Tipps zum Schutz der Privatsphäre im Netz

[Member]

dann hilft der beste technische Schutz nicht. Gegenüber diesen Kriminellen fühle ich die allergrößte Abscheu.

Ich hab einen älteren Kunden der hat einen vermeintlich Bankmitarbeiter per Fernwartung auf seinen Rechner gelassen … 15k weg … auch wenn man sich sagt sowas kann mir nie passieren … die sind wirklich richtig gut im sozial Engineering… rufen zum Teil sogar mit der Anrufer ID der Banken an etc ….
Wir haben als Sicherheitsaudit neulich eine Webseite nachgebaut für einen Kunden … einen link von einer offensichtlich nicht zur Firma gehörenden Mail Adresse, im Namen der Personalchefin rumgeschickt… mit der Aufforderung sich dort einzuloggen… um einen zusätzlichen Bonus zu beantragen…. 100% der 200 Mitarbeiter haben versucht sich dort einzuloggen mit ihren SSO Zugangsdaten ….
Wäre das ein echter Angriff gewesen … wäre es das gewesen

 

[Member]

Der Mensch wird immer das größte Sicherheitsrisiko bleiben.
War vor 30 Jahren so, ist heute so und wird wohl auch in 30 Jahren noch so sein.
Das wissen auch die Betrüger und fokussieren sich auf diese Gruppe.
Daher denke ich ist man, wenn man die wichtigsten Regeln (sicheres Passwort, 2FA aktivieren) befolgt auf der sicheren Seite, weil es für die Hacker zuviel Aufwand bedeutet und es eben immer noch Unmengen an Nutzern gibt die als Passwort 1234567890 und ähnliches nutzen und die 2FA nicht aktiviert haben.

 

[Member]

weil es für die Hacker zuviel Aufwand bedeutet und es eben immer noch Unmengen an Nutzern gibt die als Passwort 1234567890 und ähnliches nutzen und die 2FA nicht aktiviert haben.

Ich denke es ist ganz wesentlich zwei verschiedene Angiffsvektoren zu unterscheiden….
- grossflächig nicht gezielte Angriffe auf Konten mit schlechten Passwörtern… ohne 2 FA etc
- häufig folgt auf solche Angriffe ein gezielter Angriff, wenn man Daten über die Potentiellen Opfer gesammelt hat … wie zum Beispiel Bankverbindung, Namen von Vorgesetzten, Arbeitgeber etc

Um bei dem Beispiel des älteren Kunden zu bleiben:
Irgendwie sind den Dieben Daten über ihn in die Hand gefallen … zumindest Name und Bankverbindung…. Daraufhin konnten relativ einfach Kontaktdaten recherchiert ( Telefonbuch) werden und soziales Umfeld soweit im Netz vorhanden …
In soweit konnte auch ein vertrautes Gesprächsthema ( zum Beispiel auf Golf spielen ) bei dem Gespräch angebracht werden ( Mein Kollege, der sie sonst betreut hat mir erzählt sie haben das Turnier XY gewonnen ) …. Das schafft eine persönliche Basis und vertrauen … so das es kaum Misstrauen gab und sich auch sehr bereitwillig ins Online Banking eingeloggt wurde

 

[Member]

Um bei dem Beispiel des älteren Kunden zu bleiben:
Irgendwie sind den Dieben Daten über ihn in die Hand gefallen … zumindest Name und Bankverbindung…. Daraufhin konnten relativ einfach Kontaktdaten recherchiert ( Telefonbuch) werden und soziales Umfeld soweit im Netz vorhanden …
In soweit konnte auch ein vertrautes Gesprächsthema ( zum Beispiel auf Golf spielen ) bei dem Gespräch angebracht werden ( Mein Kollege, der sie sonst betreut hat mir erzählt sie haben das Turnier XY gewonnen ) …. Das schafft eine persönliche Basis und vertrauen … so das es kaum Misstrauen gab und sich auch sehr bereitwillig ins Online Banking eingeloggt wurde

Sowas wird dann wohl meist in die Kategorie Spearphishing einsortiert. Auch dazu habe ich schon ganz gute Awareness-Schulungen gesehen. Oft reicht schon wenn sich jemand mal am Telefon als neuer IT-Kollege ausgibt und belangloses Zeug labert. Beim nächsten Anruf muss dann schnell ein Update eingespielt werden, wofür man dann auf eine spezielle Webseite klicken soll.

Die absolute Sicherheit gibt es nicht. Das zeigen die Zero-Day Angriffe mit anschließender Pegasus Infektion. Nur sind wir alle wahrscheinlich viel zu unwichtig, als dass jemand eine gute 6-stellige Summe für einen solchen Angriff gegen uns zahlt.

 

[Member]

Ich habe jetzt gerade noch mal versucht, meinen gehackten MS-Account wieder zurück zu bekommen.
So wie es aussieht, hat der Hacker für mein Konto eine 2FA eingerichtet. Damit ist es laut MS unmöglich
den Account wieder zurück zu bekommen. Das ist definitiv eine sehr hackerfreundliche Lösung.

 

[Member]

Ich habe jetzt gerade noch mal versucht, meinen gehackten MS-Account wieder zurück zu bekommen.
So wie es aussieht, hat der Hacker für mein Konto eine 2FA eingerichtet. Damit ist es laut MS unmöglich
den Account wieder zurück zu bekommen. Das ist definitiv eine sehr hackerfreundliche Lösung.

Wenn der Account aus dem 90er Jahren ist, ist es ein alter Hotmail Account?

Hast du eine weitere E-Mail für Wiederherstellung des Kontos eingetragen?

 

[Member]

Wenn der Account aus dem 90er Jahren ist, ist es ein alter Hotmail Account?

Hast du eine weitere E-Mail für Wiederherstellung des Kontos eingetragen?

So alt ist der nicht. Es geht um den Zwangsaccount von Microsoft, den es erst seit einigen Jahren gibt. Eigentlich will ich den auch gar nicht haben.
Habe gelesen, das der nach 2 Jahren Inaktivität automatisch gelöscht wird. Was der Hacker mit dem Account will, ist mir aber schleierhaft. Da ich bei
MS selber in der Vergangenheit nichts gekauft habe, gibts da auch nichts zu holen.

 

[Member]

Ich habe jetzt gerade noch mal versucht, meinen gehackten MS-Account wieder zurück zu bekommen...

Wozu? Mit welchem Interesse?

 

[Member]

Was der Hacker mit dem Account will, ist mir aber schleierhaft.

War vor ca, 7 Jahren auf den Philippinen im Hotel WLAN und wollte mich im Mail Account einloggen. Ging nicht obwohl ich mir sicher war ich verwende das richtige Passwort. Nach ein paar "Fehlversuchen" wurde ich aufgefordert das Passwort zurückzusetzen . Hab ich gemacht und ein neues vergeben. Das ging dann wieder nicht und ich wurde erneut aufgefordert zurücksetzen und neu vergeben. Das ging ein paar Mal dann hab ich aufgegeben.
Zuhause in D angekommen war das Treppenhaus vollgestellt mit Lieferungen und ich hab mir die damalige Mitbewohnerin gleich zur Brust genommen-wenn sie schon bestellt dann soll sie den Krempel auch aufräumen.

Als Antwort kam dann- "wieso ich? - ist alles für dich"

Das war ein E Mail Adresse die hab ich lediglich für jede Registrierung genutzt, auch Banken, Reisen gebucht, auch Rechnungen (mit Rechnungsanschrift) erhalten.
Im Endeffekt wurde mir ausserdem der Internetzugang umgestellt auf eine Leistung für ein mittelständiges Unternehmen, ein niegelnagelneues i Phone geliefert , der Amazonaccount gehackt und bestellt auf Teufel komm raus und noch ein paar so Dinge. Bei Amazon hatte ich damals die KK hinterlegt die ich auch auf Reisen nutze-Gott sei Dank wurde die von Amazon wegen untypischem Bestellverhalten zeitnah gesperrt.

Mein E Mail Konto wurde von einer spanischen IP aus übernommen…konnte es dann (weis nicht mehr wie) zurückerobern und hab sofort alle Mails gelöscht und das Konto gesperrt.

Anschließend habe ich für alle wichtigen Dinge jeweils eine E Mail Adresse erstellt und 2 Faktor Login aktiviert plus Wiederherrstellungs E Mail -das wenn es ein Konto erwischt es auf dieses eine beschränkt ist. Außerdem alle KK die irgendwo hinterlegt waren zum bezahlen entfernt.

Im Endeffekt ist mir kein Schaden entstanden - konnte entweder zurückschicken oder rückbuchen lassen- und ich frag mich bis heute welchen Vorteil denjenigen entstanden ist auch wenn sie Bestellungen zu mir nach Hause schocken lassen. Vll. haben die einfach nur gespielt, ne Challenge gesucht oder geübt - keine Ahnung

Ein saudummes Gefühl blieb schon wenn du weist die haben durch die per Mail versandten Rechnungen Kenntnis wo du wohnst und je nachdem mit wem die zusammenarbeiten auch Kenntnis von einer längeren Abwesenheit (siehe gebuchte Reisen). Ebenso die Unsicherheit was genau von einem die noch so in Erfahrung gebracht haben oder irgendwie länderübergreifend mit wem zusammenarbeiten.

Hätte es kein Mitbewohnerin gegeben die zu dem Zeitpunkt überwiegend zu Hause war , wer weis vll. hätten die mir auch irgendwann die Haustür aufgebrochen und die bestellte Ware für sich abgeholt….

Hatte damals Anzeige bei der POL erstattet. rausgekommen ist natürlich nichts.

Seither ist nichts mehr dergleichen passiert…was deren benefit war weis ich bis heute nicht….

 

[Member]

Wir haben als Sicherheitsaudit neulich eine Webseite nachgebaut für einen Kunden … einen link von einer offensichtlich nicht zur Firma gehörenden Mail Adresse, im Namen der Personalchefin rumgeschickt… mit der Aufforderung sich dort einzuloggen… um einen zusätzlichen Bonus zu beantragen…. 100% der 200 Mitarbeiter haben versucht sich dort einzuloggen mit ihren SSO Zugangsdaten ….
Wäre das ein echter Angriff gewesen … wäre es das gewesen

Sicherere, verifizierte E-Mail Adresse, die allgemein akzeptiert ist, wäre der Hit. Wenn ich eine E-Mail von einer vermeintlichen Organisation bekomme, dann sollte das E-Mail-Programm klar anzeigen, ob der Absender wirklich zu der Organisation gehört. Ähnlich wie bei Browser-Zertifikaten, wo ich gleich gewarnt werde, diese Seite ins unsicher. Ja es gibt PGP, S/Mime, aber der Nutzeranteil ist zu gering. Der meiste Müll kommt per E-Mail, weil jeder alles an alle senden kann und es auch tut. Geschichten wie
De-Mail sind schon wieder passe, da braucht es einen internationalen Standard, ähnlich den Browserzertifikaten.

So wie es aussieht, hat der Hacker für mein Konto eine 2FA eingerichtet. Damit ist es laut MS unmöglich
den Account wieder zurück zu bekommen. Das ist definitiv eine sehr hackerfreundliche Lösung.

Weißt du, wie der Hacker an dein Passwort gekommen ist, erraten? Vielleicht hat er noch mehr erspäht.