Das Bundesministerium des Innern (BMI) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) haben eine sehr ausführliche Studie zum Identitätsdiebstahl und -missbrauch im Internet erstellen lassen. Diese beleuchtet nicht nur den Status quo aus technischer, rechtlicher und wirtschaftlicher Sicht – es werden auch Prognosen für die Zukunft erstellt. Z.B. diese:
Prognose: Alle Dienste, für die der Angreifer einen “Business Case” berechnen kann, bei dem nach Abzug aller Investitionen ein Gewinn erzielt wird, werden früher oder später Gegenstand eines Angriffs werden.
(weiterlesen…)
Axel Gronen mailte uns soeben, dass bei ebay ein evtl. kritisches Sicherheitsproblem bestehe. So könnten derzeit “beliebige externe Inhalte” in die Angebotsseiten hineingeschrieben werden. Er selbst demonstriert dies anhand eines eigenen Angebotes. (weiterlesen…)
Die Experten der G Data SecurityLabs warnen vor einer neuen Form von Phishing: E-Mails mit korrekter persönlicher Anrede. Aktuell im Fokus der Onlinekriminellen sind Kunden der DHL-Packstationen. Die Personendaten stammen nach G Data-Erkenntnissen aus einem Datenleck in einem beliebten Online-Shop-System. Angreifern gelang es, durch eine Sicherheitslücke des Systems die realen Namen und die dazugehörigen E-Mail-Adressen der Einkäufer aus den Datenbanken der Shops zu stehlen. In Untergrundforen wurde die Lücke und eine entsprechende Anleitung zum Auslesen der Daten bereits Ende Dezember 2009 veröffentlicht. (weiterlesen…)
Die größte (und vielfach unterschätzte) Gefahr geht heutzutage von Botnetzen aus: Diese sind mittlerweile mächtiger denn je zuvor – und schlauer…
(weiterlesen…)
Shops, die sich mit dem TÜV-Siegel schmücken, sind weniger sicher als erwartet: Heise.de berichtete diese Woche von Cross Site Scripting Test-Angriffen, die auch bei TÜV-geprüften Shops erfolgreich waren:
In seinem Blog weist Marcell Dietl darauf hin, dass das Sicherheitssiegel des TÜV keineswegs bedeutet, dass die betreffende Web-Seite vor Sicherheitsproblemen wie Cross Site Scripting gefeit sei.
Unter den erfolgreich angegriffenen Shopssites befanden sich Otto, L’Tur, Polo und KarstadtQuelle-Versicherungen. Insgesamt aber waren TÜV-besiegelte Sites schwerer anzugreifen als der "Onlineshop-Durchschnitt". Ganz in Sicherheit kann sich ganz offenbar aber kein Händler wissen, nicht einmal mit TÜV-Siegel.
Herzliche aus Hürth
Nicola Straub
Mittels Cross-Site-Scripting haben Betrüger bei eBay Angebote "gekapert", wie Heise berichtet. Dabei konnten Sie die Anbieter-Mailadresse sowie beliebige Item-Nummern einfügen und so Angebote praktisch übernehmen. Dies hebelt die Schutzmaßnahmen eBays gegen betrügerische Auktionen aus.
(weiterlesen…)
Aktuell scheinen vermehrt Mails umherzufliegen, die E-Mail-Konto-Sperrungen "vermelden". Heise sieht offenbar erhebliches Schadpotential, die Mails enthalten einen Schädling, der sich "als Default-Debugger für den Prozess Explorer.exe installiert, sodass er fortan auch nach einem Neustart aktiv wird."
Genauso ging bereits der Inkasso-Virus vor, der erst dieser Tage sein Unwesen trieb. Laut Heise erkennen viele Scanner den Schädling nicht – GMX allerdings löscht solche Mails mittlerweile automatisch und versendet dann entsprechende Löschberichte, wie ich heute morgen feststellen konnte.
Herzlich aus Hürth
Nicola Straub
Und gleich noch eine Sicherheitswarnung – diesmal wegen Viren: Seit gestern nachmittag warnt Heise Security vor Mails, die vorgeblich von Inkassobüros stammen. Tatsächlich landen auch bei mir seit heute morgen vermehrt solche Mails, die im Text behaupten, eine Abbuchung vorgenommen zu haben:
Sehr geehrte Damen und Herren!
Die Anzahlung Nr.885434211759 ist erfolgt Es wurden 5327.00 EURO Ihrem Konto zu Last geschrieben. Die Auflistung der Kosten finden Sie im Anhang in der Datei: Abrechnung.
xxxxxx GmbH & Co. KG
xxxxx Str. 21
(weiterlesen…)
iBusiness macht soeben auf die Warnung des BKA vor einer neuen Betrugsmasche aufmerksam: Offenbar werden per Mail aktuell vermehrt "Warenagenten" angeworben, die als Annahmestellen für eBay- und sonstige Shoplieferungen fungieren. Die oft ahnungslosen Mittäter senden die erhaltenen Pakete dann an Paketstationen o.ä. weiter:
(weiterlesen…)
Selbstverständlich sichern Sie die Transaktionen Ihrer Kunden per SSL ab. Aber wie sicher ist der dabei verwendete SSL-Schlüssel?
Das renommierte Computermagazin c’t weist in einem ausführlichen (techniklastigen) Artikel darauf hin, dass wegen eines Fehlers im Open-SSL-System viele SSL-Schlüssel sehr schwach und damit leicht anzugreifen sind. Das dort geschilderte Problem ist kompliziert zu verstehen, aber offenbar wichtig, denn es sind offenbar sehr viele Schlüssel betroffen, die durch den Programmfehler – für die Betreiber unerkannt – geschwächt sind. Heise liegt eine (vollständige) Liste dieser unsicheren SSL-Schlüssel vor.
Ob Ihr SSL-Schlüssen betroffen ist, können Sie ganz einfach und blitzschnell testen.
(weiterlesen…)
Leitfaden für 
Suche (News)
