Betrüger gibt sich als Microsoft-Mitarbeiter aus und ergaunert etwa 6.500 Euro durch Telefonanruf

Bild: Newsroom Microsoft Deutschland
© Foto: Newsroom Microsoft Deutschland

Immer wieder warnen Sicherheitsexperten vor vermeintlichen Microsoft-Mitarbeitern, die per Telefon oder E-Mail an Geld oder sensible Daten kommen wollen. Auch bei Gebrauchtesoftware.de haben wir bereits mehrfach darüber berichtet, so etwa in den Artikeln „Betrugsmasche am Telefon: Anrufer geben sich als Microsoft-Mitarbeiter aus“ und „Betrugsversuch am Telefon: Anrufer gibt sich als Windows- und Apple-Mitarbeiter aus“.

Täter erbeutet etwa 6.500 Euro in Form von iTunes-Geschenkkarten

Im aktuellen Fall wurde ein Mann aus Hessen von einem Betrüger, der sich als Microsoft-Mitarbeiter ausgab, angerufen. Das Polizeipräsidium Mittelhessen gab bekannt, dass hierbei ein Schaden in Höhe von etwa 6.500 Euro entstand.  Der angebliche Microsoft-Mitarbeiter sagte dem Mann, dass dessen Rechner von einer Schadsoftware befallen sei. Würde der Mann nicht handeln drohe der Computer abzustürzen. Der „Microsoft-Mitarbeiter“ gab vor, das Problem via Fernwartung – und natürlich gegen Bezahlung – lösen zu wollen. Der Mann aus Bad Vilbel (etwa 10 Kilometer nördlich von Frankfurt am Main) glaubte den Aussagen des Betrügers, gewährte diesem per Fernwartung Zugriff auf seinen PC und zahlte für die „Dienste“ rund 6.500 Euro in Form von iTunes-Geschenkkarten.

Polizei rät: Einfach auflegen

Fälle wie dieser sind keine Seltenheit, immer wieder rufen Betrüger arglose Bürger an und behaupten, dass per Fernwartung eine Reparatur vorgenommen werden müsse, damit der Computer problemlos funktioniere. Dabei wird oftmals eine Fernwartungssoftware benutzt, etwa TeamViewer, AnyDesk oder RemotePC. Ältere TeamViewer-Versionen erlauben sogar volle Kontrolle über den PC, darunter Tastatur, Maus und Bildschirm (kann schwarz geschaltet werden). Nach erfolgter Verbindungsherstellung können die Angreifer Schadsoftware installieren, sensible Daten ausspähen oder stehlen oder (vor Windows 10) das System mit einem Startup-Passwort versehen (Syskey), um den Besitzer zu erpressen. Die Experten für Internetprävention im Hessischen Landeskriminalamt in Wiesbaden empfehlen, misstrauisch zu sein, wenn ein Anrufer grundlos dazu auffordert, Zugriff auf seinen eigenen Computer zu gestatten. Persönliche Informationen und andere sensible Daten müssen unbedingt verschwiegen werden. Bei Spam-Anrufen und unbekannten Nummern sollte sich außerdem nicht mit dem richtigen Namen gemeldet werden, besser mit einem kurzen „Hallo?“ oder „Ja, bitte?“. So können Anrufer nicht abgleichen, ob Datensätze in eventuell vorhandenen Anruflisten korrekt sind. Auch sollte keine Antwort auf spezifische Fragen nach der Anschrift, Bankverbindung oder bestimmten Verträgen gegeben werden. Ein gesundes Maß an Misstrauen hilft und im Zweifel gilt: Einfach auslegen!

Spectre und Meltdown: CPU-Sicherheitslücken erklärt – Wie kann ich mich schützen?

Derzeit sind die Begrifflichkeiten Spectre und Meltdown in aller Munde – doch wieso sind bestimmte Prozessoren (CPUs) überhaupt angreifbar, wie sehen die Sicherheitslücken aus? Und genauso wichtig: Wie kann ich mich schützen?

Update, 23. Januar 2018: Chiphersteller Intel hat Fehler in den neuesten Updates gegen die schwerwiegenden Sicherheitslücken gefunden und rät davon ab, entsprechende Versionen davon zu installieren. So könne es durch die Updates zu „unvorhersehbaren Problemen“ führen – wie sich diese genau gestalten und welche konkrete Gefahr für User besteht, sagte der Konzern nicht. Auch ist unklar, was Personen tun sollen, die die neuesten Updates bereits installiert haben – nicht jedes Update lässt sich durch jeden User einfach rückgängig machen, insbesondere wenn UEFI/BIOS betroffen sind. In unserer Redaktion gab es bisher keine Probleme – vielleicht möchte sich der Konzern nur absichern oder die User schützen, bei denen das Update zu negativen Folgen führen könnte. Intel-Manager Navin Shenoy in einem Blogeintrag: „Wir rufen unsere Partner in der Industrie auf, ihre Anstrengungen auf frühere Update-Versionen zu konzentrieren, sodass wir die Veröffentlichung beschleunigen können“. Es bleibt zu hoffen, dass Intel schnell mit einem entsprechenden Sicherheitsupdate hinterherkommt.

Spectre und Meltdown verständlich erklärt – das sind die Angriffsszenarien

Insgesamt sind drei Angriffsszenarien bekannt, die als schwerwiegende Sicherheitslücke gelten: Zwei werden als Spectre bezeichnet  (CVE-2017-5753 und CVE-2017-5715), eines als Meltdown (CVE-2017-5754).

Betroffen sind folgende Prozessoren:

  • Intel Core i3, i5, i7 (jeweils 45nm und 32nm), Intel Core M (45nm and 32nm), Intel Core 2. bis 8. Generation, Core X, Xeon, Atom und Celeron sowie einige Pentium (Intel Itanium und Intel Atom vor 2013 sind nicht betroffen)
  • Qualcomm Snapdragon-CPUs (Tablets und Smartphones) sind mindestens anfällig gegenüber Spectre
  • AMD-Prozessoren sind laut AMD nicht relevant von Meltdown, sehr wohl aber von Spectre betroffen (Betriebssystem- und Microsocode-Updates vorhanden) | Quelle: AMD
  • Apple-Prozessoren in iMac, Macbook, iPhone, iPad und AppleTV sind betroffen | Quelle: Apple
  • Nvidia Tegra und Nvidias SoCs mit ARM-CPUs: auch hier scheint ein Sicherheitsrisiko gegeben, Nvidia bereitet hierzu Sicherheitsupdates vor (z.B. für Nvidia Shield)

Nicht betroffen sind folgende Geräte:

  • Apple Watch
  • Google Home, Google Chromecast, Wifi und OnHub
  • Raspberry Pi (verwendet nur ARM-Prozessoren ohne “Speculative execution”)
  • AVM (u.a. Fritzbox)
  • Geräte von Lancom | Quelle: Lancom

Der Kernelspeicher (Rogue Data Cache Read) und der Userspace teilen sich im Translation Lookaside Buffer (TLB) einen gemeinsamen Cache. Deshalb ist es unter Umständen für Angreifer möglich, Daten aus dem jeweils anderen Bereich auszulesen, die eigentlich vertraulich sind. Jetzt kann man sich fragen: Wieso greifen die beiden Bereiche eigentlich auf denselben Cache zurück? Die Antwort ist simpel: Die Vorgehensweise, dass der Speicher von beiden Anwendungskontexten verwendet werden kann, ohne geleert werden zu müssen, bietet enorme Geschwindigkeitsvorteile. Genau diesen Umstand jedoch nutzt der Meltdown-Angriff aus.

Bei Spectre wird die „Speculative Exekution“ von CPUs ausgenutzt, also der Versuch des Prozessors, Befehle zu erraten, die in Zukunft ausgeführt werden könnten. Prozessorkapazitäten, die gerade frei sind, sollen hierbei verwendet werden, um Informationen bereitzustellen, die in Kürze vielleicht benötigt werden. Problematisch hierbei: Es können auch Informationen bereitgestellt werden, die vertraulich sind. Die vom Prozessor vorausberechneten Informationen können so ausgelesen werden.

Unbedingt Sicherheitsupdates herunterladen und installieren!

Microsoft hat bereits Updates bereitgestellt, die gegen Spectre und Meltdown helfen sollen – auch wenn die Sicherheitslücke nicht komplett geschlossen zu sein scheint, sollen Angriffe durch diese Patches zumindest erschwer werden. Zum konkreten Inhalt der Updates hat sich Microsoft nicht geäußert. Prüfen Sie unter Windows Updates, ob Aktualisierungen zum Download oder zur Installation bereitstehen. Auch bei Browsern, Grafikkarten-Treibern und anderen Betriebssystemen (bspw. MacOS) gibt es bereits Patches – diese sollten also ebenfalls aktualisiert werden. Die Betriebssystem-Updates verringern zwar die Angriffsfläche, aufgrund des Hardwaredesigns aller relevanter Prozessoren kann die Sicherheitslücken jedoch eigentlich nur „migriert“ werden. Außerdem ist ein Verzicht von JavaScript in Webbrowsern ratsam, da sich bei der Nutzung viel Angriffsfläche auftut – da reicht schon der Besuch einer kompromittierten Website für größere Schäden aus. Deshalb keinen Webbrowser mit aktiviertem JavaScript geöffnet lassen, solange mit sensiblen Daten gearbeitet wird. Auch nachdem mit sensiblen Daten gearbeitet wurde, können diese noch im PC-Speicher existieren und entsprechen durch Dritte ausgelesen werden. Es ist aber nicht alleinig ausreichend, Betriebssysteme und Programme zu aktualisieren. Auch die CPU-Firmware muss aktualisiert werden, der sogenannte Microcode wird über ein BIOS/UEFI-Update installiert.

Leistungseinbußen nach Update?

Der Translation Lookaside Buffer (TLB) wir nach der Installation der Updates mutmaßlich nicht mehr von Kernel und Userspace synchron verwendet. Das kann zu Leistungseinbußen führen. Intel selbst berichtet von Leistungseinbußen bei der achten und siebten Core-i-Generation bei Office-Benchmarks (SYSMark2014SE) von rund sechs Prozent, bei CPUs der sechsten Generation sind es etwa acht Prozent. Je älter der Prozessor bzw. dessen Architektur, desto größer der Leistungsverlust. Außerdem wird von Inkompatibilitäten nach dem Update berichtet, insbesondere bei Systemen mit AMD-CPU: Hier wird von Systemabstürzen berichtet, die mit einem Windows-Update Mitte Januar behoben werden sollen. Besonders problematisch sind auch Anwendungsszenarien, bei denen häufige I/O-Operationen durchgeführt werden – etwa Datenbank-Server. Auch Cloud-Nutzer/-innen berichten von einer teils stark gestiegenen Serverauslastung.

Cloud-Server leiden besonders unter Spectre und Meltdown

Cloudsysteme haben die Eigenschaft, dass auf einem physikalischen Server viele Cloudanwendungen parallel laufen. Wenn nun jemand seine Daten im Browser bearbeitet, dann hat er keinen Einfluss darauf, welche Programme auf demselben physikalischen Server laufen und über die vorhandenen Sicherheitslücken Meltdown und Spectre den gemeinsamen Hauptspeicher auslesen könnten – selbst dann, wenn er auf seinem eigenen Clientrechner darauf achtet, nicht gleichzeitig noch andere Internetseiten mit möglicherweise bösartigem Javascript geöffnet zu haben. Daher sind Cloudsysteme von diesen Sicherheitslücken besonders betroffen, was nur teilweise durch Softwareupdates verhindert werden kann. Auch deshalb gilt: Vorsicht mit sensiblen Daten in Cloud-Umgebungen. Es kann unsicherer sein, in einer Cloudumgebung zu arbeiten statt auf einem eigenen Rechner – bei diesem nämlich kann selbst dafür sorgen, dass der Prozessor nicht mit anderen Programmen (von unbekannten Usern) geteilt wird. Spectre und Meltdown wurden quasi über Nacht bekannt und haben ein doch schon großes Ausmaß. Deshalb kann man als User nicht vorsichtig genug sein, schließlich ist unklar, welche potentiellen Sicherheitslücken in Zukunft aufgedeckt werden könnten.

Betrugsversuch am Telefon: Anrufer gibt sich als „Windows“- und Apple-Mitarbeiter aus

Bereits Ende November 2015 berichteten wir in unserem Artikel „Betrugsmasche am Telefon: Anrufer geben sich als Microsoft-Mitarbeiter aus“ über Betrugsversuche am Telefon. In der vergangenen Woche hat es uns dann selbst erwischt: Wir wurden Ziel eines Betrugsversuchs.

Windows, Microsoft, Apple? Anrufer hat offenbar keine Ahnung, für wen er arbeitet

Letzte Woche erhielten wir nachmittags gegen 15:30 Uhr einen Telefonanruf. Der Anrufer erklärte in gebrochenem Englisch, dass unser Computer von einer Schadsoftware befallen sei. Außerdem wollte er wissen, ob sich ein Microsoft-Betriebssystem auf dem Computer befände und ob dieser hochgefahren sei. Der Anrufer gab sich zunächst als „Windows-Mitarbeiter“ aus – als wir angaben, einen Apple-Computer zu nutzen, sagte der namenlose Anrufer, dass er ebenfalls Apple-Mitarbeiter sei. Im Hintergrund waren deutliche Störgeräusche wahrnehmbar. Er verwickelte sich nach kritischen Fragen unsererseits in Widersprüche, woraufhin das Gespräch beendet wurde.

Verhindern Sie, dass Betrüger Kontrolle über Ihre Daten erhält

Fälle wie dieser sind nicht unüblich. Die Betrüger geben sich als Microsoft-Mitarbeiter aus und hoffen, technisch wenig versierte Personen zu kontaktieren. Diesen gaukeln sie dann vor, dass sich eine Schadsoftware auf dem Computer befände, die dringend entfernt werden müsse. Oft wird die Ereignisanzeige als Vorwand genutzt, scheinbar kritische Systemfehler aufzuzeigen. Um den Virus beseitigen zu können, müsse man einen Fernzugriff einrichten. Dazu soll in der Regel eine entsprechende Software heruntergeladen werden, die passende URL gibt es meist via E-Mail oder direkt mündlich. Lädt der Angerufene die Software herunter, gelangt Schadsoftware auf den Computer. Diese ist ein Freifahrtschein für die Betrüger, die dann einen Fernzugriff auf den Computer einrichten oder das System ausspionieren können. Auch Ransomware (Erpressungssoftware, die das System bis zur Zahlung eines Geldbetrags sperrt) kann so installiert werden. Manchmal verlangen die Anrufer auch die Zahlung eines Geldbetrags, um zu „helfen“.

Was tun bei einem betrügerischen Anruf?

Vorsicht! Microsoft-Mitarbeiter werden niemals anrufen und Schadsoftware entfernen oder Zugriff auf den Computer wollen. Geben Sie keinesfalls persönliche Daten preis, etwa Kontoverbindungen, Kreditkarteninformationen, IP-Adresse, Standort, Anschrift oder ähnliches. Keinesfalls Software auf Anweisung herunterladen, auch keine Websites besuchen! Notieren Sie – falls ersichtlich – die Telefonnummer des Anrufers und notieren Sie Datum, Uhrzeit und Auffälligkeiten während des Telefonats. Sollten Sie bereits Software installiert oder eine Website auf Anweisung besucht haben, kappen Sie sofort die Verbindung zum Internet und sperren Sie vorsichtshalber Ihr Online-Banking. Ändern Sie die Passwörter wichtiger Accounts auf einem anderen, sicheren Computer oder Mobilgerät – beginnen Sie mit Ihrem E-Mail-Account. Sie können und sollten die örtliche Polizeidienststelle aufsuchen, eine Strafanzeige aufgeben und den Vorfall möglichst präzise schildern.

Apple QuickTime unter Windows: US-Behörde rät zur Deinstallation

Bild: QuickTime-Logo
Bild: QuickTime-Logo

Die US-amerikanische Behörde „Department of Homeland Security“ ist eigentlich für die Terrorabwehr zuständig. Immer wieder aber veröffentlicht das IT-Team aber auch Sicherheitshinweise zu Software. Meist sind diese eher allgemeiner Natur, so wird beispielsweise zur Verwendung von Antivirus-Software geraten. Jetzt allerdings warnt das Department of Homeland Security vor der Nutzung des Mediaplayers Apple QuickTime unter Windows-Betriebssystemen.

Zwei Sicherheitslücken werden nicht geschlossen

Grund für die Warnung sind zwei Sicherheitslücken bei Apple QuickTime unter Windows, die seit Januar nicht geschlossen worden sind. Die Sicherheitslücken werden auch in Zukunft nicht geschlossen, denn Apple hat QuickTime unter Windows aufgegeben.

Vor allem Windows 7 betroffen

Die Warnung richtet sich vor allem an NutzerInnen von Windows 7. Schließlich wurden Windows 8.x und Windows 10 nie offiziell unterstützt. Auch das Apple-Betriebssystem OS X ist nicht von der Warnung betroffen, denn für das eigene Betriebssystem veröffentlicht der US-Konzern weiterhin Aktualisierungen.

Bisher keine Hinweise auf Angriffe über Sicherheitslücken

Bis dato gibt es noch keine Hinweise darauf, dass Angreifer die Sicherheitslücken in QuickTime unter Windows ausgenutzt hätten. Aber allein die Möglichkeit, die die Schwachstellen bieten, scheinen für die ungewöhnlich konkrete Warnung des Department of Homeland Security ausreichend zu sein.

Windows: Apple QuickTime löst Oracle Java als größtes Sicherheitsrisiko ab

Screenshot: Statistik Flexera Software
Screenshot: Statistik Flexera Software

Das IT-Security-Unternehmen Flexera Software (vormals Secunia) hat einen Bericht veröffentlicht, in dem es um Sicherheitsrisiken auf Windows-Computern geht. Dabei werden hauptsächlich die Anzahl an Sicherheitslücken, der Prozentsatz nicht-gepatchter Software sowie der Marktanteil berücksichtigt. In der globalen Statistik hat Apple QuickTime demnach Oracle Java JRE 1.8.x / 8.x überholt.

Statistik für Deutschland: Vorsicht bei VLC Player, QuickTime, Java, Firefox und Adobe Reader

Auch speziell für Deutschland gibt es Datensätze. Hier setzt sich der Mediaplayer VLC Player 2.x an die Spitze – 46 Prozent der Software ist nicht gepatcht, der Marktanteil liegt bei 56 Prozent, sechs Sicherheitslücken sind bekannt. Dahinter werden als größte Sicherheitsrisiken Apple QuickTime 7.x (18 Sicherheitslücken), Oracle Java JRE 1.8.x / 8.x (81 Sicherheitslücken), Mozilla Firefox 38.x (69 Sicherheitslücken) und Adobe Reader 10.x (96 Sicherheitslücken) genannt. In die Top 10 schaffen es außerdem Apple iTunes, Adobe Reader 11.x, Irfan View 4.x, Adobe Shockwave Player 12.x und CDBurnerXP 4.x.

Regelmäßige Updates erhöhen Sicherheitsniveau

Bei bestimmten Anwendungen tauchen immer wieder Sicherheitslücken auf, diese werden aber meist innerhalb kurzer Zeit durch den Hersteller durch Patches behoben. Gefährlich wird die Nutzung von Software in einer alten, nicht aktuellen Version. Insbesondere weit verbreitete Software ist ein beliebtes Ziel für Dritte, Sicherheitslücken auszunutzen. Durch die regelmäßige Prüfung auf Updates (manuell oder automatisch) kann das Sicherheitsniveau deutlich erhöht werden. Bei kritischen Sicherheitslücken sollte eine Software nicht genutzt werden, bevor ein Update erschienen ist.