Phishing-Kampagne umgeht Facebooks Sicherheitszertifikate

Uhr von Björn Greif

Betrüger haben ein täuschend echt aussehendes Formular zur Verifizierung einer Facebook-Seite erstellt, das in einem iFrame auf der legitimen Facebook-Website erscheint. Auf diese Weise hebeln sie die TLS-Zertifikate des Social Network aus. Schutz bietet die Zwei-Faktor-Authentifizierung. » weiter

Snapchat meldet Verlust von Angestelltendaten

Uhr von Florian Kalenda

Ein Angreifer gab sich in einer E-Mail als der CEO des Unternehmens aus. Er forderte eine aktuelle Gehaltsliste - und bekam sie. Um eine Wiederholung zu vermeiden, will Snapchat "unsere ohnehin schon gründlichen Fortbildungen zu Privatsphäre und Sicherheit verdoppeln." » weiter

Ebay schließt kritische Cross-Site-Scripting-Lücke

Uhr von Bernd Kling

Ein Sicherheitsforscher informierte die Auktionsplattform am 11. Dezember vertraulich über die Schwachstelle. Sie hätte potentiell Millionen Nutzer Phishing-Kampagnen und Passwort-Diebstahl aussetzen können. Ebay reagierte jedoch erst, als ein Medienbericht angekündigt wurde. » weiter

Neue Phishing-Mails sprechen Paypal-Nutzer mit korrekter Anrede an

Uhr von Björn Greif

Kriminelle wollen so an die Kontoinformationen der Empfänger gelangen. Offenbar verfügen sie über einen anderswo entwendeten Adressbestand. Die Nachrichten weisen auf ein angebliches Problem bei einem Online-Einkauf hin. Ein Link zur Stornierung der Transkation führt zu einer Phishing-Seite. » weiter

Gefälschte Terror-Warn-E-Mails enthalten Schadcode

Uhr von Bernd Kling

Die Angreifer täuschen den Versand der Nachrichten durch Ermittlungsbehörden vor und verwenden dabei die Namen echter Behördenleiter. Im Betreff fügen sie den Namen eines Mitarbeiters des Unternehmens ein, auf das der Angriff zielt. Tatsächlich sollen die Spearphishing-Mails zur Installation eines Fernzugriff-Trojaners verlocken. » weiter

Phisher greifen offenbar E-Mail-Adressen von Arbeitsagentur-Stellenbörse ab

Uhr von Björn Greif

Der Sicherheitsanbieter Avira geht davon aus, dass sie dafür einen Crawler auf der Jobcenter-Website einsetzen. Arbeitgeber, die dort eine Stellenanzeige aufgeben, erhalten eine Phishing-Mail. Sie enthält einen Dropbox-Link, der nicht wie verprochen zu Bewerbungsunterlagen führt, sondern zu Ransomware. » weiter

Hacker nutzen Stellensuche auf LinkedIn für Phishing

Uhr von Florian Kalenda

Dafür kommen falsche Profile angeblicher Mitarbeiter der Personalabteilungen von Teledyne oder auch Northrop Grumman zum Einsatz. Sie sammeln Daten für spätere Angriffe auf Telekom-Firmen, Regierungsbehörden und Rüstungsunternehmen. Die Gruppe Threat 2889 operiert wahrscheinlich vom Iran aus. » weiter

Gefälschte Amazon-Mails mit korrekten Adressdaten im Umlauf

Uhr von Björn Greif

Mit den personalisierten Phishing-Nachrichten versuchen Kriminelle, an die Kontoinformationen der Empfänger zu kommen. Der Betreff der angeblich von service@amazon.de stammenden Mails lautet "Wichtig: Lastschriftmandat bestätigen". Ein enthaltener Link führt zu einer gefälschten Anmeldeseite. » weiter

Twitterkonto des Twitter-Finanzchefs gehackt

Uhr von Florian Kalenda

Unbekannte verteilten darüber Spam. Anthony Noto hatte 2014 schon einmal eine Direktnachricht versehentlich öffentlich verschickt. Twitter hatte Zwei-Faktor-Authentifizierung 2013 eingeführt. Noto ist seit letztem Sommer im Unternehmen. » weiter

Telekom warnt vor gefälschten Rechnungen „in neuer Qualität“

Uhr von Björn Greif

Erstmals enthalten einzelne Spammails auch den korrekten Vor- und Nachnamen der Addressaten. Bisher war die fehlende personalisierte Ansprache stets ein Hinweis darauf, dass es sich um eine Fälschung handelt. Im ersten Quartal 2015 will die Telekom daher neue Unterscheidungsmerkmale einführen. » weiter

Phisher greifen mit gefälschter Google-Drive-Seite Daten ab

Uhr von Björn Greif

In einer E-Mail werden sie auf eine PDF-Datei hingewiesen, die über Googles Cloud-Storage-Dienst abrufbar sein soll. Ein Klick führt das Opfer auf die gefälschte Startseite. Gibt es dort seine Anmeldedaten ein, wird das PDF zwar tatsächlich angezeigt, seine Daten aber an die Angreifer weitergeleitet. » weiter

USB-Sicherheitssticks sollen sichere Anmeldung bei Google erleichtern

Uhr von Rainer Schneider

Diese können Anwender künftig für die Zwei-Faktor-Authentifizierung zur Anmeldung an ihren Google-Konten verwenden. Das als USB-Sicherheitsschlüssel bezeichnete Hardware-Token soll als zweite Komponente neben dem Passwort die Nutzer-Accounts absichern. Der Stick funktioniert aktuell nur mit Chrome 38 oder neuer. » weiter

Fast 5 Millionen Gmail-Adressen veröffentlicht

Uhr von Bernd Kling

Die Datenbank mit Adressen und Passwörtern wurde in einem russischen Forum eingestellt, das sich mit Bitcoins und Sicherheit beschäftigt. Laut Google gibt es keine Hinweise darauf, dass seine Systeme kompromittiert wurden. Die Adressensammlung könnte auf Phishing-Angriffen oder Hacks anderer Sites basieren - ähnliche Adressenlisten wurden von Mail.ru und Yandex veröffentlicht. » weiter

Proofpoint warnt vor Diebstahl von Bitcoin-Wallets

Uhr von Florian Kalenda

Die Phisher erreichten mit einfachen Mitteln eine Klickrate von 2,7 Prozent. Sie warnen in einer Mail vor einem von China ausgehenden Log-in-Versuch und raten einen Passwortwechsel für das Wallet an. Der beigefügte Link führt zu einer eigenen Site. » weiter