Am Wochenende habe ich drei sehr interessante Paypal-Phishing-Mails
bekommen. Interessant deshalb, weil sie an ganz bestimmte Adressen gingen.
Adressen, bei denen ich mich frage, ob es da ein Datenleck gibt oder ob
jemand meine Daten verkauft hat.
Eine individuelle Adresse
"Phishing-Mails an sehr interessante E-Mail-Adressen" vollständig lesen
Oder besser: Gefehlt. Ich hatte den Grundlagen-Text für gestern zwar
eigentlich schon Mittwoch Abend in voraus veröffentlicht, damit er um
9 Uhr online geht. Leider hatte ich vergessen, in s9y von "Entwurf" auf
"Veröffentlichung" zu wechseln. Daher wartete der Artikel weiter brav
in der Datenbank auf seine Freigabe. Die habe ich ihm eben natürlich
sofort erteilt. Eigentlich wollte ich ja nur den Tweet nachreichen, da die
Twitter-Ankündigung nicht in Vorraus funktioniert. Klarer Fall von
"Dumm gelaufen".
Zum Abschluss der Aktualisierungen zum Thema
"Clickjacking"
gibt es noch eine bunte Mischung von Informationen. Der Einfachheit halber
nach Datum sortiert.
Zeus bereitet Clickjacking vor
"Dieses und Jenes zum Clickjacking" vollständig lesen
Es gibt schon wieder eine neue 0-Day-Schwachstelle, die
fünfte
in diesem Jahr. Diesmal befindet sich die Schwachstelle in MS Word, sie
kann aber auch über die Vorschau in Outlook ausgenutzt werden.
Microsoft warnt vor Angriffen
"Eine neue 0-Day-Schwachstelle in MS Word ist auch über Outlook ausnutzbar" vollständig lesen
Die Mailingliste
Full Disclosure
wurde auf unbestimmte Zeit ("indefinitely")
eingestellt.
Und das (Original-)Archiv wurde auch gleich aus den Netz genommen. Das ist beidese sehr
bedauerlich.
Die Ursache: Ein IT-"Sicherheitsforscher", vermutlich aus dem 18. Jahrhundert
"Full Disclosure - Eine Mailingliste verschwindet" vollständig lesen
Webbrowser sind zur Zeit sehr beliebt. Sowohl bei den Cyberkriminellen und
"staatlich gesponserten Angreifern" (siehe die 0-Day-Schwachstellen im IE)
als auch bei den Sicherheitsforschern (siehe Pwn4Fun, Pwn2Own und Pwnium).
Und zumindest teilweise spielen die den Angreifern in die Hände.
(Wenig) Neues zur 2. IE-0-Day-Schwachstelle
"Wohin man sieht: Angriffsziel Webbrowser" vollständig lesen
Über den Versuch der CeBIT, eine Fachbesucher-Messe zu imitieren,
werde ich vielleicht am Montag etwas schreiben. Hier soll es um ein paar
interessante Neuvorstellungen gehen. Besonders viele gibt es nicht, das
merkt man ja schon zum Beispiel am Heise-Ticker. Früher war mehr
Lametta, in Form von "CeBIT"-Markierungen vor
den Meldungen. Und früher gab es (nicht nur bei Heise) jeden Tag
Meldungen über Neuvorstellungen, bei denen ich gedacht habe "Das
klingt Interessant, das musst du dir auch mal ansehen". Dieses Jahr
gab es davon gerade mal zwei. Aber kommen wir zu den Sachen, die mir
aufgefallen sind.
Drei Firewalls sind besser als eine
"Die CeBIT 2014 - Ein paar neue Forschungsergebnisse" vollständig lesen
Im
PHP Magazin 3.2014
ist ein Artikel über die Zwei-Faktor-Authentifizierung erschienen.
Die Kombination aus Benutzername und Passwort reichte lange aus, um einen
Benutzer sicher zu identifizieren. Inzwischen gelangen diese Zugangsdaten
immer öfter in falsche Hände. Also muss ein zusätzlicher
Faktor die Authentifizierung absichern, wenn man wirklich auf Nummer Sicher
gehen will.
"Drucksache: PHP Magazin 3.2014 - Zwei-Faktor-Authentifizierung - Doppelt hält besser" vollständig lesen
In der
WIK - Zeitschrift für die Sicherheit der Wirtschaft 2014/1
ist ein Artikel über das Google Hacking erschienen.
Vorgestellt werden Google-Hacking, die Google Hacking Database, SHODAN
und einige ausgewählte Angriffe.
Und hier noch die Links und Literaturverweise aus dem Artikel:
"Drucksache: WIK 1.2014 - Googlest du noch oder hackst du schon?" vollständig lesen