"Konto gesperrt", "Wir steigen um": Sparkasse und Paypal im Phishing-Fokus

Der wöchentliche Müll von der Verbraucherzentrale.

Viel wichtiger ist, daß man seine Daten nicht im Browser speichert und wenigstens ein Feld (user oder password) freiläßt.

Das steht auf dem Zettel neben dem PC, den kann keiner per Fernzugriff auslesen.
 
Zettel?
Ich hab sogar meine Mutter (über 65) solange getriezt, bis sie endlich einen Passwort-Manager eingerichtet hat und überall ein neues und einzigartiges Passwort vergeben hat...
Und ganz wichtig: Bei den Sicherheitsfragen Zufallsmüll antworten und im PW-Manager versenken. Lieblingstiere gibt's ja nicht so viele zur Auswahl und der Geburtsname der Mutter findet sich ggf. auch irgendwo (Facebook,etc).
 
psalm64 schrieb:
Und dann haut man da beim Anmelden seine AD-Zugangsdaten rein, wie man es gewohnt ist und schon ist es passiert...
Zum Vergrößern anklicken....
Nicht wenn man die Login-Daten (auch nur einen Teil, also zb. Login ohne PW) im Browser gespeichert hat, und nicht immer selbst eingeben muß - da füllt der Browser nämlich die Felder nicht aus, wenn die URL falsch ist. Wobei bei meiner Bank sogar eine App samt Smartphone für einen simplen Login nötig ist (oder sogar ein spezielles BestSign-Gerät), man im Browser nur den Nicknamen eingibt, und das Passwort (oder den Fingerabdruck) dann am Smartphone, wenn die App Sekunden später aufpoppt.
 
wuselsurfer schrieb:
Ein Zettel ist wohl 1.234,567 890 mal sicherer, als alles, was im PC steht.
Zum Vergrößern anklicken....
Nein, ein Zettel ist unsicherer.
Weil man per automatischen Einkopieren per Password Manager bei Pishing darauf stoßen wird, das das nicht geht.
Der Passwort-Manager wird einem mitteilen, das er kein Passwort für die Seite verfügbar hat!

Das war z.B. bei meinem "Angriff" auf der Arbeit das Problem...
Wir haben hier nur eine handvoll ADs und damit nur wenige Passwörter. Und genau zwei muss ich ab und zu leider mal per Hand eintippen, weil das halt nicht anders geht und das sind leider die am meisten genutzten.
Dafür habe ich also Passwörter, die zwar relativ komplex und lang sind, die ich mir aber trotzdem halbwegs gut merken kann. Und schon wird man ausgetrickst, weil der Passwort-Manager einen ggf. dann nicht abfängt...

INU.ID schrieb:
Nicht wenn man die Login-Daten (auch nur einen Teil, also zb. Login ohne PW) im Browser gespeichert hat, und nicht immer selbst eingeben muß - da füllt der Browser nämlich die Felder nicht aus, wenn die URL falsch ist. Wobei bei meiner Bank sogar eine App samt Smartphone für einen simplen Login nötig ist (oder sogar ein spezielles BestSign-Gerät), man im Browser nur den Nicknamen eingibt, und das Passwort (oder den Fingerabdruck) dann am Smartphone, wenn die App Sekunden später aufpoppt.
Zum Vergrößern anklicken....
Soweit ich weiß sollte man auf KEINEN Fall seinen Browser als Passwort-Manager benutzen, weil die meistens unsicher sind.
Und abgesehen davon bräuchte man dann zwei Passwort-Manager (Browser und einen zweiten für alle Sachen außerhalb es Browsers.)
 
Man müsste meinen, dass sich gewisse Dinge mal herumsprechen.
Aber was erwarte ich? Auch in 50 Jahren werden wohl manche Kaffeefahrten machen...


Die fand ich gut:
aufgrund des hohen Sicherheitsrisikos ist es erforderlich, das iTAN-Verfahren abzuschaffen und durch sichere Legitimationsverfahren wie dem mTAN oder photoTAN-Verfahren zu ersetzen.

Dazu ist es erforderlich, dass Sie Ihre iTAN-Liste einscannen oder fotografieren und uns zur Entwertung schicken. Eine Entwertung in unseren Filialen ist derzeit nicht möglich. Wir werden daraufhin das iTAN-Verfahren abschalten.
Zum Vergrößern anklicken....



wuselsurfer schrieb:
Ein Zettel ist wohl 1.234,567 890 mal sicherer, als alles, was im PC steht.
Zum Vergrößern anklicken....
Ist das wieder das mit der gefühlten Sicherheit?
Wenn der Rechner so wenig vertrauenswürdig ist, dass ein bis zur Verwendung verschlüsseltes PW unsicher ist, ändert sich was durch manuelle Eingabe?


IpO4T-hlaC0N25ack-ft einzutippen macht sicher Spaß. Nach dem 3. Vertipper hätte ich wieder ein Standardpasswort verwendet,
 
wuselsurfer schrieb:
Also niemand.
Zum Vergrößern anklicken....
Also alle, in denen ich bisher tätig war.
Und vermutlich alle ab einer bestimmten Größe, mit mindestens einem ITler, der sich, der sich auch so nennen darf (oder einer guten extern eingekauften IT)
Großzügig alle Firmen in Deutschland ab 50 Mitarbeiter: ~90.000
Konservativ ab 250: Nicht ganz 20.000
https://de.statista.com/statistik/d...ternehmen-nach-beschaeftigtengroessenklassen/
Und unter denen bis 50 Mitarbeiter gibt es bestimmt auch welche mit (Teilzeit-)Administratoren, mit ausreichend (Halb-)Wissen, die das auch hinbekommen, für eine ausreichend gute IT-Infrastruktur zu sorgen, das man sein Mailpostfach nicht bei google etc, hat...
 
psalm64 schrieb:
Also alle, in denen ich bisher tätig war.
Zum Vergrößern anklicken....
Du bist aber nicht der Nabel der Welt.
In Deutschland halten sich so um die 40 Millionen Menschen für einen Administrator (jeder, der einen PC hat), aber wenn man nachzählt fallen da 39,x Millionen raus.

psalm64 schrieb:
Und vermutlich alle ab einer bestimmten Größe, mit mindestens einem ITler, der sich, der sich auch so nennen darf (oder einer guten extern eingekauften IT)
Zum Vergrößern anklicken....
Sehr viele 99,9 % der Firmen unter 10 Beschäftigten habe in ihrem Leben nie einen Mitarbeiter mit abgeschlossener EDV/IT-Ausbildung auch nur teilweise beschäftigt.

psalm64 schrieb:
Großzügig alle Firmen in Deutschland ab 50 Mitarbeiter: ~90.000
Konservativ ab 250: Nicht ganz 20.000
https://de.statista.com/statistik/d...ternehmen-nach-beschaeftigtengroessenklassen/
Und unter denen bis 50 Mitarbeiter gibt es bestimmt auch welche mit (Teilzeit-)Administratoren, mit ausreichend (Halb-)Wissen, die das auch hinbekommen, für eine ausreichend gute IT-Infrastruktur zu sorgen, das man sein Mailpostfach nicht bei google etc, hat...
Zum Vergrößern anklicken....
Was sind 110.000 Leute gegen 40 Millionen PCs?

Ich weiß nicht wo Du tätig bist, aber als PC-Servicer hab ich schon sehr viele Kleinfirmen in sehr vielen Branchen (Druckereien, Handwerker aller Art, Einzelhändler (Autoteile, Metall, Bücher, Elektro, Telefon, Fleischer, Bäcker, ...), Wellness, Ärzte, ... gesehen.

Da war ich der einzige mit einer abgeschlossenen IT-Ausbildung seit vielen Jahren, weil ich den reparierten Server (mit getauschten toten HDs ohne Dauerlauffestigkeit) wieder aufgestellt habe.

IT mach da der Chef mit seiner Frau.
Und wehe, die .PST-Datei von Outlook den Geist aufgibt.
Dann tu es richtig weh.

Beim Pflasterfritzen mit einer Hand voll Angestellten war die über 4 GB groß.
Blöd, wenn dann die Sicherungs-Platte FAT32 formatiert ist, wenn es denn eine gibt.
Von "Passwortmanagern" und anderem exotischen Zeugs hat da noch niemand im Leben etwas gehört.

Wenn Du vorschlägst, einen sichereren e-mail Zugang zu benutzen, der sich einfach sichern läßt, mußt Du schnell sein, sonst fängst Du den Stuhl mit dem Rücken ab.
 
... solche Mails werden gelöscht ohne weiter drauf zu schauen. Dann gehe ich ins Portal ... Sparkasse oder PayPal und schaue in mein Postfach.

Hatte aber auch schon eine echte Warnung von MIcrosoft, dass mein Konto Aufmerksamkeit verlangt.
 
@wuselsurfer
Vorsicht, nicht Äpfel mit Birnen vergleichen.

wuselsurfer schrieb:
Ich weiß nicht wo Du tätig bist, aber als PC-Servicer hab ich schon sehr viele Kleinfirmen in sehr vielen Branchen (Druckereien, Handwerker aller Art, Einzelhändler (Metall, Bücher, Elektro, Telefon, Fleischer, Bäcker, ...), Wellness, Ärzte, ... gesehen.
Zum Vergrößern anklicken....
Ich kenne das Thema nur von Diskussionen in meinem Bekannten und Verwandtenkreis. Ich habe bisher immer nur in Konzernen mit >5.000 Mitarbeitern gearbeitet und da in der IT-Sparte. :)

Aber was Du beschreibst (<10 Mitarbeiter), sind natürlich 80% der Firmen, aber nur 20% der arbeitenden Bevölkerung...
(Stand 2018, wird sich ja wahrscheinlich dank Corona eher in Richtung der größeren verschoben haben, als zu den kleineren.)
www.ratgebermagazin24.de

96,9%: Die vernachlässigten kleinen Firmen in Deutschland

Mehr als 90 % der deutschen Unternehmen beschäftigen weniger als zehn Mitarbeiter. Diesen Leistungsträgern fehlt jedoch die Lobby.
www.ratgebermagazin24.de www.ratgebermagazin24.de

Aber klar gibt es jede Menge kleine Firmen mit in der Gesamtsumme nicht wenigen Mitarbeitern, in denen es niemanden mit Plan von der IT gibt, das bezweifle ich ja gar nicht, ein Bekannter von mir hatte vermutlich mal einen Job der Deinem sehr geähnelt hat. (lokaler IT-Dienstleister mit 2 Mann und die Ehefrau von einem hat halbtags die Verwaltung gemacht)

Aber es geht ja nicht nur um die Anzahl der Firmen, sondern auch um die Anzahl der Mitarbeiter, die mit dem Thema konfrontiert sind.
Das bedeutet ~60% der arbeitenden Bevölkerung arbeitet in Firmen (ab 50 Mitarbeiter), die eigentlich eine brauchbare IT haben (sollten)...
Ok, davon haben ja auch wieder nicht alle mit dem PC zu tun (zB in der Produktion), aber das gilt ja auch in den kleinen Betrieben. Beim Handwerksbetrieb um die Ecke mit einer (Halbtags-)Person in der "Verwaltung", dem Meister und ein paar Angestellten, haben vermutlich nur der Meister und die Person für die Verwaltung am PC zu tun. Falls es überhaupt extra jemanden gibt, der den Papierkram macht und nicht der Chef nach Feierabend selber Hand anlegt und die Rechnungen schreibt etc...
 
Incredible Alk schrieb:
Aber es stimmt, manches Phishing ist mittlerweile echt gut gemacht. Ich hab schon Phishing bekommen das ich auf den ersten Blick nur daran als solches erkannt habe dass ich bei der Bank von der die Mail angeblich kam nie ein Konto hatte :haha:
Zum Vergrößern anklicken....
Normalerweise kann man auch an der Absender Adresse erkennen das sie nicht echt ist.
 
RyzA schrieb:
Normalerweise kann man auch an der Absender Adresse erkennen das sie nicht echt ist.
Zum Vergrößern anklicken....
Ich erkenne das meistens an der Empängeradresse. :)
Weil ich bei jedem Dienst eine Adresse mit dienstname@accounts.meinedomain.de habe.
Klar kann sich da jeder Dienste-Anbieter und jeder Hacker denken, wie das bei mir läuft. Aber die großen Angriffe laufen ja mit tausenden Adressen aus irgendwelchen Listen, die prüft ja keiner auf solchen Zusammenhäne, da ist das schon ein ganz praktischer Filter.
Ausserdem sehe ich dann, welcher Dienst vermutlich gehackt wurde oder meine Mailadresse weiterverkauft hat...
 
Kann man die Absenderadressen nicht auch fälschen, sodass sie aussehen wie von der echten Bank oder Firma?
 
ΔΣΛ schrieb:
Kann man die Absenderadressen nicht auch fälschen, sodass sie aussehen wie von der echten Bank oder Firma?
Zum Vergrößern anklicken....
Ja kann man. Wenn man einen Mailserver findet, der die Mails annimmt. Aber das ist normalerwiese kein Problem, wenn man sich auf dem Niveau bewegt. (Wenn ich mich recht entsinne, Mail ist nicht gerade mein Spezialthema, einfach mal Internet-Such-Funktion benutzen.)
 
psalm64 schrieb:
Das kann mMn JEDEN erwischen.
Ja bei Privatmails und Banken/PayPal/etc bin ich da auch so drauf, das es mich nicht wahrscheinlich nicht erwischt, aber es gibt ja jede Menge andere Webseiten. Und dann haben sie Deine Mailadresse, Deine normale Adresse, whatever.
Und bei uns in der Firma gibt es bestimmt ein gutes dutzend interne Systeme, die Mailinfos rausschicken, wo ich bestimmt nicht der einzige bin, der auf die Links in den Mails klickt (Ticketsystem-Mails usw).
Und dann haut man da beim Anmelden seine AD-Zugangsdaten rein, wie man es gewohnt ist und schon ist es passiert...
Und nichts für ungut, wer von sich behauptet, er wäre da zu 100% gefeit gegen, der ist mMn nicht reflektiert genug. Einmal zufällig genau in dem Moment müde, abgelenkt, gestresst, usw. (am besten mehreres davon gleichzeitig) und schon ist es passiert...
Das Problem ist halt, wir haben uns auch als ITler jahrzehntelang angewöhnt, das man auf diese Links in den Mails klickt. Und das Problem mit den gefährlichen Links in den Mails gibt es erst seit vergleichsweise kurzer Zeit... Und der Mensch ist halt ein Gewohnheitstier...
Zum Vergrößern anklicken....
Ähm, vielleicht bin ich ja nicht reflektiert genug, aber ich halte mich da schon zu 100% für immun.
Und zwar aus einem Grund, der deiner Begründung für das Gegenteil nahe steht:

Ich.Klicke.Nicht.Auf.Links.In.Mails.
Niemals,niemals, keine Ausnahmen ausser in der entfernten Vergangenheit.
Seitdem ich bewusst das Prinzip Phishing kenne, und das ist schon eine Weile, halte ich mich daran.
Ist ganz einfach. Ich brauche doch auch nie den Link, das Lesezeichen oder Google bringen mich auch zur jeweiligen Website. Dauert 2s länger, dafür muss ich keinen Gedanken ans Phishing verschwenden.
Das ratr ich auch jedem Laien der fragt, ob dies oder jenes Phishing ist: Vollkommen egal, mach dir keine Gedanken, klick einfach nicht auf den Link.

Tatsächlich hab ich mich seitdem auch nie weiter damit beschäftigt. Bin ich denn trotzdem in Gefahr, solange ich mich an diese goldene Regel halte?
Also was Phishing angeht, Viren und Malware kommen nicht nur per Mail, das ist mir klar :).
psalm64 schrieb:
Schwierig, wenn die Mail außerhalb der Geschäftszeiten kommt und einem mitteilt:
JETZT handeln oder Gefahr!
Zum Vergrößern anklicken....
Nicht wenn mn sich klar macht, dass es niemals so dringend ist.
Man muss es nicht unterscheiden können, es gibt schlicht keine seriöse Mail die so dringend ist.
Klar, manche wissen das nicht. Denen das zu verklickern dürfte aber leichter sein als ihnen die "Tricks" mit SSL Zertifikaten, Grammatik und URL zu erklären.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

PCGH-Redaktion
News Ihr Paypal-Konto ist vorübergehend eingeschränkt: Verbraucherzentrale warnt vor Phishing-Mail
Antworten
17
Aufrufe
2K
T-MAXX
T-MAXX
Majima
Blog Erfahrungsbericht: Google Pixel 8 Pro mit GrapheneOS
Antworten
5
Aufrufe
20K
Majima
Majima
Depugno
LG UltraGear GP9 Lesertest
Antworten
0
Aufrufe
1K
Depugno
Depugno
Incredible Alk
Blog Alkis Blog #48 - Der Backup Blog
2
Antworten
28
Aufrufe
9K
Incredible Alk
Incredible Alk
INU.ID
[Update] WaipuTV schließt auf dem FireTV im Namen des Nutzers &quot;heimlich und unaufgefordert&quot; (Probe-)Abonnements ab
2
Antworten
32
Aufrufe
18K
INU.ID
INU.ID
Oben Unten
Zurück