Übersicht
Live Fussball
Ligen
Übersicht
Live Wintersport
Resultate und Wertungen FIS
Resultate und Wertungen IBU
Übersicht
Live Eishockey
Resultate und Tabelle
Übersicht
Live Tennis
Turniere
Resultate
Übersicht
Live Motorsport
Rennen und Wertungen
- Sport
- Live & Resultate
- Fussball
- Fussball-Videos
- Fussball Frauen
- Ski
- Hockey
- Tennis
- Motorsport
- Weitere
- Sport im TV
- Fussball
- Super League
- Challenge League
- Champions League
- Fussball Frauen
- Bundesliga
- Premier League
- Serie A
- LaLiga
- Ligue 1
- Europa League
- Conference League
- Videos
Smartphone-Sicherheit Raffinierter Android-Trojaner überwindet 2FA bei PayPal
Ein neuer Android-Trojaner kann selbst PayPal-Konten plündern, auf denen die Zwei-Faktor-Authentisierung aktiviert ist.
Ein von dem Sicherheitssoftwareanbieter ESET entdeckter Android-Trojaner ist in der Lage, selbst die Zwei-Faktor-Authentisierung (2FA) zu überwinden. Ziel des Trojaners — der sich als die App «Optimization Android» ausgibt und dem ESET den Codenamen «Android/Spy.Banker.AJZ» gab — ist das PayPal-Konto des Opfers.
Er nutzt dazu die Barrierefreiheit-Features von Android. Die sind eigentlich dazu gedacht, damit beispielsweise Hilfs-Apps Blinden den Bildschirminhalt vorlesen können. Dazu müssen diese Apps natürlich wissen, was gerade auf dem Bildschirm angezeigt wird.
Doch die Malware nutzt dieses Feature, um Login- und Passwortdaten sowie die bei PayPal per SMS verschickten 2FA-Codes abzufangen. Hat sie all diese Daten beisammen, loggt sie sich selbstständig bei PayPal ein und versendet 1000 Euro oder dessen Äquivalenz in anderen Währungen an die Cyberkriminellen. Der virtuelle Diebstahl selbst findet dann in knapp fünf Sekunden statt, wie dieses Video von ESET zeigt:
Weitere Phishing-Methode
Der Trojaner hat noch eine zweite Angriffsmethode an Bord, die so genannten Overlay Screens. Hier erscheint über legitimen Apps wie WhatsApp oder Gmail ein Pop-Up, in dem die Eingabe von Kreditkartendaten oder Google-Passwörtern verlangt wird.
Nutzer haben keine Möglichkeit diese Pop-Ups zu schliessen, sie müssen in die Felder etwas eingeben. Laut ESET akzeptiert der Trojaner aber auch die Eingabe von Fantasie-Daten.
Play Store-Sicherheit versagt
Die beschriebene Malware war nur auf Drittanbieter-Plattformen zu finden und nicht im offiziellen Google Play Store. Generell ist daher natürlich davon abzuraten, Android-Apps von anderen Quellen als dem Play Store zu installieren.
ESET entdeckte aber auch andere Trojaner mit sehr ähnlicher Funktionsweise, die es in den Google Play Store geschafft hatten. Hier wurden die Barrierefreiheit-Features genutzt, um Geld von Nutzern diverser Apps von brasilianischen Banken zu stehlen.
Passwort-Tipps: Diese Fehler lieben Hacker ganz besonders
Einer der wichtigsten Tipps: Verwenden Sie nie dasselbe Passwort für mehrere Dienste. Noch schlimmer: Wenn Sie auch noch dieselbe Mailadresse nutzen. So haben Hacker leichtes Spiel.
Bild: Getty Images
Keine Wörter aus dem Wörterbuch verwenden. Stattdessen sollten kurze Sätze die Grundlage für Passwörter bilden. Beispiel: nicht «Dalmatiner» sondern «ichmaghunde».
Bild: Getty Images
Ihr Passwort ist ein kostbares Gut, behalten Sie es für sich! Geben Sie keine persönliche Informationen preis: Seriöse Firmen fragen Sie nie per E-Mail oder Telefon nach Ihren Passwörtern, Kreditkartennummern oder anderen persönlichen Informationen.
Bild: Getty Images
Hier sehen wir gleich zwei Fehler: Erstens sollten Sie Passwörter nie auf Zettel notieren (und am PC anheften). Zweitens sind Passwörter wie 123456 schlicht ein Sicherheits-Witz.
Bild: Getty Images
Vorsicht bei öffentlichen PC. Loggen Sie sich dort nicht in Ihre Accounts ein.
Bild: Getty Images
Dasselbe gilt für öffentliche WLAN. Diese sollte man nur in Kombination mit einem Virtual Private Network (VPN) nutzen.
Bild: Getty Images
Browser speichern auf Wunsch das Passwort, damit man beim nächsten Besuch der Website automatisch eingeloggt ist. Doch diese Passwörter lassen sich von Angreifern leicht auslesen.
Bild: Getty Images
Mittlerweile bieten viele Dienste eine sichere Zwei-Faktor-Authentifizierung an. Neben dem Passwort wird nach einem weiteren Merkmal gefragt.
Bild: Bluewin/Dirk Jacquemin
Mit Passwort-Managern wie Keepass kann man mehrere Logins an einem Ort verwalten. Wichtig ist, dass die Daten nur verschlüsselt gespeichert werden und nicht ohne ein weiteres Passwort (Masterpasswort) ausgelesen werden können.
Bild: Keepass
Welche Bedrohungen schlummern sonst noch am Computer? Hier die Top 5:
Bild: Getty Images
1. Ein USB-Stick beispielsweise kann ganz schnell Einfallstor für Viren und Trojaner sein. Es gilt die selbe Sicherheitsprozedur wie bei Programmen aus dem Internet: Vor dem Installieren einer fremden Datei zuerst den Virenscanner darüber laufen lassen.
Bild: Tibor nagy
2. Eine unschöne Vorstellung: Man wird von der eigenen Webcam überwacht. Wo bleibt da die Privatsphäre?
Bild: golubovy
Besser, man trifft Vorkehrungen: Die Webcam lässt sich überkleben (sehr effektiv) oder in den Systemeinstellungen abschalten, wie im Bild gezeigt.
Bild: Bluewin/Dirk Jacquemin
3. Öffentliche WLAN-Netzwerke sind praktisch aber potenziell gefährlich. Wer liest da mit, wenn Sie auf dem fremden Netz surfen?
Bild: Getty Images
Doch durch die Nutzung eines VPN kann man sich beim Surfen schützen. VPN-Programme gibt's für Smartphones und Computer.
Bild: Opera
Zusätzlich sollten alle Computer-Freigaben deaktiviert werden. Bei Windows findet sich diese Option in den Einstellungen unter «Netzwerk und Internet» -> «Status» -> «Freigabeoptionen».
Bild: Bluewin/Dirk Jacquemin
In macOS findet sich dies in den Systemeinstellungen unter «Freigaben».
Bild: Bluewin/Dirk Jacquemin
4. Vor Schnüfflern beim Surfen kann man sich mit einem Browser-Addon wie «NoScript» schützen. Besonders Soziale Netzwerke haben ein Interesse daran, ein möglichst detailliertes Profil ihrer Nutzer zu erstellen. Das lässt sich dann gewinnbringend an Werbeplattformen verkaufen.
Bild: Bluewin/Dirk Jacquemin
5. Phishing ist nur eine Variante des «Social Engineering»: Dabei geht es darum, den Nutzer mit einer erfundenen Geschichte zu manipulieren und ihn zur Herausgabe von Daten zu bewegen. Bleiben Sie kritisch, wenn jemand per Mail oder Telefon nach Ihrem Login oder Passwort fragt. Keine Bank und kein Telekom-Unternehmen würde so etwas tun.
Bild: Getty Images
