Nov 03

Ich bin bei meinen alltäglichen Recherchen auf folgendes lustig klingende Wort gestoßen: Mail Spoofing. Ich wusste bis dahin garnicht, was es bedeutet und musste mich direkt auf die Suche nach einer Definition begeben. Da es sich bei Mail Spoofing um einen Täuschungsversuch handelt,  möchte ich euch eine Erklärung dieses Begriffs nicht vorenthalten.

Unter Mail-Spoofing versteht man das Vortäuschen einer falschen Identität.
Betrüger können mit einfachen Mitteln eine E-Mail Adresse als Absender verwenden, die ihnen nicht gehört oder aber auch garnicht existiert. Für den Empfänger scheint auf den ersten Blick alles gewöhnlich. So kann es unter Umständen zu massiven Täuschungen kommen.

Möglich wird dies, da mittels SMTP die Adresse des Absenders nicht überprüft wird. Insbesondere bei SMTP-Servern, die keine Authentifizierung benötigen, ist Mail-Spoofing möglich.
Um zu kontrollieren, ob sich hinter einer E-Mail Adresse die wahre Identität verbirgt, kann man den Domain-Part einer E-Mail mit der Adresse des SMTP-Servers vergleichen. Unterscheiden sich diese könnte es sich um einen Täuschungsversuch handeln.

Im Allgemeinen wird Mail-Spoofing häufig für Phishing-Betrug herangezogen. Auf diese Weise wird unter falschen Identitäten via E-Mail nach sensibelsten Daten gefragt.

Aus Sicht eines E-Mail Providers ist es besonders wichtig, Täuschungsversuche dieser Art abzuwehren. Daher werden derartige E-Mails von einigen E-Mail Providern als Spam deklariert.

Ähnliche Artikel:                          

10.000 Hotmail E-Mail Konten gehackt-So schützt man sich vor Phishing

98% aller E-Mails sind SPAM….

Tagged with:
Okt 06

Phishing Betrüger werden immer trickreicher. Phishing bezeichnet dabei Versuche mittels gefälschten Webseiten, das Vertrauen der Nutzer zu gewinnen, um an sensible Daten zu gelangen.

Über 10.000 Hotmail E-Mail Konten wurden so gehackt. Aber nicht nur Hotmail Nutzer sollten schnellstens ihr Passwort ändern, auch Yahoo und Googlemail Nutzer müssen fürchten, dass ihre E-Mail Konten ausgespäht wurden. Nach Berichten des BBC wurden 20 000 E-Mail Konten von Googlemail, Yahoo Mail, Aol, Comcast und EarthLink mittels Phishing gehackt. Das beduetet: Bitte das Passwort ändern und für die Zukunft folgende 10 Gebote zum Schutz vor Phishing beachten. Diese wurden von der Arbeitsgruppe Identitätsschutz im Internet erarbeitet.

  1. Seien Sie immer auf dem neuesten Stand bezüglich Sicherheitsupdates des Browsers
  2. Kontrollieren Sie stets die Sicherheitszertifikate der besuchten Webseiten
  3. Achten Sie darauf, dass Sie sensible Daten über gesicherte Verbindungen schicken (https anstatt http in der URL)
  4. Öffnen Sie niemals E-Mails mit unbekannten Absender. Falls Sie es doch tun sollten, vermeiden Sie es, den Links in der E-Mail zu folgen. Oft leiten derartige Links von Phishing Betrügern auf Webseiten, die dazu animieren sollen Zugangsdaten einzugeben oder zu bestätigen.
  5. Bedenken Sie, dass zum Beispiel Ihre Bank nie via E-Mail nach Ihren Zugangsdaten fragen wird. Werden Sie skeptisch bei derartigen E-Mails und halten Sie kurze telefonische Rücksprache mit den jeweiligen Instituten zur Verifizierung.
  6. Deaktiverung von JavaScript. Dies sollte man aber wirklich nur gezielt einsetzen, da die meisten Webseiten ohne JavaScript nicht oder eingeschränkt funktionieren
  7. Wenn Sie es gewohnt sind, dass Ihnen bekannte Webseiten normalerweise eine Authentifizierung abverlangen und dann auf einmal ohne auskommen, sollte man den Browser schließen.
  8. Installation von Webfiltern, die stets aktualisiert werden mit gefährlichen Webseiten
  9. Bleiben Sie immer auf dem neuesten Stand bezüglich Virenschutz und Firewalls
  10. Geben Sie bei Webseiten, bei denen Sie wissen, dass Sie dort sensible Daten eingeben müssen, die URL manuell ein.

Hier noch ein Bericht des ZDFs zum Thema:

Tagged with:
Sep 15

Wie oft musste sich jeder in den letzten Jahren im Internet registrieren? Sehr oft! Aber wissen wir eigentlich was danach mit unseren Daten passiert? Ich bin fester Überzeugung, dass es manchmal besser ist, es nicht zu wissen. Viele verdrängen es auch und gehen einfach sehr unachtsam mit ihren sensibelsten Daten um in der Hoffnung, dass der Dienst 100% vor Hackern geschützt ist.
Das sind die meisten aber nicht. Mit ein paar kleinen Kniffen können versierte Hacker E-Mail Konten, Konten bei sozialen Netzwerken und ähnliches knacken.

Aber damit sollte jetzt Schluß sein. Wir User müssen ein bisschen achtsamer sein.
Computer Bild hat 35 der beliebtesten Internet Angebote auf Herz und Nieren geprüft.
Dreh- und Angelpunkt bleibt natürlich der E-Mail Dienst. Ist dieser einmal geknackt, stehen dem Hacker sämtliche weitere Konten wie PayPal, Xing, etc. offen. Der Super Gau!

Worauf sollte man also laut Computer Bild Ausgabe 20/2009 achten:

  • Sicherheitsfrage, wenn man sein Passwort vergessen hat: Man sollte darauf achten, dass man eine eigene Sicherheitsfrage erstellen kann. Denn Standard-Sicherheitsfragen sind über ein wenig Internet-Recherche leicht zu beantworten. Vergesst also den Mädchennamen eurer Mutter. Wird die Sicherheitsfrage von einem Hacker richtig beantwortet, kann dieser direkt ein neues Passwort anlegen und schon kommt man nicht mehr in seinen eigenen E-Mail Account. Bei einer Microsoft Studie zum Thema Online Sicherheit sollten die Probanden die Sicherheitsfrage eines fremden Users knacken. Das Ergebnis: 17% waren erfolgreich. Erschreckend!
  • Mehrfache Anmeldeversuche: Man sollte sich vergewissern, dass der Internet Dienst nach wenigen, erfolglosen Anmeldeversuchen den Account sperrt. So werden dem Hacker bereits ein wenig die Hände gebunden.
  • Intime Informationen: Natürlich macht es Spaß, in sozialen Netzwerken mit anderen zu kommunizieren und sich zu präsentieren. Aber man sollte darauf achten, dass man dort nicht dummerweise doch den „Mädchennamen der Mutter“ in irgendeiner Art und Weise erwähnt und gleichzeitig dem Hacker die Antwort zur Sicherheitsfrage für den E-Mail Dienst gibt.
  • Nutzung verschiedener Passwords: Für jeden Dienst sollte es ein anderes Password geben.

Wie lautet nun das Testurteil der Computer-Bild?
Hotmail, Yahoo! Mail, AOL Web Mail, T-Online und Freenet Mail sind sang- und klanglos durchgefallen. Bei all diesen Anbietern konnte man direkt nach erfolgreichem „Hacken“ der Sicherheitsfrage das Password direkt abändern und somit den eigentlichen Eigentümer vom Dienst ausschließen. Besser wäre gewesen, wenn das neue Passwort nach erfolgreich beantworteter Sicherheitsfrage an eine vom Eigentümer des Accounts angegebene Handynummer verschickt werden würde. Oder aber auch an eine alternative E-Mail Adresse.

Bei Web.de, GMX und Google Mail funktioniert dies nicht. Aber auch diese Anbieter konnten nur mit einem mittelmäßigen Testergebnis überzeugen.

Was die Anzahl der Anmeldeversuche angeht, werden diese nur bei Freenet Mail beschränkt. Bei dreimalig erfolglosen Login-Versuch wird der Account für 10 Minuten gesperrt.

Auch hier liebe E-Mail Anbieter bzw. E-Mail Dienste gibt es noch viel Optimierungsbedarf. Speziell bei so heiklen und wichtigen Themen.

Tagged with:
preload preload preload