2-FA

Ein leckerer Keks - wohl auch für Kriminelle (Bild: Ariana Suárez) (Ariana Suárez)

Multi-Faktor-Authentisierung umgehen: Malware klaut automatisiert Cookies

Um Multi-Faktor-Authentisierung umgehen zu können, klauen Kriminelle vermehrt Browser-Cookies mittels Malware.

Ein Gebäude von Cisco (Bild: DennisM2) (DennisM2)

Yanluowang: Ransomwaregruppe hackt Cisco

Eine Ransomwaregruppe hat interne Daten von Cisco kopiert und droht mit einer Veröffentlichung. Verschlüsselt wurde jedoch nichts.

1 Kommentare

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Eigene AI Agents entwickeln und Workflows automatisieren

zum Artikel

Karriere Ratgeber: Der Job-Scam-Tsunami: So fluten Betrüger 2025 den Arbeitsmarkt

zum Ratgeber

Seminar: Grundlagen der Barrierefreiheit im Web: virtueller Zwei-Tage-Workshop

zum Kurs

E-Learning: Exklusiv: Microsoft 365 Sicherheit Masterclass - Schutz, Zugriff und Compliance (E-Learning Paket mit 3 Kursen)

zum Kurs

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

IT-Systemadministrator*in (m/w/d) Max-Planck-Institut für Bildungsforschung, Berlin (öffnet im neuen Fenster)

Digitalisierungs- und IT-Spezialist / Digitaler Lotse (m/w/d) Thüringer Landgesellschaft mbH, Erfurt (öffnet im neuen Fenster)

Projektassistenz / IT-Assistenz (m/w/d) im Bereich IT - Organisation für Wesel RZH Rechenzentrum für Heilberufe GmbH, Wesel (öffnet im neuen Fenster)

Ausbildung zum Fachinformatiker (m/w/d) für Systemintegration ab September 2026 IBC Solar AG, Bad Staffelstein (öffnet im neuen Fenster)

Mitarbeiter IT Helpdesk / First Level Support (m/w/d) für Wesel RZH Rechenzentrum für Heilberufe GmbH, Wesel (öffnet im neuen Fenster)

Systemadministrator Datenbanktechnologie (m/w/d) ZIEHL-ABEGG SE, Künzelsau (öffnet im neuen Fenster)

IT-Managerinnen / IT-Manager (m/w/d): Weiterentwicklung und Betrieb IT-Infrastruktur für die Landesverwaltung NRW Information und Technik Nordrhein-Westfalen (IT.NRW), Düsseldorf,Hagen (öffnet im neuen Fenster)

Fachinformatiker für Systemintegration (m/w/d) / IT-Support Steuerring e.V., Darmstadt (öffnet im neuen Fenster)

Mit Phishing versuchen Kriminelle, an Zugangsdaten zu gelangen. (Bild: Mohamed Hassan/Pixabay) (Mohamed Hassan/Pixabay)

Phishing: Passwörter von Twilio- und Cloudflare-Angestellten gephisht

Mit ausgeklügeltem Phishing sind Angreifer an die Zugangsdaten von Twilio- und Cloudflare-Mitarbeitern gelangt. In einem Fall schützte 2FA, im anderen nicht.

1 Kommentare

Slack hat Passworthashes geteilt. (Bild: Slack) (Slack)

Kollaborationssoftware: Slack schließt jahrelanges Datenleck

Slack hat etliche Nutzer aufgefordert, ihr Passwort zu ändern. Über eine Sicherheitslücke wurden über Jahre Hashes der Passwörter versendet.

Kommentare

Ein Fido-Stick (Bild: tagechos/Pixabay) (tagechos/Pixabay)

Webauthn: Mehr Sicherheit im Unternehmen durch Fido-Sticks

Angestellte und Passwörter sind keine gute Kombination. Mit Fido lassen sich Dienste wie Microsoft 365 absichern - ganz ohne Passwörter.

7 Kommentare

Wenn alles eingerichtet ist, begrüßt der Cyberdelfin die Nutzer. (Bild: Pressebild Flipper) (Pressebild Flipper)

Hackingtool Flipper Zero: Der universelle Cyberdelfin

Funktechniken wie RFID und NFC sind den meisten Interessierten verschlossen. Mit dem Flipper Zero, der nun auch in Europa zu haben ist, soll sich das ändern.

35 Kommentare / Von Florian Bottke

Die Python-Community streitet über 2FA. (Bild: Pixabay) (Pixabay)

Python, Retbleed, KI: Open-Source-Streitereien, CPU-Lücken und Coding-KI

DevUpdate 2FA führt zu Open-Source-Streit, CPU-Bug Retbleed macht Probleme, Matrix wächst rasant und KI hilft jetzt sogar beim Compilerbau.

7 Kommentare

NPM macht Schluss mit PGP. (Bild: Github) (Github)

Security: Github ersetzt "komplexes" PGP für NPM-Signaturen

PGP gilt als Standardwerkzeug zum Erzeugen und Überprüfen für Signaturen von Paketen. Für NPM ist damit bald Schluss.

6 Kommentare

Seminar: STACKIT Cloud – Strategien, Souveränität, Technologie: virtueller Ein-Tages-Workshop

zum Kurs

Seminar: Linux-Systemadministration Grundlagen: virtueller Fünf-Tage-Workshop

zum Kurs

Seminar: Penetration Testing Fundamentals: virtueller Zwei-Tage-Workshop

zum Kurs

Seminar: Keycloak – Sicheres Identity- & Access-Management: virtueller Drei-Tage-Workshop

zum Kurs

Ebay Kleinanzeigen (Bild: Ebay Kleinanzeigen) (Ebay Kleinanzeigen)

Adevinta: Ebay Kleinanzeigen verliert seinen Namen

Der neue Betreiber Adevinta hat noch kein Logo, hat aber die Domain Kleinanzeigen erworben. Auch wegen Phishing-Attacken gibt es eine Änderung bei Ebay Kleinanzeigen.

85 Kommentare

Angegriffen werden oft ältere Menschen. (Bild: BKA) (BKA)

Fake-Polizei-Anrufe: Bundesnetzagentur meldet starken Anstieg von Beschwerden

Seit März wachsen die Beschwerden stark an, weil Betrüger automatische Ansage von Polizei, BKA, Interpol oder Europol versenden. Dabei täuschen sie echte Telefonnummern vor.

40 Kommentare

2FA macht das Anmelden sicherer. (Bild: Moritz Tremmel/Golem.de) (Moritz Tremmel/Golem.de)

2FA: Wie sicher sind TOTP, Fido, Passkeys, SMS und Push-Apps?

Zwei- oder Multi-Faktor-Authentifizierung soll uns sicherer machen. Wir erklären, wie TOTP, Fido, Passkeys & Co. funktionieren und wovor sie schützen.

33 Kommentare / Von Moritz Tremmel

Die Ruby-Community will eine bessere Authentifizierung für ihr Paketsystem einführen. (Bild: Pixabay) (Pixabay)

Open-Source-Supply-Chain: Rubygems sollen besser abgesichert werden

Ähnlich wie Github für das NPM- und Javascript-Ökosystem will nun auch die Ruby-Community ihre Pakete vor feindlichen Übernahmen schützen.

2 Kommentare

Apple, HBO, Project Cambria: Die Spielemesse E3 kommt zurück

Kurznews Was am 8. Juni 2022 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

Kommentare

Vorsicht beim Anruf von Telefonnummern mit GSM-Codes. (Bild: Indranil Muhkerjee/AFP/Getty Images) (Indranil Muhkerjee/AFP/Getty Images)

GSM-Codes: Whatsapp-Konten per Anruf übernehmen

Mit einer neuen Masche können Betrüger Whatsapp-Konten übernehmen. Nutzer sollen zum Anrufen dubioser Telefonnummern verleitet werden.

7 Kommentare

Der VC20 sollte besonders einsteigerfreundlich sein. (Bild: Public Domain / Montage: Golem.de) (Public Domain / Montage: Golem.de)

Podcast Besser Wissen: Volkscomputer - der erste Millionär

Auch eine Strickanleitung ist eine Art Algorithmus. (Bild: Pixabay / Montage: Golem.de) (Pixabay / Montage: Golem.de)

Podcast Besser Wissen: Wie geht Informatik für die moderne Hausfrau?

Der K.I.T.T. von Andreas sieht sehr originalgetreu aus. (Bild: Martin Wolf/Golem.de) (Martin Wolf/Golem.de)

Podcast Besser Wissen: Der eigene K.I.T.T.

Podcast Besser Wissen: Wie man freie Software betreut

Nicht immer wird man beim Berufseinstieg mitgenommen. (Bild: Public Domain / Montage: Golem.de) (Public Domain / Montage: Golem.de)

Podcast Besser Wissen: Per Anhalter durch die IT-Branche

Von BNC zu RJ45 - auch die populären Stecker haben sich geändert. (Bild: Martin Wolf/Golem.de) (Martin Wolf/Golem.de)

Podcast Besser Wissen: Von Funk bis Netz in Österreich

Mit solchen Fakes wollen Betrüger Kreditkartenangaben abgreifen. (Bild: Screenshot: Golem.de) (Screenshot: Golem.de)

Ebay-Kleinanzeigen: Im Chat mit den Phishing-Betrügern

Wenn man bestimmte Anzeigen in Kleinanzeigenportalen aufgibt, hat man sofort einen Betrüger an der Backe. Die Polizei kann kaum etwas dagegen tun.

140 Kommentare / Ein Bericht von Friedhelm Greis

Bosch, EU, Github: Elektrolyseure von Bosch und 2FA bei Github

Kurznews Was am 4. Mai 2022 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

Kommentare

Social Engineering: 102 Mailchimp-Newsletter für Crypto-Handel gehackt

Angreifer haben mittels Social Engineering einen Newsletter-Dienst gehackt und konnten mehrere Hundert Kundenkonten mindestens ansehen.

1 Kommentare

Verbietet die russische Regierung Youtube? (Bild: Pixabay/Montage: Golem.de) (Pixabay/Montage: Golem.de)

Wochenrückblick: Russland gegen Youtube

Golem-Wochenrückblick Der Krieg geht weiter: die Woche im Video.

Kommentare

Justitia, die Göttin der Gerechtigkeit, wurde scheinbar nicht befragt. (Bild: Tingey Injury Law Firm) (Tingey Injury Law Firm)

Gehackte Polizeikonten: Kriminelle erhielten wohl IP-Adressen von Google-Kunden

Die Hacker erbeuteten laut Medienberichten auch Adressen und Telefonnummern, indem sie sich als die Polizei ausgaben. Lapsus$ soll dahinter stecken.

3 Kommentare

Auch Zwei-Faktor-Authentifizierung lässt sich häufig umgehen. (Bild: albarus/Pixabay) (albarus/Pixabay)

MFA Fatigue: Hackergruppe umgeht 2FA mit einfachem Trick

Die Ransomwaregruppe Lapsus$ hat einen bekannten Trick genutzt, um die Zwei-Faktor-Authentifizierung bei Microsoft und anderen Unternehmen zu umgehen.

115 Kommentare

Vodafone versteigerte die erste SMS der Welt als NFT. (Bild: Vodafone Deutschland) (Vodafone Deutschland)

Bundesnetzagentur: Starke Zunahme von SMS-Nutzung in Deutschland

0,8 Milliarden mehr SMS gingen durch die Mobilfunknetze, hat die Bundesnetzagentur errechnet.

59 Kommentare

Lapsus$: Teenager soll Microsoft, Nvidia und Samsung gehackt haben

Der Kopf hinter der Ransomwaregruppe Lapsus$ soll ein 16-jähriger Teenager aus Großbritannien sein.

22 Kommentare

Sollte man lieber für sich behalten: Passwort. (Bild: Christoph Scholz) (Christoph Scholz)

Passwort-Check aus Bayern: Bis eben war Ihr Passwort noch sicher

Ein bayrisches Ministerium bietet einen Online-Passwortcheck an und gibt schlechte Passwort-Tipps. Ich bin entsetzt.

210 Kommentare / Ein IMHO von Moritz Tremmel

Viele NPM-Pakete sind verwaist, einige könnten sich übernehmen lassen. (Bild: Spencer Platt/Getty Images) (Spencer Platt/Getty Images)

Domain-Hijacking: Tausende NPM-Accounts könnten sich übernehmen lassen

Laut einer Untersuchung lassen sich verwaiste NPM-Pakete leicht übernehmen. Außerdem könnten einige Maintainer überarbeitet sein.

Kommentare

Strategieänderung und Paradigmenwechsel: die neue Security-Richtlinie des Weißen Hauses (Bild: Pixabay / Montage: Golem.de) (Pixabay / Montage: Golem.de)

Security bei der US-Regierung: VPN, SMS-Codes und Passwörter sind out, Zero Trust ist in

Das Weiße Haus hat eine neue Cybersecurity-Richtlinie für Ministerien und Behörden veröffentlicht. Bisherige Sicherheitskonzepte werden umgeworfen.

50 Kommentare / Eine Analyse von Boris Mayer

Azure, Github, Ghostwire Tokyo: Intel jagt Bugs und Blender zeigt Zeit

Kurznews Was am 3. Februar 2022 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

Kommentare

Der Yubikey Bio im Einsatz (Bild: Yubico) (Yubico)

Yubikey Bio im Test: Erst mit Fingerabdruck wird Fido wirklich passwortlos

So richtig passwortlos war das Login per Fido-Stick oft nicht. Der Yubikey Bio macht das besser.

8 Kommentare / Ein Test von Moritz Tremmel

Github will die Sicherheit von NPM verbessern. (Bild: Github) (Github)

Github: NPM-Pakete konnten beliebig überschrieben werden

Ein Fehler in der NPM-Registry hat das Überschreiben von Paketen ermöglicht. Github weiß nicht sicher, ob dies ausgenutzt wurde.

2 Kommentare

Bots haben es auf 2FA-Codes abgesehen. (Bild: Schluesseldienst/Pixabay) (Schluesseldienst/Pixabay)

Phishing: Kriminelle umgehen 2FA mit Bots

Auf Telegram werden Bots angeboten, die Codes zur Zwei-Faktor-Authentifizierung abfragen. Damit umgehen Betrüger die Schutzfunktion.

23 Kommentare

Passwörter werden wohl auch in Zukunft über E-Mail zurückgesetzt. (Bild: Santeri Viinamäki/Wikimedia Commons) (Santeri Viinamäki/Wikimedia Commons)

Delegated Recovery: Github beendet Account-Recovery über Facebook

Die von Facebook eingeführte Möglichkeit, beim Zurücksetzen von Passwörtern nicht mehr auf E-Mail zu setzen, konnte sich nicht durchsetzen.

5 Kommentare

Passwort reicht nicht mehr: Google macht die Zwei-Faktor-Authentifizierung für viele zur Pflicht. (Bild: Leon Neal via Getty Images) (Leon Neal via Getty Images)

Passwörter: Google aktiviert Zwei-Faktor-Authentifizierung standardmäßig

Um die Account-Sicherheit zu erhöhen, macht Google die Zwei-Faktor-Authentifizierung noch 2021 für Millionen Nutzer zur Pflicht.

24 Kommentare

Fido-Stick: Yubikey Bio mit Fingerabdrucksensor verfügbar

Der Fido2-Stick Yubikey Bio ermöglicht biometrisch geschütztes Anmelden - ganz ohne Passwort und PIN.

6 Kommentare

Ob die SMS auch über Syniverse ausgetauscht wurden? (Bild: Dean Moriarty/Pixabay) (Dean Moriarty/Pixabay)

Syniverse: Möglicherweise SMS von Milliarden Menschen gehackt

Update Hacker sind über Jahre in ein Unternehmen eingedrungen, das Anrufe und SMS zwischen Mobilfunkunternehmen austauscht. Vodafone, Telekom und Telefónica haben sich zum Vorfall geäußert.

71 Kommentare

Tausende Coinbase-Kunden wurden um ihre Digitalwährungen gebracht. (Bild: Marco Verch Professional Photographer) (Marco Verch Professional Photographer)

Bitcoin: Coinbase-Kunden trotz Zwei-Faktor-Authentifizierung beklaut

Die Kryptowährungen von 6.000 Kunden der Kryptobörse Coinbase wurden gestohlen. Kriminelle hatten eine Schwachstelle in der 2FA entdeckt.

15 Kommentare

Solche Passwörter will Microsoft künftig verhindern. (Bild: Pixabay.com/Montage: Golem.de) (Pixabay.com/Montage: Golem.de)

Windows und Office: Microsoft-Accounts funktionieren jetzt auch ohne Passwörter

Das passwortlose Anmelden wird bereits von einigen Microsoft-Kunden genutzt. Die Funktion wird nun auf alle Konten ausgeweitet.

52 Kommentare

Diverse Kreditkarten - hoffentlich mit aktiviertem 2FA (Bild: Daniel Berehulak/Getty Images) (Daniel Berehulak/Getty Images)

Online-Shopping: Bafin zufrieden mit 2FA für Kreditkarten

Durch die verpflichtende Zwei-Faktor-Authentifizierung für Kreditkarten sei der Schutz vor betrügerischen Zahlungen besser als bisher.

76 Kommentare

iCloud-Leuchtreklame (Bild: Pexels) (Pexels)

App: Apple bietet iCloud-Passwortmanager für Windows an

Apple hat seine iCloud-App für Windows um den Zugriff auf die iCloud-Passwörter erweitert. Anfang 2021 gab es schon eine Chrome-Erweiterung.

4 Kommentare

Google erweitert die notwendigen Informationen für Entwicklerkonten des Play Stores. (Bild: Tobias Költzsch/Golem.de) (Tobias Költzsch/Golem.de)

Play Store: Google will mehr von Android-Entwicklern wissen

Bislang reichte es, für ein Entwickler-Konto in Googles Play Store eine E-Mail-Adresse und eine Telefonnummer anzugeben. Das ändert sich.

Kommentare

App: Betrüger nutzen Lidl Pay aus

Mit Lidl Pay kann man einfach per App zahlen - offenbar werden die angegebenen Kontodaten für das Lastschriftverfahren aber nicht ausreichend geprüft.

81 Kommentare

Die eigene Cloud ist klein, schwarz und leise. (Bild: Golem.de) (Golem.de)

Nextbox von Nitrokey im Test: Die eigene Cloud im Wohnzimmer

Mit der Nextbox hat Nitrokey eine Cloud für zu Hause entwickelt, um die man sich nicht kümmern muss. Dafür kann man sie auf der ganzen Welt erreichen.

57 Kommentare / Ein Test von Moritz Tremmel

Um den Messenger Whatsapp im Namen anderer zu installieren, brauchen Kriminelle den sechsstelligen Registrierungscode. (Bild: Indranil Mukherjee/AFP via Getty Images) (Indranil Mukherjee/AFP via Getty Images)

Code per SMS: Polizei warnt vor Whatsapp-Übernahme

Mit einem Trick versuchen Kriminelle, Whatsapp-Accounts zu übernehmen, warnt das LKA Niedersachsen.

30 Kommentare

Apple stellt MacOS Monterey vor. (Bild: Apple) (Apple)

Kurzbefehle für den Mac: Apple kündigt MacOS Monterey an

WWDC2021 Apple hat auf der WWDC 2021 MacOS Monterey vorgestellt. Safari erhält eine neue Oberfläche. Maus und Tastatur lassen sich zwischen Geräten teilen.

10 Kommentare

Risk Based Authentication wird für Logins aller Art verwendet. (Bild: Pixabay) (Pixabay)

Risk Based Authentication: Wir brauchen leider unbedingt Ihre Handynummer

Mehr Sicherheit ohne dauernde nervige Abfragen? Risk Based Authentication verspricht das, hält es aber nicht. Oft sammelt es einfach nur ganz viele Daten.

23 Kommentare / Von Boris Mayer

Über Have I Been Pwned (HIBP) können Betroffene herausfinden, ob Emotet ihre E-Mail-Zugangsdaten hatte. (Bild: Mudassar Iqbal/Pixabay) (Mudassar Iqbal/Pixabay)

Have I Been Pwned: Hatte Emotet meine E-Mail-Zugangsdaten?

Ermittler konnten 4,3 Millionen E-Mail-Zugangsdaten auf den Servern der Malware Emotet sicherstellen. Betroffene können ihre Mailadresse prüfen.

24 Kommentare

Der Solo 2 mit vielen bunten Silikonhüllen (Bild: Golem.de) (Golem.de)

Solo v2 im Test: Ein Stick für noch mehr Fälle

Was kann man an einem Fido-Stick schon groß verbessern? Jede Menge, wie der Solo v2 von Solokeys zeigt.

46 Kommentare / Ein Test von Moritz Tremmel

Zu Hause im Bett arbeitet es sich vielleicht am schönsten, aber nicht unbedingt am sichersten. (Bild: Karolina Grabowska/Pixabay) (Karolina Grabowska/Pixabay)

BSI: Homeoffice! Aber sicher?

Laut einer Umfrage des BSI gibt es zwar viele neue Homeoffice-Arbeitsplätze, aber zu wenig IT-Sicherheit.

3 Kommentare

Whatsapp-Nutzer lassen sich aussperren. (Bild: INDRANIL MUKHERJEE/AFP via Getty Images) (INDRANIL MUKHERJEE/AFP via Getty Images)

Messenger-Dienst: Angreifer können Whatsapp-Nutzer aus dem Dienst aussperren

Durch den massenhaften Versuch, eine Telefonnummer bei Whatsapp zu registrieren, könnte diese letztlich von dem Dienst ausgeschlossen werden.

11 Kommentare

Ubiquiti stellt Netzwerkinfrastruktur und IoT-Geräte wie Überwachungskameras her. (Bild: Ubiquiti/Screenshot: Golem.de) (Ubiquiti/Screenshot: Golem.de)

Sicherheitslücke: Datenleck bei Ubiquiti war deutlich umfassender

Laut einem Bericht konnten die Angreifer auf Quellcode und Credentials von Ubiquiti zugreifen. Der Netzwerkgerätehersteller widerspricht nicht.

17 Kommentare

Impfnachweis mit Sicherheitsproblemen (Bild: Wilfried Pohnke/Pixabay) (Wilfried Pohnke/Pixabay)

Corona: Unzählige Sicherheitslücken im Schweizer Impfnachweis

Arzt-Konten ließen sich auf verschiedene Weisen übernehmen und beliebige Daten auslesen. Das wirft kein gutes Licht auf digitale Impfnachweise.

12 Kommentare