Bezahldienstleister des tages

Wisst ihr, wie pubertierende an den geschlechtsverkehr herangehen? Einfach, schnell und gefährlich.

Das gibts natürlich auch für erwaxene. Bezahlen sie ganz smart, bekwem und totalsuperdupersicher mit ihrem scheißwischofon dank revolut und visa, wisst schon, ist einfach nur genial! Was kann dabei schon schiefgehen? Ist ja auch genial sicher, der werber hats euch doch gesagt, und sein stinkender bruder von jornalist fands auch gleich ganz toll und hats für die beste erfindung seit der banknote gehalten:

Der Angriff erfolgte übers Handy. Mehrere Revolut-Kunden erhielten ein SMS. Man soll sein Konto „verifizieren“ […] Dazu gabs einen Link. Wer diesen anklickte und darauf seine Daten mit Passwort eingab, war verloren […] Die Kunden riefen sofort bei Revolut an. Dort nahm niemand ab. Es gibt nur Schriftverkehr und Warteschlaufen […] Die Gangster verschoben via der Kreditkarte des Kunden, welcher dieser mit seinem Konto bei Revolut verbunden hatte, hohe Beträge auf fremde Konten […] Die Gelder sind weg

Hej, kommt leute und stellt euch nicht so an. Da habt ihr halt mal ein paar tausend oder auch mal ein paar zehntausend fränkli als lehrgeld für eine kleine, freundlich erteilte sicherheitsbelehrung an kriminelle bezahlt, die euch hoffentlich fortan dabei hilft, nie wieder so unendlich doof zu sein und auf irgendeine reklame reinzufallen und euer geld einem scheißwischofon anzuvertrauen! Und hej, sicherheitsbelehrte: euer gezwitschertes gejammer „mein konto wurde gehäckt“ ist auch ganz schön doof. Klingt aber irgendwie viel epischer als „ich fingere an meinem wischofon auf allem herum, was man befingern kann und gebe dann arglos irgendwelche bänkingdaten ein“. 🎣

Zum glück hat dieses „revolut“ schon ausgemacht, wer jetzt schuld daran ist, dass es zu so einem massenhafen, erfolgreichen und ertragreichen phishing kommen konnte: der telekom-dienstleister, über den die phishing-SMS versendet wurden.

Im Tages-Anzeiger gab Revolut der Swisscom die Schuld. Die Phishing-SMS liefen über das Netz des Schweizer Telekom-Riesen

Da muss man erstmal drauf kommen! 🤦🤣👏🤣

Also ruhig so weitermachen, leute! Das hat doch alles nix damit zu tun, dass man teuer teuer geld über sein wischofon bewegt — also über einen kompjuter, der so gebaut ist, dass man ihn gar nicht sicher machen kann und auf dem man bänking-äpps benutzt, die nicht mehr laufen, wenn man sich unter aufopferung der gewährleistung wenigstens durch „rooten“ ein aktuelles betrübssystem besorgt hat. :mrgreen:

Ein kleiner und völlig kostenloser sicherheits-tipp von mir: schlangenöl hilft auch nicht gegen doofheit, die auf kriminelle energie prallt. Dagegen hilft nur hirn. Gegen phishing gibt es nämlich eine ganz einfache und völlig kostenlose sicherheitsmaßnahme, die hundertprozentig wirksam ist.

Kennt ihr den schon?

Die phisher werden auch immer dümmer, wenn sie sich einen bullschitt-vorwand ausdenken, weshalb man jetzt unbedingt in eine phishing-spämm reinklicken sollte:

E-Mail-Cookies für Ihr Konto wurden möglicherweise vorübergehend auf Ihrem Gerät gelöscht oder deaktiviert. Aus Sicherheitsgründen haben wir Ihnen eine E-Mail mit Ihrer registrierten Adresse gesendet, um die Gültigkeit Ihrer E-Mail zu bestätigen

🤦

Ich hoffe mal, dass nicht einmal im lande des p’litisch explizit gewünschten und schulisch mit großem aufwand hergestellten digitalen analfabetismus jemand auf so einen unsinn reinfällt.

Und nein, ich erkläre jetzt nicht, warum das bullschitt ist. Wer es nicht versteht, sollte unbedingt einmal in der wicked pedia oder sonstwo nachschauen, was so ein „cookie“ und was so eine „e-mäjhl“ eigentlich ist. Dann erklärt sich von selbst, dass es keine mäjhl-cookies gibt. So ein internetz ist doch toll. Da kann man einfach auf so viel wissen zugreifen. Nutzt es, verdammt noch mal, statt dumm zu sein! 💡

Der beste und hundertprozentig wirksame schutz vor phishing ist es übrigens, niemals in eine mäjhl zu klicken. Wenn man alle regelmäßig besuchten webseits nur über lesezeichen im webbrauser aufruft, kann einem kein spämmer einen phishing-link zusammen mit irgendwelchen alarm-klickmich-texten unterjubeln. Nach der ganz normalen anmeldung bei der webseit sieht man ja, ob eines der behaupteten probleme vorliegt. Wenn nicht, hat man einen phishing-versuch abgewehrt und sich damit möglicherweise viel geld und nerven gespart. Und das beste daran: es kostet nichts, bremst den rechner nicht aus und ist kein aufwand. Der beste schutz vor internetzkriminalität ist und bleibt das gehirnchen. 🧠

Spam und wischofon des tages

Um Sicherheitslösungen, die Mails auf Anhänge und URLs scannen, zu umgehen, betten die Betrüger QR-Codes in die Mails ein […] Die Mails behaupten eine wichtiges SharePoint-Dokument bereitzuhalten. Um dieses zu bekommen, muss das Opfer den QR-Code mit seinem Smartphone scannen […] Um das Dokument anschauen zu können, ist laut der Seite ein Log-in vonnöten. Das ist natürlich ein Fake und wer etwas in diese Felder eingibt, schickt seine Zugangsdaten direkt zu den Betrügern

Ich kann mir kaum vorstellen, dass jemand so enthirnt ist, sein wischofon auf einen QR-kohd in einer mäjhl auf dem PC zu halten und dann auch noch bei der so angesteuerten webseit seine anmeldedaten einzugeben. Aber ich konnte mir so manche hirnlosigkeit von gegenwärtigen menschen kaum vorstellen, das ist also kein maßstab.

Ich schätze mal, dass eine heuristik zu erkennung von QR-kohds schnell in die gängigen spämmfilter aufgenommen werden wird, wenn das zur welle wird. Objektiv sehe ich keinen verdammten grund, warum jemand einen QR-kohd in eine mäjhl fummeln sollte, wenn dort auch ein direkt und händifrei benutzbarer und zudem sicherheitstechnisch angenehm vorher einsehbarer link untergebracht werden könnte.

Von daher: mäjhl mit QR-kohd: löschtaste! Es ist bullschitt. Es kann nur bullschitt sein. Es ist immer bullschitt. Eingentlich sollte ein mensch mit elementaren kenntnissen und ganz normalen verstand das sofort einsehen und sogar nach sehr kurzem nachdenken selbst drauf kommen. Aber wenns internetz im händi ist, ists gehirn im arsch.

Security des tages

Hej, die website hat TLS, die ist sicher. Kannst sogar aufs schlösschen klicken, das ist wirklich ih-bäh, nicht irgendein phisher. Gut, dass inzwischen alles so klicki-klicki sicher ist, sonst gäbe es ja richtig viel kriminalität:

Denn die gefälschten Login-Seiten sehen dem Original nicht nur zum verwechseln ähnlich – die Betrüger haben diese auch auf einem eBay-Server abgelegt. Dazu nutzen sie die Artikelbeschreibung

😯

Diese Masche ist bereits seit 2015 bekannt und gegenüber heise Security sprach auch eBay von einer gängigen Methode. Neu ist die Nutzung von SSL, welche Sicherheit suggeriert

Ah, ich verstehe, kennt man schon ein paar jährchen bei ih-bäh, den trick. Na, dann ist es ja völlig verständlich, dass ih-bäh da gar nix machen kann. Nicht.

Auch weiterhin viel spaß mit dieser obersten priorität, welche die sicherheit und der schutz von… ähm… vor trickbetrügern bei den großen, milljardenschweren internetzklitischen hat! Gefühlte sicherheit fühlt sich doch gut an, und das schlösschen im brauser stimmt auch. Was will man da noch mehr? :mrgreen:

Security des tages

Nehmt UEFI! Das ist viel sicherer, moderner und besser als so ein olles BIOS.

Das von Eset Lojax getaufte UEFI-Rootkit beruht auf einer Technik und Software, die Lojack, früher bekannt als Computrace, als Diebstahlsicherung einsetzt. Dabei injiziert ein UEFI-BIOS-Modul beim Booten des Systems Überwachungssoftware in Windows, bevor dieses überhaupt gestartet ist. So kann Malware selbst eine Windows-Neuinstallation oder einen Austausch der Festplatte überleben […] Der Lojax-Beschreibung von Eset zufolge erforderte die Installation des UEFI-Rootkits keinen physischen Zugang zum System. APT28 schafft es immer wieder, durch sehr gezielte Spear-Phishing-Mails Trojaner bei ihren Zielpersonen einzuschleusen

Ein entsetztes „ich bin gehäckt worden“ klingt immer noch viel epischer als „ich bin dermaßen digital unwissend, dass ich auf jeden link in einer mäjhl klicke und jeden anhang aufmache, außerdem verstehe ich und meine mäjhlpartner nix von digitalen signaturen, so dass sich jeder in einer mäjhl an mich als jeder beliebige andere ausgeben kann, indem er einfach die absenderadresse fälscht, und wir wollen diesen längst fertigen und einsatzfähigen kryptografiekram auch seit zwei verdammten jahrzehnten auch nicht lernen, weil das lernen immer so anstrengend ist“. Tja, wenn man mit dem internetz umgeht wie tiehnätscher im hormonrausch mit der sexualität — nämlich schnell, einfach und gefährlich — dann wird halt gecräckt. Gern auch mal im regierungsmaßstab. Schon doof, wenn man so doof ist und es um jeden preis bleiben will.

„Cyber cyber“ des tages

Wisst ihr noch, der bundeshäck? Nein, nicht der vorletzte, sondern der letzte. Der, der total harmlos war, weil er völlig unter kontrolle war (obwohl niemand zu sagen wusste, ob er noch weiterläuft) und bei dem die „häcker“ nur sex dokumente des auswärtigen amtes mitnehmen konnten.

Das scheint doch ein bisschen mehr mitgenommen worden zu sein, denn die bummspolizei hat jetzt strafanzeige erstattet, weil etliche anmeldedaten… ähm… irgendwoanders zu datenreichtum führten. Und jetzt erfährt man auch endlich mal, was für unsere ganzen cyber-cyber-komiker in der BRD-p’litik so ein häckerangriff ist, für den natürlich nur die pösen pösen russen in frage kommen:

Laut der Zeitung geht die dem Bundesinnenministerium unterstellte Polizeieinheit davon aus, dass die Angreifer mit Phishing-Mails rund 3000 Zugangsdaten von Bundespolizisten für ein Portal der zunächst betroffenen Hochschule des Bundes (HS Bund) beziehungsweise der am gleichen Ort sitzenden Bundesakademie für öffentliche Verwaltung (BAköV) in Brühl erbeutet haben

Müsst ihr verstehen: jemanden eine (hoffentlich wenigstens leidlich personalisierte) mäjhl zu schicken, wo irgendein bullschitt gefolgt von einem „klicken sie hier“ drinsteht (oder ein trojaner zum klicke-klicke-aufmachen dranhängt), das ist das neue häcken. Was ich nicht schon alles an „häckerangriffen“ erlebt habe!!elf!!!1!1! :mrgreen:

So, und jetzt noch eine kleine zusatzaufgabe für angehende hobbyadministratoren: wenn ihr einen neuen sörver aufsetzt, wann vergebt ihr ein selbstgewähltes und gutes passwort für das administratorkonto auf dem sörver?

[ ] Sofort nach der installazjon des betrübssystemes
[ ] Nicht sofort, aber bevor der sörver ans netzwerk geht
[ ] Gar nicht, wenn es ein vorgabepasswort gibt, das muss ja sicher sein…

Dreimal dürft ihr raten, was administratoren in lohn und brot der bummsverwaltung hier geantwortet hätten:

Zusätzlich verwies das DFN-Cert darauf, dass in Standardinstallationen von Ilias bekannte Zugangsdaten für den Benutzer „root“ verwendet und Administratoren der Software „zu keiner Zeit im Installationsvorgang zu einer Änderung des Passworts aufgefordert werden“. Es sollte daher sichergestellt werden, dass das Standardpasswort für dieses weitreichende Konto nicht verwendet werde

Oh, hl. scheiße! Einmal ganz davon abgesehen, dass womöglich sogar ein sshd durch die firewall gelassen wurde, der eine anmeldung als root ermöglicht hat, wenn das nicht mit einem trojaner erledigt wurde… m(

Fehlt nur noch, dass das vorgabepasswort changeme gelautet hat. :mrgreen:

Sportlich…

Irgendwelchen bitcoin-gläubigen an der blasenfront mit gutem alten phishing ingesamt fuffzich milljonen dollar aus der tasche zu ziehen, ist schon ganz schön sportlich. Es ist aber auch doof, wenn man in kryptogeld macht und überhaupt nicht an kompjutersicherheit denkt und irgendwelche zugangsdaten zu seinem kryptogeld einfach eingibt, weil auf einer in einem reklamebanner verlinkten webseit seht, dass man sie eingeben soll. Wer so abgezogen werden konnte, sollte seinen verlust als lehrgeld abschreiben. Und hej, leute, wenn euch das internetz zu kompliziert ist, dann solltet ihr einfach die finger davon lassen. Es gibt ja auch andere schöne beschäftigungen. Die ihr versteht. Wixen zu beispiel.

Übrigens: mit einem adblocker wäre das nicht passiert.

Das ist übrigens mal wieder die gelegenheit für einen ganz wichtigen test: ist mein passwort sicher genug?

Heise…

Heise schreibt einen auf zwei bildschirmseiten aufgeteilten artikelwerbeplatzvermarktung und clickbait ist ja wichtiger als inhalt — darüber, dass die phishing-spämms ein immer besseres, überzeugenderes und damit täuschenderes diesein bekommen. Was wunder, die verbrecher leben ja davon, dass jemand auf ihre tricks reinfällt. Und in diesem ganzen artikel wird nicht mit einem einzigen wort die naheliegende frage aufgeworfen, warum die scheißbanken, scheißwebklitschen und sonstigen läden mit ganz viel „ditschitäll“ im selbstverständnis es auch im jahr 2018 immer noch nicht hinbekommen, ihre eigenen mäjhls digital zu signieren und ihre kunden über die bedeutung der digitalen signatur und ihre überprüfung zu informieren, um den ganzen phishing-sumpf auszutrocknen. Stattdessen machen diese ganzen scheißläden HTML-mäjhls, damit sie ihr logo oben reinbasteln können, den phishern zu freude, denn das logo lässt sich klicke-klicke-leicht kopieren…

Jornalismus kann so verdummend und schlecht sein! (Darauf, dass der begriff phishing in diesem offenbar von einem völlig fachfremden jornalisten verfassten artikel ein paar ausweitungen erfährt, die ihm jede spezjelle bedeutung nehmen, will ich schon gar nicht weiter eingehen.)

Was es bedeutet, wenn ein jornalist „gehäckt“ wurde…

Immer, wenn so ein jornalist auf ein — fies personalisiert vorgetragenes, denn es ist ja leicht, mit guhgell genug infos zu fast jedem jornalisten rauszukriegen — phishing reingefallen ist, sprechen die anderen jornalisten kollektiv davon, dass er „gehäckt“ wurde. Sogar noch bei heise, obwohl die in der karl-wiechert-allee doch auch…

Tweet von Klaus Brinkbäumer @Brinkbaeumer, verifizierter Account, vom 14. Januar 2018, 15:17 Uhr: Gestern wurde mein Twitter-Konto gehackt. Ich war in Russland und hatte einen Link angeklickt, der - vermeintlich - von einem langjährigen Informanten in D.C. geschickt worden war. Mit der Erdogan-Propaganda unter meinem Namen habe ich nichts zu tun. @DerSPIEGEL @SPIEGELONLINE

…dieses neumodische zwitscherdingens haben sollten. Aber wenn so eine kompetenzgranate wie dieser Klaus Brinkbäumer von einem erfolgreichen phishing (auf das er wegen seiner unvorsicht reingefallen ist, weil er immer noch nicht gelernt hat, verantwortungsvoll mit mäjhl umzugehen) als von einem häck spricht, dann kann man das ja mal übernehmen. Einmal ganz davon abgesehen, dass der spezjalexperte mit seinen voll wichtigklingendem „langjährigen informanten“ zu kommunizieren scheint, ohne verschlüsselung und digitale signaturen zu nutzen¹. Ganz schön doof.

Aber hej, „ich wurde gehäckt“ klingt ja auch ungleich epischer als ein ehrliches „ich bin zu doof“.

¹Hej, scheißspiegel, wenn du das selbst nicht hinkriegst, komme ich gern auf deine kosten nach hamburch und gebe dir gern einen PGP-kurs. Das ist nämlich im grunde so einfach, das verstehen sogar scheißjornalisten. Aber du suchst bestimmt nach jemanden, der noch billiger ist. Oder es ist dir egal. Und morgen flennst du wieder einen vom informantenschutz, du idjotenpresse!

Schon interessant…

Schon interessant, was unter äppel-benutzern so alles als trickreich empfunden wird. Wer im jahr 2017 noch nicht mitbekommen hat, dass es phishing gibt und dass man deshalb nicht in irgendwelchen mäjhls rumklickt, um danach auf irgendwelchen webseits zugangsdaten einzugeben, sollte vielleicht mal seinen hirnwartungsexperten um hilfe fragen oder andere medien als das „neue blatt“, die „bunte“ und die „freizeit revue“ konsumieren.

Bitcoin und datenschleuder des tages

Na, hat hier jemand seine bitcoin bei „Bithumb“ rumliegen? Die kriegen nämlich öfter mal nach einem bisschen telefon-phishing flügelchen…

Tja, so schnell wird aus einer datenschleuderei ein handfester schaden. Ich wünsche auch weiterhin viel spaß beim festen glauben an den überall völlig konsekwenzenlos und ohne entstehende haftung versprochenen „datenschutz“ und beim fröhlichen angeben von allerlei daten! Die liste wäxt und wäxt und wäxt.

TLS des tages

„Let’s encrypt“ kennt ihr? Bei denen gibts kostenlose TLS-zertifikate für webseits, damit die datenübertragung verschlüsselt ist und die besucher ein schlösschen im brauser sehen, das ihnen hilft, sich sicher zu fühlen. Das ist ein angebot, das zurzeit auch bei phishern sehr beliebt ist [Link geht auf eine niederländische webseit]:

Der kostenlose SSL-zertifikats-anbieter let’s encrypt hat binnen eines jahres an die 15.000 zertifikate für paypal-phishingseits ausgegeben […] Seit november ist die anzahl der ausgegebenen zertifikate für paypal-phishingseits stark angestiegen, unter anderem wurden allein im februar dieses jahres über 5.000 zertifikate ausgegeben

Tja, da wird sich wohl manch einer umschauen, der immer wieder vom scheißjornalisten erklärt bekommen hat, dass so ein im webbrauser sichtbares schlösschen „sicherheit“ bedeutet, wenn auf einmal sein konto von spämmern leergeräumt wird. 😦

Phishingtechnik des tages

Wenn ihr wegen eurer unwilligkeit, bekwem, sicher, verschlüsselt und träckingfrei mäjhl zu machen, keinen webmäjhler benutzt und… sagen wir mal… bei guhgell mäjhl seid, dann seid sehr aufmerksam, wenn ihr in eine mäjhl geklickt habt und euch neu anmelden sollt. Und meldet euch auf gar keinen fall neu an, wenn die adresszeile im brauser mit data: statt mit https: beginnt!

Die phisher haben einfach eine komplette phishing-seite in einer data:-URL untergebracht.

Von einer ausweitung des verfahrens auf andere kostenlose mäjhlanbieter sowie auf S/M-seits gehe ich aus. Denen, deren guhgell-konto schon gephisht wurde, wünsche ich viel spaß dabei, sich alles zurückzuholen, wofür sie sich „bekwem mit dem guhgell-konto“ angemeldet haben. Wenn euch doch nur jemand vor solchen zentralisierungen gewarnt hätte! :mrgreen:

Hinweis via @benediktg@gnusocial.de

Fratzenbuch und security des tages

Das fratzenbuch setzt sich für das notleidende phishing-gewerbe ein und hat es sehr einfach gemacht, über die fratzenbuch-äpp-schnittstelle überzeugende phishing-seiten für fratzenbuch-anmeldedaten zu erstellen. Das besteste daran: die phishing-seiten liegen in der fratzenbuch-domäjhn und kommen mit dem TLS-zertifikat vom fratzenbuch (so dass das schöne, sicherheit verheißende schlösschen im brauser sichtbar wird).

Via @benediktg@gnusocial.de

Security des tages

Bei „ebay“ gibt es eine fiese XSS-lücke, die es ermöglicht, mit der webseit von „ebay“ selbst nach passwörtern zu phishen. In der domäjhn von „ebay“. Mit schlösschen im brauser. Wo man sich sogar die einzelheiten angucken kann, weil es das zertifikat vom „ebay“ ist.

Aber ihr klickt ja hoffentlich nicht in mäjhls herum, wenn die scheinbar von banken, internetz-diensten oder virtuellen garagenflohmärkten wie „ebay“ kommen, oder?! Ihr verwendet doch hoffentlich immer die lesezeichen eures webbrausers, oder?! Denn das phishing läuft ja meist über mäjhl, um einen link zuzustecken…

Unerschütterliches misstrauen gegenüber mäjhl ist wichtiger als jedes schlangenöl! Die frage, warum „ebay“ — immerhin eine klitsche, die ihr geschäft über dieses internetzdingens macht — nicht damit beginnt, seine mäjhl digital zu signieren und seine nutzer darüber aufzuklären, was es damit auf sich hat und wie man damit im alltag umgeht, bitte an „ebay“ stellen! Ach, „ebay“ haftet gar nicht für die betrugsgeschäfte, die dann in fremder identität über „ebay“ laufen, sondern verdient auch noch dran? Na, dann ist ja alles klar!

Polizei des tages

252 Polizeibeamte sind auf einen Phishing-Test der Berliner Polizei hereingefallen und haben eine gefälschte E-Mail mit einem Link geöffnet. 35 Beamte haben die Anweisungen befolgt und verschiedene Nutzerdaten hinterlegt […] Die Mail soll […] die Beamten aufgefordert haben, ihre dienstlichen und privaten Passwörter im „sicheren Passwortspeicher der Polizei Berlin (SPS)“ zu deponieren

Bwahahahaha!

Übrigens sind 54 prozent der phishing-mäjhls an polizeibeamte erfolgreich gewesen. (Dass es sich um jene 54 prozent der berliner polizei handelt, die sich an namensschildern lebensgefährlich verletzen, ist allerdings ein böses gerücht.) Ja, mehr als jede zweite. Ja, mehr als jeder zweite mäjhlempfänger bei der berliner polizei ist auf eine plumpe drexmäjhl reingefallen, die mit einem bisschen desein so tut, als sei sie polizeilich und hat dann unter nichtbenutzung handelsüblicher hirnfunkzjonen dienstliche daten an irgendwelche unbekannten im internetz rausgegeben. Das sind die leute, denen immer mehr befugnisse und immer größere datensammlungen zur verfügung gestellt werden, die aber offenbar nicht einmal dazu imstande sind, ihre interne kommunikazjon durch digitale signaturen zu sichern…

Und. Das sind die leute, die euch vor der fiesen internetzkriminalität schützen sollen! :mrgreen:

Gut, dass die schlimmen, füchterlichen, alles zerstörenden „cyberterroristen“ nur eine zum angstmachen rausgekramte halluzinazjon unserer innenminister sind, sonst sähe es echt übel in der BRD aus. :mrgreen:

Fratzenbuch des tages

Das fratzenbuch hat offenbar ein „kleines sicherheitsproblemchen“, das phishing so leicht macht, dass die opfer der phisher nicht einmal mehr ihre daten irgendwo eingeben müssen. Tja, viel spaß, leute, wenn ihr auf irgendwelche links in eurer zeitleiste klickt — auch ein von phishern gepwnter „echter“ bekannter kann im moment eine schleuder sein.