KW 22: Apple M1-Prozessoren von Sicherheitslücke betroffen, Falsche DHL-App – Banking-Trojaner „Flubot“ breitet sich aus, Nutzer von Sozialen Netzwerken anfällig für Phishing

NACHRICHTEN

Apple M1-Prozessoren von Sicherheitslücke betroffen: In Apples neuen M1-Prozessoren klafft eine Sicherheitslücke, die der Entdecker Hector Martin auf den Namen „M1racles“ getauft hat und sich nicht patchen lässt. Die Schwachstelle „M1racles“ ermöglicht es zwei auf dem Mac laufenden Prozessen, Daten miteinander zu teilen, das bedeutet wenn auf dem Mac eine Malware läuft, die sich entsprechende Rechte ergaunert hat, kann diese Daten an eine zweite Malware ohne Rechte weitergeben. Die Gefahr, die von dieser Lücke ausgeht, dürfte sich stark in Grenzen halten, auch wenn sich diese erst mit einer neuen Prozessor-Generation schließen lässt. In Martins Augen nutzen Sicherheitsexperten gefundene Lücken immer häufiger für Eigenwerbung und dafür, sich selbst zu profilieren, anstatt zu versuchen, die Lücken zu schließen. Daher übertreibt der Entdecker es selbst absichtlich mit dieser Lücke, gab ihr einen griffigen Namen und veröffentlichte einen ausführlichen Bericht auf seiner Internetseite.
computerbild.de

Falsche DHL-App – Banking-Trojaner „Flubot“ breitet sich aus: Der Banking-Trojaner „Flubot“ breitet sich weltweit aus und ist besonders in Deutschland erfolgreich. So werden falsche Paket-SMS im Namen der Deutschen Post versendet, wer solche oder ähnliche Nachrichten bekommt, löscht sie besser direkt und klickt keinesfalls auf die Links. Denn genau das nutzen die Kriminellen als Lockmittel, um die Schadsoftware auf die jeweiligen Geräte zu schleusen. Laut Bitdefender sind inzwischen mehr als 60 Prozent der Fälle hierzulande zu verzeichnen.
t-online.de

Nutzer von Sozialen Netzwerken anfällig für Phishing: Ein Forschungsteam der TU Darmstadt sagt: Cyberkriminelle benutzen gezielt Informationen aus sozialen Netzwerken, um ihre Phishing-Mails besonders authentisch wirken zu lassen. Angaben wie Job, Ausbildung oder Kollegenkreis seien für Hacker oft leicht zugänglich im Netz. Tauchen solche korrekten Infos in einer Mail auf, sind die Empfängerinnen und Empfänger weniger misstrauisch und klicken schneller auf Links, die zu Trojanern führen oder geben ihr Passwort raus. Laut den Forschenden sind Nutzerinnen und Nutzer von sozialen Netzwerken deswegen ziemlich anfällig für Cyberangriffe. Dazu komme, dass sie gewohnt seien, schnell auf Aufforderungen und Hinweise im Netz zu reagieren und Informationen weniger kritisch hinterfragten – also schneller in die Falle tappten als Menschen, die Soziale Medien nicht nutzten.
deutschlandfunknova.de

– Anzeige –
Ihre Botschaft gut hörbar: Podcasts führen Ihren Siegeszug fort und bieten für Unternehmen, Medienhäuser und Privatpersonen eine neue Bandbreite an Möglichkeiten Menschen zu erreichen. In unserem Podcast-Studio in Berlin-Mitte können Sie Ihre eigenen Audio-Formate aufzeichnen. Gerne unterstützen wir Sie von der Konzeption bis zur Postproduktion und dem Vertrieb.
Kommen wir in Kontakt: podcastproduktion.berlin

Massive Sicherheitslücke bei beliebtem deutschen Bezahldienst Klarna: Beim beliebten deutschen Zahlungsdienstleister Klarna ist es zu einer großen Panne gekommen, eine Sicherheitslücke sorgte dafür, dass Kunden Zugriff auf andere Konten hatten. So loggten sich viele Nutzer ein und hatten auf einmal ein anderes Nutzerkonto vor sich, dort waren dann auch Zahlungen sowie persönliche, wenn auch verschleierte Informationen wie Bankdaten, Adressen oder Telefonnummern einsehbar. Klarna ließ nun verlauten, dass nur die App davon betroffen war und schnell reagiert wurde. Dennoch waren rund 9000 Kunden von dem Fehler betroffen. Über ein fehlerhaftes Software-Update wurde ein Bug aufgespielt, der dazu geführt hat, dass Kontodaten zufällig mit anderen Daten vertauscht wurden, wobei es jedoch nach Aussagen des Unternehmens keinen Zugriff auf fremde Daten gab. Klarna hat die zuständigen Behörden über den Vorfall informiert und will nun alles in die Wege leiten, damit sich so etwas nicht wiederholt.
chip.de

Weltgrößter Fleischkonzern JBS Opfer einer Cyberattacke: Der brasilianische Fleischkonzern JBS meldet eine Hackerattacke auf seine US-Tochterfirma. JBS USA sei Ziel einer „organisierten Cyberattacke“, die einige Server des nordamerikanischen und australischen IT-Systems getroffen habe, teilte das Unternehmen mit. In Australien mussten mehrere tausend Beschäftigte ohne Lohnausgleich ihr Handwerk niederlegen, alle betroffenen Prozesse wurden gestoppt, so das Unternehmen. Es lägen keine Informationen darüber vor, dass Daten von Kunden, Zulieferern oder Angestellten gefährdet oder missbraucht worden seien, eigene sowie externe IT-Experten arbeiten bereits daran, die Folgen des Angriffs zu beheben. Dies werde einige Zeit in Anspruch nehmen, was einige Transaktionen mit Kunden und Zulieferern verzögern könne. Backup-Server sind den Angaben zufolge nicht betroffen.
n-tv.de

Hacker starten Großangriff auf US-Behörden und nutzen Donald Trump als Köder: Die Hacker-Gruppe Nobelium, die sich in die Systeme des Netzwerk-Spezialisten Solarwinds einschlich ist zwei Jahre nach der Tat und ein Jahr nach Entdeckung des Hacks weiterhin aktiv. Mit einer Welle an gefälschten E-Mails versuchten die Hacker letzte Woche, besonders sensible Mitarbeiter von Unternehmen und Behörden gezielt auszutricksen, um wie beim „Solarwind Hack“ tausende Ministerien, Behörden, Forschungseinrichtungen und Unternehmen zu infiltrieren und um geheime Informationen zu erleichtern. Dazu bedienten sie sich auch der größten politischen Kontroverse der USA: Dem ehemaligen Präsidenten Donald Trump und seiner Behauptung, die Präsidentschaftswahl im letzten November sei ihm mit Wahlbetrug gestohlen worden. Die Phishing-Nachricht zielt darauf ab, beide politischen Lager anzusprechen. Zur Vorbereitung schickten sie etwa auch eine ganze Charge an Mails heraus, die gar keine Schädlinge aufspielen sollte – sondern nur prüfte, welcher Empfänger sich von der von einem vermeintlich seriösen Server stammenden Mail überreden ließ, einen Link anzuklicken. Nach Angaben von Microsoft wurden viele der Nachrichten automatisch als Spam erkannt und entsprechend geblockt, auch der auf Windows-Rechnern vorinstallierte Defender erkennt die Mails und wehrt sie ab. Trotzdem könnten zumindest einige der Mails die Empfänger erreicht haben, warnt der Konzern. Die für Internetbedrohungen zuständige US-Behörde CISA und das Heimatschutzministerium haben die Bedrohung mittlerweile ebenfalls bestätigt und raten zu den von Microsoft empfohlenen Schutzmaßnahmen, wie dem Einschalten von Filtersystemen für Cloud-Dienste und einen erweiterten Netzwerkschutz.
stern.de

– Anzeige –

Mit Schwung aus der Pandemie – Tipps und Tricks für den Onlinehandel: Die Corona-Pandemie sorgte für einen beispiellosen Boom beim Onlinehandel. Mittlerweile hat auch die kleine Boutique von nebenan den E-Commerce für sich entdeckt. Doch gerade wenn aus der vermeintlichen Notlösung plötzlich ein nachhaltiges Geschäftsmodell wird, ist professionelle Beratung unumgänglich. Welche steuerlichen Fallstricke es zu umgehen gilt, was sich durch die EU-weite Umsatzsteuerreform im Sommer für Onlinehändler verändert und was es mit dem One-Stop-Shop-System auf sich hat, darüber haben wir mit Nadja Müller und Saravanan Sundaram von fynax, dem Steuerfachberater für E-Commerce bei der ETL, gesprochen. youtube.com

Hacking: Cyberkriminelle benutzten API-Keys um Millionen an Kryptowährung zu klauen global.techradar.com
Malware: Kundendaten von Tegut im Darknet aufgetaucht golem.de
Cybersecurity: Fürs Erste keine Folgen bei Ablehnung neuer WhatsApp Datenschutz-Regeln it-daily.net
Datenschutz: Erneut massives Sicherheitsleck in Luca-App netzpolitik.org
Malware: BazaLoader-Malware fälscht Streaming-Service für Filme it-daily.net

ZAHL DER WOCHE

83 Millionen Dollar stellte Interpol bei Operation Haechi-I sicher, welche die Opfer der Scams an die mutmaßlichen Cyberkriminelle überwiesen hatten.
lessentiel.lu

HINTERGRUND

Datenschutz-NGO noyb geht gegen Cookie-Banner vor: Die Datenschutzorganisation noyb will mit einer Beschwerdewelle gegen rechtswidrige Cookie-Banner auf den meistbesuchten Webseiten in Europa vorgehen. Dafür hat noyb eine spezielle Software entwickelt, die häufige Datenschutzverstöße bei Cookie-Bannern erkennt und automatisch Beschwerden generiert. Bis zu 10.000 solcher Beschwerden könne man so im Laufe des Jahres bei Datenschutzbehörden in der EU einreichen. Mit der Kampagne will noyb erreichen, dass mehr Webseiten eine „Ja-oder Nein-Option“ zur Cookie-Nutzung einbauen, erklärt der Vorsitzende Max Schrems in der Pressemitteilung. In einem ersten Schritt übermittelt noyb jetzt 560 Beschwerden an Unternehmen aus 33 Ländern. „Das häufigste Problem ist, dass es auf der Startseite keinen ‚Ablehnen‘-Button gibt“, so Schrems. Bei 81 Prozent dieser ersten Beschwerden sei das der Fall. Schrems zufolge ergibt sich aus der Datenschutzgrundverordnung die Pflicht, eine einfache Wahlmöglichkeit über Cookie-Verfolgung zu bieten. Der EuGH hatte 2019 bestärkt, dass Nutzende aktiv in die Sammlung ihrer Daten einwilligen müssen.
netzpolitik.org

BSI warnt vor Hackerangriffen vor Bundestagswahl im September: Das Bundesamt für die Sicherheit in der Informationstechnik (BSI) warnt: Hackerangriffe und Desinformation sind digitale Gefahren für die im September geplante Bundestagswahl. So groß wie derzeit sei die Bedrohungslage bei einer Abstimmung bisher nicht gewesen, sagte am Dienstag BSI-Präsident Arne Schönbohm. Das liege auch daran, dass der Wahlkampf in diesem Jahr wegen der Corona-Pandemie wohl so digital wird wie noch nie zuvor. Julia Schuetze ist Expertin für Cybersicherheit bei der Stiftung Neue Verantwortung und sieht die Gefahren vor allem bei den Parteien und Politikern, „da deren Systeme und Daten am wenigsten geschützt sind“. Diese seien nicht verpflichtet, Maßnahmen und Standards auf ihren Rechnern umzusetzen, wodurch deren Kommunikation und Arbeitsabläufe eine gute Fläche für eventuelle digitale Angriffe bieten würden und sie zum Opfer gezielter Desinformationskampagnen machen könnte. Eine wichtige Rolle käme zudem den sozialen Netzwerken zu. Zu begrüßen sei, dass der Bundeswahlleiter mit Unterstützung des BSI–ähnlich wie bei der Präsidentschaftswahl in den USA im vergangenen Jahr–eine Plattform zu Falschinformationen planen.
deutschlandfunkkultur.de

ZITAT

„Smartphones, die Omnipräsenz von WLAN, das Internet der Dinge oder Cloud-Computing bieten teilweise willkommene Angriffsflächen für Cyberkriminalität aber auch für fremde Staaten und ihre Nachrichtendienste.“
Der Präsident des Thüringer Verfassungsschutzes, Stephan Kramer, über mögliche Angriffspunkte für Cyberkriminelle rtl.de

– Anzeige –
IoT: Xiaomi arbeitet an Smart Glasses, Ford und Google kooperieren iot-ticker.net
Smartlife: Apples Homekit bietet ausgefeilte Smarthome-Möglichkeiten, Neue Smartwatch-Funktion soll Leben retten, smartlife-ticker.net
AI: KI-App checkt, ob Menschen Gesichtsmasken tragen, Frontex nutzt KI zur besseren Überwachung der Meere, Zehn Millionen Euro für Forschungsprojekt zur künstlichen Intelligenz im Finanzsektor ai-ticker.net
Blockchain: EZB-Chefin Lagarde fordert weltweite Regulierung von Kryptowährungen, Britische Aufsichtsbehörde warnt vor Bitcoin-Kursverfall blockchain-ticker.net

SICHER?

Fragwürdiges Überwachungs-Programm „VeRa“ soll in Bayern zum Einsatz kommen: Bei der Suche nach Verbindungen von Terroristen und Drogenhändlern soll ein Computer-Programm der Polizei in Bayern, genannt „VeRa“, künftig viel Arbeit abnehmen, Datenschützer sind entsetzt und fürchten eine bundesweite Verwendung der Software durch die Hintertür. Ein Großteil der Daten, auf die Ermittler zugreifen können, werde für ganz andere Zwecke erhoben als zur Bekämpfung von Terrorismus und organisierter Kriminalität. Wenn nun ein Programm zu diesem Zweck automatisiert sämtliche Datenbanken durchsuche, würden diese Bereiche nicht mehr ausreichend getrennt, so der bayerische Landesdatenschutzbeauftragte Thomas Petri. Auch die Auswahl des Software Herstellers ist fragwürdig, zwar wurden mehrere Firmen berücksichtigt, doch die Voraussetzungen für die tatsächliche Belieferung so eingschränkt, dass nur die US-Firma Platanir in Frage kam.Das bayerische Innenministerium ist trotz der Bedenken der Auffassung, für den Einsatz der Software keine Gesetze ändern zu müssen.
egovernment-computing.de

Newsletter anmelden

Melden Sie sich hier für unseren kostenlosen Newsletter an. Sie erhalten jede Woche den kompakten Digest mit dem wichtigsten Themen zu Safety und Security der Digitalisierung:

Safety-Security-Ticker

Weitere Digibriefings

Unsere Politbriefings