Folgende #Datenschutz Situation:
Person erhält eine #Phishing Mail, wird angeredet mit Vorname Nachname, die E-Mail-Adresse lautet VNachname@firma.example.com (V=erster Buchstabe Vorname), darauf kommt von Firma Info, dass diese vor ein paar Wochen gehackt wurde.
Jetzt fragt die Person sich, woher der Vorname bekannt ist, ob ggf. auch personenbezogenen Daten geklaut wurden.
Frage: Hat man als MitarbeiterIN da ein Auskunftsrecht wenn personenbezogenen Daten geklaut werden?
This email was sent by: BankID
avenue el majd casablanca, cym, 2000, MA
Noe sier meg at det er noe phishy med den eposten der...
Som alltid: vær på vakt!
Denne kom med avsender Viktig Melding fra Vipps <najibmouhajiir@gmail.com>, og hadde emnefelt Kontoen er suspendert !. Det er den altså ikke, og eposten er heller ikke fra Vipps. Bare å slette. Husk også at hverken Vipps, banken din eller noen andre seriøse finansinstitusjoner vill be deg klikke en lenke og oppgi kode fra BankID.
Er forøvrig mye svindelepost som gir seg ut for å være fra Trumf, Eika og Sparebank1 denne måneden. Gjerne med emner som Gjenaktivering av brukerkontoen din ! eller Viktig oppdatering for sikkerheten din !. Alt er svindel, så jo fortere du sletter det, jo bedre er det.
Det ramlet inn to phishing-eposter, som begge er verdt å være litt obs på i løpet av natten:
Den ene er fra Santander Consummer <noreply.santandermailing@online.no> (legg merke til avsenderadressen og skrivefeilen i navnet!), med emnet "Har du oppdatert din kundeinformasjon?". Denne ser ganske lik ut som den typiske eposten man innimellom får fra banker om å holde sin egen informasjon oppdatert.
En virkelig bank vil derimot ikke be deg klikke på en lenke for å oppdatere informasjonen din, men heller be deg gå inn på nettbanken og ordne det derfra.
Den andre er fra Tryg AS <norely@canyou.com> (igjen, sjekk avsenderaddressen!), med emnet "[Refusjonsprosess] Bekreftelse på refusjon". Den inneholder en gledelig melding om refusjon "på en gammel forsikringsfaktura fra januar 2023."
Den inneholder også en lenke man må klikke på for å gå videre i refusjonsprosessen. Her har de tatt seg bryet med å lage en link som tilsynelatende ser fornuftig ut: https://tryg.no/invoice/39820023, men det er ikke det som er addressen om man klikker på lenken!
Ikke klikk på lenkene i noen av disse epostene!
Begge er svindelforsøk, og bør helst slettes uåpnet om du skulle få dem i inboksen din. Det er mye slik svindel for tiden, så vær på vakt! Bruk et epostprogram som viser deg adressene til avsender, og som ikke laster eksternt innhold (bilder/stiler/fonter osv) uten at du eksplisitt ber om det.
Dette er også noe av grunnen til at jeg vil oppfordre alle bedrifter, og spesielt banker og andre som håndterer sensitiv informasjon: Send epost som ren tekst! Det minimerer risikoen for slike svindelforsøk betraktelig!
Phishing as a Service!
#phishing
#fr #spam #phishing #humour
Alors voilà la gueule du titre du spam :
Vous avez gagné un Oral B iO Series 9
Donc, j'aurais gagné une brosse à dents électrique (Oral-B) connectée (on se demande bien pour quoi faire ?) sous système embarqué d'un smartphone Apple (iO Series 9).
Ben voui... super crédible. 😂
#Phishing awareness test. So sehen die aus, es scheint aber Leute zu geben, die die nicht erkennen. Ich hab irgendwann mal zum Spaß auf die Links geklickt (kopiert und in sicherer Umgebung und nicht auf dem Arbeitsrechner geöffnet), seit dem bekomme ich in aller Regelmäßigkeit Einladungen zum Cybersicherheitstraining.
Mye BankID phishing for tiden i forbindelse med utfasingen av BankID for mobil. Det dukker stadig opp svindelforsøk rundt dette i honningfellene mine. Aldri klikk på lenker i epost som utgir seg fra å være fra BankID, banken din eller ymse andre som vil ha deg til å klikke noe som helst sted for å laste ned eller oppgradere BankID appen, eller som hevder de krever verifisering for å reaktivere BankID eller noe sånt tull.
Svindel alt sammen!
Det eneste stedet du kan eller skal gjøre noe med din BankID er fra banken din når du allerede er logget inn på bankens egne sider.
Det er også vel verdt å bokmerke denne artikkelen fra BankID med råd om hvordan avsløre slik svindel.
#norsk #norge #BankID #svindel #phishing #datasikkerhet #infosec
Drei Gründe ...
Der Erfolg bei der Erzeugung von künstlicher Intelligenz wäre das bedeutendste Ereignis in der Geschichte des Menschen. Unglücklicherweise könnte es auch das letzte sein. Stephen Hawking
Eigentlich hätte es heißen müssen "Drei zusätzliche Gründe ... für die Gefahren einer KI", denn über die rassistischen Neigungen einer KI nach wenigen Tagen in freier Wildbahn und über die Gedanken von Stephen Hawkins hatten wir schon geschrieben.
Heise.de untersucht nun drei weitere Gründe, warum ein ChatBot ein Sicherheitsrisiko sein kann.
Alle diese Fälle werden deshalb zu einem Problem, weil die großen Konzerne damit begonnen haben, ChatBots in ihre Anwendungen zu integrieren.
Jailbreaking
Auch wenn die Hersteller der ChatBots (nach den ersten Missgeschicken) darauf geachtet haben, dass sich ihre Produkte an Regeln halten, so lässt sich weiterhin das Sprachmodell anweisen, seine vorherigen Anweisungen und Sicherheitsleitplanken zu ignorieren (Prompt-Injektionen). Deshalb wird es auch weiter dazu kommen, dass KI-Modelle dazu gebracht werden, Rassismus oder Verschwörungstheorien zu befürworten oder den Nutzern illegale Aktivitäten vorschlagen.
Scamming und Phishing
Ein größeres Problem entsteht dadurch, dass OpenAI Ende März bekannt gab, dass es die Integration von ChatGPT in Produkte erlaubt, die im Internet surfen und damit interagieren können. Ohne es zu ahnen, verwenden Nutzer Browser oder Apps in denen KI-Programm ihnen jeweils verschiedene Texte anbieten. Bringt man die KI dazu auf diesen Seiten versteckte Eingabeaufforderungen unterzubringen, so müssen die Angreifer die Nutzer über soziale Medien oder E-Mails nur dazu bringen diese geheimen Eingabeaufforderungen zu verwenden.
Ein Beispiel gibt Arvind Narayanan, Professor für Informatik an der Princeton University in dem Artikel auf Heise.de. "Wenn der Empfänger zufällig einen virtuellen KI-Assistenten verwendet, könnte der Angreifer diesen so manipulieren, dass er dem Angreifer persönliche Informationen aus den E-Mails des Opfers übermittelt oder sogar in fremdem Namen E-Mails an Personen aus der Kontaktliste des Opfers schickt."
In Versuchen ist es ihm gelungen mit einem Bing Browser von Micrsoft, der Chatbot Unterstützung enthält "einen Text zu generieren, der den Eindruck erweckte, ein Microsoft-Mitarbeiter würde vergünstigte Microsoft-Produkte verkaufen. Auf diese Weise versuchte er, an die Kreditkartendaten des Benutzers zu gelangen."
Während früher die Hacker die Nutzer dazu bringen mussten, schädlichen Code auf ihren Computern auszuführen, so tun dies künftig die Chatbots allein.
Daten "vergiften"
Spiegeln die Daten des KI-Programms die Wirklichkeit wider? In der Regel sollte das gelten - allerdings mit der Einschränkung der Begrenztheit des Datensatzes - das sollte man grundsätzlich nie vergessen. Aber was passiert, wenn die Datensammlung manipuliert wurde? Das kann absichtlich durch die Konstrukteure des Programm geschehen aber auch durch Daten aus einem vorgespiegelten Fake Internet. So konnten Forscher mit dem Einsatz von 60$ für den Kauf einer Domain und falschen Bildern und Inhalten auf dieser Seite zeigen, dass eine KI diese Daten genauso in ihr Modell einbaut wie Daten aus der realen Welt.
Wir können uns also künftig auf eine "Meinungsvielfalt" einstellen, die mit der Realität nicht mehr viel zu tun hat.
Mehr dazu bei https://www.heise.de/hintergrund/Drei-Gruende-warum-KI-Chatbots-eine-Sicherheitskatastrophe-sind-8933941.html
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3tD
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8374-20230420-integration-von-ki-in-gaengige-anwendungen.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8374-20230420-integration-von-ki-in-gaengige-anwendungen.html
Tags: #Jailbreaking #Scamming #Phishing #Algorithmen #ChatGPT #Cyberwar #Wissen #Realität #Frieden #Krieg #OpenSource #Menschenrechte #KI #AI #KuenstlicheIntelligenz #Bing #Twitter #Microsoft #Musk #Rassist #DataMining
Vor einigen Jahren habe ich einem Kunden einen Bericht von einem Einsatz geschickt, seit dem bekomme ich immer wieder Phishing und Virenemails, die den Text der E-Mail von damals enthalten. Meisten dann mit einem Anhang, ich meine fast immer eine HTML Datei.
Ich gehe davon aus, dass die E-Mail tausendfach in der Welt unterwegs ist.
Schönes Beispiel für #Phishing und dafür, dass ein kompromittiertes System beim Empfänger auch für den Absender einen Schaden verursachen kann, hier ggf. ein Imageschaden für meinen Arbeitgeber.
Toll ist auch, dass der Kunde nach einem Hinweis von mir meinte das Problem kann nicht mit ihm zu tun haben, klar mein damaliges #Linux #Mint könnte auch nen Datenabfluss, #Trojaner oder #Virus gehabt haben, aber das ist doch eher unwahrscheinlich.
Denne dukket opp i en av epost-honningfellene mine i dag:
Date: Tue, 07 Mar 2023 09:09:41 +0100
From: Santander Consumer Bânk <host[at]awa.cmschamps.com>
To: ******@***********.***
Subject: Siste påminnelse!Kjære herr/fru,
Vi bekrefter herved sperringen av ditt nåværende Santander-kredittkort. Vi
har sperret ditt nåværende kredittkort fordi du ikke ble identifisert på nettet.
Du må identifisere deg på nettet for å kunne bruke ditt nåværende kredittkort
igjen.
Merk: identifiserer du deg ikke? Avtalen(e) du har med Santander vil bli
kansellert innen 14 dager etter denne e-posten. Du vil ikke lenger kunne
bruke kredittkortet ditt.
[Klikk her for å identifisere deg på nettet.]
Med vennlig hilsen,Santander
Som vanlig, ikke klikk!
Slett eposten uåpnet om du kan.
I dette tilfellet vil den sende deg via noen omveier til hxxps://santander-consumer[.]sappho[.]gr/santander/login/?873cd4749403aa850a5f68c14f392ce3#bankid som vil utgi seg for å være innlogging til Santander Consumer Bank, og be deg om å oppgi din BankID.
Denne eposten er selvfølgelig ikke fra Santander noe som helst. Legg merke til avsenderadressen og "hatten" over bokstaven a i "Bânk".
Digitaler Workflow
So nennen sich das Konstrukt, welches gebastelt wurde, um ohne viel Aufwand die bürokratischen Anwendungen an den Mitarbeiter zu bringen - der dann eben die Arbeit und den Ärger hat.
Das funktioniert bei uns so: Ein PDF-Formular wird vom Mitarbeiter ausgefüllt und dann per Schaltfläche via Mail an den Vorgesetzten gesendet, der das dann von seiner Mail-Addi (anstatt Unterschrift) via Button weiterleiten kann.
Manche werden sich schon denken: "WTF?!?". Ja, genau! Das ist nicht nur ein tolles Target für #Phishing, sondern einfach nur insgesamt kompletter Bockmist, den sich nur jemand aus einer Verwaltung ausdenken kann.
I'm really annoyed by the #Internet of today:
Once being an open platform geared towards information exchange and bringing people into contact, most of the public Internet today is nothing but annoying useless #marketing, #advertising and #data #collection. Providing information, connecting people, and making life convenient is definitely NOT the primary goal of whoever is big on the Internet today. It's shocking to see how much of it is only to sell you stuff or to sell your information.
And the worst is: we are even paying them to do this shit. #Marketing spending will be reflected in product prices, and with much of marketing being done in 1st world countries, a substantial amount of the price goes into this destructive industry.
I could go on with this for hours. Really sick of it.
"Like a dog spotting a squirrel, I can't help but notice when a fresh text pops up on my iPhone. The little gray notification catches my eye and I'm instantly pulled away from the task at hand. Plus, this one looked important. It was, but only because it helped me identify a very dangerous and pernicious, Amazon shopping scam."
#technology #tech #security #privacy #hacking #malware #phishing #shopping #Amazon
https://www.techradar.com/news/do-not-fall-for-this-dangerous-amazon-shopping-scam
Bei uns in der Firma gibt es regelmäßig #Phishing Awareness Tests, also sie schicken einem E-Mails wie Phishing. Wenn man die Links anklickt bekommt man paar Tage später eine Einladung zum IT Sicherheitskurs. Wollte mal wissen was passiert und ob die Links personalisiert sind, deswegen im Torbrowser geöffnet. Sind personalisiert.
Fazit, wenn man die Kackmails alle 8 Wochen bekommt nervt es.
Un bilan de l'attaque informatique contre Manutan
Sur les sujets de sécurité informatique, j'ai la sinistre sensation que les entreprises ne peuvent comprendre les enjeux après qu'elles ont été l'objet d'une attaque systémique. La cas Manutan ne semble pas déroger à la règle !
#Ransomware #Cryptolocker #Sauvegardes #Rsyslog #Logs #DNS #Bloqueurs #Proxy #Blacklists #Manutan #Cybersécurité #Phishing #Hammeçonnage
