Gratis: BSI testet Mail-Adressen auf Passwort-Klau
Gratis: BSI testet Mail-Adressen auf Passwort-Klau
Schon wieder und wieder Gratis!
Wer sein E-Mail-Konto bei der Deutsche Telekom / T-Online, Freenet, gmx.de, Google, Kabel Deutschland, Vodafone oder web.de hat, soll laut BSI automatisch erfahren, ob er betroffen ist.
Wer einen anderen Provider hat, muss – wenn er denn will - wieder selbst aktiv werden.
Sollte man betroffen sein, so erhält man „kurz darauf“ eine E-Mail an die eingegebene Adresse.
Ich weiß noch nicht, ob ich betroffen bin, weil ich nicht weiß, was das BSI unter„kurz darauf“ versteht.
An dieses Prozedere werde ich mich nur langsam gewöhnen können, es sei denn, die Staatsanwaltschaft Verden (Aller) fände in immer kürzer werdenden Zeitabständen Millionen von geklauten Datensätzen.
Das ist zu befürchten, weil bisher wohl noch niemand weiß, wie und von wem die Daten geklaut wurden.
mfG
oldtimer
Re: Gratis: BSI testet Mail-Adressen auf Passwort-Klau
Hab meine Adressen gestern auch mal testen lassen. Bisher kam keine Mail. Scheine also nicht betroffen zu sein.
Wäre interessant zu erfahren, wo die Daten her kommen. Wurden sie über Malware von den Rechnern einzelner Nutzer direkt abgegriffen, oder im großen Stil von den E-Mail Anbietern? Gibt es andere Stellen, wo E-Mailadresse samt Passwort gespeichert werden?
Das Ganze ist jedenfalls mehr als ärgerlich und nervt mich mehr als die Gefahr sich einen Schädling auf den Rechner zu holen, weil man schlichtweg machtlos ist, wenn die Daten bei den Anbietern nicht mehr sicher sind. Den eigenen Rechner kann man schützen bzw. ist selbst verantwortlich, aber man hat keinen Einfluß darauf, wie andere es mit der Sicherheit halten.
Für Angreifer ist es natürlich attraktiver eine Datenbank zu attackieren, weil man gleich eine riesige Menge Datensätze abgreifen kann. Umso wichtiger ist es, daß die Inhaber solcher Datenbanken ein besonderes Auge auf die Sicherheit werfen um solche Angriffe zu unterbinden.
Wie es aussieht, ist genau das gar nicht so einfach.
Insgesamt eine besorgniserregende Entwicklung.
Markus
Wäre interessant zu erfahren, wo die Daten her kommen. Wurden sie über Malware von den Rechnern einzelner Nutzer direkt abgegriffen, oder im großen Stil von den E-Mail Anbietern? Gibt es andere Stellen, wo E-Mailadresse samt Passwort gespeichert werden?
Das Ganze ist jedenfalls mehr als ärgerlich und nervt mich mehr als die Gefahr sich einen Schädling auf den Rechner zu holen, weil man schlichtweg machtlos ist, wenn die Daten bei den Anbietern nicht mehr sicher sind. Den eigenen Rechner kann man schützen bzw. ist selbst verantwortlich, aber man hat keinen Einfluß darauf, wie andere es mit der Sicherheit halten.
Für Angreifer ist es natürlich attraktiver eine Datenbank zu attackieren, weil man gleich eine riesige Menge Datensätze abgreifen kann. Umso wichtiger ist es, daß die Inhaber solcher Datenbanken ein besonderes Auge auf die Sicherheit werfen um solche Angriffe zu unterbinden.
Wie es aussieht, ist genau das gar nicht so einfach.
Insgesamt eine besorgniserregende Entwicklung.
Markus
Re: Gratis: BSI testet Mail-Adressen auf Passwort-Klau
[quote=shamez23]
Insgesamt eine besorgniserregende Entwicklung.
[/quote]
Habe ich - wie schon an andere Stelle geschrieben - auch erfahren müssen:
"Ihr PayPal Konto wurde vorübergehend limitiert"
http://www.polizei-praevention.de/aktue ... tiert.html
Wegen fehlender Nachricht vom BSI hatte ich mich bis dato auch nicht betroffen gefühlt.
Vielleicht arbeitet die Staatsanwaltschaft Verden (Aller) schon (bald) wieder an einem neuen Fall von Daten-Klau.
mfG
oldtimer
Insgesamt eine besorgniserregende Entwicklung.
[/quote]
Habe ich - wie schon an andere Stelle geschrieben - auch erfahren müssen:
"Ihr PayPal Konto wurde vorübergehend limitiert"
http://www.polizei-praevention.de/aktue ... tiert.html
Wegen fehlender Nachricht vom BSI hatte ich mich bis dato auch nicht betroffen gefühlt.
Vielleicht arbeitet die Staatsanwaltschaft Verden (Aller) schon (bald) wieder an einem neuen Fall von Daten-Klau.
mfG
oldtimer
Re: Gratis: BSI testet Mail-Adressen auf Passwort-Klau
Solche E-Mails gibt es doch "von allen Banken ec." gehört gelöscht und als SPAM gemeldet und fertig.
Re: Gratis: BSI testet Mail-Adressen auf Passwort-Klau
Ganz so einfach ist es nicht.
Paypal ist zwar in gewissem Sinne nichts anderes wie eine Bank, aber sie arbeiten anders.
Wenn ich auf eine Phishing Mail meiner Bank hereinfalle, einem Link folge, der mich auf eine Seite bringt die aussieht wie das Onlinebanking Portal meiner Bank und ich dort meine Zugangsdaten eingebe, dann kann der Phisher zwar meine Konten einsehen, aber er kann kein Geld überweisen. Mein Schaden ist also eher gering.
Um Geld zu überweisen, bräuchte der Phisher zusätzlich noch meine TANs. Selbst wenn jemand nicht bemerkt, daß er auf einer Phishing Seite gelandet ist, wird er im Normalfall spätestens dann hellhörig, wenn an Stellen nach einer TAN Eingabe verlangt wird, an der man sonst keine TAN braucht.
Bei PayPal fehlt die zusätzliche Sicherheitsstufe der TAN. Das ist einerseits der Grund, warum PayPal so beliebt ist bei Onlineeinkäufen, weil es abgesehen von der schnelleren Laufzeit auch bei der Bedienung schneller und bequemer ist, aber dieser Vorteil hat eben auch den Nachteil, das die Sache anfälliger ist.
PayPal Phishing Mails, vorallem dann, wenn sie richtig gut gemacht sind, sind von daher wesentlich bedenklicher als Phishing Mails von herkömmlichen Banken.
Dazu kommt noch, daß eine normale Bank (kann bei Direktbanken anders sein, nutze ich nicht) in den meisten Fällen per Brief mit ihren Kunden kommuniziert, während PayPal eben ausschließlich über E-Mails arbeitet und man deshalb nicht grundsätzlich alle deren E-Mails einfach löschen kann. Sie könnten ja auch real und wichtig sein.
Markus
Paypal ist zwar in gewissem Sinne nichts anderes wie eine Bank, aber sie arbeiten anders.
Wenn ich auf eine Phishing Mail meiner Bank hereinfalle, einem Link folge, der mich auf eine Seite bringt die aussieht wie das Onlinebanking Portal meiner Bank und ich dort meine Zugangsdaten eingebe, dann kann der Phisher zwar meine Konten einsehen, aber er kann kein Geld überweisen. Mein Schaden ist also eher gering.
Um Geld zu überweisen, bräuchte der Phisher zusätzlich noch meine TANs. Selbst wenn jemand nicht bemerkt, daß er auf einer Phishing Seite gelandet ist, wird er im Normalfall spätestens dann hellhörig, wenn an Stellen nach einer TAN Eingabe verlangt wird, an der man sonst keine TAN braucht.
Bei PayPal fehlt die zusätzliche Sicherheitsstufe der TAN. Das ist einerseits der Grund, warum PayPal so beliebt ist bei Onlineeinkäufen, weil es abgesehen von der schnelleren Laufzeit auch bei der Bedienung schneller und bequemer ist, aber dieser Vorteil hat eben auch den Nachteil, das die Sache anfälliger ist.
PayPal Phishing Mails, vorallem dann, wenn sie richtig gut gemacht sind, sind von daher wesentlich bedenklicher als Phishing Mails von herkömmlichen Banken.
Dazu kommt noch, daß eine normale Bank (kann bei Direktbanken anders sein, nutze ich nicht) in den meisten Fällen per Brief mit ihren Kunden kommuniziert, während PayPal eben ausschließlich über E-Mails arbeitet und man deshalb nicht grundsätzlich alle deren E-Mails einfach löschen kann. Sie könnten ja auch real und wichtig sein.
Markus
Re: Gratis: BSI testet Mail-Adressen auf Passwort-Klau
Eine E-Mail-Benachrichtigung von PayPal mit dem Betreff „Ihre Einstellungen wurden geändert“ sollte man sich in jedem Fall ansehen, um festzustellen, ob ein unberechtigter Eingriff ins eigene Profil vorgenommen wurde.
Im Augenblick gibt es ja fast täglich neue Meldungen über Phishing-Mails, Datenklau und Spam.
Vor einigen Tagen gingen bei mir hintereinander gleich 2 E-Mails mit dem Betreff
"ING-DiBa Sicherheitsmeldung“ und namentlicher Begrüßung ein.
Die Meldung, dass auf meinem ING-DiBa Konto ungewöhnliche Aktivitäten registriert worden seien und es deswegen vorübergehend gesperrt werden müsse, beunruhigte mich allerdings nicht.
Denn mit „DiBaDu – Die Bank und Du“ bin ich gar nicht per Du!
In diesem Fall ein gutes Zeichen dafür, dass der Versender der Phishing-Mails zwar meinen Namen und meine E-Mail-Adresse, aber nicht meine Bankverbindung kennt.
Auf weiteren Spam werde ich mich allerdings wohl oder übel gefasst machen müssen.
Auf der Internetseite der Verbraucherzentrale Nordrhein-Westfalen
http://www.vz-nrw.de/phishing findet man übrigens aktuelle Infos über Phishing-Mails.
Und das passt auch noch zum Thema:
Massenhaft AOL-Accounts gehackt. http://www.stern.de/news2/aktuell/masse ... 06664.html
mfG
oldtimer
Im Augenblick gibt es ja fast täglich neue Meldungen über Phishing-Mails, Datenklau und Spam.
Vor einigen Tagen gingen bei mir hintereinander gleich 2 E-Mails mit dem Betreff
"ING-DiBa Sicherheitsmeldung“ und namentlicher Begrüßung ein.
Die Meldung, dass auf meinem ING-DiBa Konto ungewöhnliche Aktivitäten registriert worden seien und es deswegen vorübergehend gesperrt werden müsse, beunruhigte mich allerdings nicht.
Denn mit „DiBaDu – Die Bank und Du“ bin ich gar nicht per Du!
In diesem Fall ein gutes Zeichen dafür, dass der Versender der Phishing-Mails zwar meinen Namen und meine E-Mail-Adresse, aber nicht meine Bankverbindung kennt.
Auf weiteren Spam werde ich mich allerdings wohl oder übel gefasst machen müssen.
Auf der Internetseite der Verbraucherzentrale Nordrhein-Westfalen
http://www.vz-nrw.de/phishing findet man übrigens aktuelle Infos über Phishing-Mails.
Und das passt auch noch zum Thema:
Massenhaft AOL-Accounts gehackt. http://www.stern.de/news2/aktuell/masse ... 06664.html
mfG
oldtimer
Re: Gratis: BSI testet Mail-Adressen auf Passwort-Klau
Erste Überprüfungen solcher E-Mails, was mir gerade so einfiel:
1.) Hat der E-Mail Provider die E-Mail bereits als möglicherweise SPAM gekennzeichnet?
2.) Habe ich überhaupt Geschäftsbeziehungen zum Absender?
3.) Wird die E-Mail Adresse benutzt die ich dem angeblichen Absender mitgeteilt habe?
4.) Wird in einwandfreiem deutsch geschrieben?
Dann nie über einen angegebenen Link auf die Homepage gehen sondern den vorher selbst gespeicherten Link nutzen.
Eventuell die E-Mail an die bekannte E-Mail Adresse des angeblichen Absenders weiterleiten, und um Überprüfung bitten.
1.) Hat der E-Mail Provider die E-Mail bereits als möglicherweise SPAM gekennzeichnet?
2.) Habe ich überhaupt Geschäftsbeziehungen zum Absender?
3.) Wird die E-Mail Adresse benutzt die ich dem angeblichen Absender mitgeteilt habe?
4.) Wird in einwandfreiem deutsch geschrieben?
Dann nie über einen angegebenen Link auf die Homepage gehen sondern den vorher selbst gespeicherten Link nutzen.
Eventuell die E-Mail an die bekannte E-Mail Adresse des angeblichen Absenders weiterleiten, und um Überprüfung bitten.
Re: Gratis: BSI testet Mail-Adressen auf Passwort-Klau
[quote=Chekaet]
4.) Wird in einwandfreiem deutsch geschrieben?
[/quote]
Die Überprüfung, ob in einwandfreiem Deutsch geschrieben wird, kann letztlich nur Erfolg versprechend sein, wenn man die deutsche Rechtschreibung einwandfrei beherrscht.
Auch die Täter geben sich heutzutage mehr Mühe mit der Rechtschreibung als in früheren Zeiten (siehe Beispiel unter http://www.polizei-praevention.de/aktue ... -mail.html).
mfG
oldtimer
4.) Wird in einwandfreiem deutsch geschrieben?
[/quote]
Die Überprüfung, ob in einwandfreiem Deutsch geschrieben wird, kann letztlich nur Erfolg versprechend sein, wenn man die deutsche Rechtschreibung einwandfrei beherrscht.
Auch die Täter geben sich heutzutage mehr Mühe mit der Rechtschreibung als in früheren Zeiten (siehe Beispiel unter http://www.polizei-praevention.de/aktue ... -mail.html).
mfG
oldtimer
Re: Gratis: BSI testet Mail-Adressen auf Passwort-Klau
Das ist klar, aber wenn eine ungewöhnliche Rechtschreibung auffällt ist erweiterte Vorsicht geboten.
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 5 Gäste