Diese Woche ging es um Gerichtsprozesse, wie man sich mit einem Klick seinen Facebook-Account verliert und um eine neue Art des Phishings, die auch erfahrene Nutzer aufs Glatteis führen kann.
Der Wochenrückblick in Wort und Bild
Apple-Prozess
Vergangene Woche machten Berichte die Runde, nach denen ein Mann in den USA einen Musterprozess gegen Apple anstrengt. Der Grund: Das Unternehmen habe ihm die Zweifaktor-Authentisierung ohne Einverständnis des Klägers „aufgezwungen“. Die von Apple 2015 eingeführte Sicherheitsmaßnahme richte durch den zusätzlichen Zeitaufwand „wirtschaftliche Schäden“ bei Millionen von Nutzern an. Das sei nicht akzeptablel. Die Argumentation der Anklage ist jedoch an mehreren Stellen lückenhaft. So argumentiert der Kläger unter Anderem, dass jeder Login-Prozess zwei bis fünf Minuten dauere. Die Praxis sieht jedoch deutlich anders aus. Jay Brodsky ersucht um Schadenersatz in noch ungeklärter Höhe und Geldstrafen für Apple sowie Übernahme der Gerichts-und Verfahrenskosten durch Apple. Dass die Zweifaktor-Authentisierung sich nicht abschalten lässt, stimmt. Wer sie einmal aktiviert hat, kann sie maximal zwei Wochen lang noch abschalten – danach ist der Apple-Account permanent mit Zweifaktorauthentisierung gesichert.
Ob es sinnvoll ist, einen Hersteller zu verklagen, weil er zusätzliche Sicherungsmaßnahmen vorschreibt, darf bezweifelt werden, ebenso wie die Behauptung, dass die Anmeldeprozesse so lange dauern wie angegeben.
Kurz: Brodsky möchte sich das Recht auf ein niedrigeres Sicherheitslevel erstreiten, weil zusätzliche Sicherheit zu viel Zeit koste. Eine Argumentationslinie, die wir absolut nicht nachvollziehen können. Die eigentliche Verfahrenseröffnung steht noch aus.
Facebook & Phishing
Facebook hat Ende Januar eine Meldung über eine kritische Sicherheitslücke erhalten. Diese Lücke ermöglichte die komplette Übernahme eines fremden Facebook-Kontos mit einem so genannten Cross Site Request Forgery-Angriff. Dabei muss ein ahnungsloses Opfer nicht mehr tun als auf einen präparierten Link klicken. Der Finder der Sicherheitslücke darf sich über eine Belohnung von 25.000 Dollar freuen.
Phishing mal anders
Es gibt eine neue Phishing-Methode, bei der es der Täter es auf Anmeldedaten bei Facebook abgesehen hat. Es öffnet sich ein Fenster, bei dem der Nutzer sich mit seinem Facebook-Konto anmelden muss, um zum Beispiel einen Rabatt bei einem Kauf zu erhalten.
Diese Seiten sind so aufgebaut, dass auf den ersten Blick nicht erkennbar ist, ob es sich um eine Fälschung handelt. Denn dadurch das oben in der Suchleiste ein grünes Schloss zusehen ist und weil neben dem Schloss Https zulesen ist, soll es den Eindruck erwecken, dass es sich um eine sichere Website handelt.
Es gibt aber eine Methode um zu erkennen, dass es sich bei dieser Meldung um eine Fälschung handelt. Ein normales Browserfenster lässt sich beliebig auf dem Bildschirm verschieben. Die gefälschte Meldung wird jedoch am Rand des Browserfensters abgeschnitten, wenn der Nutzer versucht, es darüber hinaus zu verschieben.
Viele Probleme - eine Lösung
Sich vor dieser Art Angriff zu schützen ist leicht – wer in den Anmeldeeinstellungen von Facebook die mehrstufige Anmeldung aktiviert, läuft nicht Gefahr, sein Konto an einen Fremden zu verlieren. Übrigens: eine SMS als zweiten Anmeldefaktor zu nutzen ist mittlerweile keine gute Idee mehr, da auch SMS abgefangen werden können. Es gibt aber Alternativen, in Form von Authenticator-Apps oder auch spezielle Hardware, die per USB oder NFC ein Einmalpasswort generiert. Auch wenn es viele schon nicht mehr hören können: ein Passwort allein bringt nur wenig Sicherheit – vor allem, wenn das gleiche Passwort auf mehreren Plattformen Verwendung findet.
Tim Berghoff
Security Evangelist
