Ein PayPal Sicherheit IconTrotz starker Passwörter ist es mir nun doch passiert: über mein PayPal Konto wurde heute eine nicht autorisierte Zahlung abgesetzt. Diese war nicht sehr groß, PayPal bemerkte diese Abbuchung auch sofort, sperrte das Konto für weitere Transaktionen und begleitet mich jetzt bei der Bearbeitung des Problems. Trotzdem ist es ein Zeichen dafür, dass ich bei PayPal neue Geschützte auffahren muss. Und diese möchte ich allen PayPal Usern ans Herz legen.
In den PayPal Einstellungen bzw. dem Benutzerprofil könnt ihr die folgenden Tipps umsetzen.

Sicherheit erhöhen

Wichtigste Absicherung: 2-Wege-Login mit einem Sicherheitsschlüssel. Das funktioniert dann wie bei Google, beim Login muss dann zusätzlich zum Passwort auch noch ein SMS Sicherheitscode eingegeben werden.
Das Bild zeigt die Menüpunkte des PayPal Dialogs Mein Profil -> Einstellungen. Speziell hervorgehoben wurde "Sicherheitsschlüssel", mit dem der Login per SMS Code zusätzlich abgesichert werden kann.
Das Bild zeigt den erweiterten PayPal Login dank eingerichteter Sicherheitsschlüssel (Mein Profil -> Einstellungen -> Sicherheitsschlüssel). Es wird nach einem Code gefragt, der per SMS an die angegebene Handynummer verschickt wurde.

Hier ein paar Tipps weitere Tipps wie ihr euer PayPal Konto noch besser absichern könnt:

  1. (neues) komplexes Passwort, mindestens 12 Zeichen (meins hat jetzt 18…), alle 4 Zeichensets (Klein- und Großbuchstaben, Zahlen, Sonderzeichen)
  2. (neue) Sicherheitsfragen, leider ist PayPal hier sehr eingeschränkt, was die Möglichkeiten angeht
  3. Mein Profil -> Einstellungen -> Sicherheitsschlüssel: richtet ein 2-Wege-Login ein, bei dem ihr zusätzlich zum Passwort auch noch einen SMS Sicherheitscode eingeben müsst. Das solltet ihr unbedingt einrichten.
  4. Mein Profil -> Einstellungen -> Kundenservice PIN: definiert eine 6-stellige PIN, die beim Telefonat mit dem Support abgefragt wird
  5. Handynummer bestätigen (für Sicherheitsschlüssel-Login und Verifizierung bei Problemen)
  6. In den neuen PayPal Einstellungen im Reiter Benachrichtungen gibt es zusätzlich noch die Benachrichtungen per SMS, das gab es in den alten Einstellungen noch nicht. Hier am besten gleich noch SMS Benachrichtigung aktivieren.

Das Bild zeigt die neuen PayPal Einstellungen und den Reiter "Benachrichtungen", in dem die SMS Benachrichtungsoptionen hervorgehoben wurden.

Sicherheit überprüfen

Hattet ihr vielleicht unbefugten Zugriff auf eurem Konto oder wollt nur eine Routineüberprüfung vornehmen? Diese Punkte solltet ihr überprüfen:

  1. Mein Profil -> Persönliche Daten -> E-Mail Adressen noch korrekt und aktuell?
  2. Mein Profil -> Persönliche Daten -> Handynummer eingegeben (für Sicherheitsschlüssel-Login und Verifizierung bei Problemen) und aktuell?
  3. Mein Profil -> Bankdaten korrekt, keine neuen Einträge?
  4. Mein Profil -> Bankdaten -> „PayPal-Zahlungen per Händlerabbuchung“ listet alle Händler, die von eurem Konto abgebucht haben.
  5. Mein Profil -> Einstellungen -> „Einstellungen für Zahlungen über Mobilgeräte“ listet Mobilgeräte, die mit dem PayPal Konto verknüpft sind.
  6. Mein Profil -> Einstellungen -> „Benachrichtigungen“: bei „Zahlungsbestätigungen“ sollten alle Häkchen gesetzt sein.
  7. Mein Profil -> Einstellungen -> „Login mit PayPal“: welche Seiten sind mit dem PayPal Konto verknüpft?

Mehr Informationen zu den Sicherheitsfeatures gibt es hier.
Wer NOCH MEHR Sicherheit haben will, ist mit dem

Google scannt die meisten Webseiten täglich mehrmals. Wenn dabei Malware gefunden wird, wird diese Webseite auf eine Blacklist gesetzt, auf die alle größeren Browser zugreifen. So kann es schnell passieren, dass die eiene Seite bzw. eine bestimmte Unterseite so aussieht:
website-von-google-malware-warnung-befreien-warnung

Wenn nicht die komplette Webseite sondern nur eine Unterseite betroffen ist, sieht die detaillierte Google Malware Warnung vielleicht so aus:
website-von-google-malware-warnung-befreien-detaillierte-warnung

[…] 131 Seiten der Webseite überprüft. Dabei haben wir auf 1 Seite(n) festgestellt, dass Malware […]

Natürlich hat das Bereinigen der Seite, Entfernen von Schadcode und Schließen von Sicherheitslücken die oberste Priorität. Sollte das aber länger dauern oder die Unterseite muss am besten sofort wieder ohne Malware-Warnung erreichbar sein, muss eine schnelle Alternative her.

In diesem Fall ist es eventuell möglich die Malware Meldung mit einem Trick zu umgehen, ohne dass der Nutzer das merkt und ohne ihn zu gefährden.

How-To

1) Erstellt eine Kopie der Unterseite, also eine neue Seite mit exakt den gleichen Inhalten. Diese Seite sieht nun genauso aus wie die Malware-betroffene Seite, ist Malware-frei (wenn tatsächlich nur die eine Unterseite und nicht alle Seiten von der Malware betroffen war), allerdings unter einer anderen URL erreichbar.

2) Richtet eine Weierleitung der URL der beschädigten Seite zur URL der neuen Seite ein. Nutzt dazu entweder die Möglichkeiten eures CMS, eures DNS/Domain-Anbieters oder benutzt .htaccess Weiterleitungen:

Redirect 301 /about /z-portable

Dies würde die Kontaktseite meines Blogs direkt auf die Z-Portable Seite umleiten, mit dem HTTP Statuscode 301.

3) Nun wird der Besucher bei Eingabe der üblichen Malware-URL auf die Malware-freie Seite geleitet. Der Nutzer merkt das nur noch an der falschen URL, das verwirrt natürlich. Also sollte man noch die URL anpassen, damit für den Nutzer nicht mehr ersichtlich ist, dass er auf der Kopie-Seite befindet.
Am einfachsten geht das mit der Browser history API, um genau zu sein

history.pushState

:

// URL Fake
if(window.location.pathname=="/neue-url/") history.pushState({id: 'SOME ID'}, '', '/alte-url');

Damit wird, wenn im Browser die URL domain.tld/neu-url aufgerufn wird, die URL in domain.tld/alte-url in die URL Zeile gepackt. Nun ist nur noch mit Tools ersichtlich, dass eine andere URL aufgerufen wurde.

Beispiel

Die Unterseite meines Blogs /about/, also die Über Mich Seite, wurde von Malware infiziert; jedoch nur diese Unterseite.
Ich erstelle eine Kopie dieser Seite (exemplarisch nehme ich jetzt die Z-Portable Seite als „Kopie“) und leite die About Seite per htaccess darauf um. Nach einem Klick auf „About“ im Menü muss der Inhalt der Z-Portable Seite erscheinen, jedoch muss in der URL /about/ stehen, nicht /z-portable/.
website-von-google-malware-warnung-befreien-trick
Sichtbar ist ein anderer Inhalt, die URL passt.

Anschließen kann man über die Google Webmaster Tools die Neubewertung der Seite initiieren und sollte spätestens 12 Stunden später eigentlich diese Meldung erhalten:

Congratulations! Google has received and processed your malware review request. We did not detect any malware on your site.

Hier noch ein Guide zum Thema Google Malware Warnung: Link.

Ich habe letztens die App von SURPRICE Hotels benutzt und möchte meine Erfahrungen mit euch teilen. Bei SURPRICE Hotels gibt es Hotels aus aller Welt, noch einmal bis zu 60% günstiger als in den bekannten Hotelvergleichsportalen. Warum? Weil das System nach dem Prinzip des „Blind Booking“ funktioniert – das heißt, dass die Namen der Hotels nicht bekannt sind. Bekannt sind die ungefähre Lage, Hotelbewertungen aus 4 Portalen, Bilder und die üblichen Hotelinformationen. Damit können bekannte und gute Hotels noch ihre letzten Hotelzimmer günstig loswerden, ohne damit ihrem Namen und dem Image zu schaden. So die Theorie.
Nun, verlängertes Wochenende stand bevor, Städereisen war gewünscht, die App kam also sehr gelegen.

Nach der Installation startet die App mit einer Art Tour und zeigt mit einfachen Hinweisbildschirmen, wie das Prinzip von Blind Booking und die Erkundung der Hotels funktioniert:
surprice-hotels-guenstiger-blind-booking-android-app-start-hilfe-2surprice-hotels-guenstiger-blind-booking-android-app-start-hilfe

Recht schnell fällt schon auf, dass die App sehr übersichtlich gestaltet und einfach zu bedienen ist. Die Hotels werden unter einer Google Maps Karte in einer Liste mit Sternen, Preis und einem Bild gezeigt. Dort können sie sortiert und gefiltert werden. Filtern kann man nach Tagespreis, Sternen und Bewertung. Ich hätte mir an der Stelle ein paar mehr Filtermöglichkeiten gewünscht; Sauna oder ähnliches. Außerdem steht in der Übersicht immer nur der Tagespreis, interessanter wäre für mich der Gesamtpreis des Aufenthaltes gewesen; aber so wird immerhin das Gehirn ein bisschen angestrengt um den Tagespreis mit der Anzahl der Nächte zu multiplizieren 😉
surprice-hotels-guenstiger-blind-booking-android-app-start-mapsurprice-hotels-guenstiger-blind-booking-android-app-start-hotels

surprice-hotels-guenstiger-blind-booking-android-app-stadtsucheBei der Suche nach einer Stadt hilft notfalls auch die Autovervollständigung. Wir hatten bei der Suche nach „München“ irgendwie das Problem, dass er „München“ nicht annahm und uns stattdessen das englische Pendant dazu anbot. Dieses seltsame Verhalten konnte ich jedoch gerade nicht mehr nachvollziehen, ich denke also mal, dass das behoben wurde.

Die Suche nach dem richtigen Hotel war super easy. Bilder und Bewertungen sind zahlreich vorhanden, die ungefähre Lage der Hotels reicht aus um den Weg zu naheliegenden öffentlichen Verkehrsmitteln einzuschätzen, man bekommt also ein umfangreiches Profil von jedem Hotel. Dann fehlt ja nur noch die Buchung.
Die Buchung war ebenfalls sehr einfach und bestand nur aus 3 Schritten: Daten angeben, Zahlungsinformationen angeben und dann folgt der Prozess des „Aufdeckens“. Dabei wird nach einem Countdown der Hotelname und weitere exakte Informationen wie die Adresse, sowie die Kontaktinformationen angezeigt.
surprice-hotels-guenstiger-blind-booking-android-app-buchung-uebersichtsurprice-hotels-guenstiger-blind-booking-android-app-buchung-countdownsurprice-hotels-guenstiger-blind-booking-android-app-buchung-finale

Ich habe nach der Buchung natürlich dieses Hotel mal in den üblichen Hotelvergleichsportalen gesucht und war erstaunt: tatsächlich gab es das Hotel in den Portalen auch und tatsächlich war der App Preis durchschnittlich 30% günstiger als in den Vergleichsportalen! Und das nur, weil man nicht genau weiß wie das Hotel heißt, damit kann ich leben.

Fazit: Ich denke, dass ich in Zukunft SURPRICE Hotels regelmäßig verwenden und den normalen Hotelportalen vorziehen werde. Oder ich informiere mich in den üblichen Portalen und schaue dann bei SURPRICE nach, ob es meine Auswahlhotels dort zufälligerweise günstiger gibt. Denn von den Vergleichsportalpreisen nochmal 20-40% runter ist ja durchaus ein guter Deal.

Nur ein schneller Shoutout für 2 Webdienste, mit denen man einfach und sicher Passwörter teilen kann, sogar über E-Mail, Whatsapp, Skype und andere – sonst eher nicht so vertrauenswürdige – Dienste:

OneTimeSecret.com

Als besonders einfach und effektiv hat sich OneTimeSecret herausgestellt. Beliebige Textdaten lassen sich damit verschlüsseln und es wird ein Link generiert. Dieser Link wird an den Empfänger weitergeleitet und der Empfänger kann die gesicherten Daten genau ein einziges Mal ansehen. Danach werden die verschlüsselten Daten komplett gelöscht.
Der Link mit den gesicherten Daten ist 7 Tage gültig (bei einem registrierten Nutzeraccount 30 Tage), wenn die Daten bis dahin nicht abgerufen wurden, muss ein neues Secret erstellt werden.

onetimesecretpasswordchange

Encipher.It

Die Nachteile von OneTimeSecret behebt Encipher.it ganz gut, allerdings ist der Vorgang dort 1, 2 Klicks länger.

Step 1:
Der Absender gibt die sicheren Daten ein, klickt auf [Encipher It], gibt ein beliebiges Passwort an (dass er sich merken muss!), wählt eine Zeitspanne und verschlüsselt mit [Encipher It].
encipherit-step1

Step 2:
Der generierte Text wird dem Empfänger zusammen mit dem Passwort zugeschickt – optimalerweise über 2 unterschiedliche Kommunikationskanäle!
encipherit-step2

Step 3:
Der Empfänger fügt den erhaltenen Text auf der Seite ein, diese erkennt den verschlüsselten Text und bietet nun [Decipher It] an. In der Dialogbox gibt der Empfänger jetzt noch das Passwort ein und entschlüsselt den Text mit [Decipher It].
encipherit-step3

Beide Dienste sind im Endeffekt Kinderleicht und der Vorgang dauert nur wenige Sekunden. Ich kann also Allen nur ans Herz legen, zukünftig nie wieder Passwörter als Klartext zu versenden.

google-alerts-news-abonnieren-banner.pngGoogle Alerts – ein alter Hut; vermutlich so alt wie Google News selbst. Bestimmte Nachrichten abonnieren, statt regelmäßig selbst nachzusehen; das ist bestimmt einer der am meisten unterschätzten Google Dienste. Was so simpel ist, kann jedoch zum persönlichen Vorteil und Gewinn genutzt werden. Kostenlose Apps, verschenkte Software-Lizenzen, fast immer wird sowas in etlichen Online-News verbreitet und doch verpasst man diese Aktionen so oft.

Nicht mehr mit Google Alerts! Suchbegriff eingeben, die Ergebnisse überprüfen und gegebenenfalls die Einstellungen anpassen und fertig ist der Alert. Dieser lässt sich dann per Mail zuschicken oder in einen RSS Feed umwandeln.
google-alerts-news-aboonieren

Tipps: Schließt Informationen und News, die nicht zu euren Ergebnissen passen, mit Negativ-Begriffen aus; beispielsweise: „+amazon +apps +kostenlos -kindle -fire„. Schränkt die Suche auf bestimmte Domains ein oder überprüft die News zu einer bestimmten Domain, eurem Blog beispielsweise: „site:hannes-schurig.de„. Oder sucht speziell in sozialen Netzwerken mit dem Anhang: „site:twitter.com OR site:facebook.com„. Wenn ihr zusammenhängende Wortgruppen oder Namen sucht, vergesst die Anführungszeichen nicht.
An sich sind es die gleichen Tipps, die man für die Google Suche verwendet, I know.

Alternativen? Es gibt ein paar weitere Dienste dieser Art, Talkwalker Alerts ist vermutlich die bekannteste. Aber auch Bing News kann als RSS und Mail-Abo abonniert werden.
google-alerts-news-aboonieren-talkwalker-alternative

Die Qualität der Ergebnisse zeigt jedoch einen starken Unterschied bei den Kandidaten. Da muss jeder seinen Favouriten finden. Eher mehr Artikel zu einzelnen Ereignissen (z.B. einem bestimmten Amazon App Sale) – dann eher Google Alerts. Oder vielleicht lieber eine breit gestreute Informationsspanne – dann ist ein Blick auf Bing oder Talkwalker angebracht.
google-alerts-news-abonnieren-suchen-vergleich

account-hacked-check-bannerEs ist seit gestern in den Medien: 7 Millionen Dropbox Account-Daten sollen angeblich gehackt worden sein. Bisher wurden nur 400 Daten veröffentlicht, weitere sollen aber folgen.

Dropbox Nutzer sollten reagieren:

Passwort ändern

Ich habe in in einem Artikel über Google Account Sicherheit auch einige Tipps zu starken Passwörtern geschrieben:
Empfohlen werden mindestens 12 Zeichen, alle Zeichenarten, jedoch geht Länge vor Komplexität, notfalls mangelnde Länge mit einfachen Zeichenfolgen auffüllen; beispielsweise:
K0ff3r2014….
Die Punkte am Ende sind für den Nutzer leicht zu merken, vervielfachen aber den Aufwand des Angriffs.

2 Wege Authentifizierung

Die zweistufige Überprüfung, oder auch 2 Wege Authentifizierung, sichert das Konto zusätzlich zum Passwort auch noch mit einem Code ab, den ihr per SMS oder App zugeschickt bekommt. Hacker bräuchten also euer Passwort und euer Telefon, um Zugriff zu erlangen.
Sobald in eurer Dropbox private oder wichtige Daten liegen, solltet ihr diese Absicherung ernsthaft in Erwägung ziehen.
In euren Dropbox Sicherheits-Einstellungen könnt ihr dies aktivieren:
dropbox-accounts-gehackt-zweistufige-anmeldung
dropbox-accounts-gehackt-2-way-auth-browser dropbox-accounts-gehackt-2-way-auth-smartphone

Daten überprüfen

In einem weiteren Artikel stelle ich Seiten vor, auf denen ihr prüfen könnt, ob eure Daten in bekannten Leaks enthalten sind, also ob ihr gehackt worden seid.
Bisher tauchen die Dropbox Daten scheinbar noch nicht in diesen Portalen auf, jedoch wird das bestimmt nicht mehr lange dauern, bis sie dort eingetragen werden. Dann könnt ihr zumindest prüfen, ob euer Account dabei war.

account-hacked-check-banner
Nachrichten, dass gehackte Accountdaten im Internet auftauchen, gibt es seit Jahren regelmäßig. In den letzten Monaten nehmen die Leaks jedoch zu, einzelne Leaks werden immer größer, die Nachrichten werden häufiger. Die Gefahr ist für jeden Einzelnen immer nur gering. Aber irgendwen trifft es letztlich ja doch.
Ich habe ein paar Portale zusammengetragen, mit denen ihr eure E-Mail Adressen und Accounts prüfen lassen könnt:

Identity Leak Checker

Die Identity Leak Checker Datenbank des Hasso-Plattner-Instituts beinhaltet im März 2019 mittlerweile über 8 Milliarden Nutzerdaten aus über 800 Leaks (2014 waren es noch 182 Millionen Daten) und wird monatlich erweitert. Der Wachstum liegt bei etwas um die 2-3 Milliarden neuer Datensätze pro Jahr, Tendenz klar steigend. Allein der neue Passwort Leak Ende Januar mit über 2 Milliarden Datensätzen (welcher angeblich nur einer von weiteren größeren Leaks sei) hat dem Jahr 2019 bereits nach einem Monat zum Nummer-1-Wachstum verholfen.

Nach der Eingabe eurer Daten erhaltet ihr entweder eine positive oder negative E-Mail Rückmeldung:
account-hacked-check-email-address-leak-checker-hpi

Have I been pwned?

Diese Datenbank enthält mittlerweise knapp 7 Milliarden Datensätze (2014 waren es noch 174 Millionen Einträge) und zeigt sogar übersichtlich aus welchen Quellen diese Daten kommen.

account-hacked-check-email-address-haveibeednpwned

Quellen der Datensätze von HaveIBeenPwned.com (Stand 2014 aus Nostalgiegründen)

Wer die Informationen von HaveIBeenPwned lieber auf deutsch lesen möchte, kann seine Daten auf dieser Seite checken. Die Seite nutzt die API von HaveIBeenPwned, liefert aber ins Deutsche übersetzte Texte.

BSI

Das BSI hat hier in einer Datenbank über die Jahre 16-18 Millionen kompromittierte E-Mail Adresse oder Accountdaten gesammelt. Das ist zwar nicht so viel, die Daten sind jedoch überprüft, aussortiert und vor allem größtenteils aus dem deutschsprachigen Bereich und somit äußerst relevant.
Nach der Eingabe eurer E-Mail Adresse erhaltet ihr einen Sicherheitscode. Solltet ihr etwas später eine E-Mail vom BSI mit diesem Code im Betreff erhalten, ist eure E-Mail Adresse anscheinend in dieser Datenbank gelistet.
account-hacked-check-email-address-bsi