Bitte gebt acht - Phishing Warning
Hallo Leute,
wie einige es schon mitbekommen haben, wurde der Account @ichbins von einem Angreifer erfolgreich übernommen. Ein Link eines Kommentars in seinem Block lockte ihn auf eine Phishing-Webseite, wo ihm dann der Schlüssel entwendet wurde.
- bitte nicht den Link öffnen
- Flagt diesen Kommentar
- Warnt andere Nutzer
Geht sorgsam mit Passwörter und Keys um. Es ist zwar ganz angenehm per Kopieren und Einfügen sich anzumelden aber dafür ist es auch einer der unsichersten Möglichkeiten. Nutzt lieber die Passwortverwaltung Eures Browser oder für ganz paranoide, Druckt den Schlüssel aus und tippt ihn per Hand ein.
SteemKeychain ist auch noch eine gute Alternative.
Sichert den Schlüssel nicht in einer Textdatei auf dem PC, da hat so etwas nichts verloren.
Schaut Euch die URL, welche ihr aufrufen wollt vorher an. Fake-URL kann man schon erkennen.
Beispiel (URL nicht öffnen!)
Die Adresse https://www.ṣteemworld.org hat nichts mit @steemchiller seiner Seite https://www.steemworld.org zu tun. wenn Ihr die Maus über den ersten Link haltet, sollte in dem Browser unten (rechts oder links) folgendes zusehen sein:
bei dem zweiten Link sieht man dann die richtige URL.
Mittler Weile sind die Phishing-Seiten recht gut, aber es gibt trotzdem auch für Leihen Möglichkeiten diese zu erkennen.
Bildquelle: Screenshot: https://breakdev.org/evilginx-advanced-phishing-with-two-factor-authentication-bypass/
Achtet auf Hinweise des Browsers.
Vorsicht bei unverschlüsselten oder nicht ausreichend gesicherten Webseiten!
Auf solchen Seiten sollte man keinen Masterkey preis geben!
Da es mit Evilginx auch möglich ist Phishing-Seiten gültig zu verschlüsseln, rate ich auch mal einen Blick auf das Zertifikat.
SteemConnect wird ganz sicher nicht über Let's Encrypt Authority abgesichert sein. Wenn Ihr euch nicht sicher seit googled nach dem Zertifikat.
Weitere kleine Helfer:
Mit dem Addon Blacklist Notifier von @themarkymark kann man sich vor uminösen Nutzern warnen lassen. Es funktioniert mit Googlechrom und Brave ausgezeichnet.
Desweiteren empfehle ich Adblocker und Co immer aktiv und aktuell zuhalten.
Das war erstmal alles, wenn jemand noch andere Tipps hat würde ich mich über ein Kommentar sehr freuen.
Wie immer gehen 60% der Einnahmen an folgende Accounts:
Ich wünsche noch ein schönes Wochenende.
EDIT:
Entschuldigt den EDIT aber ich möchte noch etwas hinzufügen.
Ich habe mir den Kommentar von @seo-boss nochmal angesehen.
Wenn ihr die Passwortverwaltung Eures Browser nutzt dürfte sie in diesen Fall nicht greifen und ihr müsstet das Passwort selber eingeben. Also sobald der Browser nicht von alleine Nutzer und Passwort einträgt ist da was Faul.
Desweiteren möchte ich auf den Kommentar von @mima2606 verweisen, noscript ist ein wichtiges Tool in Sachen Sicherheit.
sehr gut das Du die community warnst. Deine tipps sind gut und auch einfach erklärt. wer dazu fragen hat sollte sich nicht scheuen zu fragen. mir fällt noch was ein was sehr gut schützt. es gibt die möglichkeit für firefox das plugin NoScript zu aktivieren und für google chrome die erweiterung ScriptSafe. zur chrome engine gehören mittlerweile fast alle bekannten browser. brave, sogar microsoft edge nutzt seit kurzen die chrome engine und entwickelt nicht mehr weiter am eigenen so hochgelobten browser.
das tool NoScript funktioniert so es geht um alle scripte, hauptsächlich javascripte, die in webseiten geladen werden. nach der installation werden sie blockiert und der user entscheidet dann , von welcher domain er skripte zulassen will. dadurch wird das surfen im netz sehr sicher und spart zusätzlich werbung und traffic. mache vielleicht mal einen blog dazu. die erweiterung für die chrome engine funktioniert ähnlich ist aber nicht so einfach zu bedienen.
lg michael
Oh ja, Noscript ist ein ganz wichtiges Tool in Sachen Sicherheit. Vielen Dank für deinen Tipp.
Ich nutze Brave und habe dort in Einstellungen erstmal alle Scripte blockiert und nachdem ich mir eine Seite angeschaut habe, trage ich sie in die Whitelist ein und erst danach werden die Scripte geladen.
Aber Noscript ist da doch ein wenig komfortabler ;)
habe es mir schon notiert werde in der nächsten woche ein paar blogs machen wie nutzen von noscript oder auch linux als host systen und windows 10 als virtuelle maschine ... da kann nichts mehr schief gehen.lg michael
Was ich anfangs auch immer falsch gemacht habe: Zum Einloggen auf Steemit hab ich immer meinen Owner-Key verwendet. Den brauch man in der Regel aber eigentlich überhaupt nicht mehr und sollte ihn gut verschlossen wegpacken!
Ganz genau, immer den niedrigsten Key verwenden welcher möglich ist.
@prinzvalium, mit welchem Key loggst Du Dich dann ein? @sempervideo hat hier einen passenden Beitrag dazu gepostet und gezeigt, wie einfach das Phishing mit entsprechenden Tools sein kann. Da muss man sehr genau hinsehen. Sogar SSL-Zertifikate verwenden die BadBoys: https://steemit.com/deutsch/@sempervideo/scaremails-jetzt-in-deutsch
Ich nehme nur noch meinen Posting-Key für Steemit. Für Überweisungungen nehm ich den Active-Key und um verschlüsselte Memos zu lesen verwende ich den Memo-Key in Steemworld. Den Owner-Key verwende ich gar nicht mehr. Den hab ich in Sicherheit gebracht.
Danke, dass wusste ich auch nicht, habe mich immer mit dem Master-Passwort eingeloggt :-)).
Du hast ein Upvote von unserem Curation – Support – Reblog Account erhalten. Dieser wurde per Hand erteilt und nicht von einem Bot. Wir, die Mitglieder des German Steem Bootcamps möchten die Deutsche Community stärken. Bei einer Mitgliedschaft im German Steem Bootcamp könnt ihr sicher sein, dass eure Beiträge auch gelesen werden.
Aktuell als Kurator tätig ist @mima2606 "DANKE FÜR DENBLOG"
"SEHR WICHTIG"
Du findest uns im Discord unter https://discord.gg/vTsTSrZ
Dankeschön @mima2606 :-)
Gute Arbeit 😎😎
Andererseits ziemlich traurig, oder?
Eigentlich Grundwissen, welches jeder der schlau genug ist alleine eine Toilette zu finden, verinnerlicht haben sollte.
Das Problem ist, die werden immer besser.Selbst ich habe mit unter Schwierigkeiten zu erkennen was Fake und was es nicht ist.
Nehmen wir mal an jemand übernimmt @meins0816, der Account ist bekannt und beliebt.
Was meinst Du wie viele Nutzer nur aus Bequemlichkeit dann auf solche phishing-url's reinfallen würden.
Es kann so schnell gehen und mit ein wenig Überlegen hätte man es vielleicht verhindern können.
Solche Leute nutzen das Vertrauen aus und ich persönlich verabscheue sie, denn es bringt in Zukunft "Miss-vertrauen" mit sich - niemand vertraut irgendwann noch jemanden.
Das Internet ist ja für MICH noch nie ein Ort des Vertrauens gewesen. Ich persönlich kontrolliere ja immer mehrfach bevor ich mich irgendwo einlogge.
Für @meins0816 käme mir so ein versierter Hacker ganz Recht xD.
Ich hab nämlich den Stick mit den Passwörtern verschusselt oder auch verloren in den letzten Wochen.
Posted using Partiko Android
Kannst ja mal bei @stcemit nachfragen ob er dir da helfen kann :-)))
Nein im Ernst, ich habe schon überlegt @dexos2 mal für ein Experiment zu opfern.
Den Key stehlen lassen und dann versuchen die Kontrolle über den Account zurück zu erlangen.
Das wird natürlich alles mit Screenshots usw. ein interessanter Beitrag werden aber ich denke das es eine "Schnapsidee" ist.
Also man kann doch sicher einen Bruteforce auf meins0816 versuchen. Kann zwar mehrere Jahrmillionen dauern, aber vielleicht lassen sich viele Kombinationen der Keys schon über die Regeln des WIF ausscheiden... Und dann kann man ja offline arbeiten, wenn man nur mit dem Public Key vergleichen muss anstatt immer Server zu kontaktieren. Da sollten doch mehrere hundert Versuche pro Sekunde möglich sein, oder?
Nur müsste man sich mit dem Krams erstmal tiefgehender auseinandersetzen...
Mit @stcmit kann i nix anfangen. Vorbeigeschaut, aber Sinn und Zweck erschließen sich mir nicht auf Anhieb.
Dexos2 sollte nicht geopfert werden. Kannst gerne an 0816 dein Glück versuchen.
LG
Posted using Partiko Android
Hi
Ich möchte mich erstmal für die verspätete Antwort entschuldigen.
Also ich möchte nicht den Eindruck vermitteln Let's Encrypt als unsicher dar stehen zu lassen nur weil es kostenlos ist. Das ist es keines Wegs und ich bin auch der Ansicht das es in keiner Weise den Kostenpflichten Anbietern unterlegen ist.
Ich denke aber es wäre Dumm wenn z.B. Steemconnect es nutzen würde, im Anbetracht dass Phishing-Seiten die Zertifikate über den kostenlosen Anbieter "Let's Encrypt"nutzen, würde es den Betrug ja vereinfachen und da bin ich der Meinung das ein solcher Service wie Steemconnect ruhig ein paar Dollar für ein Zertifikat der Kategorie 4 ausgeben könnte.
Ich hätte da aber auch mal eine Frage an Dich und zwar betrifft es Deinen Wittness-note. Ist er noch aktiv? Wenn ich mich nicht verguckt habe läuft da noch die 19. Version drauf oder spielt es keine Rolle?
Ich habe zugegeben davon nicht so die rechte Ahnung, möchte aber meine Votes trotzdem gern verantwortungsvoll einsetzen.
Ich wünsche Dir noch einen schönen Abend