Angriffe auf IT-Infrastruktur richten sich nicht nur gegen dienstliche Adressen. Derzeit seien auch private Mailkonten im Visier von Angreifern, warnt das BSI. Betroffen seien "Spitzenkräfte" aus Wirtschaft und Verwaltung.
Wer heute eine Einladung für ein Google-Docs-Dokument bekommen hat, sollte dieser auf keinen Fall Folge leisten - denn es dürfte sich in den meisten Fällen um eine Phishing-Kampagne handeln. Wer klickt, gibt seine Kontakte frei und bekommt Scareware-Anzeigen. Die Macher scheinen vom Erfolg überrascht.
Angebliche von Amazon versendete Mails sind derzeit häufig im E-Mail-Postfach zu finden. Nach gefälschten Umsatzsteuerrechnungen gibt es neuerdings eine Phishing-Kampagne, die Nutzer ausgerechnet unter Verweis auf die EU-Datenschutzverordnung zur Preisgabe persönlicher Daten bringen will.
Domains, die dem Original zum Verwechseln ähnlich sehen, werden immer wieder für Phishing-Angriffe missbraucht. In einem Proof-of-Concept zeigt die Domain xn--80ak6aa92e.com, dass Apple seine Hausaufgaben nicht gemacht hat. Browserhersteller wollen reagieren.
Wer Quellcode für Malware offenlegt, erweist der Gesellschaft meist keinen großen Dienst. Im vergangenen Dezember veröffentlichter Code wird jetzt für einen Bankentrojaner genutzt, der im Play Store verbreitet wird.
Seit Januar 2016 hat die Zertifizierungsstelle Let's Encrypt über 15.000 Zertifikate mit dem Stichwort Paypal ausgestellt. Ein Großteil der beantragenden Domains weisen eindeutig auf Phishing-Seiten hin.
Wegen massiver Probleme mit Scammern und Betrügern sperrt der britische Provider Talk Talk derzeit Teamviewer aus seinem Netz aus. Kunden und dem Hersteller der Fernwartungssoftware gefällt das nicht.
Rund 1,5 Millionen Daten von Mitgliedern der E-Sports Entertainment Association (Esea) sind offenbar im Netz aufgetaucht. Auch Angaben zur Steam-, Xbox-Live- und PSN-ID sind mit dabei - somit könnten besonders glaubwürdige Phishing-Mails gebastelt werden.
Bösartige Webseiten können die Autovervollständigen-Funktion einiger Browser missbrauchen, um unbemerkt an persönliche Nutzerdaten zu gelangen. Zum Schutz hilft offenbar nur, Autofill ganz abzuschalten oder den Browser zu wechseln.
Die Veröffentlichungen von Wikileaks bringen die US-Politik in Schwierigkeiten. Die Hacks machen deutlich, welche Gefahren durch die Nutzung populärer E-Mail-Dienste wie Gmail entstehen.
Dokumente werden neuerdings nicht mehr nur veröffentlicht - sondern offenbar vorher bearbeitet. Das behauptet zumindest die Welt-Anti-Dopingagentur Wada, nachdem Hacker vertrauliche Daten von Sportlern veröffentlicht hatten.
Die spektakulären Enthüllungen zu US-Präsidentschaftskandidatin Clinton sind ausgeblieben. Julian Assange kündigte zum zehnjährigen Bestehen von Wikileaks jedoch "signifikante" Veröffentlichungen in den kommenden Wochen an.
Politiker aller Parteien waren im August Ziel von Spear-Phishing-Angriffen. Angebliche Nato-Informationen zum Putsch in der Türkei und zum Erdbeben in Italien sollten zum Klicken auf Malware verleiten.
Vertrauliche medizinische Daten von US-Sportlern stehen im Netz. Angeblich russische Hacker haben mehrere Datensätze veröffentlicht, die Unregelmäßigkeiten bei Dopingkontrollen beweisen sollen. Die Wada ist entsetzt - und spricht von legalen Ausnahmegenehmigungen.
Das Enthüllungsportal Wikileaks will geleakte Dokumente möglichst unverändert ins Netz stellen. Das kann nach Ansicht eines Sicherheitsexperten "extrem unverantwortlich" sein.
Black Hat 2016 Allen Warnungen und Sicherheitsvorkehrungen zum Trotz: Nutzer lassen sich sehr leicht auf eine Webseite locken, wenn die Phishing-Mail verführerisch genug klingt. Das sollte Auswirkungen auf die Sicherheitsarchitektur haben, fordern Forscher.
Über gehackte E-Mail-Accounts von Firmen hat eine international agierende Bande einen hohen Schaden verursacht. Arglose Mitarbeiter wurden mit einem speziellen Trick hereingelegt.
Die gestern von Tavis Ormandy gemeldete kritische Schwachstelle im Passwort-Manager Lastpass ist nach Angaben des Unternehmens inzwischen geschlossen worden. Ein neue Lastpass-Version soll unter Firefox bereitstehen.
Die registrierten Fälle von Cybercrime sind laut BKA spürbar gesunken. Wie schnell jedoch ein hoher Schaden entstehen kann, zeigt der Hack einer Telefonanlage an einer Universität.
Forscher haben entdeckt, dass der alternative Browser Maxthon sicherheitsrelevante Nutzerdaten an einen Server in Peking sendet. Die Daten ließen sich hervorragend für gezielte Angriffe nutzen. Und sie sind nur schlecht gegen Dritte abgesichert.
Die Gruppe APT28, die auch mit dem Bundestags-Hack in Verbindung gebracht wird, soll die deutsche Regierungspartei CDU angegriffen haben. Ob die Phishing-Attacken zu einem Datenabfluss geführt haben, ist bislang noch unklar.
Im Verfahren um die Veröffentlichung von privaten Promifotos hat sich der Verdächtige des Phishings schuldig bekannt. Doch mit der Veröffentlichung der Bilder will der Mann nichts zu tun haben.
Phishing-Angriffe gehören zu den nervigen Alltäglichkeiten von Internetnutzern. Eine spezielle Masche versucht jetzt, Android-Nutzer zur Installation eines angeblichen Sicherheitszertifikates zu bewegen. Komisch, dass das Zertifikat die Endung .apk aufweist.
Die XSS-Filter von Ebay lassen sich mit Hilfe eines zu Lernzwecken erstellten Javascript-Stils überlisten, um fremden Code auszuführen. Ebay will den Fehler nur halbherzig beheben. Der Entwickler von JSFuck zeigte sich im Gespräch mit Golem.de überrascht von dem Szenario.
Von
Hauke Gierow
Die Urheber des Hackerangriffs auf den Bundestag stehen immer noch nicht fest. Nun wird spekuliert, ob die Attacke zum "Propagandakrieg" des Kreml gegen den Westen gehört.
Wer von einem Onlinedienst zur 'Verifizierung' von Daten aufgerufen wird, sollte immer vorsichtig sein. Aktuell läuft eine Phishing-Kampagne gegen Nutzer des Carsharing-Angebots von Daimler.
Seit dem Hackerangriff auf den Deutschen Bundestag sind mittlerweile rund acht Monate vergangen - jetzt hat der Generalbundesanwalt Ermittlungen aufgenommen, um die Täter zu finden. Verdächtigt wird ein ausländischer Geheimdienst.
Lassen sich Polizeibeamte durch Phishing-Versuche täuschen? Offensichtlich schon - bei einem Test haben Beamte ihre Zugangsdaten in einem "sicheren Passwortportal" hinterlegt. Außerdem gab es einen ungewöhnlichen DDoS-Angriff auf die Berliner Polizei.
Adobe hat den Flash-Player und Adobe Air diese Woche mit neuen Updates versorgt - doch schon werden neue Sicherheitslücken gemeldet. Ein neuer Zero-Day-Exploit in Flash soll für Angriffe auf Außenministerien in aller Welt genutzt worden sein. Der nächste Patch dürfte schon nächste Woche folgen.
Eine gefälschte Paypal-App versucht, die Login-Daten von Smartphone-Nutzern abzugreifen. Von der Malware sollen zahlreiche Varianten existieren - Nutzer müssten jedoch immer eine App installieren, die nicht bei Google Play gehostet ist.
Über eine Schwachstelle in der Verarbeitung von Belegen für Einkäufe in Apples App Store lässt sich Code auf fremden Rechnern einschleusen.
Keine 24 Stunden, nachdem Google seine neue Chrome-Erweiterung zum Passwortschutz vorgestellt hat, haben IT-Sicherheitsforscher ihn bereits ausgehebelt. Kurz darauf veröffentlichte Google eine korrigierte Version des Plugins.
Sie nennen sich Wüstenfalken und spionieren hochrangige Opfer im arabischen Raum aus. Die Spionagesoftware ist selbstentwickelt, infiziert wird ausschließlich durch Social Engineering. Dabei machen sie sich eine arabische Eigenheit zunutze.
Die Predictive-Policing-Software PRECOBS soll auch in Berlin eingesetzt werden. In Bayern soll sie bereits erfolgreich getestet worden sein. Kritiker befürchten einen Missbrauch von Personendaten.
Unbekannte nutzen offene Netzwerke im Hotel, um gezielt die Rechner hochrangiger Gäste anzugreifen. Sie nutzen dabei mehrere Angriffsmöglichkeiten, darunter 0-Days, und laden Spionagesoftware über P2P-Netzwerke herunter.
Eine effizienten Art des Phishing hat Google untersucht. Die Studie zeigt, dass die Angriffe raffinierter werden, so dass viele Nutzer darauf hereinfallen. Das Ziel ist nicht mehr nur Identitätsdiebstahl, sondern konkreter finanzieller Schaden.
Datendiebe haben offenbar mit manipulierter Onlinewerbung Rüstungs- und Luftfahrtkonzerne angegriffen. Die Werbung konnte über das so genannte Real Time Bidding gezielt platziert werden.
Eine aktuelle Welle von Phishing-Mails bedient sich eines Tricks, um Nutzer zur Eingabe ihrer Mailadressen samt Passwort zu verleiten. Dabei wird eine Webseite von den echten Dropbox-Servern ausgeliefert.
Bei den Ermittlungen zu Computerkriminalität hat die Polizei mit Verschlüsselungs- und Anonymisierungstools zu kämpfen. Jeder vierte Nutzer verzichtet inzwischen aus Sicherheitsgründen auf soziale Netzwerke.
Def Con 22 Auch beim Handel mit geklauten Daten sind Kundenservice und eine gute Reputation wichtig. Der Kriminologe Thomas Holt präsentierte auf der Def Con 22 Einblicke in die Welt der Onlineforen von illegalen Datenhändlern.
Bayern will die Prognosesoftware PRECOBS einsetzen. Die Predictive-Policing-Software ist bereits in der Schweiz getestet worden.
Sie sind bekannt für ihre immer ähnlichen Phishing-E-Mails: die 419-Scammer aus Nigeria. Jetzt rüsten sie auf und verbreiten Fernwartungssoftware, statt nur um Geld zu betteln.
Die deutsche Polizei plant den Einsatz umstrittener Predictive-Policing-Methoden. Anhand statistischer Daten und mit Data-Mining-Methoden sollen Straftaten verhindert werden, bevor sie geschehen.
Re:publica 2014 Angebliche H&M-Gutscheine; oder Fake-Videos auf Facebook: Cyberkriminelle bedienen sich immer neuer Methoden, um an persönliche Daten zu gelangen - oft erfolgreich. Denn beim Social Engineering bleibt die größte Schwachstelle der Nutzer selbst.
Die regelmäßigen Warnungen des BSI vor gehackten Online-Konten haben offenbar Kriminelle zu einer Phishing-Attacke animiert. Von "verdächtigen Aktivitäten" und "anwaltlichen Schritten" ist darin die Rede.
Mit DMARC sollen eigentlich Spam- und Phishing-E-Mails verhindert werden. Eine neue DMARC-Richtlinie von Yahoo beschränkt aber die Nutzung von Mailinglisten sehr stark. Das betrifft auch weitere Provider und die Entwickler der Mailinglisten.
Kriminelle Hacker haben auf Servern des Spieleherstellers Electronic Arts eine gefälschte Webseite untergebracht, die Apple-IDs samt Passwörtern und Kreditkarteninformationen verlangt. Wie viele Nutzer ihre Daten dort eingegeben haben, ist nicht bekannt.
Derzeit läuft ein komplexer Phishing-Angriff auf Google-Docs-Nutzer. Damit wollen Angreifer möglichst viele Zugangsdaten von Google-Nutzern abgreifen. Die betreffende Anmeldeseite ist der von Google sehr ähnlich - samt SSL-Verschlüsselung.
Der Trick ist offenbar nicht neu, wird in den vergangenen Wochen aber verstärkt registriert. Die Betrüger liefern genau das, wovor sie am Telefon warnen.
Onlinebetrüger machen sich die Anfang 2014 bevorstehende Umstellung des europäischen Zahlungsverkehrs, Sepa, zunutze. Kunden von deutschen Sparkassen werden derzeit dazu verleitet, ihre Kontodaten preiszugeben - was wie stets natürlich ein Betrugsversuch ist.
Die Fortsetzung von Skylanders Spyro's Adventure setzt auf Größe: Neben zusätzlichen Ingame-Abenteuern gibt es auch neue Plastiksammelfiguren - einige in Giants sind doppelt so groß wie ihre Kumpel.
(Skylanders)
Wie erwartet, hat Apple für Anfang März zu einer Veranstaltung eingeladen, bei der wohl ein neues iPad vorgestellt wird. Zumindest lässt die Einladung dies vermuten.
(Ipad 3)
In dem neuen preiswerten Verfahren wird das Glasfaser-Kabel durch das Wasserrohr in die Gebäude geführt. Was in Pilotversuchen funktioniert, soll als Wasser-Faser-System bald breit eingesetzt werden.
(Glasfaserkabel)
Der japanische Spieldesigner Goichi Suda - Fans sagen schlicht "Suda 51" - ist für schräge Actionspiele bekannt. Sein nächstes Werk schickt ein scheinbar braves Schulmädchen in den Kampf gegen Zombies.
(Lollipop Chainsaw)
Microsoft hat ein umfangreiches Update für Windows 8 veröffentlicht, mit dem das Betriebssystem schneller und kompatibler werden soll und die Stromsparfunktionen verbessert werden. Entsprechende Änderungen gab es früher erst mit einem ersten Service Pack, bei Windows 8 kommen sie als Update noch vor dessen Start.
(Windows 8 Update)
Microsoft lässt weit weniger Surface-Pro-Tablets bei den Auftragsherstellern produzieren als beim Start des Surface RT. Dazu gibt es unbestätigte Informationen aus Taiwan.
(Surface Pro)
Threema, Telegram und MyEnigma: Nach der Whatsapp-Übernahme durch Facebook sind die Nutzer des Messengers auf der Suche nach Alternativen. Wir haben uns einige davon angesehen.
(Telegram App)
PhishingE-Mail an news@golem.de
