• Together we make IT

    Episode 009 – Wie erkennt man Malware Emails

    Flattr this!

    In dieser Episode geht es darum, wie Du E-Mails, welche Malware enthalten können erkennen kannst.

    Jetzt ist gerade wieder die Zeit, da bekommst Du sicherlich viele Emails, bei denen Du angeblich Pakete hättest bekommen sollen und Du nicht erreichbar warst. Oder dass Du einen Gewinn erhalten hast. Es kann auch sein, dass Du Lieferscheine oder Rechnungen per Email bekommst von Absendern, die Du nicht kennst. Das ist noch relativ einfach diese zu erkennen. Aber auch Rechnungen von Telekom, Vodafone, PayPal und Amazon liegen in Deinem Postfach. Hier wird es schon schwieriger zu erkennen, ob diese Emails echt sind oder nicht.
    Zumindest auf dem ersten Blick sehen sie sehr echt aus!

    Aber woran kann man nun erkennen, ob diese E-Mails echt sind oder nicht?

    Zu erst schau Dir mal an, wie die Anrede ist. Steht da nur “Sehr geehrte Damen und Herren”, “Sehr geehrter Herr” oder “Sehr geehrte Frau”, dann kann dies schon ein Zeichen sein. Die meisten Anbieter verschicken E-Mails mit Deinem Vornamen und Nachnamen. Prüfe auch, ob Deine E-Mail Adresse auch tatsächlich bei diesem Anbieter hinterlegt hast.
    Mir ist es so ergangen, dass ich auf meier privaten E-Mail Adresse eine Rechnung von Vodafone über 700 Euro hatte. Ich habe zuerst einen Schock bekommen und mich gefragt, wie das sein kann! Den Anhang habe ich da noch nicht geöffnet.
    Dann fiel mir ein, dass diese Email-Adresse bei Vodafone gar nicht hinterlegt war, denn diese ging schon immer an meine “Info@”Adresse. Aber diese Email sah extrem echt aus UND ich wurde persönlich angesprochen. Erst bei genauerer Untersuchung der Email fielen mir diverse Dinge auf! Die Absender-Adresse war nur verschleiert da stand dann zwar der Absender “Rechnung@vodafone.de” aber dies war nur der Anzeigename. Die Absenderadresse war irgendetwas aus China oder so. Also in etwa so Rechnung@vodafone.de <maychuing@chg.cn>. Dies kann man schon erkennen, wenn man mit der Maus über die Absender Adresse fährt!

    Links innerhalb der E-Mail

    Links in der E-Mail werden da zum Beispiel mit http://www.dhl.de angezeigt, aber auch diese sind verschleiert. Hier nutzten die Verssender gerne URL Shortnener also Adress-Verkürzungsdienste. Aus einer langen Adresse wie zum Beispiel
    http://www2.ts-itconsult.de/episode-008-zwei-faktor-authentifizierung/ wird dann eine http://bit.ly/29OxRHe und schon kann man nicht erkennen, wohin die Adresse führen wird. Die kann überall hin führen. Auch hier kann man dies erkennen, indem man mit der Maus auf den Link fährt.

    Optionen der E-Mails

    In Deinem Emailprogramm kannst Du Dir auch den kompletten Verlauf der Email anschauen. Dort findest Du auch die Server, die die Mail passiert hat.

    Anzeigen von Nachrichtenköpfen

    Outlook

    1. Öffnen eine Nachricht.
    2. Klicke auf der Registerkarte Nachricht in der Gruppe Optionen .
      Die Kopfzeilen werden im Dialogfeld Nachrichtenoptionen im Feld Internetkopfzeilen angezeigt.

    Thunderbird

    1. Klicke auf den Menüpunkt Anzeige
    2. Dann auf Kopfzeilen
    3. und wähle “alle anzeigen”

    Apple Mail

    1. Wähle „Darstellung“
    2. klicke auf „E-Mail“
    3. und dann auf „Alle Header“.

    Email Anhänge

    Die Email anhänge kommen oft im Zip, PDF oder DOC Format an. In diesem Falle finde ich Zip die ungefährlichste, da ich hier den Inhalt sehen kann. PDF und Word Dokumente würde ich nicht ohne weiteres einfach so öffnen, denn diese nutzen Schwachstellen aus und wenn man da einmal darauf geklickt hat, kann oder ist es zu spät! Da Virenscanner alleine nicht genug Schutz vor der Malware bieten, empfehle ich Dir einen Service von virustotal (ein Unternehmen, welches zu google gehört) hier kannst Du den Dateianhang hochladen und die Datei prüfen lassen. Hierbei werden aktuell um die 53 Anbieter abgefragt, ob dort die Prüfsumme der Datei als Schädlich erkannt wurde.

    Gerade bei Worddokumenten sind Makros enthalten. Hör Dir hierzu einfach nochmal die Episode 004 an.

    Folge direkt herunterladen

    Episode 008 – Zwei-Faktor Authentifizierung

    Flattr this!

    Zwei-Faktor Authentifizierung

    Die Zwei-Faktor-Authentifizierung ist ein bewährtes Mittel, um seinen Online-Konten ein Mehr an Sicherheit zu verschaffen.

    Wie ich ja schon mehrfach gesagt habe, gibt es keine 100 prozentige Sicherheit. Aber jede Hürde, die man zusätzlich aufstellt, stellt einen “Hacker” vor größere Aufgaben. Meist wollen diese nur den schnelle Erfolg. Sobald sie merken, dass es einen größeren Aufwand bedeutet, dass das Konto geknackt wird, geben sie oft schon vorher auf. Sicherlich, es gibt auch Hacker, die das als Herausforderung sehen, aber die haben Dich nicht wirklich auf dem Radar. Denen geht es um größere Ziele. 

    Aber was genau ist denn nun die Zwei-Faktor Authentifizierung?

    Du kennst sie sicherlich, aber es ist Dir nicht bewusst gewesen… Deine Bankkarte, der PIN und eine TAN. Um Geld abzuheben, benötigst Du Deine Bankkarte UND die PIN. 

    Nehmen wir nun als Beispiel einfach mal Facebook. Um Dich auf Facebook anzumelden benötigst Du eine E-Mailadresse und ein Passwort.Max.Mustermann@MusterAG.de und das Passwort “Geheim”.
    Max ist ein ganz normaler Mensch wie Du und ich. Er hat sich auf vielen Seiten angemeldet und weil er, wie viele andere Menschen auch, den Weg des geringsten Widerstands geht, nutz er für alle Dienste das gleiche Passwort. 

    Nun ist aber folgendes passiert. Bei einem der Anbieter, die Max nutzt, gab es einen Einbruch ins System und die Datenbank mit den Nutzerdaten ist gestohlen worden. – Das passiert recht häufig – häufiger als man denkt. 
    Dummerweise waren die Passwörter in der Datenbank nicht verschlüsselt!

    Max weiß bis zu diesem Zeitpunkt nichts von alle dem.

    Die Hacker wissen, dass es sich die Menschen einfach machen und prüfen die gestohlenen Zugangsdaten auch auf andere Dienste wie zum Beispiel Google, Facebook und so weiter. 

    Haben die Hacker Dienste übernommen, haben sie den vollen Zugriff auf Deine Daten!

    Um genau dem entgegen zuwirken gibt es eine Zwei Faktor Authentifizierung. 

    • Amazon 
    • Paypal 
    • Google 
    • Facebook 
    • Dropbox 
    • Microsoft 

    bieten die Möglichkeit der Zwei Faktor Authorisierung an. Bei Paypal habe ich vor Jahren einen Hardwaretoken bekommen, der mit meinem Konto verknüpft ist und mir eine sechstellige Zahl erzeugt, wenn ich auf einen Knopf drücke.
    Nur die Kombination von Emailadresse, Passwort und der Zahl ermöglicht einen Zugriff auf das Konto.
    Hätte Max diese Art der Authentifizierung gehabt, wäre alles nicht so schlimm, denn ohne die über Token erzeugte “PIN”, ist ein Zugriff nicht möglich.

    Bei Facebook kann ich mir diese zusätzliche PIN über SMS oder eine App schicken lassen. Ich kann aber für jedes Gerät, welches ich nutze, sagen, dass er dafür den PIN nicht mehr braucht. Gehe ich aber an einen anderen Rechner und möchte mich anmelden, so geht das nicht ohne die PIN. 

    Ich nutze für alle Dienste (außer für Amazon) die Zwei Faktor Authentifizierung. Selbst der Zugriff von extern auf meine Firewall ist über diese Authentifizierungsart geschützt. 

    Wenn also jemand meinen Usernamen kennt, und eventuell mein Passwort, so kommt er dennoch nicht an diese Dienste ran, weil ihm der Code fehlt! 

    Ich lege es Dir wirklich nahe, dass Du diese Art der Authentifizierung nutzt. Ich habe auch auf meinem Android Smartphone eine App, in der alle Tokens (PINS) automatisch erzeugt werden. https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=de
    Da kann ich die Daten manuell hinterlegen oder mittels einem QR Code auch einfach scannen. Ich würde Dir raten, dass Du diese QR Codes auf deiner Festplatte speicherst, falls es mal passiert, dass du Dein Smartphone wechselst und Du nicht so lange suchen musst 🙂

    Links zur Einrichtung der Anbieter

    Facebook: https://www.facebook.com/settings?tab=security§ion=code_generator&view
    Amazon: Mein Konto – Konto Einstellung – Amnemlde und Sicherheitseinstellungen – Hier KANN es eine erweiterte Sicherheitseinstellung geben. Ich habe es aber nicht auf der DE Seite gehabt, aber auf der COM Seite von Amazon 
    Google:  Funktioniert so ähnlich wie bei Facebook – https://myaccount.google.com/security?utm_source=OGB&pli=1
    Paypal: Da verweise ich auf einen Blog Artikel von Botfrei.de  https://blog.botfrei.de/2015/11/2-faktor-authentifizierung-paypal/
    Dropbox: https://www.dropbox.com/account/security
    Microsoft: http://go.microsoft.com/fwlink/p/?LinkId=529561

    Folge direkt herunterladen

    Episode 007 – Meine Facebook Challenge Together we make IT safer

    Flattr this!

    Diesmal eine kurze Episode zwischendurch 🙂 

    Ich traue mich …

    und starte meine eigene Facebook Challenge. Nachdem ich an vielen Challenges teilgenommen habe dachte ich mir, ich könnte jetzt auch mal die Seiten tauschen und selbst einen ins Leben rufen.
    Wenn Du teilnehmen möchtest, kannst Du Dich unter http://www2.ts-itconsult.de/facebook-challenge gerne anmelden und teilnehmen. 
    Das Ganze ist natürlich kostenlos! 
    Der Start ist am 25.7 und geht fünf tagelang. 

    Die Themen werden folgende sein:

    1. Updates
    2. Backups
    3. Sichere Passwörter
    4. Sandbox
    5. Malwareschutz
    Dazu gibt es dann jeden Tag eine Aufgabe und am Ende ist Dein Rechner wieder ein ganze Stück sicherer!

    Folge direkt herunterladen

    Episode 006 – Sandboxie und Malwarebytes

    Flattr this!

    „Together we can make IT“ oder „Together we make IT“

    Ja, was stimmt denn nun? Viele waren dadurch ein wenig verwirrt, was ich auch nachvollziehen kann. Das Problem war, dass sich, warum auch immer, das Wörtchen can eingeschlichen hat. Richtig heißt es „Together we make IT“ Das habe ich nun so weit wie möglich wieder korrigiert. 

    Nur an einer Stelle ist es mir momentan nicht möglich. Die Seite auf Facebook kann aktuell nicht umbenannt werden. Warum? Facebook akzeptiert das letzte Wort nicht IT nicht. Facebook würde It oder it akzeptieren. Das will ich aber nicht!

    Ich habe hierzu schon Tickets erstellt und mehrfach nachgefragt aber – keine Reaktion seitens Facebook – 

    Darum heißt es auf der Facebook Seite weiterhin Together we can make IT 

    Das ist doof, aber momentan nicht zu ändern.

    Also bleibt es zumindest an dieser Stelle so. Im Intro ist es geändert, im Logo ist es geändert und soweit wie möglich überall sonst.

    Ich hatte die heutige Episode schon angefangen und aufgenommen, da viel mir auf, dass ich das Thema schon in Episode 004 besprochen hatte. Eigentlich war es geplant, dass ich Euch Sandboxie und Malwarebytes ewas näher bringe 🙂 

    Mit zwei Zusatztools können wir den Grundschutz aus Episode 004 nochmals etwas erweitern.

    Führt man ein Computerprogramm in Sandboxie aus, werden alle Schreibzugriffe auf die Festplatte auf einen speziellen, selbst definierbaren Ordner umgeleitet. Das Programm ist in der Lage, sowohl Schreibzugriffe auf Dateien als auch auf die Windows-Registrierungsdatenbank abzufangen und umzuleiten. Auf diese Weise wird das eigentliche Computersystem nicht verändert, wenn Programme in Sandboxie ausgeführt werden.
    Ist die betreffende Datei in dem Sandboxie-Ordner bereits vorhanden, werden auch Lesezugriffe entsprechend umgeleitet, so dass das in Sandboxie ausgeführte Programm selbst mit den veränderten Dateien weiterarbeitet, ansonsten erfolgen die Lesezugriffe zunächst auf die Originaldateien. Um sich vor der Ausspähung von Daten durch einen Trojaner zu schützen, kann man auch den Zugriff auf bestimmte Dateien, Verzeichnisse oder Schlüssel in der Registry komplett blockieren.
    Möchte man die Änderungen verwerfen, leert man die Sandbox entweder manuell oder automatisch beim Schließen der Sandbox. Der Benutzer hat jedoch die Möglichkeit, Ordner festzulegen, bei denen die Dateiänderungen entweder durch ein Dialogfeld gemeldet werden und die geänderten Dateien sofort in den tatsächlichen Ordner kopiert werden können oder vor dem Löschen des Sandbox-Inhalts aufgelistet und nach Bedarf kopiert werden können.

    Anwendungsbereiche

    Häufigste Anwendung ist das Ausführen eines Browsers oder E-Mail-Programms unter Sandboxie. Fängt sich der Internetnutzer Schadprogramme ein, können sich diese nicht einfach irgendwo auf dem System einnisten, sondern werden in die Sandbox umgeleitet. Leert man die Sandbox regelmäßig, werden auch die Schadprogramme gelöscht.

    Ein zweiter möglicher Anwendungsbereich ist das Ausprobieren von Computerprogrammen.Installiert man ein neues Computerprogramm in der Sandbox, kann man es darin testen und bei Nichtgefallen das Programm durch Leeren der Sandbox entfernen, ohne dass auf dem System Spuren zurückbleiben, wie das bei einer normalen Deinstallation oft der Fall ist. Weiterhin kann man auch bereits auf dem System installierte Programme in der Sandbox ausführen, um die Auswirkungen von veränderten Programmkonfigurationen zu testen. Software, welche allerdings sehr tief in das System eingreift wie z.B. Antivirenprogramme lassen sich nicht in der Sandbox installieren, da die Installationsroutinen dieser Programme mit den eingeschränkten Rechten der Sandbox nicht zurechtkommen und die Installation abbrechen.

    Unterschiede der registrierten Version

    Sandboxie ist für Privatanwender kostenlos. Allerdings erscheint dann nach 30 Tagen ein Erinnerungsfenster, die Software doch zu lizenzieren. Dabei stehen unterschiedliche Lizenzen für kommerzielle Anwender und Privatnutzer zur Auswahl. So wird privaten Nutzern eine jährliche Lizenz, eine lebenslange Lizenz oder eine lebenslange Mehrbenutzer-Lizenz angeboten Mit der Lizenzierung werden auch weitere Funktionen freigeschaltet, die es in der Standardversion nicht gibt. So kann man z. B. bestimmte Programme, Ordner, USB-Sticks und CD-Laufwerke definieren, welche automatisch in der Sandbox gestartet werden, und Programme gleichzeitig in verschiedenen Sandboxen laufen lassen.

    Eine Bitte an Euch

    Damit ich weiß ob ich mit meinem Podcast ruchtig liege oder er für Euch uninteressant ist, habe ich eine kleine Umfrage erstellt, die keine 5 Minuten Eurer Zeit beansprucht. Ich würde Euch bitten, dass Ihr mir diese 4 Fragen beantwortet; das geht wirklich sehr schnell!

    Hier geht es zur Umfrage 

    Weblinks

    http://www.sandboxie.com/

    Folge direkt herunterladen

    Episode 005 – Auf Facebook sicherer unterwegs

    Flattr this!

    Betrugsmaschen auf Facebook

    Auf Facebook tummeln sich viele Menschen. Viele die es gut mit uns meinen und viele, die Facebook für ihre Betrügereien nutzen.

    Heute bekam ich eine Nachricht von einer Bekannten, die einen Post auf Ihrer Seite hatte:

    Dear customer,

    Your Page will be Disabled!
    Please re-confirm your account to avoid blocking. It is caused someone has reported you that there were irregularities of content, for violating terms of service. If you are the original owner of this account, please re-confirm your account to avoid blocking.
    Please re-confirm your account here.

    Ihre Seite wird deaktiviert!
    Bitte bestätigen sie ihr Konto, um Sperrung zu vermeiden. Es hat sich jemand gemeldet, dass es sich um Unregelmäßigkeiten handelt, die den Inhalt von Inhalten haben. Wenn Sie der ursprüngliche Eigentümer dieses Kontos sind, bestätigen sie bitte ihr Konto, um Sperrung zu vermeiden.
    Bitte bestätigen sie ihr Konto hier.
    Bestätigen sie ihr Konto hier:
    http://1907.at.ua/confirmed.html

    Wenn sie nicht bestätigen, wird unser System automatisch ihr Konto blockieren, und sie werden es nicht wieder verwenden können.
    Vielen Dank, dass sie uns helfen, unsere Service-Zusammenarbeit zu verbessern.
    Facebook-Sicherheit

    Man beachte den Link -> http://1907.at.ua/confirmed.html … 

    der verweißt auf einen Server mit der Länderkennung .ua und das ist die Ukraine! 

    Ich habe in einer gesicherten Umgebung mal den Link verfolgt und landete auf einer nachgemachten Facebook Seite, welche von mir Daten abgreifen wollte. Mit einer Bestätigung des Buttons „Confirmation“ wäre ich weitergeleitet worden.

    Aber die Google Server haben die Seite schon geblockt.

    Mein Tipp an Euch. Schaut Euch immer die Links GENAU an. Hier war es recht einfach zu erkennen, dass das nie und nimmer Facebook war 🙂Aber nicht alle Postings sind so simple und einfach gestrickt.

    Wenn Ihr solche Postings oder Nachrichten erhalten habt, dann schreibe mir doch wie Ihr erkannt habt, dass es nicht „echt“ ist.

    Ich freue mich auch immer über solche Meldung wie Petra es gemacht hat. Wenn Euch etwas merkwürdiges auffällt, dann schreibt es mir, ich schaue es mir gerne genauer an!

    Hier ist die E-Mail im Original Wortlaut:

    Good Afternoon Timo,
     
    I know this will be like a surprise or some stuff like that due to we don’t know each other that much and never met in life and I am trusting you this far? Or will you look at me as a bad woman? But according to my own reasoning I do not think what I am about to tell you makes me a bad woman because I am not please  Timo do not look at me as a bad type I beg you with the name of God, please do bear with me and consider my request please.. I really don’t know why my instinct push me to open up what I have been keeping for long time to you but whatever it is please I just need your assistance if you can, i am an American officer here in Kabul and my mission here will soon be off please kindly listen to what i have to tell you and listen from your heart if you can help me in anyway please
     
    There is a saying that (Trust no one, tell your secrets to nobody and no one will ever betray you.) but I need to open up this with you believing you will help me and give me your trust even though we have not physically met each other in life but please kindly ask your precious heart if you can help me with what I am about to tell you. I am just a woman for that reason there are things I cannot handle on my own even that I am in force and been a single lady I have a lot of challenges as I have no one that can stand by me and so on.
     
    Now I want to let you into my world and secret with hope that you will never betray or disappoint me. Just because you said that I can trust you, I am now going to tell you what I have done in Afghanistan and my plans to execute a master plan that could get me out from this land soon
     
    I want to inform you that I have in my possession the sum of USD$6.7 Million (Six million Seven Hundred Thousand US Dollars), which I got from a rescue operation, i happened to be among the soldiers that lead that operation that day here in Kabul Afghanistan and i was the only female soldier among them, we believe is part of the money the Taliban and the ISIL are using to buy weapons from countries that are backing them up. Based on the suffering we undergo here some of us do meet such luck, I deposited my own share of the money box with a Red Cross Agent informing him that I am making contact for the owner of the box and it is under my power to approve whoever comes forth for the money box.
     
    I cannot move this money to my home in USA Chicago  because my mum cannot handle this and will not buy my idea. Please my dear, i do not need to be telling you this but my instinct keep telling me that you are the right person and will never disappoint or betray me, so I have to follow my instinct because it had never fail me for once in my life also while talking with you on facebook with your manners I see reasons to trust you and to be open with you from the bottom of my heart.
     
    I will transfer the money to you in Germany where you will be the beneficiary because I am a uniformed woman and I cannot be parading such an amount so I need to present someone as the beneficiary. I am an American and an intelligence officer for that reason I have 100% authentic means of transferring the money through diplomatic courier service .I just need your acceptance and all is done please my dear.
     
    Due to the nature of my job as a U.S.A military, and the tight government regulations towards owning a large sum of money, I cannot take this fund to my bank account back home. Because as a soldier I am not suppose to have such amount of cash in my possession.
     
    Now you will have to help me to receive this money there in Germany as consignment  and nobody, i repeat nobody should know what i am revealing to you now this is the secret i have been keeping for over a 9 months  now and you  know this world is a bad place we have good people and bad people i believe you are a good person and is my reason for telling you this i have no body i can trust apart from you now even with the fact that we don’t know each other very well but I believe you can be of great help to me according  to my instinct.  please do not say no and do not be afraid as i am going to use a secure mean of transporting this money to your location to keep it until I arrive  in few months time and immediately we can disburse the fund into many bank accounts i will give you 25% of the total fun which is $1,675,000 for your help if that is okay for you or we can invest the money together in a profitable business in any country or State  of your choice because I want to be a business woman no more military.
     
     Because our duty in Afghanistan is coming to an end, the money is no longer safe where i kept it, because we are dismantling some of our equipment, therefore I have made an arrangement on how to move this fund to any location  of my choice.
     
    All I need from you is to assure me that you will be able to handle the process of receiving it and keeping it until I am with you there
     
    I am desperately waiting for your positive reply, I will not be cool until I hear from you to know that you are capable of this favor i need from you.
     
    Finally, now that we are so intimate, kindly grant me the pleasure of having your trust, with all the kindness
     
    Yours truely
    Falls Ihr solche Nachrichten bekommt. könnt ihr mir diese gerne in den Kommentaren posten auf Facebook als Nachricht an @togetherIT oder schickt sie mir per E-Mail an info@ts-itconsult.de.

    Ich freue mich auf Nachrichten und wenn Ihr wollt, dann bewertet doch meinen Podcast auf iTunes. 

    Bis bald, 

    Euer

    Timo

    Folge direkt herunterladen