Eine Mastercard-Phishing-Mail gaukelt den Opfern die Umstellung auf smsTAN-Verfahren vor und lotst sie auf eine nahezu perfekt nachempfundene Mastercard-Seite. Die im fehlerfreien Deutsch geschriebenen Spam-Mails, die im Namen der Firmen Otto und Görtz im Umlauf sind, drohen mit Mahngebühren und transportieren Trojaner im Anhang. Allen Betrugsmails ist eines gemeinsam: Sprachlich sind keine Mängel mehr festzustellen. Optisch ist die Mastercard-Phishing-Seite makellos gestaltet. Es sind wieder nur die kleinen Schönheitsfehler, die den Schwindel enttarnen.
"Sehr geehrter Herr Meier, wir erinnern Sie, dass [..] die Nutzung des mobilen TAN-Services nur mit der Zertifikat App möglich ist." Wenn diese Nachricht einen mTAN-Nutzer auf seinem fürs Online Banking registrierten Handy als SMS erreicht und auch noch den korrekten Namen trägt, kann man schon ins Schleudern kommen.
Bürger des Freistaates Bayern können künftig wichtige digitale Dokumente in einer 2 GByte großen "nPA-Box" speichern. Der hochsichere Cloud-Service soll auf der "Service-Plattform Bayern" laufen und kann nur über die eID-Funktion des neuen Personalausweises (nPA) eingerichtet werden. Einmal eingerichtet, soll die nPA-Box jedoch auch mit dem Smartphone genutzt werden können. Auf dem ersten Kongress des IT-Planungsrates in München stellte Michael Diepold von der Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB) die Ergebnisse einer Konzeptstudie zum "Bürgersafe" vor.
Unternehmen, die auf Verlangen der US-Bundesbehörde FBI keinen Zugang zu Daten von Kunden oder das Abhören von Kommunikation für Strafverfolgungszwecke ermöglichen, sollen künftig bestraft werden können. Die Washington Post berichtet, eine Arbeitsgruppe der US-Regierung bereite zurzeit ein Gesetz vor, das Geldstrafen für solche Unternehmen vorsieht. Demnach könnten betroffene Unternehmen wie Internetprovider für jeden Tag, an dem sie keinen Zugriff auf die Kommunikation bieten, mit einer Strafe von einigen zehntausend US-Dollar belegt werden. Nach 90 Tagen könnten sich die unbezahlten Strafbeträge täglich verdoppeln.
Bei heise Security gehen derzeit Leserhinweise zu Mails ein, die angeblich von der Postbank stammen und zur Installation einer "SSL-Zertifikat App" auffordern. Eine schnelle Analyse zeigt, dass es sich dabei um einen Trojaner für Android-Smartphones handelt, der unter anderem PIN und mTANs fürs Online-Banking abgreift.
Uruguay hat als erstes Nicht-Mitglied des Europarates in Straßburg das "Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten" ratifiziert. Am 1. August tritt die Datenschutz-Konvention des Europarates in dem südamerikanischen Land in Kraft. Sie verpflichtet die Unterzeichnerstaaten, in ihren nationalen Gesetzen Prinzipien wie die Zweckbindung, angemessene Speicherfristen sowie ein Recht der Bürger auf Einsicht in ihre nationalen Gesetzen zu gießen.
Cyberkriminelle sind unermüdlich auf der Suche nach neuen überzeugenden Schlüsselwörtern, um ihre mit Trojanern verseuchten E-Mails erfolgreicher zu machen – nun setzen sie auf den guten Ruf von Trusted Shops und deren "Käuferschutz".
Software-Riese Microsoft arbeitet offenbar an einer Zwei-Faktor-Authentifizierung für die Konten seiner Nutzer. Laut einem Bericht des Blogs Liveside soll dabei vorgesehen sein, dass zusätzlich zum Passwort auch ein Sicherheitscode eingegeben werden muss, der von einer Authentifizierungs-App auf dem eigenen Smartphone erzeugt wird. Damit müsste sich ein potentieller Angreifer sowohl der Login-Daten als auch des Handys bemächtigen, um Zugriff aufs Konto zu erlangen.
Die neue Ausgabe des Newsletters der a-i3 ist erschienen. Themen sind: Cloud-Zertifizierung, BYOD, neue Angriffszenarien für Identitätsdiebstahl, sowie ein Hinweis auf die Programmerweiterung des a-i3/BSI Symposiums 2013. Sie finden den Newsletter hier.
Die Antivirenfirma Sophos hat auf die Kritik gegen das in Kürze an den Start gehende Datensammler-Tool "Report an Sophos" reagiert. Die Firma bietet jetzt eine Option, das Sammeln von Nutzungsdaten in der Management-Oberfläche abzuschalten. Bislang war von einer solchen Option nie die Rede; jetzt erklärt Sophos jedoch, dass die Möglichkeit der Deaktivierung des Reports von Anfang an bestanden habe.
