20.12.2024 IBAN raten und Einkaufen gehen

Verbraucherschützer kritisieren PayPals unsicheren Gastzahlungprozess

Der WDR berichtet von einer Warnung der Verbraucherzentrale Nordrhein-Westfalen vor unberechtigten Abbuchungen vom eigenen Konto durch PayPal. Genutzt wird dabei der sogenannte Gastzahlungsprozess bei PayPal.

WDR.de beschreibt den Vorgang so: "Diese Funktion erlaubt es Nutzern, ohne ein eigenes PayPal-Konto (und ohne die damit verbundene Verifizierung) Zahlungen auszuführen. Stattdessen geben sie lediglich eine IBAN an, und der Betrag wird per Lastschrift vom Bankkonto abgebucht."

Dabei wird weder eine TAN-Nummer wie früher üblich, noch wird die aktuell übliche Zwei-Faktor-Authentifizierung benötigt. Warum diese eigentlich mindestens notwendige Sicherheitsfeatures nicht eingesetzt werden, muss man sich ernsthaft fragen. Dies wäre umso mehr notwendig, wenn es sich um einen praktisch "anonymen Gastzugang" handelt.

Die Geschädigten merken die unberechtigten Abbuchungen nur, wenn sie ihre Kontoauszüge regelmäßig kontrollieren. Es ist also wichtig, dass man Überweisungsbelege mit der eigenen IBAN nicht irgendwo wegwirft, wo Fremde darauf Zugriff bekommen können. Genauso wenig sollte man die eigene IBAN nicht auf irgendwelchen Webseiten hinterlassen und nicht Pishings-Mails damit beantworten.

Verbraucherschützern machen für solche Betrugsvorgänge die unzureichenden Sicherheitsvorkehrungen bei PayPal verantwortlich. Was sollte man machen, wenn es passiert ist?

• Sofort die eigenen Bank informieren und den Berag zurückbuchen lassen,
• PayPal über den Vorgang informieren (mehr oder wenig freundlich!),
• bei der Polizei Anzeige gegen Unbekannt erstatten,
• nicht vergessen, regelmäßig die eigenen Kontoauszüge nach unberechtigten Abbuchen kontrollieren.

Abschließend bleibt natürlich die Forderung an PayPal Zahlungsvorgänge durch eine Sicherheitsprüfung (SMS, TAN, Zwei-Faktor-Authentifizierung) abzusichern.

Mehr dazu bei https://www1.wdr.de/nachrichten/paypal-betrug-gastzugang-iban-100.html
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/77
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/9003-20241220-iban-raten-und-einkaufen-gehen.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/9003-20241220-iban-raten-und-einkaufen-gehen.html
Tags: #Gastzahlungprozess #PayPal #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Transparenz #Informationsfreiheit #Datenpannen #Datenverluste #Verhaltensänderung #Smartphone #Handy #Bankdaten #Abbuchung #IBAN #Zweifaktorauthentifizierung #TAN #SMS

01.09.2024 Pishing wird zum Quishing

... so was gut Gefälschtes ...

MitarbeiterInnen der Commerzbank staunen, denn sie haben "so etwas gut Gefälschtes" noch nicht erlebt. Teilweise treffen sich Kunden und auch Nicht-Kunden der Commerzbank in deren Filialen mit dem gleichen Mailausdruck in der Hand.

Wenn man gar kein Kunde dieser Bank ist kann man sich eigentlich zurücklehnen und das Schreiben ignorieren, auch wenn es ein scheinbar echtes Logo der Commerzbank aufweist und zusätzlich einem QR-Code präsentiert, den man unbedingt aufrufen soll, um sich zu legitimieren. Das nennt man dann Quishing. Zumindest würde es für an Aufklärung interessierte Nicht-Kunden reichen die Mail mit einem Warnhinweis an die Bank zu senden.

Für KundInnen der Bank wäre ebenfalls ignorieren angesagt. Doch wenn man sich hinsichtlich der Echtheit nicht sicher ist, dann ist ein (persönlicher) Kontakt zur Bank sehr sinnvoll. Das empfiehlt auch das LKA für Opfer gefälschte Briefe mit dem Logo bekannter Banken.

Pishing Mails, die einen verleiten wollen irgendwelche Links anzuklicken, kennt ja fast Jeder. Aber die Professionalität der aktuellen Briefe war erstaunlich. Lediglich in der Signatur der Mail stand noch ein ehemaliges Vorstandsmitglied, doch wer kennt die schon namentlich. Als Pishing als Betrugsmethode aufkam konnte man über viele Mails noch lachen, da die Satzstellung eher zum Lachen verführte und Worte völlig unpassend waren.

Heute sind die Übersetzungsprogramme so gut, dass man wirklich über die Echtheit so einer Mail grübeln muss. KI Programme erledigen den Rest. Mit psychologischen Tricks werden die LeserInnen unter Zugzwang gesetzt, um nur nichts Falsches zu tun. Als Richtiges empfiehlt die Verbraucherzentrale Hamburg:

• Keine QR-Codes auf dem Fake-Schreiben scannen.
• Im Brief angegebenen Telefonnummern nicht anrufen.
• Die eigene Bank direkt kontaktieren über Adresse oder Telefonnummer aus Briefen oder auf den echten Internetseiten.
• Auf keinen Fall sollte man sich von irgendwelchen "wichtigen Gründen" in der Mail zeitlich unter Druck setzen lassen.

Mehr dazu bei https://www.merkur.de/verbraucher/opfer-stroemen-in-commerzbank-filiale-betrugsmasche-mit-fake-briefen-auch-mitarbeiter-erkennen-es-kaum-zr-93264443.html
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3Cx
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8890-20240901-pishing-wird-zum-quishing.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8890-20240901-pishing-wird-zum-quishing.html
Tags: #Commrzbank #Cyberwar #Hacking #Trojaner #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Datenpannen #Pishing #Quishing #Erpressung #Datenverluste

30.12.2023 Data Mining auf US Telefondaten

Wozu können Telefondaten genutzt werden?

Nach 15 Jahren in unserem Verein - wir feiern am 18.1.24 den 15 Gründungsgeburtstag - ist das eine unnötige Frage. Jahrelang haben wir bis zum Verbot durch BVerfG und EuGH gegen die Gesetze zur Vorratsdatenspeicherung (VDS) gekämpft. Die Speicherung allein von Metadaten - wer hat wann, wie oft, wie lange mit wem telefoniert - macht uns alle gläsern. Aus solchen Daten können auch leicht falsche Schlüsse gezogen werden und wir müssen dann als sogenannte False Positives "beweisen". dass wir etwas nicht getan haben. Das führt zu einer Umkehr der Unschuldvermutung, die eigentlich ein Grundpfeiler unseres Rechtsstaats sein sollte.

Nun berichtet Heise.de, dass ein geheimes Programm US-Strafverfolgungsbehörden auf Bundes-, Landes- und Kommunalebene ermöglicht auf die Telefondaten Millionen Unverdächtiger zuzugreifen.

• Erstens: Wie kann es für normale Polizeibehörden überhaupt ein geheimes Programm geben?
• Zweitens: Warum bringen die Telefonprovider solche Programme nicht sofort an die Öffentlichkeit, wenn sie dazu angefragt werden?

Denn heraus kam das Vorgehen nur durch die Analyse von durchgesickerten Polizeidokumenten durch das US-Magazin Wired. Man hatte mit der Hilfe des Telekommunikationsunternehmens AT&T eine Analyse von Anrufdetails durchgeführt. Solche Kettenanalysen sollten helfen, Kontaktnetzwerke aufzudecken, die über direkte Verbindungen zu Verdächtigen hinausgehen. Das ist weit mehr als nur die Speicherung von VDS-Daten, das ist Data Mining also die bei uns weitgehend verbotene Rasterfahnung.

So hat auch US-Senator Ron Wyden in einem von Wired veröffentlichten Brief an das Justizministerium "ernsthafte Bedenken hinsichtlich der Rechtmäßigkeit", schreibt Heise.de. Dabei ist das DAS genannte Programm (Data Analytical Services) nicht neu, sondern wurde bereits erstmals von der New York Times im Jahr 2013 öffentlich gemacht. In diesem Programm werden täglich vier Milliarden Einträge gespeichert. Skandalös ist, dass dieses Programm seit Jahren verdeckt finanziert wird und auch Präsident Joe Biden dafür erneut eine finanzielle Unterstützung in Höhe von 6 Millionen US-Dollar zur Verfügung gestellt hat.

Mehr dazu bei https://www.heise.de/news/US-Polizei-hatte-Zugriff-auf-Telefondaten-Millionen-Unverdaechtiger-9539654.html
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3y8
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8634-20231230-data-mining-auf-us-telefondaten.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8634-20231230-data-mining-auf-us-telefondaten.html
Tags: #DataMining #Rasterfahndung #Telefondaten #VDS #USA #AT&T #FalsePositives #Unschuldvermutung #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Datenskandale #Datenverluste #Wired #Biden #NYT #FBI #Polizei #Rechtsstaats #geheim #Cyberwar #Hacking #Transparenz #Informationsfreiheit

29.12.2023 Gesundheitsdaten nur bedingt sicher

KIM = Kaos in der Medizin

Eigentlich sollte KIM ein sicherer E-Mail Service für die Medizin, also die Kommunikation zwischen Krankenkassen und Ärzten sein. Etwas ähnliches gibt es auch seit Jahren im Bereich der Justiz für Gerichte und Anwälte. Insofern handelt es sich nicht um die grandiosiste Innovation.

Trotzem ging es schief. Wie auf dem 37. CCC Kongress in Hamburg von dem Münsteraner Sicherheitsforscher Christoph Saatjohann vom Fraunhofer-Institut für Sichere Informationstechnologie (SIT) in Münster und Sebastian Schinzel berichtet wurde, haben insgesamt acht Krankenkassen durch die Gematik den gleichen S/MIME-Key erhalten. Sichere E-Mail beruht auf dem seit den 80-iger Jahren von Phil Zimmermann entwickelten Public-Private-Key Verfahren. In öffentlichen Einrichtungen geschieht das nach dem Standard X.509, während im privaten Umfeld Jede/r seine Schlüsselpaare selbst generieren kann.

Wenn jedoch die Zertifizierungsstellen (CAs) für verschiedene Akteure die gleichen Schlüssel verteilen, dann war es das mit der Sicherheit sensibler medizinischer Daten. Das ist der GAU in der PKI - der Public Key Infrastructure.

Laut den Sicherheitsforschern hatten, wie Heise.de schreibt, einmal drei Krankenkassen denselben im September 2021 ausgestellten Schlüssel, bei einem zweiten Schlüssel fünf. 28% der Bürgerinnen und Bürger seien über diese acht Krankenkassen versichert gewesen. Dieser Vorfall war nicht der erste mit KIM. 2022 wurde eine Log4J-Schwachstelle im KIM-Clientmodul von T-Systems gefunden.

Künftig werden die Schlüssel nun monatlich auf Dopplungen geprüft.

Mehr dazu bei https://www.heise.de/news/37C3-Schluessel-fuer-E-Mail-Dienst-KIM-fuer-das-Medizinwesen-mehrfach-vergeben-9583275.html
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3y7
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8633-20231229-gesundheitsdaten-nur-bedingt-sicher.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8633-20231229-gesundheitsdaten-nur-bedingt-sicher.html
Tags: #KIM #Gematik #Telekom #Scheinsicherheit #CCC #X.509 #Zertifizierungsstellen #doppelt #Keys #Schlüssel #Email #PP #GPG #Verbraucherdatenschutz #Datensicherheit #Datenpannen #Datenskandale #eGK #ePA #Datenverluste #Anwaltspostfach

18.12.2023 Angreifer können Tastenanschläge einschleusen

Bluetooth besser ausschalten

... oder zumindest kontrollieren ob alle aktuellen Patche installiert wurden. Das betrifft fast alle Smartphones und Desktop Rechner stellt der IT-Sicherheitsforscher Marc Newlin fest, der sich nach dem Entdecken des Fehlers in Android Geräten auch auf anderen Plattformen umgesehen hat.

Auch dort hat er festgestellt, dass sich ohne Authentifizierung auf den Geräten Tastenanschläge einschleusen lassen. Damit können Angreifer Nachrichten weiterleiten, Apps installieren, beliebige Befehle ausführen - also praktisch das Gerät übernehmen.

Jede/r kann zum False Positive werden

Dieser Vorfall macht auch wieder deutlich, wie gefährlich Gesetze für die Betroffenen werden können, die die Unschuldsvermutung umkehren, denn wie beweise ich, dass ich etwas nicht getan habe, wenn es von oder auf meinem Gerät passiert ist?

Ursache noch unklar

Der IT-Sicherheitsforscher wird seine Erkenntnisse demnächst öffentlich vorstellen. Bis dahin ist es noch unklar, ob der Fehler grundsätzlich im Bluetooth Protokoll steckt oder ob es lediglich Fehler in den Implementierungen sind. Heise.de vermutet die "Schuld" auf beiden Seiten und führt eine Reihe von Patches für die verschiedenen Betriebssysteme auf, die mehr Sicherheit bringen können. Diese werden jedoch auf einigen Architekturen nicht standardmäßig bei Updates installiert. Bei den neuesten macOS- und iOS-Updates ist die Lücke wohl geschlossen.

Mehr dazu bei https://www.heise.de/news/Bluetooth-Luecke-erlaubt-Einschleusen-von-Tastenanschlaegen-9570583.html
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3xV
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8622-20231218-angreifer-koennen-tastenanschlaege-einschleusen.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8622-20231218-angreifer-koennen-tastenanschlaege-einschleusen.html
Tags: #Bluetooth #Tastaturen #Cyberwar #Hacking #Trojaner #Authentifizierung #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Ergonomie #Datenpannen #FalsePositives #Unschuldsvermutung #Verhaltensänderung #MacOS #Linux #Android #iOS #Windows #Datenverluste