Social Engineering

Die größten Schwachstellen in technischen Systemen sind bis heute Menschen. Social Engineers machen sich ihre Sorglosigkeit zunutze - und finden auf sozialen Netzwerken alles, was sie für einen erfolgreichen Angriff brauchen.
Von Moritz Tremmel

Ein Kanal, der Anleitungen zum Aufspüren von Sicherheitslücken gab, bekam von Youtube eine Verwarnung. Auch wenn diese mittlerweile zurückgenommen wurde, sieht die IT-Security-Community darin eine Gefahr.

Zum 14. September 2019 wird ein wichtiger Teil der Zahlungsdiensterichtlinie 2 (PSD2) für die meisten Girokonto-Kunden mit Online-Zugang umgesetzt. Die meist als indizierte TAN-Liste ausgegebenen Transaktionsnummern können dann nicht mehr genutzt werden.
Von Andreas Sebayang

Passwort vergessen? Kein Problem, viele Anbieter machen es Nutzern leicht, ihr Passwort zurückzusetzen - und damit auch Kriminellen. Wir haben uns angesehen, wie leicht es ist, mit der Funktion an Daten zu gelangen oder ein E-Mail- oder Social-Media-Konto zu übernehmen.
Eine Analyse von Moritz Tremmel

Der Inhaber einer Kryptowährungsbörse ist plötzlich gestorben. Er hinterlässt verschlüsselte Festplatten mit Währung im Wert von 137 Millionen US-Dollar. Allerdings wusste nur er das Passwort.

Wer würde schon einen Haustürschlüssel von außen an die Türklinke hängen, nachdem er die Tür abgeschlossen hat? Die Idee ist absurd, doch einige Banken bieten ein solches Verfahren ihren Kunden als E-Mailverschlüsselung an.

Online-Detektive müssen permanent löschen, wo unvorsichtige Internetnutzer einen digitalen Flächenbrand gelegt haben. Mathias Kindt-Hopffer hat Golem.de von seinem Berufsalltag erzählt.
Von Maja Hoock

Der Quellcode der Linux-Distribution Gentoo könnte kompromittiert sein: Das Entwicklerteam berichtet von einem Hack der gesamten Github-Organisation, in der Repositories abgelegt sind. Davon unberührt sein sollen die Backup-Dateien, die das Team auf eigener Infrastruktur hostet.

Wegen eines Bugs kann ein manipuliertes NTFS-Image auf USB-Sticks zu einem Bluescreen führen. Betroffen sind Windows-Betriebssysteme und auch das aktuelle April 2018 Update. Das Problem: Microsoft wird den Fehler vorerst nicht beheben, da hierfür ein physischer Zugang zum Gerät erforderlich ist.

Bei einer Umfrage auf der RSA-Konferenz 2018 scheinen viele Unternehmen die IT-Sicherheit zu vernachlässigen. Gut ein Viertel der Befragten hat keine Zeit für das Patchen kritischer Bugs, während 71 Prozent sagen, sie könnten ihr eigenes Unternehmen hacken.

Wissenschaftliche Dokumente und Dissertationen: Iranische Hacker haben Zugang zu Daten von mehreren deutschen wissenschaftlichen Instituten erhalten. Die Spur führt zum Mabna-Institut in Teheran - eine Einrichtung, die bereits öfter in den Medien auftauchte.

Was passiert, nachdem ein Unternehmen gehackt wurde - und welche Mechanismen werden dafür genutzt? Das Sicherheitsunternehmen F-Secure hat Zahlen des eigenen Incident-Response-Teams veröffentlicht und stellt fest: Besonders im Gaming-Sektor und bei Behörden gibt es gezielte Angriffe.

Der Softwaredienstleister Atos und damit indirekt auch dessen Partner Governikus werden laut Medienberichten von der Bundesrechtsanwaltskammer nicht mehr für das Besondere elektronische Anwaltspostfach bezahlt. Die mit Sicherheitsproblemen behaftete Lösung für Anwälte soll umfassend geprüft werden.

Ein enormer Kursanstieg und grundlegende Reformen: 2017 ist in Bezug auf Bitcoin aufregend gewesen. Legitimität hat die virtuelle Währung als Ware an Chicagoer Handelsbörsen erhalten. Die zunehmende Verbreitung von Kryptowährungen und damit einhergehende Betrügereien alarmieren jedoch die Finanzaufsichten.
Eine Analyse von Jörg Thoma

Pekings Spione nutzen für die Kontaktanbahnung offenbar vermehrt soziale Netzwerke wie Xing und LinkedIn, indem sie andere Mitglieder mit gefälschten Profilen ansprechen. Mehr als 10.000 solcher Kontaktversuche habe es bei deutschen Staatsbürgern gegeben, warnt der Bundesverfassungsschutz.

Es soll ein "hochprofessioneller Angriff mit fortgeschrittenem Social Engineering" gewesen sein: Der Handelsplattform Nicehash wurden Bitcoin im Wert von knapp 64 Millionen US-Dollar gestohlen. Nutzer sollen ihre Passwörter ändern.

Deepsec Unternehmen, die ihre IT vor Angriffen schützen wollen, sollten sich Rat aus der Soziologie und der Psychologie holen, sagt die Unternehmensberaterin Jessica Barker. Im Interview erklärt sie auch, warum Security-Experten optimistischer über Sicherheitstechnologien sprechen sollten.
Ein Interview von Hauke Gierow

Der Sicherheitsforscher Patrick Wardle hat demonstriert, dass Apples Keychain unter MacOS mit einer App komplett ausgelesen werden kann. Diese muss aber zunächst an Apples Gatekeeper vorbei.

Die US-Behörden verstehen offenbar keinen Spaß, wenn ihre eigenen Mitarbeiter bedroht und belästigt werden. Ein Mitglied von Crackas With Attitude ist verurteilt worden, weil er an der Operation gegen führende Geheimdienstkreise beteiligt war.

Windows 10 S soll vor Ransomware schützen - sagt Microsoft. Einem Sicherheitsforscher gelang es trotzdem, innerhalb weniger Stunden Zugriff auf Systemprozesse zu bekommen.

0-Days werden deutlich seltener für gezielte Angriffe eingesetzt, als oft gedacht. In einem aktuellen Fall ist aber genau dies geschehen: Staatliche Hacker und Kriminelle nutzten eine Sicherheitslücke in Word aus, um den Finfisher-Trojaner zu installieren.

Nach der iOS-Version des Staatstrojaners Pegasus haben Sicherheitsforscher auch eine Version für Android gefunden. Diese nutzt keine Zero-Day-Exploits und kann auch ohne vollständige Infektion Daten übertragen.

Skimming bleibt in den USA ein verbreitetes Problem: Trotz der Einführung von Europay Mastercard Visa (EMV) gehen die Betrugsfälle nicht zurück, sondern nehmen sogar zu. Schuld daran ist auch die gute Verfügbarkeit der benötigten Hardware.

Was kann da schon schiefgehen? Banken erproben derzeit Systeme, bei denen Kunden ihre EC-Karte durch ein Smartphone ersetzen, um Geld am Automaten zu bekommen. Die ersten Sicherheitsprobleme gibt es bereits.

Wer den Zugang zu seinem Github-Account verliert, kann sich künftig mit einem von Facebook bereitgestellten Token einloggen. Die interessante Funktion soll den Namen Delegated Recovery tragen und untermauert Facebooks Anspruch, die digitale Schaltzentale der Nutzer zu werden.

Wer künftig Javascript-Inhalte per Gmail versenden will, muss auf alternative Wege ausweichen. Ab Mitte Februar wird es nicht mehr möglich sein, auf direktem Wege .js-Dateien mit Gmail-Nutzern auszutauschen.

Ausgerechnet das Installationsprogramm für eine Antivirussoftware hat ein Sicherheitsproblem. Angreifer könnten Symantec-Nutzern darüber manipulierte DLL-Dateien unterschieben.

Ein Mitglied der Gruppe Crackas with Attitude hat sich vor Gericht schuldig bekannt, den CIA-Chef und andere hochrangige US-Regierungsmitarbeiter per Social Engineering angegriffen zu haben. Nach dem Hack ging die Gruppe in geschmackloser Weise auch gegen die Familien der Opfer vor.

Mehrere Gbyte an Quellcode und einige Admin-Zugänge wurden bei dem von Kim Dotcom gegründeten Dienst Mega.nz kopiert. Nach Angaben des Unternehmens sind keine Nutzerdaten betroffen.

Deepsec 2016 Sicherheitssoftware macht die Nutzer sicherer - zumindest in der Theorie. Sicherheitsforscher haben gravierende Sicherheitslücken in einer Firewall-Suite von Kerio aufgedeckt - inklusive einer sechs Jahre alten PHP-Version.
Von Hauke Gierow

Ein neue Ransomware durchsucht die Festplatten der Nutzer nach Hinweisen, um eine individuelle Erpressungsbotschaft zu generieren. Auch auf dem Gerät hinterlegte Social-Media-Profile werden genutzt, um Nutzer zur Zahlung zu bewegen.

Immer wieder wurde der Betrieb von Krankenhäusern im Jahr 2016 durch Ransomware gestört. Eine Spezialklinik in Großbritannien hatte Glück im Unglück - und konnte mit einer Backup-Strategie größeren Schaden abwenden.

Immer wieder werden gehackte Steam-Accounts genutzt, um Malware zu verbreiten. In einem aktuellen Fall wird Nutzern per Social Engineering ein falsches Flash-Update untergeschoben, das dann eine Fernwartungssoftware installiert.

Nach dem Hack des AOL-Accounts von CIA-Direktor John Brennan hat das FBI knapp ein Jahr später zwei Verdächtige verhaftet. Beide Verdächtige machten schwere Fehler, die letztlich zu ihrer Festnahme führten.

Mit Krypto-Mining lässt sich viel Geld verdienen - vor allem, wenn man fremde Computer für sich schürfen lässt. Eine Malware, die das ermöglicht, hat das Projekt Internetwache.org aufgespürt und analysiert. So harmlos die Software aussieht, so gefährlich ist sie.
Eine Analyse von Tim Philipp Schäfers und Sebastian Neef

Auf der Defcon hat ein Hacker verschiedene Angriffsszenarien gegen den Bezahldienst Samsung Pay vorgestellt, mit denen auf fremde Rechnung eingekauft werden kann. Samsung widerspricht einigen der Darstellungen, räumt aber Schwächen ein.

Locky ist zurück. Vor wenigen Wochen war mit dem zugehörigen Botnetz auch die Infrastruktur der Ransomware verschwunden. Die Kriminellen haben der Ransomware zudem neue Funktionen zur Verschleierung hinzugefügt.

Der Airport-Router und Time-Capsule von Apple haben offenbar Probleme mit bestimmten DNS-Anfragen. Die Sicherheitslücke wurde jetzt geschlossen, möglicherweise konnten Angreifer das Netzwerk der Nutzer kompromittieren.

Hacker konnten Nachrichten manipulieren und Nutzern gefälschte, bösartige Links unterschieben. Die Sicherheitslücke betrifft Facebooks Messenger-App und die Browserversion des Chats.

Biete Schokolade, suche Passwort: Statt mühsam mit Viren und Trojanern lassen sich viele Menschen einfach mit Schokolade zur Herausgabe ihrer Kennwörter bewegen - noch dazu freiwillig.

In der Version 4 wird Googles Safe-Browsing-API responsiv: Auf Smartphones soll sie sich anders verhalten als auf dem Desktop. Damit sollen Ressourcen gespart werden. Auch ein Referenzclient wurde veröffentlicht.

RSA 2016 Apple Pay ist praktisch und gilt als sicher. Doch das System lässt sich von Kriminellen missbrauchen, um digitale Kreditkartenkopien zu erstellen.

Kriminelle Banden versuchen immer wieder, Passwörter und andere persönliche Informationen von Nutzern zu entwenden oder Malware auf deren Rechnern zu installieren - unter anderem mit gefälschten Werbeanzeigen. Google will jetzt mit einer Vorschaltseite dagegen vorgehen.

Mit einem Update der Play Services bringt Google seinen Schutz vor potenziell schadbringenden Internetseiten jetzt auch für die Android-Version des Chrome-Browsers. Bei der Übertragung der Datenbanken setzt Google auf lokale Besonderheiten und eine starke Datenkomprimierung.

Die Polizei in Niedersachsen hat einen Erpresser-Trojaner entdeckt, der die Daten erst ver- und dann wieder entschlüsselt. Zumindest behaupten das die Erpresser. Die Entschlüsselung soll allerdings in aller Öffentlichkeit geschehen. Private Fotos könnten damit in falsche Hände geraten.

Die Adressen von Freunden des CIA-Direktors John Brennan sind jetzt für jedermann nachvollziehbar - Wikileaks hat mehrere Dokumente veröffentlicht, die aus dem E-Mail-Account des CIA-Direktors stammen sollen. Brennan hatte seinen privaten AOL-Account offenbar auch für dienstliche Zwecke genutzt.

Der Chef der CIA benutzt offensichtlich auch für dienstliche Zwecke seinen AOL-Account. Jetzt wollen mehrere Teenager Zugang zu den Mails gehabt haben.

Ein komplexer Angriff nutzt eine trickreiche Kombination aus Clientzertifikaten und einem statischen Diffie-Hellman-Schlüsselaustausch. Der Angriff ist nur in sehr speziellen Situationen relevant, doch es zeigt sich wieder einmal, dass das TLS-Protokoll selbst Sicherheitslücken hat.

In Japan gibt es derzeit Versuche, iOS-Nutzer anzugreifen. Eine Sicherheitslücke ist nicht betroffen. Die Angreifer setzen stattdessen auf ein Unternehmensangebot von Apple und auf Nutzereingaben. Erfolg hat die One-Click-Fraud-Kampagne allenfalls bei naiven Nutzern.

Wer Sicherheitslücken findet, fliegt: Die Fluggesellschaft United Airlines startet ein Bug-Bounty-Programm und zahlt mit Bonusmeilen statt Geld. Es darf jedoch nicht überall nach Schwachstellen gesucht werden.