Bedrohung
Eigentlich weiß es jeder: Es gibt nichts umsonst. Doch wenn es um „kostenlose“ WLAN-Zugänge geht, vergessen viele Menschen ihre Vorsicht. Und viele suchen nach solchen kostenlosen Zugängen, auch wenn sie dafür vielleicht private Daten – etwa das Passwort für die genutzten Sozialen Netzwerke – mit dritten Teilen müssen.
Es gibt zahlreiche Beispiele, die zeigen, dass Sie sich besser nicht durch „kostenlose“ Angebote verführen lassen sollten. Ganz aktuell ist der Fall der kostenlosen WLAN-Hotspots, die von der russischen Firma Smart Wi-Fi in Cafes angeboten werden. Vorsichtige Anwender haben ein Video gemacht, das zeigt, wie das Ganze funktioniert und was ein Anwender tun muss, wenn er sich mit dem Smart-Wi-Fi-Netzwerk verbindet.
Einen ausführlichen Artikel dazu hat auch die russische Seite Siliconrus.com veröffentlicht (leider nur auf Russisch) – hier unsere Zusammenfassung: Wenn man sich mit dem Smart-Wi-Fi-Netzwerk verbindet, wird man aufgefordert, den Zugang mit seinem Profil bei einem Sozialen Netzwerk zu autorisieren. In diesem Fall mit dem beliebtesten russischen Netzwerk VKontakte.
Login-Name und Passwort werden dabei aber nicht auf der Seite von VKontakte eingegeben, sondern auf der Seite von Smart Wi-Fi – über eine unverschlüsselte Verbindung, der unsichersten Möglichkeit, sich auf einer Webseite einzuloggen. Wenn sich die Anwender also mit ihrem VKontakte-Login anmelden, erhält Smart Wi-Fi das Passwort und gleichzeitig kann es jeder Hacker mit Laptop, der in der Nähe sitzt ebenfalls abhören.
„Kostenloses“ #WLAN im Tausch gegen das #Passwort für Soziale Netzwerke
Tweet
Smart Wi-Fi speichert die Zugangsdaten des Anwenders und nutzt diese, um auf dem VKontakte-Profil des Kunden Werbung zu posten, wie es bereits in mindestens einem Fall geschehen ist. Bei einem anderen Fall installierte die Firma eine App auf dem VKontakte-Profil des Kunden, die eine ganze Reihe Erlaubnisse bekam, unter anderem Zugriff auf private Daten und das Recht, Nachrichten im Namen des Nutzers zu veröffentlichen.
Im ersten Fall wird der Anwender immerhin gewarnt, dass Werbung auf sein Profil gepostet wird, im zweiten Fall wurde die App-Installation ohne Benachrichtigung des Nutzers durchgeführt. Um überhaupt von der App zu wissen, müsste der Anwender die Liste der installierten VKontakte-Apps durchsehen. Man muss nicht extra dazusagen, dass die wenigsten Anwender das regelmäßig machen.
Webseiten, die Login-Seiten von Sozialen Netzwerken oder Online-Banking-Seiten nachahmen, sind weit verbreitet und zählen als wichtigstes Phishing-Werkzeug. Die gefälschten Seiten sollen unvorsichtige Anwender dazu bringen, ihre Zugangsdaten oder PIN-Nummern einzugeben, die anschließend von den Cyberkriminellen missbraucht werden, etwa um Zugriff auf weitere private Daten oder das Bankkonto des Opfers zu bekommen.
Doch im vorliegenden Fall wird diese Masche von einem Serviceanbieter genutzt. Ein umstrittenes Vorgehen. Wir bezweifeln, dass der Anbieter das mit bösen Hintergedanken macht, aber dennoch stehen die Anwender dadurch in der Gefahr, dass ihre Daten gestohlen werden.
Wie bei Phishing-Versuchen auch, gibt es eine einfache Lösung: Vorsicht und Wachsamkeit. Wir raten wie immer, die URL der Seite genau zu prüfen und niemals Zugangsdaten unter einer anderen URL als der erwarteten Adresse einzugeben. Denken Sie auch daran, dass alle Sozialen Netzwerke und Online-Banking-Seiten mit dem sicheren HTTPS-Protokoll arbeiten, das die Kommunikation mit der Webseite verschlüsselt. Geben Sie also niemals Ihr Passwort auf einer Seite ein, deren Adresse nicht mit https:// beginnt und bei der das Vorhängeschloss-Symbol nicht sichtbar ist.
Übrigens kann Kaspersky Internet Security unsichere WLAN-Zugänge erkennen und warnt den Anwender vor der Verbindung mit solchen Hotspots.
Tipps