Mac-Scareware - drei Tipps und ein paar Infos
Dieser Standpunkt ist im Grunde eine Ergänzung des bereits am Mittwoch aktualisierten Standpunkts der vorigen Woche. Den Anfang machen drei Tipps:
1. Arbeiten Sie nicht als Admin!
Zuerst möchte ich einen Hinweis nachreichen, den ich vorige Woche vergessen habe: Die erstmals von Intego gemeldete MacDefender-Variante, die ohne Eingabe des Administrator-Passworts installiert werden kann, nutzt eine Eigenheit des Macs aus: Auf den meisten Macs gibt es nur einen Benutzer, der dadurch Mitglied der Admin-Gruppe ist und Programme in Programm-Verzeichnis installieren darf. Ein gutes Beispiel dafür, warum man normale Arbeiten nie mit einem Benutzerkonto mit höheren Privilegien ausführen sollte. Falls Sie mit einem Mac arbeiten und ihr normalerweise genutztes Benutzerkonto noch Administrator-Rechte hat (was u.a. immer der Fall ist, wenn es nur einen Benutzer gibt): Legen Sie einen neuen Benutzer an, geben Sie diesem Administrator-Rechte, und entziehen Sie danach ihrem bisherigen Benutzerkonto diese Rechte. Wenn Admin-Rechte benötigt werden, fordert Mac OS X sie dann zur Eingabe von Benutzername und Passwort des Admins auf. In der täglichen Arbeit ändert sich also nichts, Sie müssen lediglich ggf. zusätzlich zum Admin-Passwort den Admin-Benutzernamen eingeben. Das sollte Ihnen die Sicherheit Ihres Macs wert sein.
2. Installieren Sie nur nützliche und harmlose Programme!
Am Angriff durch MacDefender und Co. ändert das Nicht-privilegierte
Benutzerkonto nicht viel, da der ja nur auf Social Engineering beruht. Wer
sich durch den Installationsprozess klickt, gibt i.A. auch sein
Admin-Passwort ein, wenn er dazu aufgefordert wird. Daher Tipp Nummer
zwei: Installieren Sie keine Programme, von deren Notwendigkeit und
Harmlosigkeit Sie nicht überzeugt sind. Und achten Sie dabei nicht
auf Kommentare wie
diesen
(inzwischen entfernten) unter einem
Artikel
auf Huffington Post, über den Intego
berichtet
hat: Der Kommentator hatte die Installation des MacDefenders empfohlen
(was nun
angeblich
ein Witz sein sollte). Verwenden Sie seriöse Quellen, um sich über
Programme zu informieren, z.B.
MacUpdate
oder eine der vielen Infoseiten zum Mac wie
MacTechNews.
Eine andere Form, diesen Rat zu formulieren, hat Brian Krebs
gefunden:
"If you didn’t go looking for it, don’t install it!" - stimmt!
3. Sichern Sie Safari ab!
Und dann noch ein dritter und letzter Tipp: Schalten Sie in Safari die
Option '"Sichere" Dateien nach dem Laden öffnen' in den
Einstellungen aus. Apple weiß schon, warum das "Sichere" im
Dialog in Anführungszeichen steht, und ich hatte angenommen, dass die
Option in der Default-Einstellung inzwischen ausgeschaltet ist, aber
laut Graham Cluley
von Sophos ist der Unsinn immer noch ab Werk eingeschaltet.
Kommen wir nun zur Frage
Wer steckt dahinter?
Wie ich bereits letzte Woche berichtet habe, hat Microsoft auffällige Übereinstimmungen mit einer Windows-Scareware festgestellt. Demnach steckt die "Winwebsec Gang" hinter MacDefender und Co.. Brian Krebs berichtet nun, dass "ChronoPay", laut Krebs "Russia’s largest online payment processor and something of a pioneer in the rogue anti-virus business", hinter MacDefender und Co. stecken könnte. Brian Krebs begründet dass damit, dass die Fake-Virenscanner für den Mac über Websites verkauft werden, die er zu ChronoPay zurückverfolgen konnte. ChronoPay streitet jede Beteiligung ab. Das Problem ist, ob man dem glauben will/soll/kann. Wie unterscheidet man die "Wir haben nichts damit zu tun!"-Aussage eines Unbeteiligten und zu Unrecht verdächtigten oder die "Wir haben nichts damit zu tun!"-Aussage eines missbrauchten Unternehmens von der "Wir haben nichts damit zu tun!"-Ausrede der tatsächlichen Kriminellen? Im Zweifel für den Angeklagten?
Aber Moment mal, da gibt es doch eine passende Meldung aus einem anderen Bereich: Forscher der University of California, San Diego und der University of California, Berkeley, haben herausgefunden, dass man Spam bekämpfen kann, indem man die Zahlungswege der Spammer verstopft. Das sollte doch bei Scareware auch funktionieren, oder? Und ChronoPay wickelt Zahlungen ab. Dann sollten sie vielleicht als Unschuldsbeweis einfach mal alle Verbindungen zu den Cyberkriminellen abbrechen.
Ein Überblick über die Entwicklung
Zum Schluss noch zwei Hinweise auf Überblicke über die Entwicklung von MacDefender und Co.: Die eine stammt von Sophos, die andere von ESET, wobei die Sophos-Variante ausführlicher ist.
Und nun zur Werbung...
Beide Artikel enthalten, ebenso wie die Berichte von Intego, zum Schluss etwas Werbung für den jeweils eigenen Mac-Virenscanner. Daran ist grundsätzlich nichts einzuwenden, aber oben vor der Installation eines Scanners zu warnen und unten einen anderen zu empfehlen, ist doch irgendwie grenzwertig, oder? Natürlich haben sie alle völlig recht, aber ein merkwürdiger Beigeschmack bleibt doch. Immerhin warnen Fake-Virenscanner ja vor angeblich gefundener Schadsoftware, die sie nur in der Vollversion entfernen können. Rein inhaltlich unterscheidet sich das kaum von den ganzen Blogbeiträgen zum Thema, oder?
Außerdem sieht das zu sehr nach "Installieren Sie nicht den Müll der Konkurrenz, sondern unser tolles Programm!" aus und entwertet die Blogbeiträge dadurch völlig zu unrecht. Die Autoren sind schon "vom Fach" und nicht aus der Marketingabteilung (die hätte die Werbung bestimmt auch viel subtiler untergebracht), und ihre Texte sind durchaus technisch fundiert und kein "Marketingblabla".
Trackbacks
Dipl.-Inform. Carsten Eilers am : Neues zur Sicherheit von Clients
Vorschau anzeigen