Tag Archiv für Sicherheit

In eigener Sache

*Kopfschüttel* Nachdem vor ein paaar Wochen (ich berichtete) jemand meine Webseite 'live' gespiegelt hatte, was ich aber schnell abstellen konnte, versucht man jetzt auf brutalerem Wege, meine Webseite zu 'knacken'.

Seit gut einer Woche sehe ich Versuche, ein Login auf meiner WordPress-Installation zu erhalten. Dumm nur (für die Angreifer), dass ich über derartige Versuche unterrichtet werde, wenn

  • ein Benutzername verwendet wird, der nicht ein registrierter Bnutzer ist
  • Mehrere Versuche hintereinander, ein falsches Passwort einzugeben, entdeckt werden
  • unnatürlich viele Seitenaufrufe in kürzester Zeit von der gleichen IP-Adresse kommen.

Einmal abgesehen davon, dass meine Installation die IP-Adressen sofort für mehrere Stunden blockiert, ist natürlich selbstverständlich, dass ich die mneisten dieser IP-Adressen (im zweiten Fall auf jeden Fall) längere Zeit auf eine unbefristete Blockliste setze. Meine Installation prüft natürlich immer noch, wie viele Kontaktversuche von der Adresse ankommen, und irgendwann – wenn die letzten versuche lange genug zurück liegen, also nicht schon am nächsten Tag – werde ich die IP-Adressen auch wieder frei geben.

Und ntürlich habe ich auch den WP-typischen Admin-Zugang mit dem Benutzernamen admin auf einen anderen Loginnamen umgeändert. Welchen? Das verrate ich natürlich nicht. Weitere Namen, die schon versucht wurden, sind zum Beispiel Roachware, jibjabst (SRSLY? WTF?), feed, The Roach, admin123, www, alo (ehem. Redakteur) …

Sollte in der Zwischzenzeit die IP-Adresse jemand anderem zugewiesen werden (dynamischer Zuweisung zum Dank) und man meine Seite deshalb nicht mehr sehen können: ein Hinweis wäre nett, dann kann ich den Block schneller wieder lösen.

Etwas ganz anderes…

Phishing-Warnung

Dieses Blog beschränkt sich ja eigentlich auf den Spielesektor. Aus gegebenem Anlass aber heute eine Sicherheitswarnung.

Ich habe soeben eine Mail erhalten, die angeblich (!) von der Postbank stammte. In nahezu fehlerfreiem Deutsch wird darin vor Versuchen gewarnt, das mTAN-Verfahren auszuhebeln, und dass man eine SSL-App installieren solle, die das verhindere – ein Link wurde gleich mit gesendet. Leider ist das aber genau das Gegenteil von dem, was es zu sein vorgibt.

Ich vermute (da ich mein Telefon nicht verseuchen will, kann ich diese App nicht analysieren), dass die App genau das macht, was man mit ihr vermeiden soll. Dann würde die App nämlich die SMSen mit den mTANs abfangen und an die Phisher weiterleiten, und so ermöglichen, Postbank-Konten leer zu räumen.

Warnsignale für mich waren mehrere. Zum einen steht in der Mail (wie gesagt, nur 'nahezu fehlerfrei‘), die Angreiver würden versuchen "die Internetverbindung zu kappen“, korrekt wäre zu 'kapern'. Zum zweiten geht der Link an eine postbank,ssl-zertifikat,mobi-URL – wäre die Mail echt, würde ich eine postbank.de-Adresse erwarten.

Aber mehr noch: zugesandt wurde mir die Mail an eine eMail-Adresse, auf die bei mir nur Spam-Mails eintreffen. Ich habe diese Adresse nie an autorisierte Korrespondenten gegeben, so dass die Mails natürlich sofort auffallen. (Und für meine Bankgeschäfte nutze Ich eMail-Adressen, die nirgendwo anders verwendet werden…)

Wer also eine entsprechende Mail erhält: Nicht installieren. Und wer sie schon installiert hat? Viel Erfolg beim Entfernen, diese Dinger sind berüchtigt dafür, schlecht zu entfernen zu sein.

Update: Ich habe direkt auch die Postbank angerufen, und ihr eine Kopie der Mail zur Verfügung gestellt, da diese Mails dort noch nicht bekannt waren – ich hatte allerdings auch nur wenige Minuten nach Versand der Mail bereits bei der Postbank angerufen. Bei diesem gespräch wurde auch noch einmal bestätigt, dass dies eine Phishing-Mail sei.