Das Web wird noch unsicherer

Wer kennt keine Phishing-Mails? In täuschend echt aussehden Mails von Banken, E-Bay oder anderen Institutionen wird der arglose Nutzer auf dubiose Websites umgelenkt, wo er dann Zugangsdaten von Bankkonten und dergleichen preis geben soll. Unlängst habe ich von einem neuen, noch schlimmeren Trick krimineller Banden gelesen, auf den wirklich jeder reinfallen könnte.

Router sind praktische Dinge. Sie verteilen nicht nur den Internet-Verkehr in der Wohnung, sondern sorgen auch für ein reibungsloses Funktionieren des Netzwerks. Nur haben sie einen Nachteil: Um das Setup für den Nutzer so einfach wie möglich zu machen, werden sie in aller Regel mit einem standardisierten Passwort ausgeliefert. Dazu gibt es sogar eine – stets aktuell gehaltene – Liste von Zugangsdaten.

Die jüngste Idee der Hacker: Anstatt dem Nutzer Links zu schicken, werden einfach die DNS-Einstellungen auf den Routern geändert.

Screenshot der DNS-Einträge auf einem Linksys-Router 

Tippe ich etwa die URL der Kleinen Zeitung ein, so komme ich auf die Kleine Zeitung. Detto bei orf.at oder microsoft.com. Das erzeugt Vertrauen. Wenn ich allerdings die URL einer Bank (etwa www.bank-xy.at) eintippe, komme ich nicht auf die Website der Bank, sondern auf eine täuschend echt aussehende Bank-Site, die allerdings unter der vermeintlich richtigen URL läuft. Und wer hat schon Bedenken auf der eigenen Bank-Site die echten PINs und TANs einzugeben?

Die Lösung: Router-Hersteller müssen endlich davon abgehen, ihre Geräte mit standardisierten Passwörtern auszuliefern. Stattdessen sollen Pickerln auf den Geräten jeweils andere Zugangsdaten enthalten.

4 Kommentare
  1. stefan2904
    stefan2904 sagte:

    Das wäre aber viel zu teuer, nehme ich an.

    Eine Idee wäre, das eine Passwordänderung beim ersten Login am Router (den man ja zur Eingabe der Providerdaten sicher mindestend einmal machen muss) erzwungen wird, und zB überprüft wird, ob das Passwort sicher genug ist oder eine Ähnlichkeit mit dem Standardpasswort hat.

  2. Georg Holzer
    Georg Holzer sagte:

    Supportkosten … Aber die 1, 2 Euro für den anfänglichen Support soll man doch einfach in den Produktpreis einrechnen. Diese Firmen sind doch sonst die Meister beim Target Costing.

  3. stefan2904
    stefan2904 sagte:

    Ich meinte, dass die Hersteller dann noch genauer darauf achten müssen, das zu jedem Gerät auch der passende Zettel mit Passwort kommt. Aber wenn ich so drüber nachdenke, könnte man ja ein Pickerl draufkleben oder so. Außerdem funktionierts bei Handys ja auch.

    Neben die Seriennummer (welche auch am Gerät steht) schreiben wäre auch eine Möglichkeit, solange niemand Zugang zu dem Gerät hat.

    Ob Pickerl oder Passwortänderung erzwingen, irgendwas sollte getan werden.

Kommentare sind deaktiviert.