Phishingtechnik des tages

Wenn ihr wegen eurer unwilligkeit, bekwem, sicher, verschlüsselt und träckingfrei mäjhl zu machen, keinen webmäjhler benutzt und… sagen wir mal… bei guhgell mäjhl seid, dann seid sehr aufmerksam, wenn ihr in eine mäjhl geklickt habt und euch neu anmelden sollt. Und meldet euch auf gar keinen fall neu an, wenn die adresszeile im brauser mit data: statt mit https: beginnt!

Die phisher haben einfach eine komplette phishing-seite in einer data:-URL untergebracht.

Von einer ausweitung des verfahrens auf andere kostenlose mäjhlanbieter sowie auf S/M-seits gehe ich aus. Denen, deren guhgell-konto schon gephisht wurde, wünsche ich viel spaß dabei, sich alles zurückzuholen, wofür sie sich „bekwem mit dem guhgell-konto“ angemeldet haben. Wenn euch doch nur jemand vor solchen zentralisierungen gewarnt hätte! :mrgreen:

Hinweis via @benediktg@gnusocial.de

Fratzenbuch und security des tages

Das fratzenbuch setzt sich für das notleidende phishing-gewerbe ein und hat es sehr einfach gemacht, über die fratzenbuch-äpp-schnittstelle überzeugende phishing-seiten für fratzenbuch-anmeldedaten zu erstellen. Das besteste daran: die phishing-seiten liegen in der fratzenbuch-domäjhn und kommen mit dem TLS-zertifikat vom fratzenbuch (so dass das schöne, sicherheit verheißende schlösschen im brauser sichtbar wird).

Via @benediktg@gnusocial.de

Security des tages

Bei „ebay“ gibt es eine fiese XSS-lücke, die es ermöglicht, mit der webseit von „ebay“ selbst nach passwörtern zu phishen. In der domäjhn von „ebay“. Mit schlösschen im brauser. Wo man sich sogar die einzelheiten angucken kann, weil es das zertifikat vom „ebay“ ist.

Aber ihr klickt ja hoffentlich nicht in mäjhls herum, wenn die scheinbar von banken, internetz-diensten oder virtuellen garagenflohmärkten wie „ebay“ kommen, oder?! Ihr verwendet doch hoffentlich immer die lesezeichen eures webbrausers, oder?! Denn das phishing läuft ja meist über mäjhl, um einen link zuzustecken…

Unerschütterliches misstrauen gegenüber mäjhl ist wichtiger als jedes schlangenöl! Die frage, warum „ebay“ — immerhin eine klitsche, die ihr geschäft über dieses internetzdingens macht — nicht damit beginnt, seine mäjhl digital zu signieren und seine nutzer darüber aufzuklären, was es damit auf sich hat und wie man damit im alltag umgeht, bitte an „ebay“ stellen! Ach, „ebay“ haftet gar nicht für die betrugsgeschäfte, die dann in fremder identität über „ebay“ laufen, sondern verdient auch noch dran? Na, dann ist ja alles klar!

Polizei des tages

252 Polizeibeamte sind auf einen Phishing-Test der Berliner Polizei hereingefallen und haben eine gefälschte E-Mail mit einem Link geöffnet. 35 Beamte haben die Anweisungen befolgt und verschiedene Nutzerdaten hinterlegt […] Die Mail soll […] die Beamten aufgefordert haben, ihre dienstlichen und privaten Passwörter im „sicheren Passwortspeicher der Polizei Berlin (SPS)“ zu deponieren

Bwahahahaha!

Übrigens sind 54 prozent der phishing-mäjhls an polizeibeamte erfolgreich gewesen. (Dass es sich um jene 54 prozent der berliner polizei handelt, die sich an namensschildern lebensgefährlich verletzen, ist allerdings ein böses gerücht.) Ja, mehr als jede zweite. Ja, mehr als jeder zweite mäjhlempfänger bei der berliner polizei ist auf eine plumpe drexmäjhl reingefallen, die mit einem bisschen desein so tut, als sei sie polizeilich und hat dann unter nichtbenutzung handelsüblicher hirnfunkzjonen dienstliche daten an irgendwelche unbekannten im internetz rausgegeben. Das sind die leute, denen immer mehr befugnisse und immer größere datensammlungen zur verfügung gestellt werden, die aber offenbar nicht einmal dazu imstande sind, ihre interne kommunikazjon durch digitale signaturen zu sichern…

Und. Das sind die leute, die euch vor der fiesen internetzkriminalität schützen sollen! :mrgreen:

Gut, dass die schlimmen, füchterlichen, alles zerstörenden „cyberterroristen“ nur eine zum angstmachen rausgekramte halluzinazjon unserer innenminister sind, sonst sähe es echt übel in der BRD aus. :mrgreen:

Fratzenbuch des tages

Das fratzenbuch hat offenbar ein „kleines sicherheitsproblemchen“, das phishing so leicht macht, dass die opfer der phisher nicht einmal mehr ihre daten irgendwo eingeben müssen. Tja, viel spaß, leute, wenn ihr auf irgendwelche links in eurer zeitleiste klickt — auch ein von phishern gepwnter „echter“ bekannter kann im moment eine schleuder sein.

Ändräut des tages

Wer freut sich nicht alles über bekweme wischofone, die so toll und einfach sind und über hersteller solcher wischofone, die schwere offene sicherheitslücken nicht zumachen? Phisher freuen sich da zum beispiel total drüber

Gar nicht auszudenken, was hier loswäre, wenn hersteller für ihre kaputten produkte haftbar gemacht werden könnten.

Phishing des tages

Tja, wenn irgendwelche mänätschment-verbrecher abgezogen werden, die das schon gewohnt sind, mal eben irgendwelche milljonenbeträge klammheimlich auf nicht weiter dokumentierte absprache hin nach irgendwo ins ausland auf bislang unbenutzte konten zu verschieben, dann haben die phisher sehr leichtes spiel. Wer sollte da denn eine kleine rückfrage machen? Sind doch nur sportliche siebzehn milljonen dollar. Und hej, ist doch klar, dass das nicht über eine firmen-mäjhladresse läuft… :mrgreen:

TLS des tages

Bei heise onlein haben sie jetzt entdeckt, dass kriminelle inzwischen auch HTTPS können und dass das im brauser dargestellte schlösschen — neben der tatsache, dass die daten verschlüsselt zu phishern und anderem geschmeiß gehen — nichts über die sicherheit sagt.

Nun, ich habe die erste kriminelle webseit mit kryptografischem zertifikat und schlösschen in der adresszeile vor gut neun monaten gesehen. Meine überraschung könnte gar nicht kleiner sein…

Datenschleuder des tages

Die datenschleuder des tages ist nvidia, die mal eben einen großen haufen kundendaten und ihre mitarbeiter-datenbank veröffentlicht haben.

Auch weiterhin viel spaß beim vertrauen in den datenschutz irgendwelcher klitschen, die für so etwas immer noch nicht haften müssen.

Leider läuft gulli gerade nicht so rund, es scheint eine DOS-attacke zu laufen.

Fratzenbuch des tages

Beim fratzenbuch erleben gerade ein paar nutzer, was passiert, wenn man von darauf dressiert wird, eine seite für autentisch zu halten, nur weil sie ein kleines symbol vom fratzenbuch trägt, dass anzeigt, dass die seite autentisch ist: ein paar phisher holen sich die daten von naiven fratzenbuch-nutzern ab, die eine solches bestätigungdings in ihrem profil haben wollen. Natürlich mit „bestätigung“ durch angabe von ein paar daten, die das fratzenbuch schon lange kennt — und die man sich bei der anmeldung genau so gut einfach hätte ausdenken können. Damit wird dann das profil von spämmern gepwnt.

Auch weiterhin viel spaß mit der kombinazjon aus geltungsbedürfnis und dummheit; ein ideales geistiges biotop für die freude am fratzenbuch! Auch wer sich nicht phishen lässt, die öffentlich einsehbaren daten sind freiwild und werden von jedem unseriösen geschäftemacher verwendet.

Gut, dass es um die etik der häcker…

Gut, dass es um die etik der (meisten) häcker wesentlich besser bestellt ist als um die etik staatlicher spitzelbehörden, sonst hätte es wohl…

[…] Das integrierte Online-Banking der Bundesfinanzagentur zeigte ebenfalls schwere Sicherheitsmängel. Ist man bei der Bundesfinanzagentur Kunde, kann man die Seite www.bundeswertpapiere.de als Einstiegsseite für das Internet-Banking nutzen. Man klickt dazu im Menü auf den Link „Internet Banking“. Ein Angreifer kann nun wegen der fehlerhaften Konfiguration des Webservers selbst bestimmen, was bei einem Klick eines Kunden auf „Internet Banking“ geschieht. Er kann den Webserver so umprogrammieren, daß dieser als Zwischenpuffer für das Webbanking-System funktioniert – ein Vorgehen, das als Phishing bekannt ist. Die eingesetzte Apache-Webserversoftware unterstützt die nötigen Funktionen bereits standardmäßig.

Dadurch können Daten wie Benutzernamen, Paßwörter und PINs, die von den Nutzern eingegeben werden, ohne viel Aufwand abgefangen und kriminell mißbraucht werden.

…einen wirklich großen schaden bei diesem sicherheitloch gegeben.