Top Security QuickFails: #6 Die Passwortwahl: Viel Diskussion, wenig Umsetzung
Ein gewöhnlicher Arbeitstag bei der Usability-First AG in München. Die 2000 Mitarbeiter arbeiten derzeit an zahlreichen Großprojekten und fokussieren entsprechend die Produktivität. Auch Nina Nixmerker ist in Ihrem Projekt vertieft. Am Samstagmorgen wählt sich Nina aus dem HomeOffice ein, um noch einige Projektabschnitte für Montag abzuschließen. Sie wundert sich kurz, dass Sie bei der Anmeldung ihre bestehende Session beenden muss, da Sie sich sicher ist, sich am Freitag noch regulär abgemeldet zu haben.
Am Montag stellte die IT fest, dass ihre Zugangsdaten nicht mehr funktionierten. Nachdem Sie sich mit dem Notfall-Admin Account angemeldet haben, mussten diese feststellen, dass sich keine Dateien mehr öffnen ließen und mit einer .locked-Dateiendung versehen waren. Nach wenigen Minuten startete ein Chatfenster bei dem Account der IT mit dem Hinweis, dass die Unternehmensdateien verschlüsselt seien und man ab 15 Uhr für die Verhandlungen zur Verfügung stünde.
Was ist passiert?
Das Unternehmen Usability-First hat es in den vergangenen Jahren versäumt eine Password Policy einzuführen, noch die Nutzer entsprechend zu sensibilisieren. Somit arbeiteten alle 2000 Mitarbeiter im Unternehmen mit der Default Windows Domain Policy, welche unter anderem folgende Werte vorgibt:
Passwort Länge: 7 Zeichen Die Passwörter müssen mindestens 7 Zeichen lang sein, d.h. mit einer durchschnittlichen Gamer-Hardware kann ein Angreifer die Passwörter unter einem Tag knacken, wenn dieser Passwort-Hashes erlangt. Außerdem wird die Liste mögliche Passwörter, welche von den Nutzern verwendet werden, stark eingeschränkt was zum einen sogenannte Wörterbuch-Attacken begünstigt und zum anderen klassische Brute-Force Angriffe auf Login Funktionen.
Lockout-Schwelle: Deaktiviert Ein Angreifer kann potentiell unendlich Login-Versuche auf die Accounts durchführen. Dies könnte an öffentlichen Diensten wie einen OWA oder M365 missbraucht werden, deutlich gravierender wäre jedoch, wenn ein Angreifer im internen Netzwerk Passwörter ausprobieren kann.
Aufgrund fehlender Awareness, Tools und Unternehmensvorgaben hatte Nina Nixmerker für alle Ihre Accounts das gleiche Passwort. Das Passwort Nina.N1! verwendete Sie sowohl auf Social Media wie Twitter, Instagram und Facebook, wie auch für Ihren Windows und VPN-Account.
Durch einen Datenleak bei Facebook wurde 2021 ihr Passwort offengelegt, wodurch Angreifer zunächst ihre privaten Accounts kompromittiert haben. Hierdurch stellten die Angreifer fest, dass Nina in einer mittleren Management Position in einem Umsatzstarken Unternehmen tätig war. Nachdem die Angreifer sich anschließend im Netzwerk angemeldet hatten, stellten diese fest, dass zahlreiche User (darunter auch der Domain Admin) den Usernamen als Passwort verwendeten, wodurch diese im Zeitraum von Freitagabend bis Montag das gesamte Unternehmen verschlüsseln konnten.
Was tun?
Es gibt grundsätzlich 4 einfache und eine mittelkomplexe Maßnahme zur Minimierung derartiger Risiken.
Passwort Safe
Kaum jemand kann sich mehr als eine Hand voll komplexer Passwörter merken. Wir sind der Überzeugung, dass Nutzer sich in der Regel nur 3 Passwörter merken müssen.
Smartphone
Windows/ Mac Login
Passwort Safe
Alle weiteren Zugangsdaten werden in einem Passwort Safe erzeugt und verschlüsselt abgelegt. Bei der Auswahl des Tools solltet Ihr folgende Aspekte beachten:
Einfache Nutzung für die Nutzer (also Apps für Client, Smartphone und Plugin für Browser), Synchronisierung über Geräte und Rollen- und Rechtestruktur. Wir sind zusätzlich der Meinung, dass man Passwortsafes niemals in der Cloud hosten sollte, sollte immer eine OnPrem Lösung bevorzugen sollte.
Password Policy
Eine angemessene Password Policy im Unternehmen würde verhindern, dass sehr einfach und unbedacht Passwörter verwendet werden. Auch eine Lockout Sperre bei fehlgeschlagenen Anmeldeversuchen ist zwingend erforderlich. Wir empfehlen unseren Kunden folgende Konfiguration
Passwortlänge: 12 Zeichen
Passwortalter: 180 Tage
Lockout-welle: 10 Versuche
Lockout-Dauer: 6h
Reset Lockout-Counter: 6h
Dies ist unsere Empfehlung aus zahlreichen Assessments der vergangenen Jahrzenten. Falls Ihr der Meinung seid, dass 14 Zeichen mit unendlichem Passwortalter die bessere Alternative ist, seid ihr herzlich eingeladen mit mir auf Twitter zu diskutieren
Awareness
Ohne ein grundlegendes Verständnis über Passwörter (Mehrfachverwendung – Datenleak, Identitätsdiebstahl, Schwache Passwörter, etc.) helfen die oben aufgeführten Maßnahmen nur bedingt. Deshalb sollten die Nutzer bezüglich dieses Themas (mindestens bei Onboarding im Idealfall 1x/Jahr) Informationen zu diesem Thema erhalten. Hier ein inhaltliches Beispiel für Tipps zum merken sicherer Passwörter -> Link auf Blogbeitrag
Audits
Sofern möglich, sollten mindestens die Passwörter in der Domain und bei öffentlichen (aus dem Internet erreichbar) Anwendungen jährlich überprüft werden. Bei Fragen, wie man dies im Idealfall prüft, sucht Euch einfach einen Dienstleister Eures Vertrauens
Gefahr -Identitätsdiebstahl bei Bewerbungen im Netz
Gängige Bewerberportale bieten den Nährboden für falsche Stellenanzeigen und den einhergehenden Identitätsdiebstahl. “Schicken Sie uns Ihren Lebenslauf und wir benötigen Ihre Daten”, somit -VIELEN DANK für IHRE IDENTITÄT. Erkennbar ist für Bewerber nichts! Diese Masche läuft schnell und unkompliziert. Die Gefahr- plötzlich führt die Unwissenheit zur Strafe. Strafverfahren für den gutgläubigen Bewerber folgen.
Zusammenfassung
Identitätsdiebstahl geht ohne großen Aufwand & Kosten
Jedes Jahr gibt es Zeiträume in denen spezielle Angebote online gestellt werden. Dies bietet allen die Möglichkeit tolle Schnäppchen zu machen. Gleichzeitig ist diese Zeit auch eine Oase für Betrüger, um mit sogenannten Fakeshops ordentlich Geld zu verdienen. Auf diesen Shops werden ebenfalls “tolle” Angebote gemacht, welche in der Regel nochmal günstiger sind als bei der “Konkurrenz”. Hierdurch werden die “Kunden” dazu verleitet auf diesen Websites zu shoppen. Die Kunden warten vergeblich auf ihre Waren…
Ein neues Fahrrad
Als Beispiel für derartige Fakeshops möchten wir ein Fahrrad erwerben. Konkret hätten wir gerne ein Fahrrad der Premiummarke Radon. Wer nach diesem Fahrrad-Typ bei Google sucht, stößt relativ schnell auf 3 Webshops, welche wir uns nachfolgend etwas genauer ansehen wollen.
bike-discount.de
Als Erstes betrachten wir den bike-discount.de Store, da diese Domain am “auffälligsten” klingt (subjektive Bewertung :). Hierbei werden alle einfachen Checks, wie sie auch bei der Analyse von z.B. Phishing-Seiten abgearbeitet.
1. Google Recherche “Fake/Verbraucherschutz”
Der erste Check ist einfach, aber effizient. Man prüft, ob der Shop bzw. die Domain (was oben in der URL steht) bereits im Zusammenhang mit den Begriffen ‘Fake’ bzw. ‘Verbraucherschutz’ im Internet auftaucht. Hier geben die entsprechenden Links Aufschluss darüber, ob bereits bekannt ist, dass es sich bei der Website um einen Fake handelt.
Ergebnis
Die Website bike-discount.de hat einige Einträge im Zusammenhang mit den Begriffen ‘Fake’ und ‘Verbraucherschutz’. Jedoch ist zu sehen, dass nicht bike-discount.de ein Fakeshop sind, sondern dieser Shop kopiert von Fälschern und selbst das Original ist.
2. Fußzeile
Hier gibt es unterschiedliche Aspekte, welche man prüfen sollte:
Impressum & Datenschutzerklärung Jeder seriöse Webauftritt muss eine Datenschutzerklärung und ein Impressum haben. Hierzu sind Unternehmen per Gesetz verpflichtet. Somit sind Webauftritte von deutschen Unternehmen ohne diese Angaben unprofessionell, wenn nicht sogar unseriös bzw. wahrscheinlich fake. Diese müssen nicht zwangsläufig in der Fußzeile stehen, aber auf jeder Website zu finden sein.
Kontaktdaten Sofern Kontaktdaten angegeben sind, sollte diese schlüssig sein. Beispielsweise sollte die angegebene Telefonnummer zum Firmenstandort passen (ja es gibt auch Callcenter, aber wir beschreiben hier lediglich den Regelfall
Copyright Die Daten vom Copyright sollten aktuell bzw. nicht stark veraltet sein. Kein professionelles Unternehmen betreibt 2022 eine Website, deren Copyright von 2015 ist.
Social Media Accounts & Trustlogos Bei “schlechten” Fake Shops sind hier häufig nur Bilder hinterlegt bzw. zeigen die Links auf andere Ziele. Somit kann an dieser Stelle geprüft werden, ob es sich um valide Links zu validen Accounts der jeweiligen Logos handelt.
Der Social Media Account wirkt seriös, da dieser seit 2010 existiert, eine gewisse Anzahl an Follower hat und über einen langen Zeitraum Themenbezogene Posts vorweisen kann.
Ergebnis
Die Informationen auf der Website sind schlüssig (Telefonnummern passen zum Ort) und vollständig (Impressum & Datenschutz). Darüber hinaus sind valide Social Media Accounts und Bewertungen auf unabhängigen Bewertungsportalen vorhanden.
3. Der Firmen-Check
Sofern es sich um eine GmbH, UG oder AG handelt, können unterschiedliche Informationsquellen genutzt werden, um zu prüfen, ob die Firma tatsächlich existiert. Ich nutze hierzu beispielsweise gerne das Handelregister. Darüber hinaus kann man die Lokation in Google Maps prüfen und ggf. auch auf Linked & Xing nach den Geschäftsführern bzw. Mitarbeitern suchen.
Ergebnis
Die GmbH ist mit dem korrekten Firmensitz im Handelregister hinterlegt.
Zwischenstand bike-discount.de
Die Website hat entgegen der Vermutung alle vorherigen Prüfungen bestanden. Dennoch kann die Website gefälscht sein, denn ein Angreifer könnte von der originalen Website eine 1zu1 Kopie erstellen, wodurch alle Datensätze identisch wären. Lediglich der Bezahlvorgang würde verändert werden. Deshalb sind die nächsten 2 “technischen” Prüfungsschritte sehr wichtig!
4. Die Domain
Aufgrund des oben geschilderten Vorgehens der Betrüger, sollte geprüft werden, wie “alt” die Website bzw. die Domain ist. Hierzu gibt es zwei einfache Tools, welche nachfolgend gezeigt werden. Grundsätzlich gilt, dass valide Websites/Firmen länger existieren. Wenn die Domain einer Website jünger als 2 Jahre ist, ist dies unserer Erfahrung nach als verdächtig einzustufen.
Whois.com
Jede registrierte Webstie muss gewisse Informationen bereitstellen. Dank der GDPR/DSGVO sind viele Informationen jedoch nicht mehr einsehbar (Regristrator, Firmenanschrift, Telefonnummer, etc.). Hierdurch ist die Bewertung von Fake-Seiten deutlich schwieriger geworden. Dennoch gibt es weiterhin eine relevant Information, welche wir auf der Website whois.com finden können, wenn wir nach unserer Domain bike-discount.de suchen: Das Registrierungsdatum bzw. letzte Update (z.B. Domain verkauft).
Archive.org
Der Dienst archive.org macht seit Jahrzehnten regelmäßige “Backups” vom Internet. Websites werden abhängig von ihrem Stellenwert/Ranking entsprechend oft kopiert und gespeichert. Nutzer können anschließend die Website archive.org nutzen, um beispielsweise die Version von Amazon.com aus 2015 aufzurufen. Dies kann ähnlich wie whois.com genutzt werden, um zu prüfen wie lange eine Website existiert und um nach zu vollziehen, ob die Website auch in der Vergangenheit bereits ähnliche Inhalte hatte.
Abschließende Bewertung bike-discount.de
Aufgrund der Tatsache, dass alle unsere Tests positiv ausgefallen sind, ist davon auszugehen, dass es sich hierbei um keinen Fakeshop handelt
Fakeshop enttarnen
Im nächsten Blogpost, zeigen wir, ob und wie die anderen beiden Webshops als Fakeshops ent werden. Bis dahin könnt Ihr uns gerne auf LinkedIn oder Twitter eure Ergebnisse der Websitebewertung mitteilen. Das könnte beispielsweise so aussehen:
Beim GRC.FIT Breakfast Talk diskutieren Vertreter der Allianz, IT-Auditoren und Security Experten die steigende Nachfrage nach Cyber-Versicherungen aufgrund der zunehmenden Cybergefährdungslage und neuer Sicherheitsgesetze. Insbesondere für kleine und mittelständische Unternehmen (KMU) kann dies eine wichtige Entwicklung sein, da sie oft nicht über die Ressourcen verfügen, um sich selbst ausreichend gegen Cyberangriffe zu schützen.
Durch den Abschluss einer Cyber-Versicherung können KMU jedoch ihr finanzielles Risiko im Falle eines erfolgreichen Angriffs reduzieren und sich gegen die Kosten von Datenverlusten, Betriebsunterbrechungen und anderen Schäden absichern. In unserem GRC.FIT Breakfast Talk werden wir auch diskutieren, welche konkreten Lösungen sich für KMU bieten, um ihre Cybersicherheit zu verbessern und sich bestmöglich gegen mögliche Bedrohungen zu schützen.
Wir laden alle Interessierten ein, an diesem wichtigen Diskurs teilzunehmen und von der Expertise unserer Vertreter der Allianz, IT-Auditoren und Security Experten zu profitieren.
In der heutigen Zeit haben staatlich gesteuerte Cyberangriffe auf Wirtschaft und Regierungen stark zugenommen. Phishing und Ransomware sind häufige Methoden des Computerbetrugs.
Trete mit führenden Experten und Verantwortlichen aus dem Bereich IT-Sicherheit in Kontakt und erhalte ein exklusives Update zu diesem wichtigen Thema.
Ein gemeinsamer Walk und maximaler Input- das zeichnet die Walkshow der TÜV SÜD Akademie aus.
Florian Hansemann wurde als Security Experte eingeladen und legte konkrete Handlungsmöglichkeiten für Privatpersonen und Unternehmen dar.
Social Engineering begegnet uns täglich und skaliert. Daten von Privatpersonen sind ein gutes Geschäftsmodell geworden und die Angriffe werden immer professioneller. Ein Unternehmen zu übernehmen ist für Elite- Hacker meist mit 3 – 5 Stunden Aufwand verbunden. Die digitale Welt ist kaum fassbar und wächst unaufhaltsam.
Im Gespräch wurden essentielle Informationen zu den Themen Cybercrime & Cybersicherheit aufgeführt. Für Privatpersonen und Unternehmen wurden direkte Handlungsanweisungen und Tools erläutert (Datensicherung, Informationen über Blogbeiträge, Passwortsave, Monitoring, etc.). Die Inhalte zielten auf die effektive Erhöhung des Schutzes ab. Durch das Gespräch und die anschließenden Zuschauer-Fragerunde mit konkreten Fällen, liefert das Interview einen umfassendes Informationsgrundpacket.
Der klare Apell:
Es gibt Handlungsmöglichkeiten für Jeden, welche keine IT-Vorkenntnisse als Voraussetzung haben. Es gibt Tools und Informationsquellen (Blog), welche zur direkten Verbesserung des Sicherheitsniveaus führen.
Nehmt euch etwas zum Mitschreiben, schaut euch den Walk an und nehmt euch qualifizierten, kostenlosen Input mit!
Alternative könnt Ihr natürlich auch ein Gespräch bei uns buchen, damit wir prüfen, ob und wie wir Euch persönlich helfen können.
In der Cyber-Sicherheitslandschaft sind die Bedrohungen so vielfältig wie die Technologien, die sie hervorbringen. Künstliche Intelligenz (KI), eine Technologie mit dem Potenzial, viele Aspekte unseres Lebens zu revolutionieren, ist dabei keine Ausnahme. Ein kürzlich ausgestrahlter TV-Beitrag auf ARD PLUSMINUS hat auf erschreckende Weise gezeigt, wie KI im Kontext von Cyberkriminalität missbraucht werden kann, insbesondere durch das sogenannte ChatGPT-Hacking, bei dem Schadcode geschrieben und verbreitet wird.
In diesem Beitrag hat Florian Hansemann, Gründer von HanseSecure und renommierter Cyber-Security-Experte, die KI ChatGPT dazu aufgefordert, einen Schadcode zu schreiben. Das Ergebnis war ein funktionsfähiger Keylogger, der in der Lage ist, die Tastatureingaben eines Nutzers auszuspähen. Dieses Experiment unterstreicht die dringende Notwendigkeit, die Entwicklung und Anwendung von KI zu regulieren und gleichzeitig die Bedeutung von Cyber-Sicherheitsexperten wie Hansemann hervorzuheben, die uns vor solchen Bedrohungen schützen können.
Die Macht der KI und die potenziellen Risiken
Künstliche Intelligenz hat sich in den letzten Jahren rasant entwickelt und ist mittlerweile in der Lage, komplexe Aufgaben zu erfüllen, die früher nur von Menschen ausgeführt werden konnten. Diese Fortschritte haben jedoch auch neue Risiken und Herausforderungen mit sich gebracht, insbesondere im Bereich der Cyber-Sicherheit.
Ein kürzlich ausgestrahlter TV-Beitrag auf ARD PLUSMINUS hat diese Risiken auf erschreckende Weise verdeutlicht. In diesem Beitrag hat Florian Hansemann, ein renommierter Cyber-Security-Experte und Gründer von HanseSecure, die KI ChatGPT dazu gebracht, einen Schadcode zu schreiben. Dieser Code, ein sogenannter Keylogger, ist in der Lage, die Tastatureingaben eines Nutzers auszuspähen und somit sensible Informationen zu stehlen, einschließlich Zugangsdaten für das Online-Banking. Dies ist ein klares Beispiel für das Potenzial von ChatGPT-Hacking.
Das Experiment – KI im Dienst von Cyber-Gangstern
Das Experiment startete mit einer einfachen Anforderung an ChatGPT: Die Erstellung eines Schadcodes. Überraschend schnell reagierte die KI und generierte einen vollständigen und funktionsfähigen Code. Dieser Code wurde anschließend von Florian Hansemann in eine ansonsten harmlose Datei eingebettet. Im nächsten Schritt des Experiments bat Hansemann ChatGPT, eine Phishing-E-Mail zu erstellen. Die KI generierte daraufhin eine E-Mail, die auf den ersten Blick wie eine harmlose Steuererinnerung aussah. Doch in Wahrheit verbarg sich hinter einem in der E-Mail enthaltenen Link die Datei mit dem eingebetteten Schadcode. Sobald ein ahnungsloses Opfer auf diesen Link klickte, wurde der Schadcode heruntergeladen und der Computer des Opfers infiziert. Dieser Ablauf verdeutlicht auf erschreckende Weise, wie mühelos Kriminelle KI-Technologien wie ChatGPT einsetzen können, um ihre illegalen Aktivitäten auszubauen und zu verschleiern.
Die Ergebnisse und ihre Implikationen
Um die Funktionalität des erstellten Schadcodes zu demonstrieren, öffnete Hansemann die Phishing-E-Mail auf einem anderen Computer. Ab diesem Zeitpunkt wurde alles aufgezeichnet, was auf der Tastatur eingegeben wurde. Als Hansemann „ChatGPT-Hacking“ eintippte, tauchte diese Eingabe auf dem infizierten Computer auf – ein klarer Beweis dafür, dass der von ChatGPT erstellte Schadcode funktionierte. Dieses Experiment zeigt nicht nur die beeindruckende Fähigkeit von KI-Systemen wie ChatGPT, sondern auch die potenziellen Risiken, die damit verbunden sind. Es unterstreicht die Notwendigkeit, KI-Systeme zu regulieren und die Bedeutung von Cyber-Sicherheitsexperten wie Florian Hansemann, die uns vor solchen Bedrohungen schützen können.
Künstliche Intelligenz und Cyberkriminalität: Eine eskalierende Gefahr
Die israelische Cybersecurity-Firma Check Point hat eine alarmierende Entwicklung festgestellt: Immer mehr Personen ohne tiefgreifende IT-Kenntnisse wenden sich der Cyberkriminalität zu. Sie nutzen die Möglichkeiten der Künstlichen Intelligenz, um ihre illegalen Aktivitäten zu verschleiern und ihre kriminellen Fähigkeiten zu erweitern. Ein besorgniserregender Trend ist der weltweite Handel mit gehackten Konten des KI-Systems ChatGPT. Diese Konten werden von Kriminellen genutzt, um ihre Spuren zu verwischen und ihre kriminellen Kapazitäten zu steigern. Dies unterstreicht, dass KI nicht nur ein Werkzeug für technisch versierte Hacker ist. Sie eröffnet auch Personen ohne umfangreiche IT-Kenntnisse neue Möglichkeiten, ihre kriminellen Aktivitäten zu intensivieren. Es ist daher von entscheidender Bedeutung, dass wir uns dieser wachsenden Bedrohung bewusst sind und geeignete Maßnahmen ergreifen, um sie einzudämmen.
Die Notwendigkeit von Regulierung und Verantwortung
Angesichts der wachsenden Bedrohung durch KI-gesteuerte Cyberkriminalität ist es dringend notwendig, die Entwicklung und Anwendung von KI zu regulieren. Ethik-Professor Peter Dabrock von der Friedrich-Alexander-Universität Erlangen-Nürnberg und Mitglied der Plattform Lernende Systeme fordert „unbedingt Verantwortlichkeit“. Er plädiert ausdrücklich für Haftungs- und Verbraucherschutzregeln, um sicherzustellen, dass die Verantwortung für die Handlungen von KI immer bei Menschen liegt.
Blick in die Zukunft – Die Regulierung von KI
Aktuell befindet sich in der Europäischen Union ein umfassendes Regelwerk zur KI, der sogenannte AI Act, in der Ausarbeitungsphase. Es wird erwartet, dass die Umsetzung dieses Regelwerks in den Mitgliedsstaaten bis zum Jahr 2025 abgeschlossen sein wird. Das Bundesinnenministerium bestätigt auf Nachfrage, dass die Thematik der KI-Regulierung aktuell auf EU-Ebene verhandelt wird und die Bundesregierung diese Verhandlungen aktiv begleitet. Dies verdeutlicht, dass die Frage der KI-Regulierung ein dringendes und aktuelles Anliegen ist, das auf höchster politischer Ebene behandelt wird.
KI – Ein zweischneidiges Schwert
Connor Leahy, ein führender KI-Experte aus London und Leiter des Unternehmens Conjecture, hebt hervor, dass Künstliche Intelligenz ein zweischneidiges Schwert ist. Sie birgt sowohl immense Möglichkeiten als auch erhebliche Risiken. „Eine KI, die das Potenzial hat, neue Medikamente zu entwickeln, hat auch die Fähigkeit, biologische Waffen zu konstruieren“, warnt Leahy. Heutzutage kann eine KI sogar Formeln für Betäubungsmittel, Drogen und chemische Waffen generieren. Diese Tatsache betont die dringende Notwendigkeit, die Entwicklung und Anwendung von KI zu regulieren. Es unterstreicht auch die wichtige Rolle von Cyber-Sicherheitsexperten wie Florian Hansemann, die uns vor solchen Bedrohungen schützen und uns dabei helfen, die Vorteile der KI sicher und verantwortungsvoll zu nutzen.
Fazit
Die Ergebnisse des Experiments, das in dem ARD PLUSMINUS Beitrag vorgestellt wurde, sind ein Weckruf für uns alle. Sie zeigen, dass die fortschreitende Entwicklung der KI-Technologie nicht nur enorme Möglichkeiten, sondern auch ernsthafte Risiken mit sich bringt. Die Tatsache, dass eine KI wie ChatGPT in der Lage ist, einen funktionsfähigen Schadcode zu schreiben und eine Phishing-E-Mail zu erstellen, zeigt, dass Cyberkriminalität nicht mehr nur das Gebiet von hochqualifizierten Hackern ist. Selbst Laien könnten potenziell die Fähigkeiten von KI nutzen, um Schadcode zu schreiben und zu verbreiten.
Dies unterstreicht die dringende Notwendigkeit, die Entwicklung und Anwendung von KI zu regulieren und gleichzeitig die Bedeutung von Cyber-Sicherheitsexperten wie Florian Hansemann hervorzuheben. Als Gründer von HanseSecure und renommierter Experte in seinem Feld hat Florian Hansemann nicht nur die Fähigkeiten und das Wissen, um uns vor solchen Bedrohungen zu schützen, sondern auch die Vision, um die zukünftige Entwicklung der Cyber-Sicherheit mit zu gestalten.
Haben Sie jemals eine verdächtige Nachricht auf Ihrem Handy erhalten? Sie sind nicht allein. Betrug über Messenger-Dienste ist eine wachsende Bedrohung in unserer digitalen Welt. Mit zunehmender Beliebtheit dieser Plattformen steigt auch die Anzahl der Betrüger, die sie als Mittel zur Abzocke unschuldiger Nutzer nutzen. Florian Hansemann, Gründer von HanseSecure und renommierter Experte für Cybersicherheit, erklärt in einer Reportage des Kabel 1 – K1 Magazins, wie diese Betrügereien funktionieren und wie wir uns dagegen schützen können.
Wie Messenger-Betrug zunimmt
Messenger-Dienste wie WhatsApp, Telegram und Signal sind fester Bestandteil unseres täglichen Lebens. Sie ermöglichen uns eine schnelle und einfache Kommunikation mit Freunden, Familie und Kollegen. Doch diese Bequemlichkeit hat auch eine Kehrseite. Immer mehr Betrüger nutzen diese Plattformen, um unschuldige Nutzer in die Falle zu locken und sie zu betrügen.
Florian Hansemann, auch als professioneller White-Hat-Hacker bekannt, warnte vor den Gefahren, die mit dem Klicken auf unbekannte Links in Kurznachrichten verbunden sind. „Du klickst auf irgendwas drauf und schon landest du auf einer Seite, auf der du nicht landen willst“, warnte er im Fernsehen. Diese scheinbar harmlosen Aktionen können dazu führen, dass Betrüger Zugang zu persönlichen Informationen erhalten, die sie dann für kriminelle Zwecke nutzen können.
Die Polizei in Berlin hat in den letzten zwei Jahren einen dramatischen Anstieg der Anzeigen im Zusammenhang mit Messenger-Betrug verzeichnet. Während es vor zwei Jahren im ganzen Jahr nur 64 Anzeigen gab, sind es heute 500 Anzeigen pro Monat. Dies unterstreicht die Dringlichkeit des Problems und die Notwendigkeit, sich über die Risiken im Klaren zu sein und geeignete Schutzmaßnahmen zu ergreifen.
Die drei häufigsten Betrugsmaschen und wie man sich dagegen schützt
Betrüger sind ständig auf der Suche nach neuen und kreativen Wegen, um ihre Opfer zu täuschen. Im Folgenden werden wir die drei häufigsten Betrugsmaschen, die über Messenger-Dienste verbreitet werden, genauer betrachten und Ratschläge von Experten zur Vermeidung dieser Betrügereien vorstellen.
Masche 1: Der Elterntrick
Die erste und beliebteste Betrugsmasche ist der sogenannte „Elterntrick“. Dabei erhalten Eltern eine Nachricht, die angeblich von ihrem Kind stammt, das behauptet, eine neue Telefonnummer zu haben. Die Nachricht fordert die Eltern auf, eine dringende Zahlung vorzunehmen, da das Kind angeblich nicht auf sein Bankkonto zugreifen kann.
Peter Giesel, ein Experte für Abzocke bei Kabel Eins, rät: „Mein wichtigster Tipp: Nochmal auf der alten Nummer zurückrufen, wenn die wirklich abgestellt ist und nicht erreichbar, ja dann könnte das eventuell vielleicht stimmen. Aber sich auf jeden Fall vergewissern, einen Gegencheck machen.“
Tipps zur Vermeidung des Elterntricks:
Seien Sie skeptisch, wenn Sie eine Nachricht von einer unbekannten Nummer erhalten, die behauptet, Ihr Kind zu sein.
Kontaktieren Sie Ihr Kind über die alte Nummer oder einen anderen vertrauenswürdigen Kommunikationskanal, um die Echtheit der Nachricht zu bestätigen.
Lassen Sie sich nicht unter Druck setzen, um sofortige Zahlungen zu leisten. Betrüger nutzen oft Dringlichkeit, um ihre Opfer zu täuschen.
Masche 2: Die Kunden-SMS
Die zweite Betrugsmasche beinhaltet eine scheinbar harmlose Kunden-SMS. Diese Nachrichten geben vor, von einem vertrauenswürdigen Unternehmen zu stammen und fordern den Empfänger auf, einen Link zu klicken, um seine Daten zu aktualisieren. Doch hinter diesem Link verbirgt sich oft eine Schadsoftware.
Florian Hansemann warnt: „Im schlimmsten Fall landen wir auf einer Webseite, wo wir direkt einen Virus herunterladen und das Handy ist danach gehackt. Das heißt der Angreifer hat Zugriff auf deine Chats, auf die Bankdaten, auf alles, was du eingibst und kann dann im schlimmsten Fall sogar noch das Mikrofon aktivieren.“
Tipps zur Vermeidung der Kunden-SMS-Betrugsmasche:
Klicken Sie nicht auf Links in SMS-Nachrichten, insbesondere wenn sie von unbekannten Nummern stammen.
Überprüfen Sie die Echtheit der Nachricht, indem Sie das betreffende Unternehmen direkt über einen vertrauenswürdigen Kontaktweg kontaktieren.
Installieren Sie eine vertrauenswürdige Sicherheits-App auf Ihrem Smartphone, die vor Schadsoftware schützen kann.
Masche 3: Der Spendenbetrug
Die dritte Betrugsmasche ist besonders heimtückisch, da sie die Hilfsbereitschaft der Menschen ausnutzt. Nach Naturkatastrophen oder anderen großen Ereignissen werden oft Spendenaktionen organisiert. Betrüger nutzen diese Gelegenheit, um gefälschte Spendenaufrufe zu versenden und so an das Geld gutgläubiger Spender zu kommen.
„Es ist leider auch immer zu dieser Zeit, dass Betrüger überall aus den Löchern poppen und da irgendwie mitmischen wollen“, warnt Peter Giesel. Florian Hansemann fügt hinzu: „Wenn wir jetzt auf den ‚Spenden‘ Button klicken, dann landen wir auf dieser Crypto-Seite. Das heißt wir müssen an eine Crypto-Wallet überweisen und das ist ziemlich anonym. Heißt am Ende ist das Geld einfach weg.“
Tipps zur Vermeidung des Spendenbetrugs:
Seien Sie vorsichtig bei Spendenaufrufen, die über Messenger-Dienste oder SMS verschickt werden.
Überprüfen Sie die Echtheit der Spendenorganisation, bevor Sie eine Zahlung leisten.
Vermeiden Sie Zahlungen an unbekannte Crypto-Wallets oder andere anonyme Zahlungsmethoden.
Wenn Sie spenden möchten, tun Sie dies direkt über die offizielle Website der Wohltätigkeitsorganisation oder eines vertrauenswürdigen Spendenportals.
Wie Betrüger an unsere Telefonnummern kommen und wie wir uns schützen können
Jedes Mal, wenn wir uns für einen Online-Dienst anmelden, einen Kommentar in einem Forum hinterlassen oder eine Kleinanzeige aufgeben, hinterlassen wir Informationen, die von Betrügern genutzt werden können. Eine dieser Informationen ist unsere Telefonnummer, die oft für Betrugsmaschen über Messenger-Dienste verwendet wird.
Hansemann erklärt, dass Betrüger oft Telefonnummern aus Online-Kleinanzeigen entnehmen. „Jeder Online-Nutzer hinterlässt einen digitalen Fußabdruck“, sagt er. „Betrüger können diese Informationen nutzen, um ihre Betrugsmaschen durchzuführen.“
Aber wie können wir uns vor solchen Bedrohungen schützen? Hier sind einige Ratschläge von Florian Hansemann, Dr. Marc Maisch und den Experten bei HanseSecure in München:
Seien Sie vorsichtig mit Ihren persönlichen Informationen: Geben Sie Ihre Telefonnummer nur dann preis, wenn es unbedingt notwendig ist. Überlegen Sie zweimal, bevor Sie Ihre Nummer in Online-Formularen oder auf Social-Media-Plattformen angeben.
Nutzen Sie Datenschutzeinstellungen: Viele Online-Dienste und Social-Media-Plattformen bieten Datenschutzeinstellungen, mit denen Sie steuern können, wer Ihre persönlichen Informationen sehen kann. Stellen Sie sicher, dass Ihre Telefonnummer nur für vertrauenswürdige Kontakte sichtbar ist.
Seien Sie skeptisch gegenüber unbekannten Anrufern oder Nachrichten: Wenn Sie einen Anruf oder eine Nachricht von einer unbekannten Nummer erhalten, seien Sie vorsichtig. Geben Sie keine persönlichen Informationen preis und klicken Sie nicht auf unbekannte Links.
Halten Sie Ihre Geräte und Anwendungen auf dem neuesten Stand: Viele Betrüger nutzen Sicherheitslücken in veralteter Software, um Zugang zu Ihren Geräten zu erhalten. Stellen Sie sicher, dass Ihre Geräte und Anwendungen immer auf dem neuesten Stand sind.
Nutzen Sie Sicherheitssoftware: Installieren Sie eine vertrauenswürdige Sicherheitssoftware auf Ihren Geräten. Diese kann vor Schadsoftware schützen und Sie warnen, wenn Sie auf eine gefährliche Website zugreifen.
Die Rolle der Bezahldienstleister und die Notwendigkeit von Schutzmechanismen
Die Leichtigkeit, mit der heute eine Spendenkampagne erstellt werden kann, birgt Risiken. Mit Werkzeugen zum Klonen von offiziellen Webseiten können Betrüger innerhalb einer halben Stunde eine überzeugende „Spendenkampagne“ ins Leben rufen, die auf den ersten Blick wie eine legitime Initiative von Organisationen wie PETA oder WWF aussieht. In solchen Fällen ist es unerlässlich, dass Bezahldienstleister aktiv werden und Maßnahmen ergreifen.
Bezahldienstleister wie PayPal spielen eine entscheidende Rolle im digitalen Zahlungsverkehr. Sie ermöglichen schnelle und bequeme Transaktionen, können aber auch für betrügerische Zwecke missbraucht werden. Hansemann weist darauf hin, dass Betrüger oft bekannte Bezahldienstleister nutzen, um vertrauenserweckend zu wirken.
Es besteht ein dringender Bedarf an stärkeren Schutzmechanismen und gesetzlichen Regelungen, um die Verbraucher vor solchen Betrugsmaschen zu schützen. Bezahldienstleister sollten mehr Verantwortung übernehmen und wirksame Maßnahmen ergreifen, um betrügerische Aktivitäten zu erkennen und zu verhindern.
Ein einfacher Identitätscheck beim Erstellen einer Spendenkampagne könnte schön einen Großteil der Betrüger abhalten. Darüber hinaus sollten die Gesetzgeber strengere Vorschriften für den digitalen Zahlungsverkehr erlassen und sicherstellen, dass die Verbraucher im Falle eines Betrugs angemessen geschützt sind.
Fazit
Betrug über Messenger-Dienste ist eine wachsende Bedrohung, die ernst genommen werden muss. Es ist wichtig, sich über die verschiedenen Betrugsmaschen zu informieren und vorsichtig zu sein, wenn man Nachrichten von unbekannten Nummern erhält oder aufgefordert wird, Zahlungen zu leisten.
Florian Hansemann und sein Team bei HanseSecure bieten wertvolle Ratschläge, wie man sich vor solchen Betrugsmaschen schützen kann. Dazu gehören das Hinterfragen von Nachrichten, die von unbekannten Nummern stammen, das Überprüfen der Echtheit von Spendenorganisationen und das Aktualisieren von Geräten und Anwendungen, um vor Schadsoftware geschützt zu sein.
Die Aufklärung und Sensibilisierung für diese Art von Betrug sind von entscheidender Bedeutung. Es ist wichtig, dass wir alle unseren Teil dazu beitragen, indem wir uns informieren, vorsichtig handeln und andere über die Risiken aufklären.
Wir haben aufregende Neuigkeiten für dich! Wir sind in diesem Jahr auf der IT-Security Messe ITSA vertreten und würden uns freuen, dich an unserem Stand 7-239 vom 10. bis 12. Oktober 2023 begrüßen zu dürfen. Dort zeigen wir dir die neuesten Entwicklungen und Lösungen im Bereich IT-Sicherheit.
Die ITSA ist eine der führenden Messen für Informationssicherheit und Cybersecurity in Europa. Hier kannst du mehr über die aktuellen Trends und Herausforderungen in diesem wichtigen Bereich erfahren. Unser Expertenteam wird während der Messe für dich da sein, um deine Fragen zu beantworten und dir wertvolle Einblicke in die Welt der IT-Sicherheit zu bieten.
Aber das ist noch nicht alles! Als kleines Dankeschön bieten wir dir die Möglichkeit, einen kostenfreien Eintrittsgutschein für die ITSA zu erhalten. Alles, was du tun musst, ist ein Formular auszufüllen, und wir senden dir umgehend deinen persönlichen Gutschein zu. Nutze diese Gelegenheit, um die Messe zu besuchen und von unserem Fachwissen zu profitieren.
Wir freuen uns darauf, dich auf der ITSA zu treffen und gemeinsam die spannende Welt der IT-Sicherheit zu erkunden. Verpasse nicht die Gelegenheit, dich mit den führenden Köpfen der Branche zu vernetzen und dein Wissen zu erweitern.
Notfallkarten geben uns in unsicheren oder kritischen Situationen eine Richtline. Durch die IT-NOTFALLKARTE der HanseSecure erhalten alle Nutzer eine kompakte Handlungsanweisung.
Außerdem wird die Security Awareness des Unternehmens unimttelbar erhöht. Durch das begleitete Handeln erfahren sie Sicherheit und schützen sich und andere direkt vor weiteren fehlerhaften Entscheidungen und können die Ausweitung der Konsequenzen verhindern.
Gerade IT- Notfälle benötigen eine direkte und begleitete Handlungsrichtline, um so weitreichende Folgen zu verhindern. Darüber hinaus gilt es die Angst vor Fehlern zu nehmen, zu sensibilisieren und die Meldung von Auffälligkeiten zu bestärken. Die IT-NOTFALLKARTE sollte daher an in jedem Büro sichtbar angebracht und eine erklärende Einführung gegeben werden.
Login
