Zugang zu Ihrem E-Mail Konto erhält? Er könnte einfach auf allen Ihren Plattformen – auch in Ihrem Shop – einfach auf „Passwort vergessen“ klicken – und bekäme alle Passwörter ins Haus geliefert.

Ein gutes Passwort hat nichts, aber auch wirklich gar nichts mit Ihnen zu tun. Nicht mit Ihrem Haustier, Ihrem Urlaubsort oder Ihrem Hobby.  Ein gutes Passwort ist entweder ein SEHR langer Satz mit Sonderzeichen oder es ist ein reines Zufallspasswort.

Doch wie merkt man sich Zufallspasswörter?  Gar nicht. Man benutzt einfach einen Passwortmanager. Hier hinterlegen Sie alle Ihre zufallsgenerierten, nicht-merkbaren Passwörter und sichern den Passwortmanager durch einen langen, komplizierten Satz mit Sonderzeichen ab. Sie müssen sich nur diesen einen Satz merken. Den Rest übernimmt Ihr Passwortmanager.  Das mag nicht so bequem sein, wie ein Browser, der Ihr Passwort automatisch einträgt, erspart Ihnen jedoch jede Menge Arbeit – nämlich den Schaden zusammenzukehren, wenn Sie gehackt wurden.  Trotzdem: einmal im Jahr sollten Sie sich die Mühe machen, alle Ihre Zufallspasswörter zu ändern. Sehen Sie es als Frühjahrsputz.

Als Passwortmanager empfehlen wir „KeePass Portable“. Möchten Sie erfahren, wie KeePass funktioniert?  Bis zum 16. Februar geben wir Ihnen eine kostenlose Einführung.

Viele von Ihnen nutzen die Blogsoftware WordPress, teilweise als Blog, teilweise als Internetseite. Das ist auch verständlich, denn WordPress ist einfach zu bedienen, verständlich im Aufbau, aktualisiert sich mittlerweile von selbst und sieht dank zahlreicher kostenloser Templatevorlagen gut aus.
Wordpress hat nur den Nachteil, den erfolgreiche Software immer haben wird: Sie zieht Hacker an. Das hat mit Erfolg per se zu tun: es ist viel effektiver, eine Lücke in einem weitverbreiteten System zu finden, und hinterher quasi auf Knopfdruck tausendfach Internetseiten automatisiert zu hacken, als sich mit jeder Seite einzeln rumzuschlagen.
Über die gehackte Seite werden dann z.B. entweder Viren u.ä. verteilt, oder Suchmaschinenranking manipuliert.  Wer gehackt wurde, und kein Backup zur Verfügung hat, der muss seine Seite komplett neu aufsetzen.
In dem Rennen zwischen Sicherheitsexperten und Hackern steht das WordPress Plugin „All In One WP Security“ auf der Seite der Sicherheitsexperten. Nutzen Sie es. Sie machen damit Ihre Seite nicht „unhackbar“ (denn so etwas gibt es nicht), aber Sie schließen eine Reihe potenzieller Einfallstore.
Auch dieses Plugin richten wir Ihnen auf Wunsch kostenlos ein. Dieses Angebot gilt bis zum 16. Februar 2016.

Fishnet Services. SO geht Service.

 

Betrügerische Mails und Schreiben im Namen des Bundeszentralamtes für Steuern

Es sind mal wieder Spam E-Mails und Schreiben im Umlauf.

E-Mail:
In den Mails mit dem Betreff „Rückerstattung / refund“ steht

„Steuererstattung ist abgeschlossen, befestigt ist eine Kopie des Schlup.“ In der Anlage befindet sich eine als PDF getarnte Schadsoftware.

Briefe:

Mal wieder gibt es Briefe, die eine kostenpflichtige Erfassung Ihrer UStID anbieten. Das ist natürlich Quatsch, da die UstID immer kostenlos und ausschließlich durch das BZSt. erfasst wird.

Marketing Tricks: Geister-Traffic und Referrer Spam

In den letzten Wochen wunderten sich viele Google-Analytics-Nutzer über angebliche Zugriffe merkwürdiger Webseiten.
Prüft man diese Zugriffe wird schnell klar: Die Seiten wurden gar nicht verlinkt, sondern die Zugriffe waren nur simuliert.

Was hat es damit auf sich?
Die Spamer, die diese Zugriffe simulieren, spekulieren auf die Verwunderung der Webseitenbetreiber und darauf, dass diese dann die entsprechenden Quellen besuchen. Damit sorgen sie dann für Traffic. Die Entwicklers des dubiosen Suchmaschinenoptimierungs-Tools „Semalt“ wollen damit eine bestimmte Zielgruppe erreichen:
Webmaster, die den Traffic auf ihren Webseiten verbessern wollen.
Eine Hochrechnung des Statistikdienstes Similar­Web ergab, dass „Semalt“ 2,4 Mil­lio­nen Visits durchschnittlich im Monat verzeichnet.
Davon haben mehr als 70% der Besucher die Seite direkt  aufgerufen.

Doch wie funktioniert das genau?
Wenn ein User eine Webseite besucht die auch mit Google Analytics verbunden ist, wird ein Javascript ausgeführt das den Besuch und und den Link mit dem der User auf die Seite gekommen ist, vermerkt.
Der Code enthält u. a. die Google Analytics ID des Seitenbetreibers. Die Spamer kamen nun auf die Idee, diese Codes tausende von male pro Tag automatisiert auszuführen – mit der nach dem Zufalls­prin­zip erstellten Google-Analytics-ID und der URL ihrer eigenen Seite.

Es gibt auch eine 2. Version des Referrer Spams.
Beim s.g. „Affiliate-Betrug“ tauchen in den vergangenen Wochen die URLs verschiedener Webseiten vermehrt in Google-Analytics-Logs auf. Diese verweisen z. Bsp. weiter auf die URL shopping.ilovevitaly.ru  und von dort aus auf einen Affiliate-Link von Ali Express, einem Online-Marktplatz des chinesischen Konzerns Ali Baba.
Kauft nun ein User bei Ali Baba der über shopping.ilovevitaly.ru auf die Seite gelangte, erhalten die Betreiber der Seite eine Provision.
Zwischen September und Dezember 2014 sind die Besucherzahlen auf beispielsweise shopping.ilovevitaly.ru on Null auf 1,2 Millionen gestiegen.

Wer den Geister-Traffic ausschalten möchte und so seine Statistiken sauber halten will, sollte bei Google das Häkchen „Bots und Spider herausfiltern“ setzen. Innerhalb von Google Analytics können Sie eine „Referral Exclusion List“ anlegen und damit konkrete Seiten aussperren.

Angebliche DHL Paketankündigung enthält #Trojaner

Seit letzter Woche ist mal wieder ein Trojaner unterwegs, der sich als DHL Paketankündigung tarnt. Der Betreff lautet „Ankündigung – Sendung“ gefolgt von einer langen Zahlenkolonne.

Die E-Mail sieht grob aus wie eine tatsächliche Paketankündigung, was bei neuen Mitarbeitern zu Verwirrung oder tatsächlichem Glauben führen könnte, ein täglich damit befasster Unternehmer wird das recht schnell als Fake erkennen.

Der „PDF Link“ ist in Wirklichkeit ein ZIP und auch im Header-Quellcode kann man bereits sehen, das die Absender-Email nicht von einem Paketdienst stammt, sondern eher von dem PrivatPC von Oma Lieschen, die keinen Virenscanner besitzt und somit fleißig zum Verbreiten solcher E-Mails beiträgt.

Wie gesagt, Unternehmer werden das schnell erkennen, Mitarbeiter sollten die Anweisung bekommen, die angebliche Sendungsnummer auf paket.de einzutippen, statt den Link anzuklicken.

Immer häufiger seit Anfang diesen Jahres gibt es auch gefälschte Versandbenachrichtigungen von Amazon, oder Paketankündigungen von UPS und DHL sowie Rechnungen von 1&1 und der Telekom. Die Absender spekulieren wohl darauf, das gerade die Versandhandelwütigen Deutschen irgendwann unbedacht eine ihrer vielen Amazonbenachrichtigungen öffnen.  Die Qualität der Fakes unterscheidet sich erheblich, der 1+1 Fake ist grottenschlecht, während die UPS Mail ziemlich gut ist. Nur die Kontrollnummer im Betreff der UPS Mail unterscheidet sich von dem angeblichen Anhang (der eine .exe Datei ist, die sich direkt ausführt und installiert).

Prinzipiell sollten Mitarbeiter, die auch Kontakt mit dem E-Mail Programm haben, unbedingt im Umgang mit Anhängen geschult und für das Thema sensibilisiert werden.  Auch wenn es im ersten Moment schneller erscheinen mag, „mal eben“ den Anhang zu öffnen, ist der Besuch der Internetseite – ob dhl.de oder paypal.de – immer sinnvoller und langfristig auch zeitsparender.

 

 

Neues Google Analytics Opt-Out

Interessant für alle Händler, die Google Analytics benutzen:

Laut IT Recht Kanzlei muss ein neues Google Analytics Opt Out direkt im Shop eingebaut werden. Bisher gab es nur einen Link von der Datenschutzerklärung des Händlers hin zu Google, wo man sich ein Browser Add On herunterladen konnte. und mit diesem Google Analytics am Daten sammeln hindern konnte.

Mit dem neuen Opt Out kann man nun speziell für den Shop dieses Händlers eine Blockade anlegen und benötigt dafür kein eigenes Add On mehr.

Bedeutet, in der Datenschutzerklärung muss auf die neue Opt-Out Möglichkeit hingewiesen werden und der Code muss eingebaut werden. IT Recht Kanzlei Kunden finden Näheres im aktuellen Newsletter.

Sicherheitslücke: Flash Player deinstallieren!

Das Bundesinstitut für Sicherheit in der Informationstechnik (BSI) rät zur Deinstallation des Flash Players. Grund sind wiederholt aufgetretene massive Sicherheitslücken.

Bereits vor einigen Wochen gab es eine Sicherheitslücke und man wurde zur Deinstallation aufgerufen. Einige Tage später gab Adobe bekannt, man habe diese nun geschlossen.  Nach Meldung von Heise Security gab sich das Unternehmen ratlos. Ein Sicherheitsupdate ist noch nicht in Sicht.

Da inzwischen auch YouTube angekündigt hat, seine Videos nicht mehr auf Flash-Basis sondern nur noch für html5 auszuliefern, wird Flash vermutlich schon bis Ende diesen Jahres Geschichte sein.

Von daher kann man es getrost deinstallieren und auf das Abenteuer einer Neuinstallation verzichten.

Sicherheitslücke in Modified eCommerce Software behoben

In sämtlichen Modified Versionen gibt es eine Sicherheitslücke, durch die ein Kunde zum Admin werden kann. Er kann aber nach bisherigen Erkenntnissen nicht auf das Backend zugreifen, „nur“ die Adminbox auf der Startseite auslesen (schlimm genug).

D.h. jeder kann hier ein wenig „Wirtschaftsspionage“ betreiben.

Hier der Bugfix.
in der /includes/write_customers_status.php nach:

$customers_status_query_1 = xtc_db_query(„SELECT customers_status FROM “ . TABLE_CUSTOMERS . “ WHERE customers_id = ‚“ . $_SESSION[‚customer_id‘] . „‚“);

folgendes einfügen:

// BOF – Fishnet Services – Nicolas Gemsjäger
if (xtc_db_num_rows($customers_status_query_1) == 0) {
header(„location: „.FILENAME_LOGOFF);
}
// EOF – Fishnet Services – Nicolas Gemsjäger

 

 

EDIT:

18.12.2014

neue Bugfixversion. Einfach mit dem Shop mergen:

https://www.blog.shopbetreuung.com/wp-content/uploads/2014/12/security_fix_2014_12_17.zip

Gambio ist laut Gambio Support bereits seit Version GX1 nicht mehr betroffen.