207. Newsletter - sicherheitskultur.at - 30.04.2024

von Philipp Schaumann

Hier die aktuellen Meldungen:

1. Dreiecksbetrug: Vorsicht vor dieser Betrugsmasche auf Amazon, Willhaben und anderen Marktplätzen

Es beginnt alles ganz normal: Auf einer Shopping-Website werden Produkte zum Verkauf angeboten, deren günstiger Preis sofort ins Auge sticht. Die Käufer*innen überweisen das Geld an den vermeintlichen Verkäufer und erhalten dann auch tatsächlich die Bestellung per Post. Mit dem Produkt stimmt alles - es funktioniert und ist ein Original.

Die Überraschung kommt etwas später, sie erhalten von einem anderen Online-Shop eine Rechnung über das selbe Produkt, das sie bereits vorher bezahlt hatten, wie kann das gehen?

Der Kriminelle, der das Produkt angeboten hat, verfügt aber nicht über das Produkt. Er bestellt das Produkt im Namen des Käufers bei einem richtigen Online-Shop und zwar über 'Kauf auf Rechnung'. Die Käufer erhalten das Produkt von dem korrekten Shop zusammen mit der Rechnung. Die Rechnung ignorieren die Käufer, weil sie denken, es sei eh schon bezahlt.

Der richtige Lieferant wartet auf sein Geld und schickt dann irgendwann eine Mahnung an den betrogenen Käufer. Hier die Details zum Dreiecksbetrug.

Ein wichtiger Punkt: Wer den Betrüger mittels Überweisung bezahlt hat, der bekommt sein Geld nicht wieder. Wer dem Betrüger eine Abbuchungserlaubnis gegeben hat, kann von seiner Bank das Geld zurückbekommen. Das ist für viele Bankkunden überraschend: die eigene Überweisung ist riskanter als die Abbuchung durch Fremde. Bei Kreditkarten kann ich in den meisten Fällen ebenfalls betrügerische Zahlungen reklamieren und mir erstatten lassen. Auch eine reguläre Bezahlung per PayPal ist sicher (außer man hat sich von dem Betrüger zu 'an Freunde bezahlen' überreden lassen, dann entfällt der PayPal-Käuferschutz).

2. Zentrale Infopunkte zu IT-Security

Von einem Ex-Kollegen im Bereich IT-Security kam die Frage: kennst Du einen "zentralen" Punkt oder Service wo ein IT-Sicherheits-Profi sich über die Bedrohungslage informieren kann, ohne täglich mehrere Online-Fachzeitschriften zu durchstöbern. JA, das gibt es.

Cert.at versendet jeden Abend (Wochentags) ein Mail, das ich für sehr hilfreich halte - zu abonnieren über https://cert.at/de/services/mailinglisten/
das Mail bringt typischerweise einen Satz und verlinkt dann auf die Quelle.
Risky Business sendet fast täglich interessante Artikel und viele Verlinkungen aus der Security Szene. Zu abonnieren über https://news.risky.biz/
Außerdem kann ich die monatlichen Secorvo News empfehlen https://www.secorvo.de/security-news

3. Zweimal Probleme mit Microsoft

1. Das 'neue Outlook'

Extrem nervig für alle, die unter Windows nicht das 'richtige kostenpflichtige Outlook' oder ein alternatives Mailprogramm wie Thunderbird nutzen sind seit einigen Monaten die ständigen Versuche von Microsoft, das 'neue Outlook' zu aktivieren. Das Programm wird, z.B. beim Neustart, installiert und kann dann (bisher) wieder de-installiert werden ("zurück zum alten Outlook"). Mir gefällt das Look-and-Feel des neuen nicht, aber viel problematischer ist die neue Monetarisierung.

Das neue Outlook ist nämlich werbe-basiert, Werbung kann entweder als Banner-Ad oder als Pseudo-Email angezeigt werden. Diese Werbung ist personen-bezogen und dafür braucht Microsoft möglichst viele Infos über jede:n Nutzer:in. Diese Daten holen sie zukünftig aus den Emails (so wie gmail schon lange). Damit sie an möglichst viele Daten kommen haben sie beschlossen, dass Fremd-Accounts (d.h. Nicht-hotmail-Accounts) auch in die Microsoft-Cloud geholt werden - dafür müssen sie die entsprechenden Passworte bei mir abgreifen und bei sich speichern: Microsoft krallt sich Zugangsdaten: Achtung vor dem neuen Outlook. (Das alte Outlook läuft lokal auf meinem PC und wenn ich auf meinen mailbox.org-Account zugreife, so greift (derzeit) mit Rechner direkt auf Mailbox.org-Server zu - die Zugriffspassworte liegen nur bei mir. D.h. Microsoft kann derzeit nicht die Inhalte meiner Emails auswerten weil die Mails nur lokal verarbeitet werden (so wie es sein sollte).

Microsoft gibt dann die Profile der Nutzer an ihre ca. 800 "Advertising Partner" weiter: Outlook is Microsoft’s new data collection service. Als EU-Bürger haben wir vermutlich bei der Datenweitergabe gewisse Mitsprachrechte - sofern wir uns die Mühe antun, durch die Optionsseiten zu klicken und jeweils Parameter zu verändern. (der Artikel bezieht sich auf UK). Hier die Daten an denen Microsoft interessiert ist (aus dem vorigen Link):

* Name and contact data
* Passwords !!
* Demographic data
* Payment data !!
* Subscription and licensing data
* Search queries
* Device and usage data
* Error reports and performance data
* Voice data
* Text, inking, and typing data
* Images
* Location data
* Content
* Feedback and ratings
* Traffic data

I am not amused. :-(

2. Die Sicherheitsprobleme von Microsoft

Wenn Microsoft so viele meiner Daten will, so sollte man hoffen, dass sie sehr gut darauf aufpassen. Das klappt aber in den letzten 9 Monaten nicht ganz optimal. Die Sicherheitsskandale kommen so dicht, dass es schwierig ist, nicht den Überblick zu verlieren. Da gab es 2 große Angriffe auf die Microsofts Infrastruktur.

Im letzten Sommer (2023) gab es den Diebstahl des Master-Keys zur Microsoft-Cloud (vermutlich durch eine chinesische Gruppierung). Dieser Schlüssel hätte nicht öffentlich abgreifbar sein dürfen, er hätte längst abgelaufen sein sollen und seine Wirkung hätte auf Nicht-Firmen Accounts beschränkt sein sollen - aber alles 3 traf nicht zu.

Parallel läuft eine aktuelle (und immer noch laufende) Spionage-Kampagne gegen die Microsoft-Infrastruktur durch vermutlich russische Angreifer ("Midnight Blizzard"). Microsoft gelingt es offenbar seit Monaten nicht, die angeblich russischen Angreifer aus den eigenen Netzen herauszuwerfen. Microsoft-Code und -Passwörter standen frei im Netz.

Die US-Regierung ist mittlerweile ziemlich 'unrund': 'Cascade of Security Failures'. Sie wissen, dass Microsoft quasi ein Monopol für Office-Anwendungen bei Behörden und Firmen hat, diese Abhängigkeit bezeichnen sie mittlerweile als großes Problem: US Cyber Safety Review Board on the 2023 Microsoft Exchange Hack. Die Cybersecurity and Infrastructure Security Agency (CISA) hat den IT-Abteilungen ziviler US-Bundesbehörden nun eine lange Liste von Arbeitsaufträgen zugestellt ("Notfalldirektive"), die die IT-Abteilungen der Behörden nun abarbeiten sollen (potenziell abgegriffene E-Mails analysieren, alle möglicherweise kompromittierten Zugangsdaten zurückzusetzen und zusätzliche Schritte zur Sicherung privilegierter Microsoft-Azure-Konten umsetzen).

Und diese Firma zieht nun die Mail-Zugangspassworte von meinem lokalen Rechner ab und stellt sie in ihre 'tolle' Infrastruktur: Microsoft hat seine "Kronjuwelen" nicht im Griff. Aktualisierung Mai 2024:
Jetzt wurde von ganz oben (wohl auch auf Druck der staatlichen Behörden, siehe voriger Bericht) die Reißleine gezogen: "Sicherheit über alles": Microsoft verspricht nach scharfer Kritik die große Kehrtwende. Neue Funktionen und Unterstützung älterer Systeme sind künftig nur mehr untergeordnet.

Die neue Initiative erinnert an 2002, die Trustworthy-Computing Initiative, bei der Bill Gates die Arbeit am Windows XP-Nachfolger Windows Vista bis 2007 verzögerte, dafür aber z.B. in 2004 Windows Update erheblich verbessert, so dass Sicherheitsupdates automatisch heruntergeladen und installiert werden.

Jetzt hat sich ein ehemaliger US-Bundesbeamter in einem Interview zur Situtation mit Microsoft geäußert. Er sagt: Microsoft is a national security threat, says ex-White House cyber policy director. Die Markposition von Microsoft bei Bundesbehörden in Verbindung mit der derzeit unzureichenden Sicherheit stellt für ihn eine Sicherheitsbedrohung dar. Er kritisiert auch, dass Sicherheitsfeatures wie der Zugriff auf Log-Daten oft nur gegen erheblichen Aufpreis zu haben sind.

Auch das bundesdeutsche BSI ist mittlerweile 'unrund': Die Behörde hat ein Verwaltungsverfahren gegen Microsoft eröffnet.

4. Das Geschäft mit Überwachungssoftware boomt

1. Private Spyware - Stalkware

Kaspersky hat einen Stalkerware Report 2023 veröffentlicht. "Unter Stalkerware werden kommerzielle Apps verstanden, die eine Überwachung des Smartphones einer anderen Person aus der Ferne ermöglichen. Rund 31.000 Fälle hat Kaspersky im Jahr 2023 allein bei Nutzern von Kaspersky-Lösungen gezählt. Die Gesamtzahl dürfte deutlich höher liegen, zumal Apps wie beispielsweise Ortungsdienste gar nicht unter die Definition von Stalkerware fallen, aber zum Stalking missbraucht werden können."

Dazu Daten aus einer Umfrage in 21 Ländern: 23% sagen, sie hätten Online-Stalking durch einen (Ex-)Partner erlebt. Der Bericht diagnostiziert eine Erosion des Anstands: Waren im Jahr 2021 noch 70% der Befragten der Auffassung, dass die Überwachung eines Partners ohne dessen Wissen völlig inakzeptabel ist, sank dieser Anteil 2024 auf 54%. (Details im Secorvo Security News März 2024). An anderer Stelle habe ich mehr zu Stalkware / Spyware, auch zum Einsatz in der Familie.

2. Staatlich genutzte Spyware (Staatstrojaner)

Apple warnt iPhone-Nutzer großflächig vor Spyware-Attacke. "Apple hat gezielt iPhone-Besitzer in 92 Ländern vor Auftrags-Spyware-Angriffen gewarnt" (d.h. 92 Regierungen haben sich dieser Firmen bedient um ihre Journalisten und Oppostionellen zu überwachen - wir wissen, dass da auch EU-Länder mit dabei sind). "Betroffene sollten die Warnung ernst nehmen und sich Hilfe suchen." Das mit der 'professionellen Hilfe' ist ernst gemeint, die professionelle Spyware sitzt oft tief in den Geräten drin. Die Infektion geht z.B. über Online-Werbung.

Ein Tipp für alle iOS-Nutzer, die z.B. als Journalisten oder Politiker Angst haben müssen, dass sie Ziel von professionellen Angriffen sind: In den Einstellungen von iOS den 'Lockdown-Modus' aktivieren, das schränkt ein paar Funktionalitäten ein, aber bei iPhones in dem Modus hat Apple keine Spyware gefunden. Hier mehr Details zum Lockdown-Modus.

Diese Staatstrojaner sind ein Riesengeschäft: Commercial spyware/surveillance vendors were behind 24 of the 97 zero-days that were exploited in the wild in 2023 - Eleven of the 24 zero-days impacted Safari and iOS, while the rest impacted Android and other Google products. D.h. nicht nur iOS ist betroffen.

heise.de schreibt: "Anfangs verwies Apple dabei explizit auf "staatlich geförderte Angriffe". Nach den letzten Warnungen an indische Oppositionspolitiker und Journalisten, zeigte sich die dortige Regierung aber offenbar verärgert – ungünstig für Apple, schließlich wird Indien immer wichtiger als iPhone-Produktionsstandort. Inzwischen spricht der iPhone-Konzern stattdessen diplomatisch von "Söldner-Spyware"/"mercenary spyware" und merkt an, dass solche Angriffe "historisch mit staatlichen Akteuren in Verbindung gebracht werden". Auch im Juli wird wieder vor solchen Angriffen auf indische iPhone-Nutzer gewarnt, es betrifft Journalisten und Oppositionspolitiker.

An anderer Stelle habe ich mehr zu staatlicher Spyware / Bundestrojaner.

5. Aktualisierungen früherer Beiträge

Eine tolle Ergänzung bei wie funktioniert generative AI: Stephen Wolfram (der von Mathematica) - What Is ChatGPT Doing … and Why Does It Work? It’s Just Adding One Word at a Time. Das ist m.E. die bisher beste Erklärung. Der Link bringt das ganze Buch (43 Seiten) als Website (d.h. kostenlos), mit vielen grafischen Beispielen, ganz wenig Mathematik wird vorausgesetzt. Er beginnt mit ganz simplen neuronalen Netzen und endet bei einer detaillierten Beschreibung von ChatGPT.
Eine weitere Aktualisierung zum Thema unsere Autos als Datenspione: Eine NY Times Reporterin berichtet, wie sie ganz bewusst alle Datensammel-Optionen abgedreht hatte (hatte sie geglaubt), aber wie dann doch ein ausführliches Protokoll ihrer Fahrweise erstellt wurde. Versteckt war das in der Option, Software-Updates zu erhalten. Die Provision des Verkäufers ist nämlich an das Datensammeln gekoppelt. Eine Zustimmung im Kleingedruckten einer Zusatzfeatures passiert bestimmt auch in der EU - denn mit Kunden-Zustimmung ist (fast) alles erlaubt.
Noch mal das Thema 'Auto und Daten'. Die EU hat beschlossen, dass alle neuen Autos die Fahrdaten speichern müssen, damit bei Unfällen die Schuldfrage objektiver geklärt werden kann, das Ding heißt Event Data Recorder (EDR). Meiner Meinung nach OK, wenn nicht irgendwann später jemand auf die Idee kommt, dass die Daten auch bei Terrorismus-Verdacht oder auch in Zivilprozessen (Scheidung) genutzt werden können. Die Details finden sich im Link.
Das Geschäft mit Virtual Girlfriends boomt (und es gibt auch Boyfriends im Angebot). Hier ein neues Angebot: KI-Freundinnen zum Selberbasteln. Das Angebot beinhaltet in diesem Fall nicht nur das Anpassen des Äußeren (z.B. BH-Größe) und eine Grob-Auswahl der Persönlichkeit, sondern über Beispiel-Dialoge lässt sich die 'Persönlichkeit' und das Verhalten detailliert modellieren.
Noch eine Kuriosität: Die Firmen, die KI-Sexpartnerinnen anbieten, überschwemmen Facebook und Instagram mit Werbung. Meta scheint das zu tollerieren, aber menschliche Sexarbeiterinnen sehen sich diskriminiert: Tausende Anzeigen für KI-Sexpartnerinnen stören Facebook nicht.
Überall ist jetzt "AI drin", auch beim Liebesbetrug. Love-Scams werden nun durch AI 'effektiver' gemacht. Eine der Tricks ist der Einsatz von AI-generierten Videos (deepfakes). Dadurch können Videos von nicht-existierenden 'Partnern' erzeugt werden, die sogar in Video-Calls glaubhaft 'rüberkommen': Real-Time Deepfake Romance Scams Have Arrived.
Das erinnert an den CEO-Betrug, bei dem ein Buchhalter in eine Video-Konferenz eingeladen wurde, wo die AI-generierten Kollegen im vermittelten, dass die Anforderung der Geldüberweisung OK sei.
Und immer wieder AI. Die generativen Systeme sind ideal, um den Buchmarkt mit Fake-'Literatur' zu überschwemmen. Der folgende Artikel besagt, dass geschaut wird, was derzeit 'trendet' und dann wird der Markt mit ähnlichen Titeln als eBooks geflutet, basierend wohl auf der Vermutung, dass dann auch Käufer auf die Fälschungen hereinfallen: Amazon is filled with garbage ebooks. Here’s how they get made.
Auch die wachsende Zahl der wissenschaftlichen Fake-Artikel wird zum Problem. Hier zum vorigen Bericht zur Schwemme von Fake-Literatur.
Die US-Regierung will TikTok verbieten. Meines Erachtens eine gute Idee, wenn auch Facebook, X, Instagram und die anderen Social Networks geschlossen werden. Warum ich Social Networks für hoch-gefährlich halte (speziell für junge Menschen), das habe ich auf der sicherheitskultur ausführlich beschrieben. Die EU hat übrigens auch viele Fragen an TikTok und wartet derzeit auf Antworten.
In den USA, so lese ich, nutzt es ungefähr die Hälfte der Bevölkerung. In Österreich nutzen 2,1 Millionen TikTok. 78% aller Mädchen zwischen 11 und 17, sowie 62% der Burschen haben die App auf ihrem Smartphone installiert. Solche Verbreitungszahlen machen den jungen Menschen einen hohen Druck, mit dabei zu sein. Weltweit hat TikTok 1,6 Milliarden Nutzer.
Für alle, die TikTok nicht kennen: TikTok is das neue 'lineare' (d.h. altgewohnte) Fernsehen. 95% der Nutzer konsumiert einfach, was ihnen persönlich dort angeboten wird. Aber was der jeweiligen Person dort angeboten wird, ist schwer zu durchschauen, denn das bestimmt ein Algorithmus und der gilt als extrem 'clever' und zeigt jeder Person ein individuelles Programm. Und das Programm ist so gut zusammengestellt, dass viele Menschen Schwierigkeiten haben, mit dem Schauen aufzuhören: Suchtfaktor. Außerdem ist es ein sehr gutes Medium für Falschmeldungen und Stimmungmache für oder gegen etwas.
Hier der Trick bei dem 'Angebot' der USA: TikTok kann gern weitermachen, wenn es an US-Firmen verkauft wird und diese Zugriff auf den Algorithmus und die Daten bekommen. Der Artikel Warum TikTok durch Verbote nicht zu stoppen ist erklärt die Hintergründe und warum das neue TikTok Lite mit seinem Belohnungssystem noch 'giftiger' ist.
Atlantic ist ziemlich konsterniert wegen der Entscheidung: Welcome to the TikTok Meltdown. Sie sehen die Aktion als ein ziemliches politisches Desaster, egal wie das ausgeht.

8. Kostenlos: ÖIAT-Online-Schulungen

Kostenlose Online Schulungen beim Österreichischen Institut für angewandte Telekommunikation (ÖIAT). Hier die kommenden Termine und Themen - alle diese Schulungen sind empfehlenswert (ich nehme an vielen davon Teil).

Die Termine und Themen der neuen Kurse: (Abends, entweder 18:30 - 20:00 oder 17:00 - 20.00)

7. Mai | Smartphone, Tablet & Co. sicher nutzen

21. Mai | Swipe Safe – wie schütze ich meine Privatsphäre beim Dating?

23. Mai | "Sexting" | Safer-Internet-Fachstelle digitaler Kinderschutz

28. Mai | Sicher bezahlen im Internet

4. Juni | Jugendliche unter Druck: Selbstdarstellung und Schönheitsideale im Internet

11. Juni | Betrugsfallen im Internet erkennen

18. Juni | Was kann ich gegen Cyber-Mobbing tun?

Anmeldung auf academy.oiat.at - der Zoom-Link kommt dann per Email - wie gesagt: m.E. sehr empfehlenswert.