Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat kürzlich einen Handlungsleitfaden zum Umgang bei Phishing-Attacken in Zusammenhang mit Messenger-Diensten (hier: Signal) herausgegeben. Anlass waren Phishing-Versuche gegen „hochrangige Ziele aus Politik, Militär und Diplomatie sowie Investigativjournalistinnen und -journalisten“, welche wohl „durch einen staatlich gesteuerten Cyberakteur durchgeführt“ werden.
Das BSI beschreibt dabei drei Szenarien:
- Szenario 1: „Sie haben nicht auf die Nachricht reagiert und keinen SMS-Code und/oder PIN eingegeben.“
- Szenario 2: „Sie haben einen SMS-Code und/oder PIN eingegeben, aber Sie haben weiterhin normalen Zugriff auf Ihr Signal-Konto und wurden nicht zur Neuanmeldung gezwungen?“
- Szenario 3: „Sie haben einen SMS-Code und/oder PIN eingegeben und Sie wurden plötzlich aus Ihrem Konto ausgeloggt? Oder Sie sollen sich unerwartet neu anmelden? Oder Kontakte und Gruppen sind nach Neuanmeldung verschwunden oder Sie sind kein Gruppenmitglied mehr?“
Der Leitfaden ist über diesen Link aufrufbar. Am 6. April hatten das BSI und das Bundesamt für Verfassungsschutz (BfV) bereits aus aktuellem Anlass einen gemeinsamen Sicherheitshinweis zum Thema „Phishing über Messengerdienste“ herausgegeben.
Allen Betroffenen wird laut BSI dringend empfohlen, dem Handlungsleitfaden zu folgen, um eine mögliche Kompromittierung der eigenen Kommunikationskanäle festzustellen und zu bereinigen.
Das Internet ist für uns alle noch Neuland und wir lernen noch wie es funktioniert.
Dieses Phishing ist jetzt was ganz neues, da muss man erstmal schauen wie man sowas verhindern kann.
Mit einem Fax wäre sowas nicht passiert.
Das ist ein Irrtum.
Pishing wäre auch per Fax möglich. Letztendlich versteht man darunter das entlocken vertraulicher Informationen. Neben Telefon, E-Mail etc. können Informationen natürlich auch per Fax weitergegeben werden.
So neu ist die Geschichte nun auch nicht.
Ende 90er Jahre/Anfang 2000er gab´s auch schon Pishing im Internet. Damals gehörten z.B. Messenger wie ICQ, bzw. dessen Nutzer, zu den Zielen.
Wie du siehst: Da ist nicht viel mit „Neuland“.
Im Internet gilt einfach nur das Gleiche wie im Straßenverkehr: Stets immer schön die Augen auf!
Ich denke das Pauls Kommentar sarkastischer Natur war. 😉
Davon gehe ich auf jeden Fall aus.
Da ich aber selbst so einige Internet-Verirrte u. -Verwirrte Personen kenne, kann vorsorgliche Aufklärung ja nicht schaden. Man weiß ja nie. 😅
Ich empfehle auch Dir Ironiezeichen.
Auch sie sind Neuland – seit 1899. ⸮
https://de.wikipedia.org/wiki/Ironiezeichen
„Das Internet ist für uns alle noch Neuland…“ als damals die Merkel diesen Satz raushaute, wusste ich als IT´ler: Wir sind am Arsch
Dieses Neuland muss von Ministerprofis hinreichend geprüft und „erfahren werden“ 😂
_Einmal regiert werden von Profis_
-Ohne Worte-
Man muss ihnen anrechnen das sie überhaupt arbeiten wenn auch sehr langsam.
Komme ich heute nicht komme ich auch morgen nicht in die Gänge….
naja das ist jetzt unfair den Politikern gegenüber, schau doch einfach mal die Foren durch und wieviel da auf Phishing reinfallen, da sieht man das das nicht nur für Politiker #Neuland ist! Durchaus genug „Opfer“ in Adminkreisen und deren Dunstkreis…
Diese Masche funktioniert doch oft auch im realen Leben.
Dazu braucht es kein Internet.
Beispielsweise diese Masche, bei denen sich Verbrecher als Polizisten ausgeben und behaupten, das das Geld auf der Bank nicht sicher sei und man das abheben sollte und der Polizei übergeben sollte.
Oder das man seine Wertsachen (Schmuck etc.) der Polizei übergeben sollte.
Und dann kommt ein falscher Polizist vorbei und holt das Geld/die Wertsachen ab.
Besonders ältere Leute sind oft Opfer dieser Masche.
Regelmäßig liest man von entsprechenden Fällen in der Presse.
Und was Messenger, Email etc. angeht:
Wann lernen die Leute denn endlich einmal, das kein Dienst/keine Organisation/Firma/Bank etc. die Zugangsdaten etc. abfragt.
So etwas ist zu 100% Phishing!
Niemals seine Zugangsdaten mitteilen!
Niemals auf Links zur „Überprüfung“ des Accounts o.Ä. klicken.
etc. etc.
Aber genau das ist der Punkt…..
Wenn ältere Menschen darauf reinfallen kann man das noch nachvollziehen.
Wenn jedoch Politiker auf solch billigste Taschenspieler-Tricks reinfallen, die unser Land regieren sollen, dann wirft das schon Kompetenzfragen auf. Zumal diese Politiker auch Berater und IT-Experten haben. Ich gehe auch mal stark davon aus, dass Regierungsarbeit nicht auf den privaten Handys der Politiker stattfinden.
Das Regierungsarbeit nicht auf dem privaten Handy stattfindet ist zwar dringend geboten, aber ich habe da so meine Zweifel, ob das tatsächlich so durchgehalten wird.
Politiker müssten dann ja 2 Handys haben: Ihr privates Handy und ein Diensthandy.
Aber das ist ja unbequem!
Und der Mensch neigt dazu, alles möglichst bequem haben zu wollen.
Ein gutes Beispiel dafür, das Bequemlichkeit über Sicherheit gestellt wird, ist die häufig zu findende automatische Anmeldung bei Windows. Die Leute wollen keinen Benutzernamen und Passwort eingeben, ergo wird die automatische Anmeldung aktiviert.
Und gefühlt 95% aller Windows-Benutzer sind mit dem Standardaccount, der Adminrechte hat, auf dem Rechner anstatt einen zweiten eingeschränkten Account anzulegen.
Auch ein Sicherheits-Fail!
Oder ein üblicher Sicherheits-Fail:
Banking-App und Authentikator-App auf dem gleichen Gerät!
Die gehören, um die versprochene Sicherheit erfüllen zu können, grundsätzlich auf getrennte Geräte!
Macht aber gefühlt niemand.
Und weshalb sollten da Politiker anders agieren als der Durchschnitt der Bevölkerung?
Denen ist die Sicherheitsproblematik überhaupt nicht bewusst!
Aber da ist auch die IT-Abteilung des Bundestages gefragt.
Es ist technisch kein Problem, die Kommunikation von Privatgeräten mit der Bundestags-IT zu blockieren und nur die von Dienstgeräten zu erlauben.
Und man sollte keine öffentlichen Messenger verwenden, sondern einen eigenen Messengerdienst verwenden, der nur mit Dienstgeräten genutzt werden kann.
Aber so weit denken die Politiker nicht.
Ein eigener Messengerdienst hätte dann auch den Vorteil, das man vor Phishing geschützt ist, sofern der Dienst nicht gehackt wurde, da ja niemand externes den nutzen kann.
es ist schon irgendwie absurd:
da wird in der Politik über ein Mindestalter für SocialMedia und über Medienkompetenz diskutiert und dann werden diese Politiker Opfer von Phishing Attacken?
Vlt. sollte man eher einen Mindest-IQ ansetzen, anstelle eines Mindestalters.
Wofür gibt es das BSI (Bundesamt für Sicherheit in der Informationstechnik) mit seinen Richtlinien und zertifizierten Geräten, wenn sicher keiner dran hält bzw. nutzt?
Mindest-IQ? Das käme einem weitgehenden Verbot für die Politiker Kaste gleich.
Bester Kommentar! Exakt so ist das.
Wollen wir hoffen, dass auf den Kanälen nur über die Finanzierung der nächsten Kaffeerunde kommuniziert wurde.
Na ja, so neu ist das Internet ja nicht. Wurde bereits 2013 als Neuland erkannt 👍….
Angela Merkels Zitat „Das Internet ist für uns alle Neuland“ stammt aus einer Pressekonferenz am 19. Juni 2013 mit US-Präsident Barack Obama. Die Aussage, getätigt im Kontext der NSA-Überwachungsaffäre (PRISM)….
Sonniges WE
Fängt das mit SMS an, Rufnummer abschalten oder ändern. Anzeige Polizei (wegen Versicherung).
Zudem:
Es kann jemand willkürlich „PIN’s“ durchprobieren, die Wahrscheinlichkeit liegt zwar bei 1:x (x=Pinstellen^10 / Anzahl erlaubter Fehlversuche). Aber auch ein blindes Huhn findet mal ein Korn.
Das BSI ist da etwas LOCKER unterwegs!
Das Rufnummer abschalten/ändern wird durch 2FA natürlich immer unpraktischer, aber so ist das nun mal.
Nö , nur unbequem mit Arbeit verbunden… Bevor du die Nummer änderst, all 2FA vom Dienst lösen, Rufnummer stilllegen, Neu Nummer mit dem 2FA verbinden… (falls man nen Dienst übersehen hat, den Recovery Key (den jeder Dienst anlegt wenn man mit 2FA absichert) zum Zugriff verwenden…
Ist nur Fleißarbeit mehr nicht!
Das Ausprobieren von PINs kann man sehr deutlich erschweren, indem man die erneute Eingabe der PIN nach einem Fehlversuch erst nach einer gewissen Zeit zulässt. Und mit jedem Fehlversuch verlängert sich die Wartezeit.
Beispielsweise 3 Versuche ohne Wartezeit, dann für den 4. Versuch 30 Sekunden Wartezeit, für den 5. Versuch dann 1 Minute Wartezeit, etc. Mit jedem Fehlversuch verdoppelt sich die Wartezeit, bis man einen neuen Versuch machen kann.
Beim 20. Versuch ist man dann schon bei einer Wartezeit von satten 23 Tagen!
Beim 30. Versuch sind es dann satte 64 Jahre!
PWs genug schwer machen, 2fa ist halt ein bisschen nervig, weil bis ich alles eingegeben habe und so, bin ich schon durch die Webseiten durch.
Hmm ganz einfach im E-Mail, sms,messenger, was man nicht selber veranlasst hat, ist Fake.
Banke und co senden real nie eine Meldung per E-Mail und dann nur, wenn man es erwartete. Die Kommunikation wird ja den über das Online-Banking-System geführt.
Also ich bin noch nie reingefallen.
ja auch die Schreckensmeldung, da hat wer für 5000 Euro über deine Bank bei Amazon bestellt. Auch das ist immer Fake weil Amazon das nicht schreibt. Man hat eher eine Kaufbestätigung von 5000 Euro, wo man dann ja auch beenden kann. Hätten sehr viel zu tun bei Milliarden von Käufen pro Tag.
und immer mit der Maus darüberhalten, und ja eine bank kann sich ne Webseite leisten, muss sich nicht in einem russischen Spam-Netzwerk begnügen, und ja nie eine E-Mail zurück bitte wegen kein spam bitte.
Hallo, zusammen
Vielleicht liege ich falsch. Aber wenn diese Politiker nicht betroffen wären, sondern nur Otto Normal Verbraucher, hätte man wohl nicht so einen Zirkus veranstaltet.
Du darfst nicht vergessen, dass Otto Normal nicht über wichtige Daten verfügt, die das Land und mehr betreffen. Die Politiker schon. Daher der Rummel.