Haben Sie jemals eine verdächtige Nachricht auf Ihrem Handy erhalten? Sie sind nicht allein. Betrug über Messenger-Dienste ist eine wachsende Bedrohung in unserer digitalen Welt. Mit zunehmender Beliebtheit dieser Plattformen steigt auch die Anzahl der Betrüger, die sie als Mittel zur Abzocke unschuldiger Nutzer nutzen. Florian Hansemann, Gründer von HanseSecure und renommierter Experte für Cybersicherheit, erklärt in einer Reportage des Kabel 1 – K1 Magazins, wie diese Betrügereien funktionieren und wie wir uns dagegen schützen können.

Wie Messenger-Betrug zunimmt

Messenger-Dienste wie WhatsApp, Telegram und Signal sind fester Bestandteil unseres täglichen Lebens. Sie ermöglichen uns eine schnelle und einfache Kommunikation mit Freunden, Familie und Kollegen. Doch diese Bequemlichkeit hat auch eine Kehrseite. Immer mehr Betrüger nutzen diese Plattformen, um unschuldige Nutzer in die Falle zu locken und sie zu betrügen.

Florian Hansemann, auch als professioneller White-Hat-Hacker bekannt, warnte vor den Gefahren, die mit dem Klicken auf unbekannte Links in Kurznachrichten verbunden sind. „Du klickst auf irgendwas drauf und schon landest du auf einer Seite, auf der du nicht landen willst“, warnte er im Fernsehen. Diese scheinbar harmlosen Aktionen können dazu führen, dass Betrüger Zugang zu persönlichen Informationen erhalten, die sie dann für kriminelle Zwecke nutzen können.

Die Polizei in Berlin hat in den letzten zwei Jahren einen dramatischen Anstieg der Anzeigen im Zusammenhang mit Messenger-Betrug verzeichnet. Während es vor zwei Jahren im ganzen Jahr nur 64 Anzeigen gab, sind es heute 500 Anzeigen pro Monat. Dies unterstreicht die Dringlichkeit des Problems und die Notwendigkeit, sich über die Risiken im Klaren zu sein und geeignete Schutzmaßnahmen zu ergreifen.

Die drei häufigsten Betrugsmaschen und wie man sich dagegen schützt

Betrüger sind ständig auf der Suche nach neuen und kreativen Wegen, um ihre Opfer zu täuschen. Im Folgenden werden wir die drei häufigsten Betrugsmaschen, die über Messenger-Dienste verbreitet werden, genauer betrachten und Ratschläge von Experten zur Vermeidung dieser Betrügereien vorstellen.

Masche 1: Der Elterntrick

Die erste und beliebteste Betrugsmasche ist der sogenannte „Elterntrick“. Dabei erhalten Eltern eine Nachricht, die angeblich von ihrem Kind stammt, das behauptet, eine neue Telefonnummer zu haben. Die Nachricht fordert die Eltern auf, eine dringende Zahlung vorzunehmen, da das Kind angeblich nicht auf sein Bankkonto zugreifen kann.

Peter Giesel, ein Experte für Abzocke bei Kabel Eins, rät: „Mein wichtigster Tipp: Nochmal auf der alten Nummer zurückrufen, wenn die wirklich abgestellt ist und nicht erreichbar, ja dann könnte das eventuell vielleicht stimmen. Aber sich auf jeden Fall vergewissern, einen Gegencheck machen.“

Tipps zur Vermeidung des Elterntricks:

• Seien Sie skeptisch, wenn Sie eine Nachricht von einer unbekannten Nummer erhalten, die behauptet, Ihr Kind zu sein.
• Kontaktieren Sie Ihr Kind über die alte Nummer oder einen anderen vertrauenswürdigen Kommunikationskanal, um die Echtheit der Nachricht zu bestätigen.
• Lassen Sie sich nicht unter Druck setzen, um sofortige Zahlungen zu leisten. Betrüger nutzen oft Dringlichkeit, um ihre Opfer zu täuschen.

Masche 2: Die Kunden-SMS

Die zweite Betrugsmasche beinhaltet eine scheinbar harmlose Kunden-SMS. Diese Nachrichten geben vor, von einem vertrauenswürdigen Unternehmen zu stammen und fordern den Empfänger auf, einen Link zu klicken, um seine Daten zu aktualisieren. Doch hinter diesem Link verbirgt sich oft eine Schadsoftware.

Florian Hansemann warnt: „Im schlimmsten Fall landen wir auf einer Webseite, wo wir direkt einen Virus herunterladen und das Handy ist danach gehackt. Das heißt der Angreifer hat Zugriff auf deine Chats, auf die Bankdaten, auf alles, was du eingibst und kann dann im schlimmsten Fall sogar noch das Mikrofon aktivieren.“

Tipps zur Vermeidung der Kunden-SMS-Betrugsmasche:

• Klicken Sie nicht auf Links in SMS-Nachrichten, insbesondere wenn sie von unbekannten Nummern stammen.
• Überprüfen Sie die Echtheit der Nachricht, indem Sie das betreffende Unternehmen direkt über einen vertrauenswürdigen Kontaktweg kontaktieren.
• Installieren Sie eine vertrauenswürdige Sicherheits-App auf Ihrem Smartphone, die vor Schadsoftware schützen kann.

Masche 3: Der Spendenbetrug

Die dritte Betrugsmasche ist besonders heimtückisch, da sie die Hilfsbereitschaft der Menschen ausnutzt. Nach Naturkatastrophen oder anderen großen Ereignissen werden oft Spendenaktionen organisiert. Betrüger nutzen diese Gelegenheit, um gefälschte Spendenaufrufe zu versenden und so an das Geld gutgläubiger Spender zu kommen.

„Es ist leider auch immer zu dieser Zeit, dass Betrüger überall aus den Löchern poppen und da irgendwie mitmischen wollen“, warnt Peter Giesel. Florian Hansemann fügt hinzu: „Wenn wir jetzt auf den ‚Spenden‘ Button klicken, dann landen wir auf dieser Crypto-Seite. Das heißt wir müssen an eine Crypto-Wallet überweisen und das ist ziemlich anonym. Heißt am Ende ist das Geld einfach weg.“

Tipps zur Vermeidung des Spendenbetrugs:

• Seien Sie vorsichtig bei Spendenaufrufen, die über Messenger-Dienste oder SMS verschickt werden.
• Überprüfen Sie die Echtheit der Spendenorganisation, bevor Sie eine Zahlung leisten.
• Vermeiden Sie Zahlungen an unbekannte Crypto-Wallets oder andere anonyme Zahlungsmethoden.
• Wenn Sie spenden möchten, tun Sie dies direkt über die offizielle Website der Wohltätigkeitsorganisation oder eines vertrauenswürdigen Spendenportals.

Wie Betrüger an unsere Telefonnummern kommen und wie wir uns schützen können

Jedes Mal, wenn wir uns für einen Online-Dienst anmelden, einen Kommentar in einem Forum hinterlassen oder eine Kleinanzeige aufgeben, hinterlassen wir Informationen, die von Betrügern genutzt werden können. Eine dieser Informationen ist unsere Telefonnummer, die oft für Betrugsmaschen über Messenger-Dienste verwendet wird.

Hansemann erklärt, dass Betrüger oft Telefonnummern aus Online-Kleinanzeigen entnehmen. „Jeder Online-Nutzer hinterlässt einen digitalen Fußabdruck“, sagt er. „Betrüger können diese Informationen nutzen, um ihre Betrugsmaschen durchzuführen.“

Aber wie können wir uns vor solchen Bedrohungen schützen? Hier sind einige Ratschläge von Florian Hansemann, Dr. Marc Maisch und den Experten bei HanseSecure in München:

• Seien Sie vorsichtig mit Ihren persönlichen Informationen: Geben Sie Ihre Telefonnummer nur dann preis, wenn es unbedingt notwendig ist. Überlegen Sie zweimal, bevor Sie Ihre Nummer in Online-Formularen oder auf Social-Media-Plattformen angeben.
• Nutzen Sie Datenschutzeinstellungen: Viele Online-Dienste und Social-Media-Plattformen bieten Datenschutzeinstellungen, mit denen Sie steuern können, wer Ihre persönlichen Informationen sehen kann. Stellen Sie sicher, dass Ihre Telefonnummer nur für vertrauenswürdige Kontakte sichtbar ist.
• Seien Sie skeptisch gegenüber unbekannten Anrufern oder Nachrichten: Wenn Sie einen Anruf oder eine Nachricht von einer unbekannten Nummer erhalten, seien Sie vorsichtig. Geben Sie keine persönlichen Informationen preis und klicken Sie nicht auf unbekannte Links.
• Halten Sie Ihre Geräte und Anwendungen auf dem neuesten Stand: Viele Betrüger nutzen Sicherheitslücken in veralteter Software, um Zugang zu Ihren Geräten zu erhalten. Stellen Sie sicher, dass Ihre Geräte und Anwendungen immer auf dem neuesten Stand sind.
• Nutzen Sie Sicherheitssoftware: Installieren Sie eine vertrauenswürdige Sicherheitssoftware auf Ihren Geräten. Diese kann vor Schadsoftware schützen und Sie warnen, wenn Sie auf eine gefährliche Website zugreifen.

Die Rolle der Bezahldienstleister und die Notwendigkeit von Schutzmechanismen

Die Leichtigkeit, mit der heute eine Spendenkampagne erstellt werden kann, birgt Risiken. Mit Werkzeugen zum Klonen von offiziellen Webseiten können Betrüger innerhalb einer halben Stunde eine überzeugende „Spendenkampagne“ ins Leben rufen, die auf den ersten Blick wie eine legitime Initiative von Organisationen wie PETA oder WWF aussieht. In solchen Fällen ist es unerlässlich, dass Bezahldienstleister aktiv werden und Maßnahmen ergreifen.

Bezahldienstleister wie PayPal spielen eine entscheidende Rolle im digitalen Zahlungsverkehr. Sie ermöglichen schnelle und bequeme Transaktionen, können aber auch für betrügerische Zwecke missbraucht werden. Hansemann weist darauf hin, dass Betrüger oft bekannte Bezahldienstleister nutzen, um vertrauenserweckend zu wirken.

Es besteht ein dringender Bedarf an stärkeren Schutzmechanismen und gesetzlichen Regelungen, um die Verbraucher vor solchen Betrugsmaschen zu schützen. Bezahldienstleister sollten mehr Verantwortung übernehmen und wirksame Maßnahmen ergreifen, um betrügerische Aktivitäten zu erkennen und zu verhindern.

Ein einfacher Identitätscheck beim Erstellen einer Spendenkampagne könnte schön einen Großteil der Betrüger abhalten. Darüber hinaus sollten die Gesetzgeber strengere Vorschriften für den digitalen Zahlungsverkehr erlassen und sicherstellen, dass die Verbraucher im Falle eines Betrugs angemessen geschützt sind.

Fazit

Betrug über Messenger-Dienste ist eine wachsende Bedrohung, die ernst genommen werden muss. Es ist wichtig, sich über die verschiedenen Betrugsmaschen zu informieren und vorsichtig zu sein, wenn man Nachrichten von unbekannten Nummern erhält oder aufgefordert wird, Zahlungen zu leisten.

Florian Hansemann und sein Team bei HanseSecure bieten wertvolle Ratschläge, wie man sich vor solchen Betrugsmaschen schützen kann. Dazu gehören das Hinterfragen von Nachrichten, die von unbekannten Nummern stammen, das Überprüfen der Echtheit von Spendenorganisationen und das Aktualisieren von Geräten und Anwendungen, um vor Schadsoftware geschützt zu sein.

Die Aufklärung und Sensibilisierung für diese Art von Betrug sind von entscheidender Bedeutung. Es ist wichtig, dass wir alle unseren Teil dazu beitragen, indem wir uns informieren, vorsichtig handeln und andere über die Risiken aufklären.

Sie können den vollständigen Beitrag von Kabel 1 zur Abzocke per SMS hier anschauen.

Der Beitrag SMS-Abzocke: Wie Sie sich vor den häufigsten Messenger-Betrugsfallen schützen können erschien zuerst auf HanseSecure GmbH.

Lizenzfreies Bild von Pexels: https://www.pexels.com/de-de/foto/schreibtisch-laptop-technologie-homeoffice-16037283/

In der Cyber-Sicherheitslandschaft sind die Bedrohungen so vielfältig wie die Technologien, die sie hervorbringen. Künstliche Intelligenz (KI), eine Technologie mit dem Potenzial, viele Aspekte unseres Lebens zu revolutionieren, ist dabei keine Ausnahme. Ein kürzlich ausgestrahlter TV-Beitrag auf ARD PLUSMINUS hat auf erschreckende Weise gezeigt, wie KI im Kontext von Cyberkriminalität missbraucht werden kann, insbesondere durch das sogenannte ChatGPT-Hacking, bei dem Schadcode geschrieben und verbreitet wird.

In diesem Beitrag hat Florian Hansemann, Gründer von HanseSecure und renommierter Cyber-Security-Experte, die KI ChatGPT dazu aufgefordert, einen Schadcode zu schreiben. Das Ergebnis war ein funktionsfähiger Keylogger, der in der Lage ist, die Tastatureingaben eines Nutzers auszuspähen. Dieses Experiment unterstreicht die dringende Notwendigkeit, die Entwicklung und Anwendung von KI zu regulieren und gleichzeitig die Bedeutung von Cyber-Sicherheitsexperten wie Hansemann hervorzuheben, die uns vor solchen Bedrohungen schützen können.

Die Macht der KI und die potenziellen Risiken

Künstliche Intelligenz hat sich in den letzten Jahren rasant entwickelt und ist mittlerweile in der Lage, komplexe Aufgaben zu erfüllen, die früher nur von Menschen ausgeführt werden konnten. Diese Fortschritte haben jedoch auch neue Risiken und Herausforderungen mit sich gebracht, insbesondere im Bereich der Cyber-Sicherheit.

Ein kürzlich ausgestrahlter TV-Beitrag auf ARD PLUSMINUS hat diese Risiken auf erschreckende Weise verdeutlicht. In diesem Beitrag hat Florian Hansemann, ein renommierter Cyber-Security-Experte und Gründer von HanseSecure, die KI ChatGPT dazu gebracht, einen Schadcode zu schreiben. Dieser Code, ein sogenannter Keylogger, ist in der Lage, die Tastatureingaben eines Nutzers auszuspähen und somit sensible Informationen zu stehlen, einschließlich Zugangsdaten für das Online-Banking. Dies ist ein klares Beispiel für das Potenzial von ChatGPT-Hacking.

Das Experiment – KI im Dienst von Cyber-Gangstern

Das Experiment startete mit einer einfachen Anforderung an ChatGPT: Die Erstellung eines Schadcodes. Überraschend schnell reagierte die KI und generierte einen vollständigen und funktionsfähigen Code. Dieser Code wurde anschließend von Florian Hansemann in eine ansonsten harmlose Datei eingebettet. Im nächsten Schritt des Experiments bat Hansemann ChatGPT, eine Phishing-E-Mail zu erstellen. Die KI generierte daraufhin eine E-Mail, die auf den ersten Blick wie eine harmlose Steuererinnerung aussah. Doch in Wahrheit verbarg sich hinter einem in der E-Mail enthaltenen Link die Datei mit dem eingebetteten Schadcode. Sobald ein ahnungsloses Opfer auf diesen Link klickte, wurde der Schadcode heruntergeladen und der Computer des Opfers infiziert. Dieser Ablauf verdeutlicht auf erschreckende Weise, wie mühelos Kriminelle KI-Technologien wie ChatGPT einsetzen können, um ihre illegalen Aktivitäten auszubauen und zu verschleiern.

Die Ergebnisse und ihre Implikationen

Um die Funktionalität des erstellten Schadcodes zu demonstrieren, öffnete Hansemann die Phishing-E-Mail auf einem anderen Computer. Ab diesem Zeitpunkt wurde alles aufgezeichnet, was auf der Tastatur eingegeben wurde. Als Hansemann „ChatGPT-Hacking“ eintippte, tauchte diese Eingabe auf dem infizierten Computer auf – ein klarer Beweis dafür, dass der von ChatGPT erstellte Schadcode funktionierte. Dieses Experiment zeigt nicht nur die beeindruckende Fähigkeit von KI-Systemen wie ChatGPT, sondern auch die potenziellen Risiken, die damit verbunden sind. Es unterstreicht die Notwendigkeit, KI-Systeme zu regulieren und die Bedeutung von Cyber-Sicherheitsexperten wie Florian Hansemann, die uns vor solchen Bedrohungen schützen können.

Künstliche Intelligenz und Cyberkriminalität: Eine eskalierende Gefahr

Die israelische Cybersecurity-Firma Check Point hat eine alarmierende Entwicklung festgestellt: Immer mehr Personen ohne tiefgreifende IT-Kenntnisse wenden sich der Cyberkriminalität zu. Sie nutzen die Möglichkeiten der Künstlichen Intelligenz, um ihre illegalen Aktivitäten zu verschleiern und ihre kriminellen Fähigkeiten zu erweitern. Ein besorgniserregender Trend ist der weltweite Handel mit gehackten Konten des KI-Systems ChatGPT. Diese Konten werden von Kriminellen genutzt, um ihre Spuren zu verwischen und ihre kriminellen Kapazitäten zu steigern. Dies unterstreicht, dass KI nicht nur ein Werkzeug für technisch versierte Hacker ist. Sie eröffnet auch Personen ohne umfangreiche IT-Kenntnisse neue Möglichkeiten, ihre kriminellen Aktivitäten zu intensivieren. Es ist daher von entscheidender Bedeutung, dass wir uns dieser wachsenden Bedrohung bewusst sind und geeignete Maßnahmen ergreifen, um sie einzudämmen.

Die Notwendigkeit von Regulierung und Verantwortung

Angesichts der wachsenden Bedrohung durch KI-gesteuerte Cyberkriminalität ist es dringend notwendig, die Entwicklung und Anwendung von KI zu regulieren. Ethik-Professor Peter Dabrock von der Friedrich-Alexander-Universität Erlangen-Nürnberg und Mitglied der Plattform Lernende Systeme fordert „unbedingt Verantwortlichkeit“. Er plädiert ausdrücklich für Haftungs- und Verbraucherschutzregeln, um sicherzustellen, dass die Verantwortung für die Handlungen von KI immer bei Menschen liegt.

Blick in die Zukunft – Die Regulierung von KI

Aktuell befindet sich in der Europäischen Union ein umfassendes Regelwerk zur KI, der sogenannte AI Act, in der Ausarbeitungsphase. Es wird erwartet, dass die Umsetzung dieses Regelwerks in den Mitgliedsstaaten bis zum Jahr 2025 abgeschlossen sein wird. Das Bundesinnenministerium bestätigt auf Nachfrage, dass die Thematik der KI-Regulierung aktuell auf EU-Ebene verhandelt wird und die Bundesregierung diese Verhandlungen aktiv begleitet. Dies verdeutlicht, dass die Frage der KI-Regulierung ein dringendes und aktuelles Anliegen ist, das auf höchster politischer Ebene behandelt wird.

KI – Ein zweischneidiges Schwert

Connor Leahy, ein führender KI-Experte aus London und Leiter des Unternehmens Conjecture, hebt hervor, dass Künstliche Intelligenz ein zweischneidiges Schwert ist. Sie birgt sowohl immense Möglichkeiten als auch erhebliche Risiken. „Eine KI, die das Potenzial hat, neue Medikamente zu entwickeln, hat auch die Fähigkeit, biologische Waffen zu konstruieren“, warnt Leahy. Heutzutage kann eine KI sogar Formeln für Betäubungsmittel, Drogen und chemische Waffen generieren. Diese Tatsache betont die dringende Notwendigkeit, die Entwicklung und Anwendung von KI zu regulieren. Es unterstreicht auch die wichtige Rolle von Cyber-Sicherheitsexperten wie Florian Hansemann, die uns vor solchen Bedrohungen schützen und uns dabei helfen, die Vorteile der KI sicher und verantwortungsvoll zu nutzen.

Fazit

Die Ergebnisse des Experiments, das in dem ARD PLUSMINUS Beitrag vorgestellt wurde, sind ein Weckruf für uns alle. Sie zeigen, dass die fortschreitende Entwicklung der KI-Technologie nicht nur enorme Möglichkeiten, sondern auch ernsthafte Risiken mit sich bringt. Die Tatsache, dass eine KI wie ChatGPT in der Lage ist, einen funktionsfähigen Schadcode zu schreiben und eine Phishing-E-Mail zu erstellen, zeigt, dass Cyberkriminalität nicht mehr nur das Gebiet von hochqualifizierten Hackern ist. Selbst Laien könnten potenziell die Fähigkeiten von KI nutzen, um Schadcode zu schreiben und zu verbreiten.

Dies unterstreicht die dringende Notwendigkeit, die Entwicklung und Anwendung von KI zu regulieren und gleichzeitig die Bedeutung von Cyber-Sicherheitsexperten wie Florian Hansemann hervorzuheben. Als Gründer von HanseSecure und renommierter Experte in seinem Feld hat Florian Hansemann nicht nur die Fähigkeiten und das Wissen, um uns vor solchen Bedrohungen zu schützen, sondern auch die Vision, um die zukünftige Entwicklung der Cyber-Sicherheit mit zu gestalten.

Sie können den vollständigen ARD PLUSMINUS Beitrag zur gefährlichen KI hier ansehen.

Der Beitrag Die dunkle Seite der KI – Wie ChatGPT zum Werkzeug für Cyberkriminalität wird erschien zuerst auf HanseSecure GmbH.

Expertentalk der TÜV SÜD Akademie

Ein gemeinsamer Walk und maximaler Input- das zeichnet die Walkshow der TÜV SÜD Akademie aus.
Florian Hansemann wurde als Security Experte eingeladen und legte konkrete Handlungsmöglichkeiten für Privatpersonen und Unternehmen dar.

Der Beitrag HanseSecure bei der Walkshow: Cyber. Aber sicher! erschien zuerst auf HanseSecure GmbH.

It is a long established fact that a reader will be distracted by the readable content of a page when looking at its layout. The point of using Lorem Ipsum is that it has a more-or-less normal distribution of letters, as opposed to using ‚Content here, content here‘, making it look like readable English. Many desktop

Der Beitrag Schwachstelle in PasswordSafe (Mateso) erschien zuerst auf HanseSecure GmbH.

Eine Schwachstelle in DXL Broker für Windows vor 6.0.0.280 ermöglicht es lokalen Benutzern, durch Ausnutzung schwacher Verzeichnissteuerungen im Logs-Verzeichnis erweiterte Rechte zu erlangen. Dies kann zu einem Denial-of-Service-Angriff auf den DXL Broker führen.

Der Beitrag Schwachstelle in McAfee erschien zuerst auf HanseSecure GmbH.

Florian Hansemann as speaker in the Allinaz Arena...

Verwundbare Software SafeNet Authentication Service Agent für Windows Version 3.4.0.1060 für Windows (Windows Server 2019) Schwachstelle Local privilege Escalation Zeitlinie

Safety first! Learn everything about your company’s IT vulnerabilities, how to protect yourself from ransomware attacks and which backups are essential at our X-perience Day Security. Come by our office in Neu-Ulm, enjoy coffee and cake while we show you how to take your IT security to the next level When: 29.03.2023 @ 13:00 – […]

Der Beitrag ISX-IT Security Conference erschien zuerst auf HanseSecure GmbH.

CVE pending – pending – Vulnerable software PasswordSafe 8.12.1.22757 (according to the manufacturer, the current version 8.13.9.26689 was also affected at that time) Vulnerability Weak cryptography Timeline

A joint walk and maximum input - this is what distinguishes the walk show of the TÜV SÜD Academy. Florian Hansemann was invited as a security expert and presented concrete options for action for private individuals and companies.

Sicherheit geht vor! Lernen Sie bei unserem X-perience Day Security alles über die IT-Schwachstellen Ihres Unternehmens, erfahren Sie wie Sie sich vor Ransomware Attacken schützen und welche Backups unerlässlich sind. Kommen Sie vorbei in unserem Office in Neu-Ulm, genießen Sie Kaffee und Kuchen, während wir Ihnen zeigen, wie Sie Ihre IT-Sicherheit auf das nächste Level […]

Beim GRC.FIT Breakfast Talk diskutieren Vertreter der Allianz, IT-Auditoren und Security Experten die steigende Nachfrage nach Cyber-Versicherungen aufgrund der zunehmenden Cybergefährdungslage und neuer Sicherheitsgesetze. Insbesondere für kleine und mittelständische Unternehmen (KMU) kann dies eine wichtige Entwicklung sein, da sie oft nicht über die Ressourcen verfügen, um sich selbst ausreichend gegen Cyberangriffe zu schützen.

Durch den Abschluss einer Cyber-Versicherung können KMU jedoch ihr finanzielles Risiko im Falle eines erfolgreichen Angriffs reduzieren und sich gegen die Kosten von Datenverlusten, Betriebsunterbrechungen und anderen Schäden absichern. In unserem GRC.FIT Breakfast Talk werden wir auch diskutieren, welche konkreten Lösungen sich für KMU bieten, um ihre Cybersicherheit zu verbessern und sich bestmöglich gegen mögliche Bedrohungen zu schützen.

Wir laden alle Interessierten ein, an diesem wichtigen Diskurs teilzunehmen und von der Expertise unserer Vertreter der Allianz, IT-Auditoren und Security Experten zu profitieren.

Was: https://lnkd.in/eNTsQyzR

Wann: 17.03.2023 @ 9 – 12 Uhr

Wo: Steelcase GmbH; Brienner Straße 42; 80333 München

Der Beitrag GRC.FIT Breakfast Talk 17.03.2023 @ 9- 12 Uhr erschien zuerst auf HanseSecure GmbH.

^

CVE ausstehend – ausstehend – Verwundbare Software PasswordSafe 8.12.1.22757 (laut Hersteller war damals auch die aktuelle Version 8.13.9.26689) betroffen Schwachstelle Schwache Kryptografie Zeitlinie

Ein gemeinsamer Walk und maximaler Input- das zeichnet die Walkshow der TÜV SÜD Akademie aus. Florian Hansemann wurde als Security Experte eingeladen und legte konkrete Handlungsmöglichkeiten für Privatpersonen und Unternehmen dar.

Weihnachten, BlackFriday, Sommersale,…

Jedes Jahr gibt es Zeiträume in denen spezielle Angebote online gestellt werden. Dies bietet allen die Möglichkeit tolle Schnäppchen zu machen. Gleichzeitig ist diese Zeit auch eine Oase für Betrüger, um mit sogenannten Fakeshops ordentlich Geld zu verdienen. Auf diesen Shops werden ebenfalls “tolle” Angebote gemacht, welche in der Regel nochmal günstiger sind als bei der “Konkurrenz”. Hierdurch werden die “Kunden” dazu verleitet auf diesen Websites zu shoppen. Die Kunden warten vergeblich auf ihre Waren…

Ein neues Fahrrad

Als Beispiel für derartige Fakeshops möchten wir ein Fahrrad erwerben. Konkret hätten wir gerne ein Fahrrad der Premiummarke Radon. Wer nach diesem Fahrrad-Typ bei Google sucht, stößt relativ schnell auf 3 Webshops, welche wir uns nachfolgend etwas genauer ansehen wollen.

1. Google Recherche “Fake/Verbraucherschutz”

Der erste Check ist einfach, aber effizient. Man prüft, ob der Shop bzw. die Domain (was oben in der URL steht) bereits im Zusammenhang mit den Begriffen ‘Fake’ bzw. ‘Verbraucherschutz’ im Internet auftaucht. Hier geben die entsprechenden Links Aufschluss darüber, ob bereits bekannt ist, dass es sich bei der Website um einen Fake handelt.

Ergebnis

Die Website bike-discount.de hat einige Einträge im Zusammenhang mit den Begriffen ‘Fake’ und ‘Verbraucherschutz’. Jedoch ist zu sehen, dass nicht bike-discount.de ein Fakeshop sind, sondern dieser Shop kopiert von Fälschern und selbst das Original ist.

2. Fußzeile

Hier gibt es unterschiedliche Aspekte, welche man prüfen sollte:

• Impressum & Datenschutzerklärung
  Jeder seriöse Webauftritt muss eine Datenschutzerklärung und ein Impressum haben. Hierzu sind Unternehmen per Gesetz verpflichtet. Somit sind Webauftritte von deutschen Unternehmen ohne diese Angaben unprofessionell, wenn nicht sogar unseriös bzw. wahrscheinlich fake. Diese müssen nicht zwangsläufig in der Fußzeile stehen, aber auf jeder Website zu finden sein.
• Kontaktdaten
  Sofern Kontaktdaten angegeben sind, sollte diese schlüssig sein. Beispielsweise sollte die angegebene Telefonnummer zum Firmenstandort passen (ja es gibt auch Callcenter, aber wir beschreiben hier lediglich den Regelfall
• Copyright
  Die Daten vom Copyright sollten aktuell bzw. nicht stark veraltet sein. Kein professionelles Unternehmen betreibt 2022 eine Website, deren Copyright von 2015 ist.
• Social Media Accounts & Trustlogos
  Bei “schlechten” Fake Shops sind hier häufig nur Bilder hinterlegt bzw. zeigen die Links auf andere Ziele. Somit kann an dieser Stelle geprüft werden, ob es sich um valide Links zu validen Accounts der jeweiligen Logos handelt.

Ergebnis

Die Informationen auf der Website sind schlüssig (Telefonnummern passen zum Ort) und vollständig (Impressum & Datenschutz). Darüber hinaus sind valide Social Media Accounts und Bewertungen auf unabhängigen Bewertungsportalen vorhanden.

3. Der Firmen-Check

Sofern es sich um eine GmbH, UG oder AG handelt, können unterschiedliche Informationsquellen genutzt werden, um zu prüfen, ob die Firma tatsächlich existiert. Ich nutze hierzu beispielsweise gerne das Handelregister. Darüber hinaus kann man die Lokation in Google Maps prüfen und ggf. auch auf Linked & Xing nach den Geschäftsführern bzw. Mitarbeitern suchen.

Ergebnis

Die GmbH ist mit dem korrekten Firmensitz im Handelregister hinterlegt.

Zwischenstand bike-discount.de

Die Website hat entgegen der Vermutung alle vorherigen Prüfungen bestanden. Dennoch kann die Website gefälscht sein, denn ein Angreifer könnte von der originalen Website eine 1zu1 Kopie erstellen, wodurch alle Datensätze identisch wären. Lediglich der Bezahlvorgang würde verändert werden. Deshalb sind die nächsten 2 “technischen” Prüfungsschritte sehr wichtig!

4. Die Domain

Aufgrund des oben geschilderten Vorgehens der Betrüger, sollte geprüft werden, wie “alt” die Website bzw. die Domain ist. Hierzu gibt es zwei einfache Tools, welche nachfolgend gezeigt werden. Grundsätzlich gilt, dass valide Websites/Firmen länger existieren. Wenn die Domain einer Website jünger als 2 Jahre ist, ist dies unserer Erfahrung nach als verdächtig einzustufen.

Abschließende Bewertung bike-discount.de

Aufgrund der Tatsache, dass alle unsere Tests positiv ausgefallen sind, ist davon auszugehen, dass es sich hierbei um keinen Fakeshop handelt

Fakeshop enttarnen

Im nächsten Blogpost, zeigen wir, ob und wie die anderen beiden Webshops als Fakeshops ent werden. Bis dahin könnt Ihr uns gerne auf LinkedIn oder Twitter eure Ergebnisse der Websitebewertung mitteilen. Das könnte beispielsweise so aussehen:

1x #fake
1x #nofake

#hansesecure #infosec
https://hansesecure.de/2022/11/kauf-mich-reich-fakeshope-erkennen

Der Beitrag Kauf mich reich: Fakeshop erkennen erschien zuerst auf HanseSecure GmbH.

Common applicant portals provide a breeding ground for false job ads and the identity theft that accompanies them. "Send us your resume and we need your data", thus -MUCH THANKS for YOUR IDENTITY-. Nothing is recognizable for applicants! This scam runs fast and uncomplicated. The danger- suddenly ignorance leads to punishment. Criminal proceedings for the bona fide applicant will follow.

Rückblick

Am 21.Juli 2022 lud die „blu Sytems GmbH“ zum Praxistalk ein.

Thema

DIGITAL GOVERNANCE- NUR EIN WEITERES BUZZWORD?

Teilnehmer

Partner der „blu Systems GmbH“ Führungskräfte, IT-Leiter, IT Security Manager

Talking Points

“Security einfach, schnell und kostenfrei”

• präzise, verständlich, handhabbare Tipps zur Optimierung der IT- Sicherheit in Ihrem Unternehmen
• 6 QuickFails > einfach umzusetzen- keine großen Kosten- schnell, mit großem Security Impact z.B. LAPS, Office Macros

Der Beitrag HanseSecure als Speaker in der Allianz Arena München erschien zuerst auf HanseSecure GmbH.

Gefahr -Identitätsdiebstahl bei Bewerbungen im Netz

Gängige Bewerberportale bieten den Nährboden für falsche Stellenanzeigen und den einhergehenden Identitätsdiebstahl.
“Schicken Sie uns Ihren Lebenslauf und wir benötigen Ihre Daten”, somit -VIELEN DANK für IHRE IDENTITÄT.
Erkennbar ist für Bewerber nichts! Diese Masche läuft schnell und unkompliziert. Die Gefahr- plötzlich führt die Unwissenheit zur Strafe. Strafverfahren für den gutgläubigen Bewerber folgen.

Zusammenfassung

• Identitätsdiebstahl geht ohne großen Aufwand & Kosten
• Strafanzeigen für den Bewerber folgen
• Personalausweis & Pässe niemals online zeigen/ schicken!

Links

Wer sich den Beitrag ansehen möchte, kann sich diesen entweder als Beitrag oder Video ansehen

Der Beitrag HanseSecure im ARD München Report erschien zuerst auf HanseSecure GmbH.

 

Top Security QuickFails: #6 Die Passwortwahl: Viel Diskussion, wenig Umsetzung

 

 

Ein gewöhnlicher Arbeitstag bei der Usability-First AG in München. Die 2000 Mitarbeiter arbeiten derzeit an zahlreichen Großprojekten und fokussieren entsprechend die Produktivität. Auch Nina Nixmerker ist in Ihrem Projekt vertieft. Am Samstagmorgen wählt sich Nina aus dem HomeOffice ein, um noch einige Projektabschnitte für Montag abzuschließen. Sie wundert sich kurz, dass Sie bei der Anmeldung ihre bestehende Session beenden muss, da Sie sich sicher ist, sich am Freitag noch regulär abgemeldet zu haben.

Am Montag stellte die IT fest, dass ihre Zugangsdaten nicht mehr funktionierten. Nachdem Sie sich mit dem Notfall-Admin Account angemeldet haben, mussten diese feststellen, dass sich keine Dateien mehr öffnen ließen und mit einer .locked-Dateiendung versehen waren. Nach wenigen Minuten startete ein Chatfenster bei dem Account der IT mit dem Hinweis, dass die Unternehmensdateien verschlüsselt seien und man ab 15 Uhr für die Verhandlungen zur Verfügung stünde.

 

Was ist passiert?

 

Das Unternehmen Usability-First hat es in den vergangenen Jahren versäumt eine Password Policy einzuführen, noch die Nutzer entsprechend zu sensibilisieren. Somit arbeiteten alle 2000 Mitarbeiter im Unternehmen mit der Default Windows Domain Policy, welche unter anderem folgende Werte vorgibt:

• Passwort Länge: 7 Zeichen
  Die Passwörter müssen mindestens 7 Zeichen lang sein, d.h. mit einer durchschnittlichen Gamer-Hardware kann ein Angreifer die Passwörter unter einem Tag knacken, wenn dieser Passwort-Hashes erlangt. Außerdem wird die Liste mögliche Passwörter, welche von den Nutzern verwendet werden, stark eingeschränkt was zum einen sogenannte Wörterbuch-Attacken begünstigt und zum anderen klassische Brute-Force Angriffe auf Login Funktionen.
• Lockout-Schwelle: Deaktiviert
  Ein Angreifer kann potentiell unendlich Login-Versuche auf die Accounts durchführen. Dies könnte an öffentlichen Diensten wie einen OWA oder M365 missbraucht werden, deutlich gravierender wäre jedoch, wenn ein Angreifer im internen Netzwerk Passwörter ausprobieren kann.

Aufgrund fehlender Awareness, Tools und Unternehmensvorgaben hatte Nina Nixmerker für alle Ihre Accounts das gleiche Passwort. Das Passwort Nina.N1! verwendete Sie sowohl auf Social Media wie Twitter, Instagram und Facebook, wie auch für Ihren Windows und VPN-Account.

Durch einen Datenleak bei Facebook wurde 2021 ihr Passwort offengelegt, wodurch Angreifer zunächst ihre privaten Accounts kompromittiert haben. Hierdurch stellten die Angreifer fest, dass Nina in einer mittleren Management Position in einem Umsatzstarken Unternehmen tätig war. Nachdem die Angreifer sich anschließend im Netzwerk angemeldet hatten, stellten diese fest, dass zahlreiche User (darunter auch der Domain Admin) den Usernamen als Passwort verwendeten, wodurch diese im Zeitraum von Freitagabend bis Montag das gesamte Unternehmen verschlüsseln konnten.

 

Was tun?

 

Es gibt grundsätzlich 4 einfache und eine mittelkomplexe Maßnahme zur Minimierung derartiger Risiken.

Passwort Safe

Kaum jemand kann sich mehr als eine Hand voll komplexer Passwörter merken. Wir sind der Überzeugung, dass Nutzer sich in der Regel nur 3 Passwörter merken müssen.

• Smartphone
• Windows/ Mac Login
• Passwort Safe

Alle weiteren Zugangsdaten werden in einem Passwort Safe erzeugt und verschlüsselt abgelegt. Bei der Auswahl des Tools solltet Ihr folgende Aspekte beachten:
Einfache Nutzung für die Nutzer (also Apps für Client, Smartphone und Plugin für Browser), Synchronisierung über Geräte und Rollen- und Rechtestruktur. Wir sind zusätzlich der Meinung, dass man Passwortsafes niemals in der Cloud hosten sollte, sollte immer eine OnPrem Lösung bevorzugen sollte.

Password Policy

Eine angemessene Password Policy im Unternehmen würde verhindern, dass sehr einfach und unbedacht Passwörter verwendet werden. Auch eine Lockout Sperre bei fehlgeschlagenen Anmeldeversuchen ist zwingend erforderlich. Wir empfehlen unseren Kunden folgende Konfiguration

• Passwortlänge: 12 Zeichen
• Passwortalter: 180 Tage
• Lockout-welle: 10 Versuche
• Lockout-Dauer: 6h
• Reset Lockout-Counter: 6h

Dies ist unsere Empfehlung aus zahlreichen Assessments der vergangenen Jahrzenten. Falls Ihr der Meinung seid, dass 14 Zeichen mit unendlichem Passwortalter die bessere Alternative ist, seid ihr herzlich eingeladen mit mir auf Twitter zu diskutieren

 

 

 

Awareness

Ohne ein grundlegendes Verständnis über Passwörter (Mehrfachverwendung – Datenleak, Identitätsdiebstahl, Schwache Passwörter, etc.) helfen die oben aufgeführten Maßnahmen nur bedingt. Deshalb sollten die Nutzer bezüglich dieses Themas (mindestens bei Onboarding im Idealfall 1x/Jahr) Informationen zu diesem Thema erhalten. Hier ein inhaltliches Beispiel für Tipps zum merken sicherer Passwörter -> Link auf Blogbeitrag

 

Audits

Sofern möglich, sollten mindestens die Passwörter in der Domain und bei öffentlichen (aus dem Internet erreichbar) Anwendungen jährlich überprüft werden. Bei Fragen, wie man dies im Idealfall prüft, sucht Euch einfach einen Dienstleister Eures Vertrauens

 

Sicherheitsgewinn

• hoch

 

 

*Aus der Blog-Serie Top Security QuickFails

 

Der Beitrag Top Security QuickFails: #6 Die Passwortwahl: Viel Diskussion, wenig Umsetzung erschien zuerst auf HanseSecure GmbH.

 

it-sa Expo&Congress

Europas führende Fachmesse für IT-Sicherheit

 

25. – 27. Oktober 2022

NÜRNBERG

 

Wir sehen uns vom 25. – 27. Oktober in Nürnberg auf der it-sa 365 !

 

Was ist die it – sa Expo& Congress?

⇒ https://www.itsa365.de/de-de/it-sa-expo-congress/ueber-die-messe

 

Komm vorbei als Besucher!

⇒ https://www.itsa365.de/de-de/it-sa-expo-congress/besuchen

Wir sind zu finden:

⇒ Halle 6 ⇒ Stand 6 – 229

 

Der Beitrag HanseSecure auf der itsa 2022 erschien zuerst auf HanseSecure GmbH.

DER HANSESECURE VAN Hier ist er der ein wenig andere Van. Wir sind mit dem Ergebnis sehr zufrieden und können euch die Jungs von CAR GROOMERS sehr empfehlen – selbstbezahlt und somit Werbung aus Überzeugung ;o) Danke für das Interesse an dieser kleinen Reise und wenn ihr uns entdeckt- schickt doch mal ein Foto :o) […]

Die Feinheiten Einmal alle Ideen und Wünsche dargelegt. Die Möglichkeiten (Farben, Oberflächen, Effekte) und Materialien durchgegangen. Mit dem CAR GROOMER Team besprochen und visualisiert. Kurze Zeit später …. Hier war er- unser Van in 3D. Nochmals Kleinigkeiten personalisiert und ab ging´s in den Urlaub für unseren Van… WRAPPING In wie weit ihr euer Auto verändern […]

VON DER IDEE ZUR UMSETZUNG Zettel, Stift, Ideen – nach vielen Überlegungen und zerknüllten Zetteln entstand dieser Entwurf. Ab zur Planung Farben Das Aufgreifen der Firmenspezifischen Farben = rot/ grau/ schwarz/ weiß Grundfarbe grau / Autodetails schwarz / Linien & Logo & Schrift rot + weiß Auffällige Farbe passend zum Web – türkis Matrix/ binär […]