ANTI-PHISHING-TEAM-SCHULUNG Vom 20.06.2011

ANTI-PHISHING-TEAM-SCHULUNG
Vom 20.06.2011
(Zusammenfassung)
Aufgaben des Antiphishing-Teams (APT)
Das Anti-Phishing-Team hat die Aufgaben (Knuddels) Fake-/Phishing- sowie auch Bot- und
Virus-/Trojanerseiten, über die Passwörter "geklaut" werden oder von denen eine Gefahr für
die Passwortsicherheit ausgeht, aufzuspüren und beseitigen zu lassen. Dazu gehören unter
Anderem das Sperren von entsprechenden Knuddels-Homepages sowie natürlich das
Bearbeiten von Notrufen. Nicht zu vergessen ist die beratende und aufklärende Funktion im
Chat (/m-Support sowie Schulungen). Im Chat sind wir über folgende Funktion erreichbar:
/fa Anti-Phishing.
Unter welcher Internetadresse (URL) findest du unsere Homepage (Teamseite),
auf der du die gefundenen Fakeseiten melden kannst?
Du kannst uns über die Internetadressen (URLs) www.knuddels-fakeseiten.de und
www.anti-phishing-team.de erreichen. Um eine Fakeseite zu melden, klickst du einfach auf
"Seite melden" und trägst deinen Nick und die gefundene Fakeseite ein. Scheu dich hier
nicht, Seiten zu melden, Doppelmeldungen werden von einem Filter und später ein zweites
Mal manuell von uns gefiltert. Bitte verlass dich nicht darauf, dass ein anderer User die Seite
bereits gemeldet hat!
Wie tritt Fakeseitenwerbung denn auf, bzw. wie werden User/CMs dazu
gebracht, Schadsoftware (Trojaner) runterzuladen?
Es gibt mehrere Arten von Fakeseiten, für die auch auf verschiedene Arten (jeweils passend
zum Fakeseiten-Typ) Werbung betrieben wird. Oft wird per /m für Seiten geworben, auf
denen man z.B. Knuddels, Smileys oder andere, evtl. interessante Sachen bekommen kann.
Besonders bei CMs existiert eine beliebte Methode: Es wird ein Link zum Download von
Screenshots per /m verschickt, in welchem angeblich eine Beschwerde über einen anderen
User oder einen CM vorliegt und dass man sich die Screens dazu herunterladen könne.
Dahinter verbergen sich allerdings oftmals Trojaner/Keylogger. Oft kommen auch E-Mails vor,
die im Prinzip ähnliche Ziele verfolgen, indem sie ähnliche Texte beinhalten, die einen Link
zu einer Fakeseite oder einem Trojaner-Download enthalten. Diese Trojaner sind meist in
ZIP- oder RAR-Archiven verpackt, so dass man diese erst nach dem Herunterladen und
Entpacken erkennt - also dann, wenn es oftmals schon zu spät ist.
Was ist eine Fakeseite,? Was sind klassische Erscheinungsformen?
Eine Fakeseite ist eine Seite, die im Normalfall das Design von Knuddels.de nachahmt, sei
es die Startseite, eine Homepage, ein Gästebuch, eine Fotoseite oder ein fiktives Dokument.
Sie dient dem Zweck, auf illegalem Wege und unter Vorspiegelung falscher Tatsachen an
Userinformationen (explizit: das Passwort) zu gelangen und diese zur persönlichen
Bereicherung (oder der Schädigung des eigentlichen Besitzers) zu missbrauchen.
Wie erkenne ich eine Fakeseite?
Eine Fakeseite kannst Du an der URL (Internetadresse) erkennen. Eine URL ist
folgendermaßen aufgebaut: http://host.knuddels.de/Pfad. Hierbei sind die roten Teile
optional. Selbstverständlich kann man das .de auch durch .ch, .at oder .com ersetzen, dies
sind die bekannten Partner-Communities aus Österreich, der Schweiz und den USA.
Weicht die URL hiervon ab, so ist es mit allerhöchster Wahrscheinlichkeit eine Fake/Phishingseite.
Hier mal einige Beispiele für echte Knuddels-URLs:
http://chat.knuddels.de/ (Chat-Daten, z.B. die Chat-Smileys)
http://hp.knuddels.de/... (Homepages & Gästebücher)
http://foto.knuddels.de/... / http://photo.knuddels.de/... (Fotoseiten)
http://forum.knuddels.de/... (Knuddels-Forum)
http://shop.knuddels.de/... (Knuddels-Shop)
http://beach.knuddels.de/... (Beach-Server)
http://scripts.knuddels.de/... (Diverses, z.B. Chattertreffen-Seite und -Anmeldung)
http://www1.knuddels.de/... (Diverses, z.B. Admincall-Webkomponente)
http://www2.knuddels.de/... (Diverses, z.B. Meinungsumfragen, Survey)
Wie handle ich in Situation, in denen ich mit Fakeseiten in Berührung komme.
Was mache ich, wenn im Chat öffentlich, oder auch per /p oder /m Werbung für
eine Fakeseite gemacht wird?
Du solltest den Nick, welcher die Werbung öffentlich gepostet hat, sofort muten (z.B. /mute
NICK:Fakeseitenwerbung), damit dieser Nickname die Werbung nicht weiter verbreiten
kann. Durch die Nutzung von /mute dauert es nicht mehr lange, bis der nötige Globalmute
herbeigeführt ist (3 Mutes = Globalmute -> ggf. schneller als Notruf) und ein Mute ist immer
möglich, solange der User noch im Chat online ist.
Eine kurze Warnung im Channel, dass diese Seite aus Sicherheitsgründen nicht zu
besuchen ist, ist sicher auch nicht verkehrt.
Dann machst du bitte noch einen Notruf (/admincall > Beschwerde über andere ChatTeilnehmer > Botnutzung / Faken von Nachrichten).
Zum Abschluss meldest du die Fakeseite bitte noch auf www.knuddels-fakeseiten.de
Solltest du die Werbung für die Fakeseite oder den Trojaner-Download im /p oder per /m
erhalten haben, so entfällt natürlich das Muten und die öffentliche Warnung.
Es kann auch sein, dass du eine auf einer Knuddels-HP (/hp NICK) eingebaute
Fakeseite entdeckst. Wie gehst du hierbei vor?
Du solltest sofort einen Notruf (/admincall > Beschwerde über andere Chat-Teilnehmer >
HP-Verstoß > Phishing / Passwortklau) absetzen, um dafür zu sorgen, dass diese HP
schnellstmöglich gesperrt wird. Auch hier solltest du unbedingt die Fakeseite auf unserer
Teamseite melden.
Und noch eine Bitte: Sollte es so sein, dass ein User für eine Knuddels-HP wirbt auf der sich
eine Fakeseite befindet, so bitte immer die HP mit HP-Verstoß > Phishing / Passwortklau
(nicht mit dem "Faken von Nachrichten"-Notruftyp) melden, so wird die Gefahr
schnellstmöglich durch eine HP-Sperre gebannt und der User kann Werbung machen so viel
er will. Einem Admin Bescheid geben, dass der Nick vermutlich geklaut ist und
Fakeseitenwerbung betreibt, ist aber sicher auch nicht verkehrt.
Tipps, wie du dich vor Passwortklau schützen kannst.
"Was du bei deinem Passwort beachten solltest"
"Allgemeine Hinweise (bzgl. Knuddels)" und "Knuddels-Hilfen"
Was du bei deinem Passwort beachten solltest (Teil 1/3):
-
Mindestens 8 Zeichen.
Es sollte Zahlen und Sonderzeichen enthalten.
Abwechslung zwischen Groß- und Kleinbuchstaben.
Es sollte in keinem Lexikon/Wörterbuch zu finden sein.
Niemand außer dir darf es kennen.
Es sollte ausschließlich in deinem Kopf gespeichert sein.
Darauf achten, dass niemand beim Eintippen mitlesen kann.
Dieses Passwort nur bei diesem Nick verwenden (nicht z.B. als E-Mail-Passwort)
Allgemeine Hinweise (bzgl. Knuddels) (Teil 2/3):
-
Du solltest darauf achten, dass dein PC frei von Viren und Trojanern (Keyloggern) ist.
Bitte antworte niemals auf eine Passwortanfrage per E-Mail, wenn du sie nicht selbst
gestellt hast (es wird dort NICHT nach einem Passwort gefragt!)
Trag dein Passwort niemals in einem auf einer Knuddels-Homepage eingebundenem
Gästebuch, Foto oder sonstigem Dokument ein (dies ist durch das GästebuchUpdate nicht mehr notwendig
Fotokommentare und Gästebucheinträge sind nur noch über den Chat (ohne
Passwort) möglich.
Bitte hab möglichst keine Hotmail/MSN-Adresse als E-Mail verifiziert (sind leicht zu
"knacken")
Schlussendlich ist noch zu sagen: gib dein Passwort generell niemals auf Anfragen
hin raus, das würde Holgi, Kolloid (oder allg. die Chatleitung bzw. das System)
niemals verlangen, denn sie kennen dein Passwort
-
-
Knuddels-Hilfen (Teil 3/3):
/tut 23, /tut 37, /tut 39 und /tut 63
/h goodpassword
/h anti-phishing-team
/h mailverify
/h mailverifychange
/h pwtest (oder: /h sicherheitstest)
/h passwortsicherheit
/h passwortvergessen (oder: /h newpassword)
AGB Punkt 1.2
Hinweis von James beim Abschließen einer E-Mail-Verifikation
Weitere Hilfen, Informationen und eine FAQ gibt es unter folgender URL:
http://forum.knuddels.de/ubbthreads.php?ubb=showflat&Number=1518800
Zusammenfassung des Textes von der Altpunk. Mit freundlicher Genehmigung des Anti-Phishing-Teams.