ANTI-PHISHING-TEAM-SCHULUNG Vom 20.06.2011
Transcription
ANTI-PHISHING-TEAM-SCHULUNG Vom 20.06.2011
ANTI-PHISHING-TEAM-SCHULUNG Vom 20.06.2011 (Zusammenfassung) Aufgaben des Antiphishing-Teams (APT) Das Anti-Phishing-Team hat die Aufgaben (Knuddels) Fake-/Phishing- sowie auch Bot- und Virus-/Trojanerseiten, über die Passwörter "geklaut" werden oder von denen eine Gefahr für die Passwortsicherheit ausgeht, aufzuspüren und beseitigen zu lassen. Dazu gehören unter Anderem das Sperren von entsprechenden Knuddels-Homepages sowie natürlich das Bearbeiten von Notrufen. Nicht zu vergessen ist die beratende und aufklärende Funktion im Chat (/m-Support sowie Schulungen). Im Chat sind wir über folgende Funktion erreichbar: /fa Anti-Phishing. Unter welcher Internetadresse (URL) findest du unsere Homepage (Teamseite), auf der du die gefundenen Fakeseiten melden kannst? Du kannst uns über die Internetadressen (URLs) www.knuddels-fakeseiten.de und www.anti-phishing-team.de erreichen. Um eine Fakeseite zu melden, klickst du einfach auf "Seite melden" und trägst deinen Nick und die gefundene Fakeseite ein. Scheu dich hier nicht, Seiten zu melden, Doppelmeldungen werden von einem Filter und später ein zweites Mal manuell von uns gefiltert. Bitte verlass dich nicht darauf, dass ein anderer User die Seite bereits gemeldet hat! Wie tritt Fakeseitenwerbung denn auf, bzw. wie werden User/CMs dazu gebracht, Schadsoftware (Trojaner) runterzuladen? Es gibt mehrere Arten von Fakeseiten, für die auch auf verschiedene Arten (jeweils passend zum Fakeseiten-Typ) Werbung betrieben wird. Oft wird per /m für Seiten geworben, auf denen man z.B. Knuddels, Smileys oder andere, evtl. interessante Sachen bekommen kann. Besonders bei CMs existiert eine beliebte Methode: Es wird ein Link zum Download von Screenshots per /m verschickt, in welchem angeblich eine Beschwerde über einen anderen User oder einen CM vorliegt und dass man sich die Screens dazu herunterladen könne. Dahinter verbergen sich allerdings oftmals Trojaner/Keylogger. Oft kommen auch E-Mails vor, die im Prinzip ähnliche Ziele verfolgen, indem sie ähnliche Texte beinhalten, die einen Link zu einer Fakeseite oder einem Trojaner-Download enthalten. Diese Trojaner sind meist in ZIP- oder RAR-Archiven verpackt, so dass man diese erst nach dem Herunterladen und Entpacken erkennt - also dann, wenn es oftmals schon zu spät ist. Was ist eine Fakeseite,? Was sind klassische Erscheinungsformen? Eine Fakeseite ist eine Seite, die im Normalfall das Design von Knuddels.de nachahmt, sei es die Startseite, eine Homepage, ein Gästebuch, eine Fotoseite oder ein fiktives Dokument. Sie dient dem Zweck, auf illegalem Wege und unter Vorspiegelung falscher Tatsachen an Userinformationen (explizit: das Passwort) zu gelangen und diese zur persönlichen Bereicherung (oder der Schädigung des eigentlichen Besitzers) zu missbrauchen. Wie erkenne ich eine Fakeseite? Eine Fakeseite kannst Du an der URL (Internetadresse) erkennen. Eine URL ist folgendermaßen aufgebaut: http://host.knuddels.de/Pfad. Hierbei sind die roten Teile optional. Selbstverständlich kann man das .de auch durch .ch, .at oder .com ersetzen, dies sind die bekannten Partner-Communities aus Österreich, der Schweiz und den USA. Weicht die URL hiervon ab, so ist es mit allerhöchster Wahrscheinlichkeit eine Fake/Phishingseite. Hier mal einige Beispiele für echte Knuddels-URLs: http://chat.knuddels.de/ (Chat-Daten, z.B. die Chat-Smileys) http://hp.knuddels.de/... (Homepages & Gästebücher) http://foto.knuddels.de/... / http://photo.knuddels.de/... (Fotoseiten) http://forum.knuddels.de/... (Knuddels-Forum) http://shop.knuddels.de/... (Knuddels-Shop) http://beach.knuddels.de/... (Beach-Server) http://scripts.knuddels.de/... (Diverses, z.B. Chattertreffen-Seite und -Anmeldung) http://www1.knuddels.de/... (Diverses, z.B. Admincall-Webkomponente) http://www2.knuddels.de/... (Diverses, z.B. Meinungsumfragen, Survey) Wie handle ich in Situation, in denen ich mit Fakeseiten in Berührung komme. Was mache ich, wenn im Chat öffentlich, oder auch per /p oder /m Werbung für eine Fakeseite gemacht wird? Du solltest den Nick, welcher die Werbung öffentlich gepostet hat, sofort muten (z.B. /mute NICK:Fakeseitenwerbung), damit dieser Nickname die Werbung nicht weiter verbreiten kann. Durch die Nutzung von /mute dauert es nicht mehr lange, bis der nötige Globalmute herbeigeführt ist (3 Mutes = Globalmute -> ggf. schneller als Notruf) und ein Mute ist immer möglich, solange der User noch im Chat online ist. Eine kurze Warnung im Channel, dass diese Seite aus Sicherheitsgründen nicht zu besuchen ist, ist sicher auch nicht verkehrt. Dann machst du bitte noch einen Notruf (/admincall > Beschwerde über andere ChatTeilnehmer > Botnutzung / Faken von Nachrichten). Zum Abschluss meldest du die Fakeseite bitte noch auf www.knuddels-fakeseiten.de Solltest du die Werbung für die Fakeseite oder den Trojaner-Download im /p oder per /m erhalten haben, so entfällt natürlich das Muten und die öffentliche Warnung. Es kann auch sein, dass du eine auf einer Knuddels-HP (/hp NICK) eingebaute Fakeseite entdeckst. Wie gehst du hierbei vor? Du solltest sofort einen Notruf (/admincall > Beschwerde über andere Chat-Teilnehmer > HP-Verstoß > Phishing / Passwortklau) absetzen, um dafür zu sorgen, dass diese HP schnellstmöglich gesperrt wird. Auch hier solltest du unbedingt die Fakeseite auf unserer Teamseite melden. Und noch eine Bitte: Sollte es so sein, dass ein User für eine Knuddels-HP wirbt auf der sich eine Fakeseite befindet, so bitte immer die HP mit HP-Verstoß > Phishing / Passwortklau (nicht mit dem "Faken von Nachrichten"-Notruftyp) melden, so wird die Gefahr schnellstmöglich durch eine HP-Sperre gebannt und der User kann Werbung machen so viel er will. Einem Admin Bescheid geben, dass der Nick vermutlich geklaut ist und Fakeseitenwerbung betreibt, ist aber sicher auch nicht verkehrt. Tipps, wie du dich vor Passwortklau schützen kannst. "Was du bei deinem Passwort beachten solltest" "Allgemeine Hinweise (bzgl. Knuddels)" und "Knuddels-Hilfen" Was du bei deinem Passwort beachten solltest (Teil 1/3): - Mindestens 8 Zeichen. Es sollte Zahlen und Sonderzeichen enthalten. Abwechslung zwischen Groß- und Kleinbuchstaben. Es sollte in keinem Lexikon/Wörterbuch zu finden sein. Niemand außer dir darf es kennen. Es sollte ausschließlich in deinem Kopf gespeichert sein. Darauf achten, dass niemand beim Eintippen mitlesen kann. Dieses Passwort nur bei diesem Nick verwenden (nicht z.B. als E-Mail-Passwort) Allgemeine Hinweise (bzgl. Knuddels) (Teil 2/3): - Du solltest darauf achten, dass dein PC frei von Viren und Trojanern (Keyloggern) ist. Bitte antworte niemals auf eine Passwortanfrage per E-Mail, wenn du sie nicht selbst gestellt hast (es wird dort NICHT nach einem Passwort gefragt!) Trag dein Passwort niemals in einem auf einer Knuddels-Homepage eingebundenem Gästebuch, Foto oder sonstigem Dokument ein (dies ist durch das GästebuchUpdate nicht mehr notwendig Fotokommentare und Gästebucheinträge sind nur noch über den Chat (ohne Passwort) möglich. Bitte hab möglichst keine Hotmail/MSN-Adresse als E-Mail verifiziert (sind leicht zu "knacken") Schlussendlich ist noch zu sagen: gib dein Passwort generell niemals auf Anfragen hin raus, das würde Holgi, Kolloid (oder allg. die Chatleitung bzw. das System) niemals verlangen, denn sie kennen dein Passwort - - Knuddels-Hilfen (Teil 3/3): /tut 23, /tut 37, /tut 39 und /tut 63 /h goodpassword /h anti-phishing-team /h mailverify /h mailverifychange /h pwtest (oder: /h sicherheitstest) /h passwortsicherheit /h passwortvergessen (oder: /h newpassword) AGB Punkt 1.2 Hinweis von James beim Abschließen einer E-Mail-Verifikation Weitere Hilfen, Informationen und eine FAQ gibt es unter folgender URL: http://forum.knuddels.de/ubbthreads.php?ubb=showflat&Number=1518800 Zusammenfassung des Textes von der Altpunk. Mit freundlicher Genehmigung des Anti-Phishing-Teams.