Phishing

Bisher hatte es die Hackergruppe Winnti auf Unternehmen wie Bayer oder Siemens abgesehen, nun haben sich die Ziele verändert. Statt Wirtschaftsspionage geht die APT gegen protestierende Studenten in Hong Kong vor.

36C3 Warum funktionieren Angriffe mit Word-Makros seit 20 Jahren? Der CCC-Sprecher Linus Neumann erklärt auf dem Hackerkongress, warum es so schwer fällt, sich dagegen zu schützen. Dabei gibt es viele Ansatzmöglichkeiten, die IT wirklich sicherer zu machen.
Von Moritz Tremmel

Die aktuelle Version 79 von Chrome warnt Nutzer aktiv vor gehackten Zugangsdaten und fordert dazu auf, diese zu ändern. Außerdem wird der Phishing-Schutz deutlich ausgeweitet.

Prävention reicht nicht gegen Social Engineering und die derzeitigen Trainings sind nutzlos, sagt der Sophos-Sicherheitsexperte Chester Wisniewski. Seine Lösung: Mitarbeiter je nach Bedrohungslevel schulen - und so schneller sein als die Kriminellen.
Ein Interview von Moritz Tremmel

Mit verschiedenen Tricks ist es Sicherheitsforschern gelungen, Apps für Google Assistant und Amazons Alexa zu erzeugen, die Nutzer belauschen oder Phishingangriffe durchführen. Die Apps haben den Review-Prozess von Google und Amazon überstanden.

Betrüger nutzen die Insolvenz des Reiseveranstalters Thomas Cook für ihre Zwecke. In Phishing-E-Mails versprechen sie eine komplette Rückerstattung der Reisekosten, sofern die Betroffenen ihre Kreditkarten- und Passdaten übermitteln. Ein Datenleck gab es wohl nicht.

Bestimmte Modifikationen für PC-Spiele im Steam Workshop benötigen ab sofort eine Freigabe durch Valve - das Unternehmen will so Betrug verhindern. Auch bei Terminankündigungen wird eine weitere Kontrollinstanz eingerichtet.

Die größten Schwachstellen in technischen Systemen sind bis heute Menschen. Social Engineers machen sich ihre Sorglosigkeit zunutze - und finden auf sozialen Netzwerken alles, was sie für einen erfolgreichen Angriff brauchen.
Von Moritz Tremmel

Nach anfangs harscher Kritik durch Nutzer und einigen Monaten Testphase, will das Chrome-Team von Google damit beginnen, die URL-Bestandteile https und www auszublenden.

In den vergangenen Jahren wurden mehrere Industriegrößen wie Siemens, BASF und Henkel von der Hackergruppe Winnti attackiert. Sicherheitsforscher konnten die Angriffe aus Schadsoftware-Samples von Winnti herauslesen.

Googles Spam-Filter für Gmail sortiert täglich zahlreiche unerwünschte E-Mails aus - deren Inhalt aber trotzdem im Google Kalender landen können: Eine voreingestellte Funktion übernimmt automatisch jede angehängte Einladung, was Spammer mittlerweile offenbar ausnutzen.

Ein Klick auf den falschen Link konnte genügen: Die Spieleplattform EA Origin führte über präparierte Links beliebige Software oder Schadcode aus. Auch die Konten der Spieler konnten auf diese Weise übernommen werden.

Schlechte Passwörter und schlechte E-Mail-Transportverschlüsselung: Eine Studie des Gesamtverbandes der Deutschen Versicherungswirtschaft stellt Ärzten, Apotheken und Kliniken kein gutes Zeugnis aus, wenn es um IT-Sicherheit geht.

Ein Hacker-Team der Organisation Jisc konnte in die Systeme von 50 britischen Universitäten gelangen - in jeweils weniger als zwei Stunden. Das sei eine alarmierende Nachricht. Dabei ist das schwächste Glied wieder einmal der Mensch selbst.

Der Pharma-Riese Bayer ist Opfer eines Hackerangriffs geworden. Im internen Firmennetzwerk wurde die Schadsoftware Winnti entdeckt. Die gleichnamige Hackergruppe soll auch andere Unternehmen angegriffen haben.

Falsche Bankkonten und E-Mail-Konten: Ein Litauer konnte viel Geld von Facebook und Google stehlen, indem er sich als Hardwaredistributor ausgegeben hatte. Was ihn letztlich überführt hat: Gier.

Wenn Cloud-Dienste ausfallen, ist oft nur ein Server kaputt. Wenn aber Googles Safe-Browsing-Systeme den Zugriff auf die deutsche Microsoft Cloud komplett blockieren, liegt noch viel mehr im Argen - und das lässt für die Zukunft nichts Gutes erwarten.
Von Sebastian Grüner

Wie gut erkennen Sie Phishing-Mails, fragt ein Quiz der Google-Schwester Jigsaw. Beim Ausprobieren zeigt sich, wie leicht man hereinfallen kann.
Von Moritz Tremmel

Eine täuschend echte Phishing-Seite, die sogar Zwei-Faktor-Authentifizierung umgehen kann: Mit dem Tool Modlishka lassen sich automatisierte Phishing-Kampagnen betreiben - auch von sogenannten Scriptkiddies.

Hinter einem täuschend echten Anruf des Apple-Supports stecken in Wahrheit Betrüger. Der Anruf könnte auch Menschen mit technischem Hintergrund zur Preisgabe sensibler Daten bringen.

Betrüger nutzen das neue Rückgabesystem für Sparpreis-Tickets der Bahn aus. Diese schränkt nun die Zahlungsmöglichkeiten ein, möchte aber nicht vom Rückgabesystem abrücken.

BKA-Chef Münch will nicht nur die tatsächliche, sondern auch die gefühlte Sicherheit verbessern. Das gilt auch bei der Bekämpfung von Internetkriminalität.

Angreifer verbreiten mit einer besonders schwer erkennbaren Phishing-Methode Malware: Sie hacken E-Mail-Konten und klinken sich dann in bestehende Konversationen ein - Nutzer müssen genau hinsehen.

Ein warnender Anruf der Bank unter der echten Telefonnummer kann auch Menschen mit technischem Hintergrund zur Preisgabe sensibler Daten bringen. Der Journalist Brian Krebs berichtet von mehreren Fällen.

Nach Phishingbeschwerden deaktiviert der Domainregistrar Tierra.net die Domain Zoho.com. Erst nach einem Aufruf auf Twitter wurde sie wieder freigeschaltet.

Das Chrome-Browser-Team von Google findet URLs offenbar zu verwirrend für Nutzer und will diese langfristig abschaffen. Ein erster Vorstoß dazu streicht Subdomains wie www. oder m. aus der Anzeige des Browsers, was für harsche Kritik an Google sorgt.

Ein neues Opensource-Tool zur Gesichtserkennung kann Personen automatisiert auf verschiedenen Plattformen aufspüren. Das von Mitarbeitern der Sicherheitsfirma Trustwave entwickelte Programm richtet sich zwar an Penetrationstester, bietet aber auch Potenzial für Missbrauch.

Subdomain Takeover wird in der IT-Security- und Hacker-Szene immer beliebter. Denn mit der einfachen Übernahme einer verwaisten Subdomain lassen sich schöne Angriffe durchführen oder Bug Bountys von Unternehmen einstreichen.
Von Moritz Tremmel

Obwohl es 2017 weniger Fälle geleakter Zugangsdaten gab, blüht der Handel mit E-Mail-Adressen und Passwörtern wie eh und je. Das funktioniert auch deswegen so gut, weil Nutzer noch immer ein und dasselbe Passwort für verschiedene Konten verwenden.

Erst kleine Unternehmen, dann Regierungen: die Hackergruppe Winnti Umbrella ist ein effizienter Apparat und anscheinend der chinesischen Regierung untergeordnet. Das berichten Security-Forscher auf Grundlage von Spuren, die die nicht immer sauber arbeitende Gruppe hinterlässt.

Um vor Ransomware und schädlichen Links zu schützen, verbessert Microsoft sein Office 365 und Onedrive mit Funktionen wie einer Datenwiederherstellung, passwortgeschützten Sharing-Links und verschlüsseltem E-Mail-Verkehr in der Cloud. Die Maßnahmen kommen nicht nur für Business-Konten.

Die Carbanak-Gruppe hat seit 2013 durch Angriffe auf Banken über eine Milliarde Euro an Schaden verursacht. Bei einer koordinierten Polizeiaktion wurde der Gründer und "Mastermind" in Alicante festgenommen.

Über neun Jahre lang jagten das FBI und Symantec eine kriminelle Gruppe, die gefälschte Auktionen durchführte und mit einem Botnetz Kryptomining betrieb. Erst im vergangenen Jahr konnten die mutmaßlichen Hintermänner verhaftet werden.
Ein Bericht von Hauke Gierow

Peinlicher Fehler bei Essential: Eine falsch konfigurierte Mailingliste führte dazu, dass zahlreiche private Daten von Kunden mit anderen Kunden geteilt wurden. Das Unternehmen hat sich entschuldigt. Nach wie vor warten viele Kunden auf vorbestellte Smartphones.

Heute schon einen Amazon-Gutschein bekommen? Oder eine Paypal-Zahlungsaufforderung? Oder eine Paketbenachrichtigung der Post? Die kann echt sein, ist es aber meistens nicht. Gegen Phishing helfen komplexe, nicht einfach erratbare E-Mail-Adressen. Wir geben ein paar bewährte Tipps.
Von Andreas Sebayang

Noch immer haben viele Nutzer schlechte Passwörter und benutzen diese gleich für mehrere Accounts. Das geht aus Microsofts eigener Sicherheitsanalyse hervor, die Trends aus dem Enterprise- und Privatkundengeschäft präsentiert.

Schon länger bietet Google für den Login auch sein System Prompts zur Zwei-Faktor-Authentifizierung an. Dieses System soll nun stärker in den Vordergrund rücken und Freigaben per SMS zurückdrängen - allerdings nur, wenn die Nutzer das wollen.

Angriffe auf IT-Infrastruktur richten sich nicht nur gegen dienstliche Adressen. Derzeit seien auch private Mailkonten im Visier von Angreifern, warnt das BSI. Betroffen seien "Spitzenkräfte" aus Wirtschaft und Verwaltung.

Wer heute eine Einladung für ein Google-Docs-Dokument bekommen hat, sollte dieser auf keinen Fall Folge leisten - denn es dürfte sich in den meisten Fällen um eine Phishing-Kampagne handeln. Wer klickt, gibt seine Kontakte frei und bekommt Scareware-Anzeigen. Die Macher scheinen vom Erfolg überrascht.

Angebliche von Amazon versendete Mails sind derzeit häufig im E-Mail-Postfach zu finden. Nach gefälschten Umsatzsteuerrechnungen gibt es neuerdings eine Phishing-Kampagne, die Nutzer ausgerechnet unter Verweis auf die EU-Datenschutzverordnung zur Preisgabe persönlicher Daten bringen will.

Domains, die dem Original zum Verwechseln ähnlich sehen, werden immer wieder für Phishing-Angriffe missbraucht. In einem Proof-of-Concept zeigt die Domain xn--80ak6aa92e.com, dass Apple seine Hausaufgaben nicht gemacht hat. Browserhersteller wollen reagieren.

Wer Quellcode für Malware offenlegt, erweist der Gesellschaft meist keinen großen Dienst. Im vergangenen Dezember veröffentlichter Code wird jetzt für einen Bankentrojaner genutzt, der im Play Store verbreitet wird.

Seit Januar 2016 hat die Zertifizierungsstelle Let's Encrypt über 15.000 Zertifikate mit dem Stichwort Paypal ausgestellt. Ein Großteil der beantragenden Domains weisen eindeutig auf Phishing-Seiten hin.

Wegen massiver Probleme mit Scammern und Betrügern sperrt der britische Provider Talk Talk derzeit Teamviewer aus seinem Netz aus. Kunden und dem Hersteller der Fernwartungssoftware gefällt das nicht.

Rund 1,5 Millionen Daten von Mitgliedern der E-Sports Entertainment Association (Esea) sind offenbar im Netz aufgetaucht. Auch Angaben zur Steam-, Xbox-Live- und PSN-ID sind mit dabei - somit könnten besonders glaubwürdige Phishing-Mails gebastelt werden.

Bösartige Webseiten können die Autovervollständigen-Funktion einiger Browser missbrauchen, um unbemerkt an persönliche Nutzerdaten zu gelangen. Zum Schutz hilft offenbar nur, Autofill ganz abzuschalten oder den Browser zu wechseln.

Die Veröffentlichungen von Wikileaks bringen die US-Politik in Schwierigkeiten. Die Hacks machen deutlich, welche Gefahren durch die Nutzung populärer E-Mail-Dienste wie Gmail entstehen.

Dokumente werden neuerdings nicht mehr nur veröffentlicht - sondern offenbar vorher bearbeitet. Das behauptet zumindest die Welt-Anti-Dopingagentur Wada, nachdem Hacker vertrauliche Daten von Sportlern veröffentlicht hatten.

Die spektakulären Enthüllungen zu US-Präsidentschaftskandidatin Clinton sind ausgeblieben. Julian Assange kündigte zum zehnjährigen Bestehen von Wikileaks jedoch "signifikante" Veröffentlichungen in den kommenden Wochen an.

Politiker aller Parteien waren im August Ziel von Spear-Phishing-Angriffen. Angebliche Nato-Informationen zum Putsch in der Türkei und zum Erdbeben in Italien sollten zum Klicken auf Malware verleiten.