IT-Sicherheit wird meist mit technischen Details und Sicherheitslücken in Software und Hardware gleichgesetzt, eine Sicherheitslücke wird dabei oft übersehen: der Mensch. Mit einer guten Geschichte, den richtigen Fragen und einer Vorrecherche lassen sich Menschen leichter zur Herausgabe sensibler Daten bewegen, als hinlänglich angenommen wird. Diese Angriffsart wird Social Engineering genannt.
Per SMS weisen Kriminelle ihre Opfer auf vermeintlich ungewollt veröffentlichte Bilder hin, doch der Link führt zu einer Schadsoftware.
Mit Phishing und Social Engineering sollen die Kriminellen mindestens 10 Millionen Euro gestohlen haben. Das Geld wurde per Kryptowährung gewaschen.
Polizei und Verbraucherzentralen warnen vor einer neuen Betrugsmasche, bei der per SMS auf eine vermeintliche Voicemail hingewiesen wird.
Auf die Verurteilung des Hauptverantwortlichen der Hacks von Twitter-Konten im Sommer 2020 folgt die Festnahme eines weiteren Beschuldigten.
Mit vorgeblichen Hilferufen von Verwandten versuchen Trickbetrüger per Whatsapp, Menschen um ihr Geld zu bringen - oft mit Erfolg, sagt die Polizei.
Staatstrojaner dürfen immer häufiger eingesetzt werden. Wir erklären, wie sie auf unsere Geräte kommen und wie wir uns davor schützen können.
Von Moritz Tremmel
Nach rund einem Jahr an Tests in Googles Chrome-Browser habe sich keine Verbesserung der Sicherheit ergeben. Die vollem URLs bleiben also.
Mit einem Trick versuchen Kriminelle, Whatsapp-Accounts zu übernehmen, warnt das LKA Niedersachsen.
Sicherheitsexperten haben mehr als 150 gefälschte Apps identifiziert, mit denen Kriminelle gezielt Krypto-Anleger um ihr Geld bringen.
Mit einem gefälschten Beschluss des AG Köln ist eine Domain übernommen und für Bitcoin-Phishing auf Darknet-Handelsplätzen missbraucht worden.
Betrüger versuchen mit schmutzigen Tricks, Inhalte aus dem Netz zu entfernen. Ein Hoster kam ihnen mit einer forensischen Analyse auf die Schliche.
Angeblich soll das Hackertool Passwörter knacken, doch die nutzlose Benutzeroberfläche dient einem ganz anderen Zweck.
Ob echte Überfälle, Social-Engineering-Scams oder komplexe 51-%-Attacken: Die Welt der Cryptocoins bietet viele Möglichkeiten, sich illegal zu bereichern.
Von Stephan Skrobisch
Nutzer der Social-Media-App Clubhouse sind offenbar von einem Angriff betroffen. Es geht um 1,3 Millionen Datensätze.
Der Hauptverantwortliche für die Hacks von Twitter-Konten im Sommer 2020 akzeptiert eine Verständigung mit der Anklagebehörde.
Google berichtet über gezielte Angriffe auf IT-Sicherheitsforscher, die mit einigem Aufwand erfolgten und möglicherweise eine unbekannte Chrome-Lücke nutzten.
Security as a Service (SECaaS) verspricht ein Höchstmaß an Sicherheit. Das Auslagern eines so heiklen Bereichs birgt jedoch auch Risiken.
Von Boris Mayer
rC3 Journalisten ist es gelungen in das Löschteam der Pornowebseite Xhamster aufgenommen zu werden. Auf dem rC3 berichten sie über den laxen Umgang mit rechtswidrigen Inhalten.
Ein Bericht von Moritz Tremmel
Was am 30. Dezember 2020 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.
Kriminelle haben eine Datenbank mit über 300.000 Spotify-Zugangsdaten ungeschützt im Internet betrieben.
Es waren mutmaßlich die Angestellten des Domain-Registrars Go Daddy, die den Angreifern Zugang zu den Kryptowährungs-Plattformen ermöglichten.
Wieder einmal ein Beispiel dafür, dass man seine privaten Zugangsdaten nicht aus Versehen in den sozialen Medien posten sollte.
Am Freitag machten sich Medien noch über einen Tweet von US-Präsident Trump lustig. Dahinter könnte ein Hacker aus den Niederlanden gesteckt haben.
Sie piept, versprüht heißes Wasser und fordert Lösegeld: Ein Forscher konnte seine smarte Kaffeemaschine zu einer Erpressermaschine machen.
Google will nur noch den Domain-Namen in der Adresszeile anzeigen und damit Phishing entgegenwirken.
Drei junge Männer sollen hinter dem Angriff auf den Microblogging-Dienst Twitter stecken.
Um an 45 Konten von Prominenten zu gelangen, haben Eindringlinge Twitter-Angestellten ihre Zugangsdaten per Telefon und Social Engineering entlockt.
Allein am ersten Tag wurden 250.000 E-Mails mit der besonders perfiden Schadsoftware versendet.
Twitter legt sich nun außerdem auf Social Engineering als Angriffsart fest. Bei acht Zugängen sind Daten heruntergeladen worden.
Über die Twitter-Accounts zahlreicher US-Prominenter ist Werbung für einen Bitcoin-Betrug gelaufen. Offenbar wurden interne Tools kompromittiert.
Ein Datenleck bei der digitalen Corona-Kontaktliste von Lunchgate hat den Abruf der persönlichen Daten aller Gäste ermöglicht.
Mit der Masche soll ein 23-Jähriger mindestens 210 Konten für kriminelle Machenschaften angelegt haben.
BadUSB-Sticks geben sich als Tastatur aus und hacken im Vorbeigehen Rechner. Mit der richtigen Software können sie entschärft werden.
Ein Test von Moritz Tremmel
Mit gefälschten E-Mails vom Chef versuchen Betrüger, die Coronavirus-Pandemie auszunutzen und sich Geld überweisen zu lassen.
Laut dem in Mecklenburg-Vorpommern verabschiedeten Polizei-Gesetz dürfen Ermittler künftig heimlich Wohnungen betreten, um Trojaner auf gut gesicherten Rechnern zu installieren.
Heute kein neuer Pass und kein Elterngeld: Die Schadsoftware Emotet hat in den vergangenen Monaten etliche Behörden in Deutschland lahmgelegt. Doch woher kommt dieser Fokus auf die Behörden, ist die Sicherheit so desaströs?
Von Moritz Tremmel
Kriminelle nutzen das Video-Ident-Verfahren, um in fremdem Namen Bankkonten zu eröffnen. Opfer seien beispielsweise Job- und Wohnungssuchende, warnt die Postbank.
Wie im Achtziger-Klassiker Mr. Roboto von Styx hat auch Elliot in Mr. Robot
Geheimnisse. Die Dramaserie um den Hacker ist nicht nur wegen Rami Malek grandios. Sie hat einen ganz eigenen beeindruckenden visuellen Stil und zeigt Hacking, wie es wirklich ist. Wir blicken nach dem Serienfinale zurück.
Eine Rezension von Oliver Nickel und Moritz Tremmel
36C3
Warum funktionieren Angriffe mit Word-Makros seit 20 Jahren? Der CCC-Sprecher Linus Neumann erklärt auf dem Hackerkongress, warum es so schwer fällt, sich dagegen zu schützen. Dabei gibt es viele Ansatzmöglichkeiten, die IT wirklich sicherer zu machen.
Von Moritz Tremmel
Auch wer seinen Account anders als mit SMS-Codes zusätzlich absichern wollte: Bisher führte kein Weg daran vorbei, Twitter erstmal die eigene Telefonnummer zu geben. Das hat jetzt ein Ende.
Prävention reicht nicht gegen Social Engineering und die derzeitigen Trainings sind nutzlos, sagt der Sophos-Sicherheitsexperte Chester Wisniewski. Seine Lösung: Mitarbeiter je nach Bedrohungslevel schulen - und so schneller sein als die Kriminellen.
Ein Interview von Moritz Tremmel
Betrüger nutzen die Insolvenz des Reiseveranstalters Thomas Cook für ihre Zwecke. In Phishing-E-Mails versprechen sie eine komplette Rückerstattung der Reisekosten, sofern die Betroffenen ihre Kreditkarten- und Passdaten übermitteln. Ein Datenleck gab es wohl nicht.
Vielen Kunden ist unklar, was mit der neuen Zahlungsrichtlinie PSD2 auf sie zukommt. Betrüger nutzen die Verwirrung aus, um an Daten und Geld von Paypal- und Bankkunden zu kommen. Die Polizei warnt.
Nicht einmal auf die Stimme kann man sich verlassen: Mit Hilfe künstlicher Intelligenz haben Betrüger die Stimme eines CEOs täuschend echt nachgeahmt - und konnten so eine Überweisung veranlassen. Schutz ist schwierig.
Wie geht die Geschichte um den Hacker Elliot, der Evil Corp. und Mr. Robot aus? Das können Fans der Serie ab Oktober in der finalen Staffel erfahren. In den 13 Episoden sind auch wieder Rami Malek und Christian Slater zu sehen.
Die größten Schwachstellen in technischen Systemen sind bis heute Menschen. Social Engineers machen sich ihre Sorglosigkeit zunutze - und finden auf sozialen Netzwerken alles, was sie für einen erfolgreichen Angriff brauchen.
Von Moritz Tremmel
Ein Kanal, der Anleitungen zum Aufspüren von Sicherheitslücken gab, bekam von Youtube eine Verwarnung. Auch wenn diese mittlerweile zurückgenommen wurde, sieht die IT-Security-Community darin eine Gefahr.
Zum 14. September 2019 wird ein wichtiger Teil der Zahlungsdiensterichtlinie 2 (PSD2) für die meisten Girokonto-Kunden mit Online-Zugang umgesetzt. Die meist als indizierte TAN-Liste ausgegebenen Transaktionsnummern können dann nicht mehr genutzt werden.
Von Andreas Sebayang
Passwort vergessen? Kein Problem, viele Anbieter machen es Nutzern leicht, ihr Passwort zurückzusetzen - und damit auch Kriminellen. Wir haben uns angesehen, wie leicht es ist, mit der Funktion an Daten zu gelangen oder ein E-Mail- oder Social-Media-Konto zu übernehmen.
Eine Analyse von Moritz Tremmel
Der Inhaber einer Kryptowährungsbörse ist plötzlich gestorben. Er hinterlässt verschlüsselte Festplatten mit Währung im Wert von 137 Millionen US-Dollar. Allerdings wusste nur er das Passwort.
Social Engineering