wie hoch ist die chance gehackt zu werden?
Hallo was denkt ihr wie hoch ist die chance gehackt zu werden und wo ist die wahrscheinlichkeit höher gephisht zu werden also durch phising seine daten zu übermitteln oder durch einen hack angriff und wie schützt man sich davor am besten?
4 Antworten
Gehackt im klassischen Sinne wirst du eigentlich nur wenn du nen Server hast der interessant ist für kriminelle. Als Verbraucher muss man sich eigentlich null sorgen machen gehackt zu werden. Regelmäßig Updates ist das beste.
Phishing ist viel häufiger.
Vor Phishing Schützt man sich mit Vorsicht und gesundem Menschenverstand.
Wenn du schlechte Passwörter hast kannst du durch Bruteforce oder Cracking / Dictionary Attack gehackt werden
Phishing ist wenn du dich nen bisschen auskennst eig das unwarscheinlichste. Da ist eher warscheinlich das man sich nen Trojaner einfängt da man da mehr Möglichkeiten das zu verstecken
Installiere dir noScript und klick nicht auf Links oder Anhänge in E-Mails. Installiere alle Sicherheitsupdates, hol dir einen Passwortmanager und dann du solltest ganz gut dabei sein.
Es verhindert erstmal grundsätzlich, das Code von Webseiten geladen und auf deinem Computer ausgeführt wird. Manchen Anbietern kann man trauen, dass der Code, den sie zu deinem Rechner schicken vertrauenswürdig ist. Das ist bei Google, YouTube, Facebook usw. der Fall.
Richtig eingestellt blockt noScript dann Angriffe von zwielichtigen Webseiten auf deinen Computer, und lässt nur das durch, was als vertrauenswürdig eingestuft wurde.
Das Risiko hängt ganz davon ab auf welchen Seiten du unterwegs bist, was für Passwörter du benutzt, wie du mit diesen Passwörtern umgehst, was für ein Betriebssystem du nutzt, ob und welches Antivirenprogramm du nutzt und einer Menge anderer Faktoren. Das kann man so pauschal also nicht sagen.
Benutze verschiedene, möglichst komplexe und lange Passwörter die du häufig wechselst und niemandem preisgibst. Verwende eine Antivirensoftware. Gehe nur auf Internetseiten die mit https anfangen. Öffne keine Anhänge oder Links aus Mails von unbekannten absendern. Verwende keine öffentlichen W-Lan-Netzwerke. Verwende ein VPN. Verwende keine USB-Sticks von denen du nicht weißt was drauf ist.
Wieso sollte man nur auf Webseiten mit https gehen? Und eine Antivirensoftware kann ein großes Sicherheitsrisiko darstellen. Und Emailabsender kann man fälschen. Ich würde da erstmal überall Vorsicht walten lassen.
https schützt vor CrossSite Skripting bzw den Abhören der Passwörter in öffentlichen Netzwerken.
Warum sollte die Antivirensoftware ein größeres Risiko sein als keine Antivirensoftware zu verwenden?
Und Emailabsender kann man nicht ohne weiteres fälschen sofern der SMTP Server richtig eingestellt ist, denn idR sollte dieser Prüfen ob der Reverse DNS Record tatsächlich zur Domain passt von welcher die Nachricht geschickt wurde. Sofern man also nicht zumindest den DNS Cache des Mailservers spoofed kann man da nicht viel fälschen. Man kann natürlich ähnliche Adressen verwenden aber das sollte einem schon auffallen wenn man sich die Absenderadresse genau ansieht.
Lamanini hat recht.
https am anfang der webseite schützt erstmal vor garnichts. Den das bedeutet im Kern erstmal nur das die Daten verschlüsselt werden und nichts anderes. Was denkst du warum die meistne phishing seiten mit https starten? Eben weil die auch nicht auf den Kopf gefallen sind. Der Tipp ist also gänzlich mumpitz da die kriminalität dort schon lange angekommen ist.
Ne Antivirensoftware ist ebenfalls käse. Der mit Win10 mitgelieferte defender reicht völlig aus. Antivirensoftware sind deswegen ein Problem weil mehr software immer auch mehr hintertüren bedeutet. In diesem Fall z.b. kann das sogar bedeuten das eine AV-software dich noch angreifbarer macht als du sowieso schon warst.
E-mail absender fälschen ist machbar aber selten, i.d.r. sind das wie du schon sagst fake-adressen die beim genauen hinsehen leicht zu enttarnen sind - tatsächlich aber fallen da viele Leute drauf rein - nicht zuletzt weil sie ne Panikattacke bekommen und nichtmehr klar denken wärend sie die allererste ''ihr paypal account wurde gehackt - ändern sie jetzt ihr passwort'' mail lesen. Da heißt es dann eben ruhe bewahren.
Email Absender Faken Ist mega easy, have schon so viele E-Mails mit gefälschtem Absender gesehen.
Das Protokoll überprüft den Absender nicht, du kannst einen beliebigen Absender hinterlegen. Die meisten Email Programme lassen dich einen beliebigen Absender für deine Nachrichten wählen.
Was denkst du warum die meistne phishing seiten mit https starten? Eben weil die auch nicht auf den Kopf gefallen sind. Der Tipp ist also gänzlich mumpitz da die kriminalität dort schon lange angekommen ist.
Ich habe auch nicht davon gesprochen, dass Phising Seiten nicht mit https erstellt werden können sondern ich spreche von Cross Site Scripting und der tatsache das https eben verschlüsselt ist.
In dem Fall ist es möglich den Kontent einer gänzlich anderen Seite unter einer Domain dar zu stellen. Ich kann mit dieser Technik theoretisch die Seite von zB facebook.com so verändern, dass die Passworteingabe das Passwort im Klartext an meinen Server weiterschickt. (Eine entsprechende Sicherheitslücke muss natürlich vorhanden sien, was bei facebook schwer werden wird, aber da kann irgendeine Seite stehen.) Im Gegensatz zu DNS Spoofing etc. muss ich dafür nicht den DNS selbst Angreifen sondern kann das ganze über einen Queryterm in einem Link machen. So kann zB der Link www.facebook.com/query="<input name=username />" auf nicht geschützten Seiten dazu führen, dass in der Darstellung ein das Inputfeld angezeigt werden kann. Es gibt jetzt mehrere Methoden wie das machbar ist. Zum einen kann Javascript eine Verbindung zu meinem Server herstellen und die Daten an diesen schicken, was aber in den meisten Fällen vom Browser blockiert wird, weil Javascript nur Request an die Sourceadresse stellen kann.
Eine andere Möglichkeit ist das Einfügen eines Iframes. Das ist zwar bei https Seiten auch möglich, allerdings warnen viele Webbrowser wenn auf einer https Seite kontent von anderen Seiten dargestellt wird deren Zertifikat nicht zu dem auf der Parentseite passt. Da steht dann oft eine Warnung mit unsicherem Content oder ähnlichem.
Eine neue Methode sind Websockets und die geben den Angreifern momentan Narrenfreiheit, womit natürlich der XSS Schutz dahin ist.
2.)Die Verschlüsselung von https ist wichtig wenn man in einem öffentliche Netzwerk ist, nichts ist leichter als mit eine Man in the Middle Passwörter zu lesen die auf http Seiten übertragen werden.
Ne Antivirensoftware ist ebenfalls käse. Der mit Win10 mitgelieferte defender reicht völlig aus.
Der Defender selbst fällt unter Antivirensoftware.
Windows 10 liefert sein Antivirenprogramm schon mit, den Defender zu deaktivieren und dann im Internet unterwegs zu sein, wird aber sicherlich nicht gerade förderlich sein.
E-mail absender fälschen ist machbar aber selten
Ich habe nie gesagt, dass es unmöglich ist, es ist sogar extrem einfach, ein gut eingestellter Mailserver nimmt aber Emails nicht entgegen wenn die Absender IP nicht zum MX Record der Domain passt.
Das Protokoll überprüft den Absender nicht, du kannst einen beliebigen Absender hinterlegen.
Korrekt dem Mailprotokoll ist das komplett egal, aber der Mailserver des Empfängers sollte die Mail wegschmeißen wenn die Absender IP nicht zum MX Record der Domain in der Emailadresse passt.
Du musst in dem Fall also nicht nur den Absender verändern sondern auch die IP des Absenders, was dann nicht mehr so einfach ist wenn man bedenkt dass man dazu eine TCP Verbindung mit falschen Absender aufbauen muss.
Das geht eigentlich nur gut wenn man die Nachrichten direkt ins Netzwerk des Mailservers einspielt und per Man in The Middle die komplette Kommunikation mitlesen und manipulieren kann.
In welcher Art schützt HTTPS denn vor XSS? Ich kann doch trotzdem die GET-Parameter setzen. Und ja, https hilft in offenen Netzen. In die sollte man allerdings gar nicht erst rein, wie du richtigerweise geschrieben hast.
Und bei den E-Mails führt der fehlende Reverse-DNS Eintrag bei allen großen Anbietern nur dazu, dass die E-Mail im Spam landet. Aber große Seiten sagen eh immer, dass man im Spam gucken soll. Daher sehe ich das immer noch als gefährlich an.
In welcher Art schützt HTTPS denn vor XSS? Ich kann doch trotzdem die GET-Parameter setzen.
Ja man kann natürlich schon per XSS etwas darstellen. Allerdings erlauben es die meisten Browser nicht per Javascript Daten an einen Server zu senden, welcher nicht der Seitenhost ist. Das ganze könnte man aber per Iframe umgehen, allerdings warnen die meisten Browser den Nutzer falls ein Iframe durch ein anderes Zertifikat verschlüsselt ist als der Rest der Seite.
Wie gesagt Websockets machen das ganze aber ohnehin wieder zunichte.
Https sollte in allen Netzwerken standard sein, dass mit den öffentlichen ist nur ein Extrembeispiel.
Und bei den E-Mails führt der fehlende Reverse-DNS Eintrag bei allen großen Anbietern nur dazu, dass die E-Mail im Spam landet.
Der Google Mailserver nimmt die Email einfach nicht an wenn der Reverse DNS Eintrag fehlt oder nicht passt. Wir hatten da mal ein Problem bei unserem Unternehmen weil der Reverse DNS Eintrag fehlerhaft war, woraufhin Mails bei GMX, Google und Microsoft gar nicht erst angenommen wurden.
Da kommt vom Mailserver hald nur eine Mail zurück dass die Email mit irgendeinem Fehlercode nicht angenommen wurde und Glücklicherweise schreibt Google auch einen Text wo der Fehler beschrieben steht.
Nö. Auch dein Internetprovider kann dann nicht mehr mitlesen. Und wer weiß was die NSA so alles mitließt.
Kommt wohl darauf an in welchem Land du lebst, und ob die NSA das Netz schon infiltriert hat.
Wozu ist noScript gut ?