207. Newsletter - sicherheitskultur.at - 30.04.2024

von Philipp Schaumann

Zum Archiv-Überblick

 

Hier die aktuellen Meldungen:

 

1. Dreiecksbetrug: Vorsicht vor dieser Betrugsmasche auf Amazon, Willhaben und anderen Marktplätzen

Es beginnt alles ganz normal: Auf einer Shopping-Website werden Produkte zum Verkauf angeboten, deren günstiger Preis sofort ins Auge sticht. Die Käufer*innen überweisen das Geld an den vermeintlichen Verkäufer und erhalten dann auch tatsächlich die Bestellung per Post. Mit dem Produkt stimmt alles - es funktioniert und ist ein Original.

Die Überraschung kommt etwas später, sie erhalten von einem anderen Online-Shop eine Rechnung über das selbe Produkt, das sie bereits vorher bezahlt hatten, wie kann das gehen?

Der Kriminelle, der das Produkt angeboten hat, verfügt aber nicht über das Produkt. Er bestellt das Produkt im Namen des Käufers bei einem richtigen Online-Shop und zwar über 'Kauf auf Rechnung'. Die Käufer erhalten das Produkt von dem korrekten Shop zusammen mit der Rechnung. Die Rechnung ignorieren die Käufer, weil sie denken, es sei eh schon bezahlt.

Der richtige Lieferant wartet auf sein Geld und schickt dann irgendwann eine Mahnung an den betrogenen Käufer. Hier die Details zum Dreiecksbetrug.

Ein wichtiger Punkt: Wer den Betrüger mittels Überweisung bezahlt hat, der bekommt sein Geld nicht wieder. Wer dem Betrüger eine Abbuchungserlaubnis gegeben hat, kann von seiner Bank das Geld zurückbekommen. Das ist für viele Bankkunden überraschend: die eigene Überweisung ist riskanter als die Abbuchung durch Fremde. Bei Kreditkarten kann ich in den meisten Fällen ebenfalls betrügerische Zahlungen reklamieren und mir erstatten lassen. Auch eine reguläre Bezahlung per PayPal ist sicher (außer man hat sich von dem Betrüger zu 'an Freunde bezahlen' überreden lassen, dann entfällt der PayPal-Käuferschutz).

 

2. Zentrale Infopunkte zu IT-Security

Von einem Ex-Kollegen im Bereich IT-Security kam die Frage: kennst Du einen "zentralen" Punkt oder Service wo ein IT-Sicherheits-Profi sich über die Bedrohungslage informieren kann, ohne täglich mehrere Online-Fachzeitschriften zu durchstöbern. JA, das gibt es.

 

3. Zweimal Probleme mit Microsoft

1. Das 'neue Outlook'

Extrem nervig für alle, die unter Windows nicht das 'richtige kostenpflichtige Outlook' oder ein alternatives Mailprogramm wie Thunderbird nutzen sind seit einigen Monaten die ständigen Versuche von Microsoft, das 'neue Outlook' zu aktivieren. Das Programm wird, z.B. beim Neustart, installiert und kann dann (bisher) wieder de-installiert werden ("zurück zum alten Outlook"). Mir gefällt das Look-and-Feel des neuen nicht, aber viel problematischer ist die neue Monetarisierung.

Das neue Outlook ist nämlich werbe-basiert, Werbung kann entweder als Banner-Ad oder als Pseudo-Email angezeigt werden. Diese Werbung ist personen-bezogen und dafür braucht Microsoft möglichst viele Infos über jede:n Nutzer:in. Diese Daten holen sie zukünftig aus den Emails (so wie gmail schon lange). Damit sie an möglichst viele Daten kommen haben sie beschlossen, dass Fremd-Accounts (d.h. Nicht-hotmail-Accounts) auch in die Microsoft-Cloud geholt werden - dafür müssen sie die entsprechenden Passworte bei mir abgreifen und bei sich speichern: Microsoft krallt sich Zugangsdaten: Achtung vor dem neuen Outlook. (Das alte Outlook läuft lokal auf meinem PC und wenn ich auf meinen mailbox.org-Account zugreife, so greift (derzeit) mit Rechner direkt auf Mailbox.org-Server zu - die Zugriffspassworte liegen nur bei mir. D.h. Microsoft kann derzeit nicht die Inhalte meiner Emails auswerten weil die Mails nur lokal verarbeitet werden (so wie es sein sollte).

Microsoft gibt dann die Profile der Nutzer an ihre ca. 800 "Advertising Partner" weiter: Outlook is Microsoft’s new data collection service. Als EU-Bürger haben wir vermutlich bei der Datenweitergabe gewisse Mitsprachrechte - sofern wir uns die Mühe antun, durch die Optionsseiten zu klicken und jeweils Parameter zu verändern. (der Artikel bezieht sich auf UK). Hier die Daten an denen Microsoft interessiert ist (aus dem vorigen Link):

I am not amused. :-(

2. Die Sicherheitsprobleme von Microsoft

Wenn Microsoft so viele meiner Daten will, so sollte man hoffen, dass sie sehr gut darauf aufpassen. Das klappt aber in den letzten 9 Monaten nicht ganz optimal. Die Sicherheitsskandale kommen so dicht, dass es schwierig ist, nicht den Überblick zu verlieren. Da gab es 2 große Angriffe auf die Microsofts Infrastruktur.

Im letzten Sommer (2023) gab es den Diebstahl des Master-Keys zur Microsoft-Cloud (vermutlich durch eine chinesische Gruppierung). Dieser Schlüssel hätte nicht öffentlich abgreifbar sein dürfen, er hätte längst abgelaufen sein sollen und seine Wirkung hätte auf Nicht-Firmen Accounts beschränkt sein sollen - aber alles 3 traf nicht zu.

Parallel läuft eine aktuelle (und immer noch laufende) Spionage-Kampagne gegen die Microsoft-Infrastruktur durch vermutlich russische Angreifer ("Midnight Blizzard"). Microsoft gelingt es offenbar seit Monaten nicht, die angeblich russischen Angreifer aus den eigenen Netzen herauszuwerfen. Microsoft-Code und -Passwörter standen frei im Netz.

Die US-Regierung ist mittlerweile ziemlich 'unrund': 'Cascade of Security Failures'. Sie wissen, dass Microsoft quasi ein Monopol für Office-Anwendungen bei Behörden und Firmen hat, diese Abhängigkeit bezeichnen sie mittlerweile als großes Problem: US Cyber Safety Review Board on the 2023 Microsoft Exchange Hack. Die Cybersecurity and Infrastructure Security Agency (CISA) hat den IT-Abteilungen ziviler US-Bundesbehörden nun eine lange Liste von Arbeitsaufträgen zugestellt ("Notfalldirektive"), die die IT-Abteilungen der Behörden nun abarbeiten sollen (potenziell abgegriffene E-Mails analysieren, alle möglicherweise kompromittierten Zugangsdaten zurückzusetzen und zusätzliche Schritte zur Sicherung privilegierter Microsoft-Azure-Konten umsetzen).

Und diese Firma zieht nun die Mail-Zugangspassworte von meinem lokalen Rechner ab und stellt sie in ihre 'tolle' Infrastruktur: Microsoft hat seine "Kronjuwelen" nicht im Griff. Aktualisierung Mai 2024:
Jetzt wurde von ganz oben (wohl auch auf Druck der staatlichen Behörden, siehe voriger Bericht) die Reißleine gezogen: "Sicherheit über alles": Microsoft verspricht nach scharfer Kritik die große Kehrtwende. Neue Funktionen und Unterstützung älterer Systeme sind künftig nur mehr untergeordnet.

Die neue Initiative erinnert an 2002, die Trustworthy-Computing Initiative, bei der Bill Gates die Arbeit am Windows XP-Nachfolger Windows Vista bis 2007 verzögerte, dafür aber z.B. in 2004 Windows Update erheblich verbessert, so dass Sicherheitsupdates automatisch heruntergeladen und installiert werden.

Jetzt hat sich ein ehemaliger US-Bundesbeamter in einem Interview zur Situtation mit Microsoft geäußert. Er sagt: Microsoft is a national security threat, says ex-White House cyber policy director. Die Markposition von Microsoft bei Bundesbehörden in Verbindung mit der derzeit unzureichenden Sicherheit stellt für ihn eine Sicherheitsbedrohung dar. Er kritisiert auch, dass Sicherheitsfeatures wie der Zugriff auf Log-Daten oft nur gegen erheblichen Aufpreis zu haben sind.

Auch das bundesdeutsche BSI ist mittlerweile 'unrund': Die Behörde hat ein Verwaltungsverfahren gegen Microsoft eröffnet.

 

4. Das Geschäft mit Überwachungssoftware boomt

1. Private Spyware - Stalkware

Kaspersky hat einen Stalkerware Report 2023 veröffentlicht. "Unter Stalkerware werden kommerzielle Apps verstanden, die eine Überwachung des Smartphones einer anderen Person aus der Ferne ermöglichen. Rund 31.000 Fälle hat Kaspersky im Jahr 2023 allein bei Nutzern von Kaspersky-Lösungen gezählt. Die Gesamtzahl dürfte deutlich höher liegen, zumal Apps wie beispielsweise Ortungsdienste gar nicht unter die Definition von Stalkerware fallen, aber zum Stalking missbraucht werden können."

Dazu Daten aus einer Umfrage in 21 Ländern: 23% sagen, sie hätten Online-Stalking durch einen (Ex-)Partner erlebt. Der Bericht diagnostiziert eine Erosion des Anstands: Waren im Jahr 2021 noch 70% der Befragten der Auffassung, dass die Überwachung eines Partners ohne dessen Wissen völlig inakzeptabel ist, sank dieser Anteil 2024 auf 54%. (Details im Secorvo Security News März 2024). An anderer Stelle habe ich mehr zu Stalkware / Spyware, auch zum Einsatz in der Familie.

2. Staatlich genutzte Spyware (Staatstrojaner)

Apple warnt iPhone-Nutzer großflächig vor Spyware-Attacke. "Apple hat gezielt iPhone-Besitzer in 92 Ländern vor Auftrags-Spyware-Angriffen gewarnt" (d.h. 92 Regierungen haben sich dieser Firmen bedient um ihre Journalisten und Oppostionellen zu überwachen - wir wissen, dass da auch EU-Länder mit dabei sind). "Betroffene sollten die Warnung ernst nehmen und sich Hilfe suchen." Das mit der 'professionellen Hilfe' ist ernst gemeint, die professionelle Spyware sitzt oft tief in den Geräten drin. Die Infektion geht z.B. über Online-Werbung. Ein Tipp für alle iOS-Nutzer, die z.B. als Journalisten oder Politiker Angst haben müssen, dass sie Ziel von professionellen Angriffen sind: In den Einstellungen von iOS den 'Lockdown-Modus' aktivieren, das schränkt ein paar Funktionalitäten ein, aber bei iPhones in dem Modus hat Apple keine Spyware gefunden.

Diese Staatstrojaner sind ein Riesengeschäft: Commercial spyware/surveillance vendors were behind 24 of the 97 zero-days that were exploited in the wild in 2023 - Eleven of the 24 zero-days impacted Safari and iOS, while the rest impacted Android and other Google products. D.h. nicht nur iOS ist betroffen.

heise.de schreibt: "Anfangs verwies Apple dabei explizit auf "staatlich geförderte Angriffe". Nach den letzten Warnungen an indische Oppositionspolitiker und Journalisten, zeigte sich die dortige Regierung aber offenbar verärgert – ungünstig für Apple, schließlich wird Indien immer wichtiger als iPhone-Produktionsstandort. Inzwischen spricht der iPhone-Konzern stattdessen diplomatisch von "Söldner-Spyware" und merkt an, dass solche Angriffe "historisch mit staatlichen Akteuren in Verbindung gebracht werden".

An anderer Stelle habe ich mehr zu staatlicher Spyware / Bundestrojaner.

 

5. Aktualisierungen früherer Beiträge

 

8. Kostenlos: ÖIAT-Online-Schulungen

Kostenlose Online Schulungen beim Österreichischen Institut für angewandte Telekommunikation (ÖIAT). Hier die kommenden Termine und Themen - alle diese Schulungen sind empfehlenswert (ich nehme an vielen davon Teil).

Die Termine und Themen der neuen Kurse: (Abends, entweder 18:30 - 20:00 oder 17:00 - 20.00)

  • 7. Mai | Smartphone, Tablet & Co. sicher nutzen
  • 21. Mai | Swipe Safe – wie schütze ich meine Privatsphäre beim Dating?
  • 23. Mai | "Sexting" | Safer-Internet-Fachstelle digitaler Kinderschutz
  • 28. Mai | Sicher bezahlen im Internet
  • 4. Juni | Jugendliche unter Druck: Selbstdarstellung und Schönheitsideale im Internet
  • 11. Juni | Betrugsfallen im Internet erkennen
  • 18. Juni | Was kann ich gegen Cyber-Mobbing tun?
  • Anmeldung auf academy.oiat.at - der Zoom-Link kommt dann per Email - wie gesagt: m.E. sehr empfehlenswert.