Thema: Hotmail ...

[SiLæncer]

Microsoft hat seine MSN-Webseite ilovemessenger.msn.com aufgrund einer Sicherheitslücke geschlossen, über die Angreifer Besuchern die Cookies auslesen konnten. Damit war es anschließend ohne Authentifizierung möglich, auf Hotmail-Konten zuzugreifen.

Ursache des Problems war eine Cross-Site-Scripting-Schwachstelle im MSN-Server, bei der der Browser des Opfers eingeschleusten Scripting-Code im Kontext der aufgerufenen Seite ausführte. Derartiger Code kann beispielsweise in präparierten URLs versteckt sein, den ein fehlerhafter, nicht filternder Server an den Client zurücksendet. Cross-Site-Scripting-Lücken sind ein weit verbreitetes Problem bei der Entwicklung von Web-Applikationen, bei der Benutzereingaben verarbeitet werden sollen. Ende Dezember fand der Sicherheitsspezialist Michael Krax innerhalb kürzester Zeit 175 verwundbare Server.

Microsoft versucht derzeit, den Fehler zu beheben. Die Seite, die Emoticons, Bildchen und Hintergünde für den MSN Messenger anbietet, will der Konzern alsbald wieder in Betrieb nehmen.

Dies ist das zweite Sicherheitsproblem einer MSN-Seite innerhalb einer Woche. Kürzlich fiel Microsofts koreanischer Webauftritt einem Angriff zum Opfer, in dessen Folge der Server manipuliert wurde, um Anwender mit Schadcode zu infizieren.

Quelle und Links : http://www.heise.de/newsticker/meldung/60340

[SiLæncer]

Die Zugangsdaten von mehr als zehntausend europäischen Windows-Live-Hotmail-Konten sind offenbar ausgespäht und uns Internet gestellt worden. Das bestätigte Microsoft in einer Mitteilung. Ob die ebenfalls zu Windows Live gehörenden Dienste Messenger und Xbox LIVE betroffen sind, gab der Softwarekonzern nicht an. Zu den aufgetauchten Daten gehören Passwörter und E-Mail-Adressen.

Laut Microsoft stammen sie vermutlich aus einem größer angelegten Phishing-Angriff und seien nicht auf einen Einbruch in Systeme des Anbieters zurückzuführen. Microsoft hat den Zugang zu allen betroffenen Konten gesperrt und bietet betroffenen Anwender Hilfestellung an, um wieder an das Konto zu gelangen. Dazu muss der Nutzer ein Online-Formular mit diversen Angaben zur Verifizierung ausfüllen und absenden.

Die Technologie-Website neowin hatte als erstes von der Attacke berichtet. Demnach sollen die persönlichen Daten der Benutzer am 1. Oktober auf der Seite pastebin.com veröffentlich worden sein. Die BBC und neowin.net berichteten , eine Liste mit den Daten von 10.028 E-Mail-Konten, die mit A und B beginnen, eingesehen zu haben. Sie seien nun aus dem Netz entfernt worden. Die Liste enhielt Konten, die mit hotmail.com, msn.com und live.com endeten.

Da Anwender oftmals ein Passwort für verschiedene Dienste benutzen, könnten die Phisher an weitere Konten gelangen und etwa finanzielle Schäden anrichten. Betroffene Anwender sollten also nicht nur ihr Hotmail-Konto reaktivieren, sondern zusätzlich die Passwörter in anderen benutzen Diensten austauschen.

Quelle : www.heise.de

[SiLæncer]

Am vergangenen Wochenende wurden auf "Pastebin" über 10.000 Hotmail-Accounts mit den zugehörigen Passwörtern veröffentlicht. Als Reaktion darauf hat Microsoft nun die betroffenen Accounts gesperrt.

Folglich können sich die jeweiligen Benutzer ab sofort nicht mehr mit ihren Zugangsdaten bei den E-Mail-Diensten von Microsoft anmelden. Um die Konten wieder freischalten zu lassen, müssen die Nutzer ein zur Verfügung gestelltes Formular ausfüllen.

Microsoft bestätigte schon gestern diesen Vorfall und teilte zudem mit, dass es sich um kein internes Problem handle.

Viel mehr handle es sich beim sogenannten Phishing um ein sehr weit verbreitetes Problem, mit dem auch zahlreiche andere Plattformen zu tun haben. Als Ratschlag an alle Nutzer führte der Softwarekonzern an, erhöhte Vorsicht beim Öffnen von Links oder Anhängen der jeweiligen elektronischen Post walten zu lassen.

Zudem sei es empfehlenswert, die jeweiligen Kennwörter in regelmäßigen Abständen zu ändern und einen aktuellen Anti-Viren-Scanner einzusetzen.

Quelle : http://winfuture.de

[SiLæncer]

Neben den Usern von Hotmail sollen auch die Nutzer der Webmail-Dienste von Google, Yahoo, AOL und einigen weiteren Anbietern einer groß angelegten Phishing-Aktion zum Opfer gefallen sein.

In einem Artikel der BBC heißt es, dass zahlreiche Zugangsdaten der Googlemail-Nutzer durch einen Phishing-Angriff entwendet wurden. Ähnlich wie bei Microsoft sei dieser Vorfall nicht auf einen Einbruch in die jeweiligen Systeme oder vergleichbare Probleme zurückzuführen. Viel mehr seien die Daten den Anwender auf betrügerische Weise entlockt worden.

Offenbar sind bei Google rund 500 E-Mail-Accounts betroffen. Das Zurücksetzen der Konten habe man bereits veranlasst, hieß es.

Abgesehen vom E-Mail-Dienst aus dem Hause Google könnten auch weitere Mail-Anbieter betroffen sein, teilte die BBC unter Berufung auf eine vorliegende Liste mit. Dazu sollen unter anderem AOL und Yahoo gehören.

Da am vergangenen Wochenende über 10.000 Hotmail-Adressen und die zugehörigen Passwörter im Internet aufgetaucht sind, hat Microsoft die jeweiligen Accounts bereits gesperrt. Zum Entsperren der Konten muss ein zur Verfügung gestelltes Formular ausgefüllt werden.

Quelle : http://winfuture.de

[SiLæncer]

Anders als verlautbart, haben Microsoft und Yahoo längst noch nicht alle Konten gesperrt, deren Zugangsdaten kürzlich im Internet veröffentlicht wurden. heise Security fand in der Liste mehrere Hotmail- und Yahoo-Konten, die immer noch zugänglich waren und deren Postfächer verdächtige Aktivitäten aufzeigen.

Der Betreiber des Blogs Serversniff, Thomas Springer, fand heraus, dass die auf Pastebin veröffentlichten und dort gelöschten  E-Mail-Zugangsdaten an verschiedenen Stellen im Internet wieder auftauchten. Da er den Beteuerungen der Mail-Provider, sie hätten alles im Griff, nicht unbesehen glauben wollte, testete er einige dieser Zugangsdaten und stellte fest, dass keineswegs alle Konten gesperrt sind.

In der Tat konnte auch heise Security die Liste ohne große Mühe im Internet aufspüren und Springers Aussagen im wesentlichen bestätigen. Beim Durchprobieren der Zugangsdaten fanden sich recht schnell gültige Zugangsdaten, mit denen wir Zugriff auf Yahoo und Hotmail-Konten erlangen konnten. Die derzeit im Internet verbreitete "große" Liste enthält etwa 24.000 Einträge, wobei die ersten 10.000 wie beschrieben mit den Buchstaben A und B beginnen. An .de-Adressen enthält sie nur zehn Hotmail-Konten, die ausnahmslos bereits gesperrt beziehungsweise mit einem neuen Passwort versehen sind. Springers Analyse, dass Yahoo bislang fast gar nicht reagiert hätte, können wir jedoch nicht bestätigen, was am zeitlichen Versatz liegen könnte.

Die große Passwort-Liste enthält circa 24.000 Einträge.

Interessant ist, dass die Mail-Konten zum Teil bereits Passwort-Änderungs-Mails etwa  von Paypal enthielten, die aus den letzten Tagen stammen. Außerdem wurden in der Inbox offenbar gezielt Mails geöffnet, die sensible Daten enthalten könnten, also etwa Passwort-Änderungs-Bestätigungen und Nachrichten von Banken. Das lässt den Schluss zu, dass diese Mail-Konten bereits systematisch durchforstet werden. Es ist zu bezweifeln, dass das in allen Fällen nur aus reiner Neugier geschieht.

Offensichtlich wurden in der Mailbox gezielt Mails geöffnet, die sensible Daten enthalten könnten.

Unterdessen bezweifeln erste Experten, dass die Daten tatsächlich nur durch Phishing geklaut und somit von den Anwendern selbst preisgegeben wurden, wie die Mail-Provider bislang beteuerten. Die Sicherheitsspezialistin Mary Landesman etwa  meint, dass das Format der Daten und auch die schiere Menge vielmehr für Trojaner spreche, die die Daten auf infizierten PCs mitprotokollieren. Dafür spricht, dass sich in der Liste auch mehrere hundert Website-Adressen inklusive Zugangsdaten finden. Dagegen sprechen Einträge wie "Not telling" (Sag ich nicht), die tatsächlich danach klingen, als hätte da jemand Phish gerochen.

Quelle : www.heise.de

[SiLæncer]

Anwender, die befürchten, dass sich die Zugangdaten zu ihrem E-Mail-Account in der Liste befinden, die kürzlich veröffentlicht wurde, können dies jetzt selbst testen.Thomas Springer hat auf Serversniff eine Webseite aufgesetzt, die kontrolliert, ob eine E-Mail-Adresse auf den bekannten Listen auftaucht. Dazu gibt der Anwender den Teil seiner E-Mail-Adresse vor dem "@" ein. Findet das System einen passenden Eintrag, wird dieser angezeigt. Vom Passwort erscheint jedoch nur der erste und letzte Buchstabe.

Man fragt sich, warum die großen Konzerne, die ja im Besitz dieser Listen sind, einen solchen Dienst nicht anbieten. Die Mail-Provider wie Microsoft, Yahoo und Google hatten zunächst versichert, sie hätten alle Betroffenen informiert und die kompromittierten Zugänge geschlossen. Es stellte sich jedoch heraus, dass die Liste auch Tage nach Bekanntwerden des Vorfalls funktionierende Zugangsdaten enthielt, die unter anderem genutzt wurden, um Passwort-Resets bei Diensten wie Paypal einzuleiten.

Unterdessen rückt Rik Ferguson von Trend Micro den Vorfall in die richtige Perspektive. 10.000 gestohlene Account-Daten seien nichts Ungewöhnliches. Die würden auf dem freien Markt etwa 90 Dollar kosten – wenn man die üblichen 10 Prozent Rabatt abzieht. Das einzig Ungewöhnliche an dem Vorfall sei, dass die Daten einfach so im Internet veröffentlicht wurden.

Quelle : www.heise.de

[SiLæncer]

Erneut sind Account-Daten von Windows Hotmail und Live im Visier der Phisher. Zwei Wochen nach der letzten Attacke bedienen sich die Angreifer nun des MSN Messengers. Auch Nutzer anderer Webmailer wie Yahoo oder Googlemail erhalten die gefälschten E-Mails.

Der Sicherheitsanbieter Sophos warnt vor einer erneuten Attacke gegen Hotmail- und Live-Webmail-Konten. Anders als vor einigen Wochen werden diesmal aber auch die Nutzer anderer Webmailer gezielt angeschrieben, etwa auf Konten bei Googlemail oder Yahoo. Die Opfer erhalten E-Mails, die sie auf eine Webseite locken sollen. Dort kann man angeblich sehen, von welchen MSN-Messenger-Accounts der Nutzer geblockt wird. Lediglich Benutzernamen und Passwort müssen eingegeben werden. Natürlich erhält das Opfer keinerlei Informationen.

Sophos mahnt zudem an, dass den Angreifern unter Umständen noch viel mehr in die Hände fällt, als der MSN-Account. Wie die letzten Attacken gezeigt haben, werden Nutzernamen oft auf mehreren Plattformen eingesetzt. Auch die Passwörter unterscheiden sich wenig, 40 Prozent der User würden das gleiche Passwort bei allen genutzten Web-Diensten einsetzen.

Der erneute Angriff bestätigt eine Studie der Sicherheitsexperten bei IBM. Diese hatten einen massiven Anstieg an Phishing-E-Mails in der zweiten Hälfte von 2009 fest gestellt, wobei die Attacken auf Finanzinstitute allerdings zurückgingen.

Allerdings kümmern sich nicht nur Endnutzer zu schlecht um ihre Passwörter. Auch Unternehmen fallen regelmäßig wegen mangelhaftem Umgang mit sensiblen Daten oder fehlenden Sicherheitsmechanismen. So etwa kürzlich der Finanzdienstleister AWD oder das soziale Netzwerk SchülerVZ, die beide die Nutzerdaten nicht ausreichend geschützt haben. Auch sind Mitarbeiter selbst nur selten der Meinung, dass Firmen gut auf ihre persönlichen Daten aufpassen, wie eine aktuelle Studie festgestellt hat.

Quelle : www.tecchannel.de

[SiLæncer]

Die im vergangenen Jahr aufgedeckte Datenpanne beim Finanzdienstleister AWD hat offenbar größeren Umfang, als bisher angenommen wurde. Das geht aus einem Bericht des Fernsehsenders 'NDR' hervor.

Dessen Reporter wollen Kenntnis über weitere 12.000 Datensätze erlangt haben, die nach außen gelangt sind. Dabei soll es sich um Kundenverträge, Kontoverbindungen sowie Informationen über aktuelle und ehemalige Mitarbeiter des Unternehmens handeln, hieß es.

Im vergangenen Jahr wurde bereits der Verlust von 27.000 Datensätzen bekannt. Seitdem läuft beim niedersächsischen Datenschutzbeauftragten ein Verfahren gegen AWD. In dieses sollen nun auch die neuen Erkenntnisse einfließen. Die NDR-Reporter haben die Echtheit der Daten nach eigenen Angaben durch Stichproben bei Betroffenen überprüft.

AWD bestreitet bisher, dass das Leck mit Verschulden des Unternehmens entstand und beruft sich auf eine Untersuchung durch IT-Experten, die hohe Sicherheitsstandards festgestellt hätten. Die aktuell aufgetauchten Daten seien wohl mit krimineller Energie weitergegeben worden, was sich dem Einfluss AWDs entziehe.

Dem widersprach allerdings der Leiter des Instituts für Rechtsinformatik an der Universität Hannover, Nikolaus Forgó. Seiner Ansicht nach habe das Unternehmen die gebotene Sorgfalt außer Acht gelassen. Auch gegen ein gezieltes Vorgehen Krimineller könne man sich schützen.

Quelle : http://winfuture.de

[SiLæncer]

Zwei neue Funktion soll es Hotmail-Anwendern ermöglichen, im Falle eines Kontodiebstahl durch Kriminelle wieder an die eigenen Konten zu gelangen. Das kündigte  Microsoft in seinem Windows Team Blog an. Bislang konnte ein Angreifer den Besitzer aus seinem Konto aussperren, wenn er zuvor etwa über Phishing-Angriffe, Trojaner oder unverschlüsselte WLANs an das Passwortes gelangte und dieses nach dem Login einfach wechselte. Hatte der legitime Besitzer keine Alternativ-Mail für einen Passworts-Reset angegeben und die Sicherheitsfrage vergessen, war der Zugriff auf das E-Mailkonto nicht mehr möglich.

Microsoft führt nun das Verschicken von Passwort-Resetcodes per SMS ein, um Anwendern im Falle der Fälle die Kontrolle über ihr Konto zurückzugeben. Dazu muss der Anwender aber bereits vor dem Kontrollverlust die Nummer seines Mobilfunktelefons angegeben haben. Die SMS enthält einen Code, mit dem sich auf den Seiten von Microsoft das Passwort neu setzen lässt.

Daneben führen die Redmonder die Funktion "Trusted" PC ein, die einen definierten PC mit dem Hotmail-Konto koppelt und so ebenfalls jederzeit das Rücksetzen ermöglichen soll – auch ohne gültiges Passwort.Die Funktionen sind also auch für vergessliche Anwender nützlich.

Um die neuen Funktionen vor Manipulationen durch Eindringlinge im Konto zu schützen, kann eine Option nicht ohne Mitwirkung der anderen Optionen geändert werden. Die Änderungen der Einstellungen der SMS-Benachrichtung bedarf also der Zustimmung des Anwenders über einen der anderen eingerichteten Funktionen (E-Mail, Trusted PC, Sicherheitsfrage). Microsoft kündigte zudem an, künftig die komplette Verbindung zu Hotmail per SSL verschlüsseln zu wollen. Bislang ist nur der Login standardmäßig mit SSL geschützt.

Quelle : www.heise.de

[SiLæncer]

Microsoft bietet Anwendern des Webfrontends für den Maildienst Hotmail nun die durchgehende Verschlüsselung per SSL an. Bislang war nur der Login mit SSL gesichert, danach konnten Angreifer etwa in ungesicherten WLANs Mails mitlesen oder über kopierte Cookies sogar Zugriff auf das Konto erhalten. Das Firefox-Plug-in Firesheep erledigt diese Aufgabe auf einfache Weise.

Zumindest bei Hotmail werden solche Angriffe nun schwieriger. Die Umstellung ist allerdings keine unmittelbare Reaktion auf die Veröffentlichung von Firesheep, sondern eine bereits im September angekündigte Maßnahme.

Um SSL für Hotmail automatisch zu aktivieren, genügt es https://account.live.com/ManageSSL aufzurufen und die Option "HTTPS automatisch verwenden" zu setzen. Leider versperrt man sich nach Angaben von Microsoft damit jedoch weitere Zugriffe über E-Mail-Anwendungen wie Outlook Hotmail Connector, Windows Live Mail – dies gilt auch für die Live-Anwendungen für Windows Mobile bis 6.5 und Symbian. In diesem Fall sollten Anwender einfach temporäre SSL-Verbindungen zu Hotmail verwenden und https://hotmail.com aufrufen.

Quelle : www.heise.de

[SiLæncer]

Nachdem kürzlich Google darauf aufmerksam gemacht hat, dass die Nutzer des Dienstes Google Mail das Opfer von Phishing-Attacken aus China wurden, meldet das Sicherheitsunternehmen Trend Micro etwas Vergleichbares im Zusammenhang mit Yahoo Mail und Hotmail.

Die speziell an die Hotmail-Nutzer gerichtete Phishing-Mail erweckte den Eindruck, als käme sie von Facebooks Sicherheitsteam. Allein das Betrachten der Nachricht im Webmailer von Microsoft kompromittierte das jeweilige System - das Anklicken eines weiteren Links war nicht notwendig. Laut Trend Micro wurde die Schwachstelle in Hotmail inzwischen beseitigt.

Bei Yahoo versuchten es die Angreifer offenbar mit Hilfe gestohlener Cookies. Trend Micro informierte Yahoo über dieses Problem. Es blieb jedoch bei einem Versuch, auf die E-Mail-Konten zuzugreifen - Erfolg hatten die Angreifer nicht.

Der Vorfall zeigt jedoch, dass die Webmailer bei Hackern derzeit hoch im Kurs stehen. Sobald der Zugriff auf ein E-Mail-Konto erfolgt ist, kann die gesamte Kommunikation des Betroffenen verfolgt werden - sowohl aus der Vergangenheit als auch in der Zukunft, indem beispielsweise eine E-Mail-Weiterleitung eingerichtet wird.

John Scarrow von den Microsoft Safety Services erklärte, dass derzeit keine Erkenntnisse darüber vorliegen, dass auch die Hotmail-Kunden das Ziel von Phishing-Angriffen waren, wie es sie kürzlich bei Google Mail gab. Dennoch ist man sich der Gefahr, die rund um die Uhr von Spam, Phishing und Co. ausgeht bewusst und geht gegen die Verantwortlichen vor.

Quelle : http://winfuture.de

[SiLæncer]

Wenn das E-Mail-Konto kompromittiert wird, bemerkt man das oft zu spät und sämtliche Kontakte mit Spam zugeschüttet wurden. Microsoft hat seinen Hotmail-Dienst nun um eine Funktion erweitert, mit der man den Verdacht melden kann, das Mailkonto eines Kontakt sei gehackt worden. Markiert man eine verdächtige Mail mit "Mein Freund wurde gehackt", prüft Hotmail automatisiert, ob noch andere Indizien dafür sprechen, dass der Account von Kriminellen übernommen wurde. Ist Hotmail der Ansicht, dass dies zutrifft, wird der Account für den Spammer gesperrt.

Der Besitzer des Mailkontos wird beim nächsten Login über den Vorfall informiert und zur Windows Live-Kontowiederherstellung weitergeleitet, über die er sich wieder Zugriff auf seinen Account verschaffen kann. Wie Hotmail den Spammer jedoch von dem legitimen Kontoinhaber unterscheiden will, gab Microsoft nicht bekannt. Vermutlich kommt hierbei einer der im vergangenen Jahr eingeführten Wege des Notzugriffs zum Einsatz.

Nach eigenen Angaben konnte Microsoft seit der Einführung der Funktion vor wenigen Wochen bereits mehrere tausend gehackte Accounts identifizieren. Die so gesammelten Informationen stellt Microsoft auch Yahoo und Google zur Missbrauchsbekämpfung zur Verfügung.

Als zusätzlichen Schutz hat Microsoft seinen Hotmail-Nutzern die Verwendung einfach zu knackender Passwörter verboten. Seit kurzem sind nicht nur Kombinationen wie "123456" oder "password" untersagt, auch laut Microsoft millionenfach genutzte Passwörter wie "ilovecats" oder "gogiants" werden bei der Registrierung nicht mehr akzeptiert. Damit will Microsoft Wörterbuchangriffen entgegenwirken.

Quelle : www.heise.de

[SiLæncer]

Ein Teilnehmer eines Hackerforums hat das Angebot unterbreitet, für 20 US-Dollar innerhalb einer Minute jeden beliebigen Hotmail-Account zu knacken – und er hat sein Wort gehalten, wie das Blog whitec0de.com berichtet. Denn der Hacker hatte offenbar in einem Sicherheitsforum von einer kritischen Schwachstelle in Microsofts Maildienst erfahren, durch die er prinzipiell das Passwort jedes Hotmail-Nutzers ändern konnte.

Laut dem Blog sind dadurch auch einige Nutzer zu Schaden gekommen; etwa, weil sie sich mit ihrem Hotmail-Account auch bei Bezahldiensten wie Paypal angemeldet hatten. Außerdem haben dadurch angeblich besonders attraktive, kurze Accountnamen wie ab@hotmail.com oder xxx@hotmail.com den Besitzer gewechselt.

Details zur Lücke hat der Sicherheitsexperte Benjamin Kunz Mejri, der die Lücke in etwa zeitgleich zu den oben geschilderten Ereignissen entdeckt hat, in einem Advisory veröffentlicht. Demnach hat sich die Schwachstelle in der Funktion "Kennwort zurücksetzen" befunden. In einem Schritt hat der Hotmail-Server offenbar die Existenz eines Tokens überprüft, nicht aber dessen Inhalt.

Hatte man in eine bestimmte Anfrage ein Token wie "+++)-" eingeschleust, konnte man laut dem Advisory jeden beliebigen Account übernehmen. Kunz Mejri hat die Lücke nach eigenen Angaben am 6. April an Microsoft gemeldet, am 21. April soll das Unternehmen das Problem beseitigt haben.

Quelle : www.heise.de