Archiv der Kategorie: Phishing

Unterschätzte Risiken: De-Mail-Bürgerportale

De-Mail: unter diesem seltsamen Namen soll in Zukunft eine sichere Kommunikationsinfrastruktur zur Verfügung stehen. Das sieht zumindest ein Gesetzentwurf vor, den die Bundesregierung gestern verabschiedet hat. Betreiber sollen Unternehmen sein, beaufsichtigt vom BSI, und benutzen sollen es – vorerst freiwillig – wir alle.

Für die herkömmliche E-Mail ändert sich nichts. Zusätzlich zu dieser bewährten Infrastruktur erhalten wir aber die Möglichkeit, die ganzen selten benutzten Sonderfunktionen des Postzeitalters im Netz zu nutzen: Einschreiben, Ausweis zeigen, Porto zahlen. Ja, Porto. Was wir dafür bekommen, ist Sicherheit. Lehrbuchsicherheit, um genau zu sein, das heißt Mechanismen, die formale Probleme formal lösen. Ein realitätsbezogenes Bedrohungsmodell gibt es nicht, sondern man wird Sicherheitsmechanismen aus dem Lehrbuch zusammensetzen zu etwas, das dann vor den Bedrohungen schützt, vor denen die gewählten Mechanismen eben schützen. Was alten Männern mit Kugelschreibern eben so einfällt, wenn sie in einem Wahljahr beweisen wollen, für wie modern sie sich halten. Unterschätzte Risiken: De-Mail-Bürgerportale weiterlesen

Sicherheit durch Nagware?

Kaum nutzt man mal Muttis Computer, wird einem schlagartig eine Menge klar. Zum Beispiel warum Leute auf zweifelhafte Antivirensoftware hereinfallen. Dass sich plötzlich ein Fenster öffnet und ihnen was verkaufen will, kennen sie nämlich schon: vom kostenlosen Antivirusprogramm, das man ihnen im Seniorencomputerkurs empfohlen hat. Für sich genommen ist Nagware ja harmlos, aber ob Sicherheitssoftware auf dem PC eines IT-Laien der richtige Platz für dieses Marketingkonzept ist?

Avira-Eigenwerbung

Ich suche übrigens gerade eine Studentin oder eine Studenten für eine Bachelorarbeit, die sich mit der Frage beschäftigen soll, ob von Antivirus-Software ein Sicherheitsgewinn zu erwarten ist. Details stehen weiter unten in diesem Blog.

Sicherheit durch Nagware? weiterlesen

Phishing? Nein, Microsoft.

Das liest sich wie ein Phishing-Versuch zur Verbreitung von Schadsoftware, zumal der Text dazu animiert, etwas herunterzuladen und zu installieren:

Ein Microcode-Zuverlässigkeitsupdate ist verfügbar das verbessert die Zuverlässigkeit Systeme, die Intel-Prozessoren verwenden. Dieser Artikel beschreibt, wie dieses Update gedownloadet wird.

(…)

Q:: welche Probleme werden von dem Microcode-Zuverlässigkeitsupdate behoben?

A:: das Microcode-Zuverlässigkeitsupdate behebt die folgenden Probleme:

  • Ein mögliches Intel-Prozessor-marginality
  • Ein potenzieller Quell des unvorhersehbaren Systemverhaltens
  • Ein Fehler „ob 0x7E abbricht“ der bei Start auf einigen Systemen auftreten kann, die ein älteres Pentium 5 CPU ausführen

(…)

Ist aber in Wirklichkeit eine Maschinenübersetzung von Microsoft, über die man stolpert, wenn man den Links zu den Updates folgt. Welcher Text zu lesen ist, hängt übrigens von den Spracheinstellungen des Browsers ab.

Frage zu 2004 Deutz-Fahr TTV 1145

Aus meiner Inbox:

Ich habbe ihnen die zahlung fuer das traktort fuer 2 wochen gesicht und sie antworten mir garnicht,ich werde meine anwalt ruffen und ihnen zu ebay und das polizei denunzieren weil sie um meinen geld die 4000 euro das ich ihnen in voraus gesicht habbe betrugt.Sie mussen antwort so bald wie moglich oder sie werden das polizei zu ihre tuer habben in ein par tage.
Bitte antworten Sie ASAP.

Wer fällt denn bitte auf so etwas rein?

Phishers now keeping track of state?

[Notice for our international readers]

Yesterday I received this phishing mail:

To: ****@********
Date: Wed, 19 Mar 2008 10:49:50 +0000
From: Wachovia Connection banking Consumer support <news@wachovia.com>
Subject: Wachovia Connection Web application security

Dear Wachovia Connection Bank Customer:
Due to the emergency situation with our server room and the closing of
the New Orleans Branch of the Federal Reserve, Wachovia Connection
Bank is presently unable to process wire transfers. Therefore we are
asking that customers please refrain from initiating wire transfer
requests through Wachovia Connection until further notice. All wires
initiated before 12:30 PM CDT will be processed; however, there may be significant delays in doing so.

IMPORTANT: All customers must validate personal information.

(...)

and today, a followup message reminding me: Phishers now keeping track of state? weiterlesen

Scientology legt nach

Nach dem viralen Video, das Presse und Blogger gleichermaßen gern verbreiten halfen, schließt sich jetzt ohne Medienbruch eine Runde Astroturfing an. Heise Security meldet:

»Eine anonyme Gruppe hat Scientology im Internet den Krieg erklärt. Über ein YouTube-Video verkündet die sich selbst „Anonymous“ nennende Gruppe, gegenüber der Scientology-Kirche die Redefreiheit verteidigen zu wollen.«

Da werden die Scientologen aber zittern. Oder noch ein wenig an ihrer sattsam bekannten Selbstdarstellung als verfolgte Unschuld feilen. Und alles nur, weil wir uns eine ausnutzbare Angstneurose gönnen. Wer seine kurieren will: ich verleihe gern meinen Hubbard. Weiter als bis Seite 50 ist noch keiner gekommen, ohne ihn kopfschüttelnd zur Seite zu legen.

Scareware

Die Masche ist bekannt: irgendwo im Netz stößt man auf eine Website, die einen kostenlosen Sicherheitscheck verspricht. Dazu lädt man sich ein Program herunter und führt es aus. Dieses Programm findet tatsächlich eine Reihe von Sicherheitsproblemen oder behauptet das jedenfalls. Und es hört mit dem Behaupten gar nicht mehr auf, denn das Opfer soll auf jeden Fall die »Vollversion« kaufen, von der es heißt, sie könne die gefundenen Probleme beseitigen.

Seit es diesen Betrug auch für den Mac gibt, hat er sogar einen schönen Namen: Scareware.

.bank? .not!

Yet another proposed way to stop phishing: create a .bank top-level domain (TLD) and market it to banks exclusively, at a forbidding price per domain. Sounds compelling? It isn’t:

  1. It’s a static solution based on today’s most common attack pattern, phishing attacks against bank customers. The perpetrators, however, could easily change their behavior. They will stick to phishing only as long as it is the cheapest working method. They can choose different victims and alternative methods.

.bank? .not! weiterlesen

Aktenzeichen.exe

Innere Sicherheit, Antiterrorpaket, Gefahrenabwehr, Online-Durchsuchung, Bundeswehr im Inland. Ist ja alles schön und gut, vielleicht sogar nötig. Aber wie sieht eigentlich die Risikobilanz aus, wenn die Autoren Trojanischer Pferde auf die Diskussion aufspringen und damit Erfolg haben? Die, die es erwischt, werden ja meistens Teil eines Botnetzes. Und damit zur Spamschleuder, die uns allen Zeit und Nerven raubt. Doch mit solchen Banalitäten des Alltags kann sich ein Ministerium natürlich nicht beschäftigen, auch wenn sie weitaus tiefer und gründlicher in unser Leben eingreifen als die ganzen verhinderten Terroranschläge.

Warum Giropay böse ist

Im Sommer 2006 haben wir Banken in Sachen Phishing-Schutz bewertet und dabei Minuspunkte für die Beteiligung an Giropay vergeben. Auf Veranstaltungen treffe ich nun hin und wieder auf die Giropay-Projektleiter der beteiligten Institute und Organisationen – Postbank, Sparkassen, Volks- und Raisseisenbanken – und darf erklären, warum wir das getan haben. Da das ohnehin vor Publikum geschieht, schreibe ich es hier noch mal für alle auf.

Warum Giropay böse ist weiterlesen

Sicherheitshinweise für Bankkunden: weiterführende Informationen

In unseren Phishing-Tests 2004 und 2006 haben wir unter anderem bewertet, ob die Sicherheitshinweise auch auf geeignete weiterführende Informationen verweisen. Die Klassiker unter den verlinkten Angeboten sind die Bürgerseiten des BSI, die Broschüre des Bankenverbandes zur Online-Banking-Sicherheit und vielleicht noch Heise Security oder A-I3.

Seltener vertreten, aber genauso nützlich sind:

Man muss ja nicht alles abschreiben. Umfassender (und nicht unbedingt bankenfreundlich) über alle gängigen Betrugsmaschen informiert die private Website Pfiffige Senioren.