Die Bundesregierung hat ihren Entwurf zur Novellierung des Gesetzes für das Bundesamt für Sicherheit in der Informationstechnik (BSI) gegen Kritik aus den Ländern verteidigt. Man teile nicht die Auffassung, dass es sich bei der geplanten Möglichkeit zur automatisierten Auswertung von Protokolldaten aus dem Betrieb der Kommunikationstechnik des Bundes um einen gravierenden Grundrechtseingriff handle, heißt es in der Gegenäußerung Berlins zur Stellungnahme des Bundesrats. Soweit die Daten unverzüglich kontrolliert und danach sofort und spurenlos wieder gelöscht werden, werde die Eingriffsschwelle gemäß der Rechtsprechung des Bundesverfassungsgerichts auch gar nicht erst überschritten. Zudem bestehe eine klare Zweckbegrenzung auf die Abwehr von Gefahren für die Informationstechnik des Bundes.
Die neueste Serie von Packstation-Phishing-Mails bedient sich eines vertrauenerweckenden Domain-Namens, um die Empfänger zur Eingabe Ihrer Packstation-Daten zu bewegen. Vorangegangene Betrugsversuche waren leicht an merkwürdigen Domainnamen wie packstati0n.de (mit der Ziffer 0 statt dem Buchstaben o) oder packstation-service.1x.to zu erkennen, doch die nun vorliegenden aktuellen Mails verweisen auf die Domain dhl-packstation.info.
eBay-Betrügern ist es offenbar gelungen, eingestellte Warenbeschreibungen so zu manipulieren, dass sich beliebige Item-Nummern und die Mail-Adresse des Anbieters austauschen beziehungsweise überschreiben lassen. Damit ließen sich nicht nur Bieter in die Irre führen, auch eBays Maßnahmen zum Schutz vor betrügerischen Auktionen sollen sich so austricksen lassen. Die Betrüger nutzten eine Cross-Site-Scripting-Attacke in Verbindung mit der XML Binding Language (XBL), durch welche sich Elemente in einem HTML-Dokument mit Skripten, Style-Sheets und anderen Objekten in einem HTML-Dokument auf anderen Webseiten verknüpfen lassen. Es ist jedoch noch offen, wo der Fehler genau zu suchen ist.
Mit einer gut gemachten E-Mail mit dem Betreff "World of Warcraft – Security" versuchen derzeit Betrüger an Zugangsdaten, Lizenzschlüssel und Adressen von WoW-Spielern zu kommen. Angeblich habe der Account-Inhaber "besonders schwer" gegen die Nutzungsbestimmungen verstossen, indem er sich durch "Ausnutzung der Spielmechanik und/oder Ausnutzung von Fehlern innerhalb der Spielumgebung" Vorteile gegenüber anderen Spielern verschafft habe. World-of-Warcraft-Spieler im Visier der Phisher weiterlesen →
Unbekannte haben auf der Internet-Seite des FC Schalke 04 während des Länderspiels am Mittwochabend zwischen Deutschland und Norwegen (0 : 1) eine Meldung über die sofortige Entlassung von Stürmer Kevin Kuranyi veröffentlicht. Kuranyi sei nach einer Sondersitzung der Schalker Vereinsführung freigestellt worden. Schalke dementierte die Meldung jedoch umgehend und sperrte die Meldung: "Mit krimineller Energie ist die Homepage des FC Schalke 04 gehackt worden. Eine dort platzierte Meldung, wonach Kevin Kuranyi von seinen vertraglichen Pflichten entbunden und er vom Verein freigestellt worden sei, entbehrt jeglicher Grundlage und ist frei erfunden", teilte der Verein mit. Derzeit wird die Webseite überarbeitet.
Das Anfang der Woche von RTL übernommene Kontaktportal wer-kennt-wen.de hat offenbar mit Sicherheitsproblemen zu kämpfen. Nach Angaben des Sicherheitsportals heise Security wurde mindestens ein Fall bekannt, in dem es einem WKW-Nutzer gelang, die Zugangsdaten anderer Nutzer zu stehlen. Zugangsdaten von Wer-kennt-wen.de-Nutzern geklaut weiterlesen →
Die Job-Börse Monster ist wieder Opfer eines groß angelegten Datendiebstahls geworden. Das lässt sich einer etwas versteckten Mitteilung auf der Website des Dienstes entnehmen. Demnach sei unerlaubt auf die Datenbank des Unternehmens zugegriffen worden. Dabei seien den Eindringlingen unter anderem Zugangsdaten, Namen, Telefonnummern, Email-Adressen und einige demografische Daten in die Hände gefallen, jedoch keine Bewerbungsunterlagen oder die in den USA auf dem Datenschwarzmarkt sehr begehrten Sozialversicherungsnummern.
Internet-Nutzer erhalten in den letzten Tagen massenhaft Emails, die vorgeben, von dem Packstation-Service der DHL zu stammen. Der Empfänger wird in dem nicht fehlerfreien Text der Email aufgefordert, `seine Packstation´ zu verifizieren, denn es gebe momentan `Probleme mit den Servern´. Nutzer der Paketautomaten der Deutschen Post-Tochter DHL ist zu raten diese Email und auch zukünftige dieser Art zu löschen. Mithilfe der Mails versuchen die Betrüger, an die Nummer und die PIN der Packstation-Kunden zu gelangen. Da das Verfahren der Packstation eine flexible Möglichkeit ist, sich Sendungen zuschicken zu lassen und diese, wenn man gestohlene Nutzerdaten benutzt, anonym abgeholt werden können, ist es wahrscheinlich, dass die Nutzerdaten für illegale Geschäfte und Geldtransfers benutzt werden sollen.
Am 23. und 24. März 2009 findet in Bochum das 4. Symposium der a-i3 in Kooperation mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) unter dem Thema
Vertreter von Verwaltungsbehörden, Unternehmen, Wissenschaft, Politik und Verbänden diskutieren Sicherheits- und Identitätsfragen der geplanten Bürgerportale und des Elektronischen Personalausweises (ePA), sowie weitere hochaktuelle Aspekte des Identitätsschutzes, etwa Identitätsdiebstahl, Sicherheitsfragen des Cloud Computing u.a.
Ziel der Expertentagung ist die interdisziplinäre Diskussion in den beteiligten Fachkreisen. Die Tagung richtet sich insbesondere an Vertreter und Entscheidungsträger der Verwaltungsbehörden, Berater, Leiter und Mitarbeiter in Organisation, IT-Sicherheit, Softwareentwicklung, E-Commerce, Online-Banking, Juristen in Justiz, Unternehmen und Verbänden, spezialisierte Rechtsanwälte sowie Leiter und Mitarbeiter in Aufsichts- und Strafverfolgungsbehörden.
Das ausführliche Tagungsprogramm sowie ein Anmeldeformular finden Sie hier.
Eine Anfahrtskizze liegt hier zum Download bereit.
Berichten zufolge sollen Phisher derzeit versuchen, Twitter- und Facebook-Anwendern die Login-Daten zu stehlen. Dazu verschicken sie über Twitter sogenannte Direct Messages mit Inhalten wie:
Hey, i found a website with your pic on it… LOL check it out here
oder
Hey! check out this funny blog about you.
die einen Link enthalten, der zu einem Server in der Domain access-logins.com führt. Dort bekommt der Besucher dann eine nachgemachte Twitter- oder Facebook-Seite präsentiert.
