Neuer Fall von großflächigem Identitätsdiebstahl: BSI informiert Betroffene

Warum müssen solch gutgemeinte Hinweise hier eigentlich immer/meist in Diskussionen ausarten?

Nehmt den Hinweis an oder klickt einfach weiter, aber hört mit einer Diskussion auf, wo es nichts zu diskutieren gibt!
 
Naiverweise könnte man annehmen, dass ein Forum für Diskussionen da ist. Aber das war dann wohl ein Misverständnis. Abgesehen davon hat gut gemeint noch lange nichts mit gut gemacht zu tun.
 
moronoxyd schrieb:
Ich schlage vor, daß du erstmal liest, was das BSI hier macht.
Es schickt dir nicht einfach so eine Email an irgendwelche Emailadressen, sondern nur, wenn du (oder jemand, der deine Adresse kennt) das über ein Webinterface anfordert. Und eben auch nur, wenn die angegebene Emailadresse in der Liste von entwendeten Anmeldedaten enthalten ist.
Zum Vergrößern anklicken....
So wie ich das jetzt verstanden habe, leider nein :(
Alle betroffenen Adressen der größten deutschen Mailanbieter werden einfach über spamähnliche Methoden informiert, jeder der solch eine Mail bekommt ist daher dazu aufgefordert, erst mal deren Echtheit zu überprüfen :pinch:
Das tolle daran: Bei der letzten Aktion wurde genau dies aufgrund der Missbrauchbarkeit vom BSI abgelehnt :wacko:

Helios schrieb:
Aufgrund dieser aktuellen Ausnutzung der Daten erfolgt die Information der Betroffenen in Deutschland in einem zweigeteilten, datenschutzkonformen Verfahren unter Beteiligung der Online-Dienstleister Deutsche Telekom, Freenet, gmx.de, Kabel Deutschland, Vodafone und web.de. Das BSI hat diesen Providern die in ihren Domänenbereich fallenden E-Mail-Adressen zur Verfügung gestellt, damit diese im Rahmen ihrer bestehenden Kundenbeziehungen ihre Kunden informieren. Hierbei handelt es sich um ein datenschutzgerechtes Verfahren zur Warnung vor IT-Risiken, mit dem im vorliegenden Fall bereits rund 70 Prozent der Betroffenen in Deutschland abgedeckt werden können.
Internetnutzer, die ein E-Mail-Account bei einem anderen als den oben genannten Dienstleistern[...]
Zum Vergrößern anklicken....
 
supertux schrieb:
Das tolle daran: Bei der letzten Aktion wurde genau dies aufgrund der Missbrauchbarkeit vom BSI abgelehnt
Zum Vergrößern anklicken....
falls dir das Probleme bereitet: du kannst ja auch den Link zum Check aufrufen, Mail-Adresse eingeben, Verifikations-Code notieren und alle Spam-Mails ohne diesen Code löschen

ich gehe davon aus, dass diese Massenmails ohne Check deshalb verschickt werden, will die Melde/Checkquote bei der letzten Aktion zu niedrig war
 
supertux schrieb:
So wie ich das jetzt verstanden habe, leider nein :(
Alle betroffenen Adressen der größten deutschen Mailanbieter werden einfach über spamähnliche Methoden informiert, jeder der solch eine Mail bekommt ist daher dazu aufgefordert, erst mal deren Echtheit zu überprüfen :pinch:
Zum Vergrößern anklicken....
Da PandorasThinkpad mehrfach explizit das BSI angesprochen hat, habe ich seinen Beitrag auf die Webseite des BSI bezogen, und meine Antwort entsprechend darauf ausgerichtet ("was das BSI hier macht").


supertux schrieb:
Das tolle daran: Bei der letzten Aktion wurde genau dies aufgrund der Missbrauchbarkeit vom BSI abgelehnt :wacko:
Zum Vergrößern anklicken....
Hmm, wo eine einmalige Email direkt vom Provider nur an die Emails aus der Liste eine Missbrauchsgefahr mit sich bringt, kann ich gerade nicht erkennen. Vor allem, da die Provider die Echtheit dieser Email ja problemlos über eine entsprechende Einblendung bei Anmeldung am Webinterface deutlich machen können.
Aber vielleicht denke ich ja nicht weit genug.
 
PeterWa schrieb:
falls dir das Probleme bereitet[...]
Zum Vergrößern anklicken....
Mir nicht, da ich durch mein Studium auf sowas ausreichend sensibilisiert bin :p
Aber ich bin mir genauso sicher, dass auf Dauer mehr Fälschungen als originale BSI-Mails unterwegs sein werden,
von der Fischereiindustrie mal ganz zu schweigen, die da sicher wieder naive Nutzer ausnutzt um neue Passwörter oder gar noch sensiblere Daten abzufangen :Ich sag nix:
 
ok, bei den unerfahrenen Usern, die auf alles klicken, kann man eben nur hoffen, dass das BSI-Mail das schnellste ist
 
Das BSI hat bei der Überprüfung meiner Mailadressen geschrieben, sie würden sich mit einer PGP-signierten Mail melden. Das ist doch schonmal ein Fortschritt! :thumbup:

Nun ist nur noch offen, woher man den PublicKey beziehen soll, um die Unterschrift zu prüfen. Auf dem https://keyserver.pgp.com/vkd/GetWelcomeScreen.event PGP-Keyserver ist kein Schlüssel und auf den üblichen GPG-Keyservern finde ich nur https://hkps.pool.sks-keyservers.net/pks/lookup?op=vindex&search=0xD1FF438B den hier - lediglich mit Eigenbeglaubigung und ohne konkrete Namensangabe. Ich würde den nicht signieren.

Wenn jemand hier eine Mail von BSI erhalten sollte, dann wäre ich sehr am signierten Hash interessiert, einfach, weil ich gerne sehen möchte, mit welchem Schlüssel sie die Mail unterschreiben.

Von den Providern kann man sowas natürlich nicht erwarten. :facepalm:

edit: Im Übrigen bin ich der festen Überzeugung, dass die Spam-Mailer sich mangels der Fähigkeit der allermeisten E-Mailclienten (sofern vorhanden) und Menschen, eine digitale Signatur zu prüfen, an diesem Stück Weisheit orientieren werden: https://xkcd.com/1181/ :whistling:
 
Zuletzt bearbeitet:
Den Link "Unser GPG-Zertifikat" links auf der BSI-Seite hast Du gesehen?
 
Hehe, guter Einwand. :facepalm: Habe ich in der Tat nicht. Hab jemanden gebeten, meine E-Mailadressen da mit einzugeben, als er gerade auf der Seite war und habe nur das Pop-Up mit dem Hinweis gesehen, dass die Mails signiert sein sollen.

Den Schlüssel habe ich mir gerade mal angeschaut. Hat auch nur eine Eigenbeglaubigung. Insofern ist man in der Vertrauenskette vollständig auf den Aussteller des SSL-Zertifikats angewiesen, also auf T-Systems. Aber: Das sollte Spammer zuverlässig abhalten, wenn die User die Signatur wirklich prüfen.
 
Und wieder rund 60.000 gestohlene Passwörter aufgetaucht:

Erneut kursieren massenhaft Zugangsdaten für Mail-Accounts, die vermutlich über Phishing oder von Trojanern abgegriffen wurden. Unter den Opfern befinden sich auch zehntausende Deutsche.
Zum Vergrößern anklicken....
Quelle: Heise Security (19.06.)
 
Der bisher größte Fall von Datendiebstahl ging heute durch die Medien:

Bei Heise:
... Für Nutzer gibt es bisher überhaupt keine Hinweise darauf, ob sie betroffen sein könnten.

Es könnte der bisher größte Datendiebstahl im Internet sein: Russische Hacker haben nach Erkenntnissen US-amerikanischer IT-Sicherheitsexperten rund 1,2 Milliarden Einwahl-Kombinationen für Internet-Profile erbeutet. Die Datensätze bestünden aus Benutzernamen und Passwörtern, erklärte die US-Sicherheitsfirma Hold Security der New York Times. Dabei seien über 500 Millionen verschiedene E-Mail-Adressen betroffen.
Zum Vergrößern anklicken....

Da dem BSI derzeit Geld fehlt und einige Projekte auf Eis gelegt werden mussten, bin ich mal gespannt, ob und wie sie sich dazu einbringen wollen/können.
 
Mornsgrans schrieb:
Der bisher größte Fall von Datendiebstahl ging heute durch die Medien:
Zum Vergrößern anklicken....
Nee, Mornsgrans, da muss ich Dir erstmals widersprechen: der größte Datenklau ist der von der US-amerikanischen Regierung, egal ob NSA oder Cia oder wie die Dinger nun heißen. Der ist genauso illegal wie der von den Hackern aus Süd-Zentralrussland.
Und wer das kommerzieller ausnutzt, muss sich in den nächsten Monaten erst einmal herausstellen.

Gruß in't Huus

gatasa
 
Ich muß Gatasa uneingeschränkt zustimmen. Gegen so einen Moloch wie die NSA (und die anderen Geheimdienste) sind die "10 russischen Hacker" eine Witztruppe.
 
gatasa schrieb:
Mornsgrans, da muss ich Dir erstmals widersprechen:
Zum Vergrößern anklicken....
Tust Du nicht, denn der Satz stammt nicht von mir, sondern steht so bei heise.de (siehe Zitat in meinem Beitrag oben).

gatasa schrieb:
der größte Datenklau ist der von der US-amerikanischen Regierung, egal ob NSA oder Cia oder wie die Dinger nun heißen.
Zum Vergrößern anklicken....
Das ist kein Datenklau, sondern Arbeit zu unser aller Sicherheit :D
Wie heißt es so schön in George Orwell's Animal Farm? - "Alle Tiere sind gleich, bis auf die Schweine, die sind gleicher":whistling:
 
Zuletzt bearbeitet:
Mornsgrans schrieb:
Wie heißt es so schön in Orson Wells' Animal Farm? -
Zum Vergrößern anklicken....
"Animal Farm" ist von George Orwell, von dem ja sinnigerweise auch "1984" stammt. Orson Welles ist der mit der Invasion vom Mars – als Hörspiel; wobei die Buchfassung "The War of the Worlds" von H.G. Wells ist. Ziemlich viele Wells und Os, da kann man schon mal durcheinandergeraten ... :D
 
Zuletzt bearbeitet:
:facepalm: Danke, habe es korrigiert - ich verwechsele immer die beiden "well"s
 
Update bei heise.de

Die Meldung des wohl bisher größten Identitätsdiebstahls im Internet durch Hold Security aus Milwaukee hat eingeschlagen wie eine Bombe: Sage und schreibe 1,2 Milliarden Profildaten sollen russische Hacker erbeutet haben.

Dass die Nachricht gerade jetzt auftaucht, ist wohl alles andere als ein Zufall, denn noch bis Donnerstag läuft mit der Black Hat in Las Vegas eine der weltweit renommiertesten Hacker-Konferenzen der Welt. So wollte Hold Security dann auch prompt aus dem Scoop Kapital schlagen...
Zum Vergrößern anklicken....
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben