November 1, 2009
dass Verified by Visa und MasterCard SecureCode Werbegags ohne sicherheitstechnischen Mehrwert für den Karteninhaber sind, wisst Ihr sicher selbst. Dass es eine Scheißidee ist, die überflüssige Registrierung dafür unter der Adresse https://secure5.arcot.com/ durch eine Organisation abwickeln zu lassen, die Eure Kunden nicht kennen können, muss man Euch aber offensichtlich noch einmal erklären. Ratet mal, was Ihr Euren Kunden damit beibringt.
Oder ist das gar nicht Euer Werk, sondern jemand hat Eure Websites gehackt?
Leave a Comment » | 
Geschäft, Phishing, Security, Vertrauen | 
Permalink
Posted by Sven Türpe
September 20, 2009
[See only posts in English]
Cold reading is a technique used by mentalists to simulate psychic powers and impress people. Essentially, the cold reader is supplying words and the other person supplies their meaning as well as hints for the reader.
The CSS history hack, which seems to impress quite a few people, is nothing more than the Web’s version of cold reading. Your impression is that any Web site can read your browser history. Now there is indeed an information leak and no Web site should get access to history information. But this leak is very small. It doesn’t reveal the history altogether to anyone daring to ask. The CSS history issue only gives us an oracle. We can ask the oracle whether a particular URL is in the history or not. So to find out that you’ve read this blog post we would have to ask the oracle about the precise URL of this post.
Nonetheless demonstrations of the history hack impress people. The trick is simple and similar to the cold reading technique. History hack demos use a set of URLs that leads to a hit for almost every Internet user on the world: Google, YouTube, Microsoft, Wikipedia, Flickr, Apple, Slashdot, Amazon, and so on. A mentalist would guess and suggest these until you start giving feedback on which to hook. The CSS history hack replaces this interaction with asking the oracle to avoid wrong guesses. The trick is really to use a set of Web sites that guarantees a hit, and use a minor information leak to remove the wrong guesses from the set that would spoil the effect. This works well with the top 20/top 50/top 1000 sites on the Web, but it won’t scale to arbitrary URLs.
Leave a Comment » | 
English, IT, Phishing, Security, Wahrnehmung | Tagged: cold reading, CSS history hack, don't worry | 
Permalink
Posted by Sven Türpe
June 6, 2009
Lehrreiches Scheitern:
»A Webmail service that touts itself as hack-proof and offered $10,000 to anyone who could break into the CEO’s e-mail has lost the challenge.
(…)
The hacking team of Aviv Raff, Lance James and Mike Bailey set up the attack by sending an e-mail to the company’s CEO Darren Berkovitz. When he opened the e-mail, the team exploited an XSS flaw to take control of the account.«
(Zero Day: StrongWebmail CEO’s mail account hacked via XSS)
Die 10.000 Dollar hätten sie auch gleich bei einem fähigen Security-Tester anlegen können, dann hätten sie für dasselbe Geld wahrscheinlich mehr über ihre Irrtümer gelernt. Allzu weit kommt man mit diesem Betrag zwar nicht, aber die Tester arbeiten wenigstens bis zum Ende des Geldes weiter, statt mit dem ersten gefundenen Problem den Preis abzuräumen. Damit sinkt auf lange Sicht der Preis pro gefunder Verwundbarkeit, während er bei einer Folge von Hackerwettbewerben vielleicht sogar steigen würde.
Leave a Comment » | 
Hackmeck, IT, Phishing, Security, Testlabor, Unterschätzte Risiken | Tagged: Ökonomie, CEO, hacking contest, Webmail | 
Permalink
Posted by Sven Türpe
May 31, 2009
Erinnert sich noch jemand an die Story von vor sechs Wochen, derzufolge es mit einem manipulierten Nokia 1100 möglich sei, Kurznachrichten an GSM-Teilnehmer abzufangen? Kriminelle würden bis zu 25.000 Euro für ein solches Gerät bieten, weil auf diese Weise mTAN-Sendungen abzufangen seien. Glauben wollte das keiner so recht.
Inzwischen macht die Meldung die Runde, der Firma UltraScan – die das Thema damals in die Nachrichten brachte – sei es gelungen, die Sache (ein einzges Mal) nachzuvollziehen. Von löschbarem ROM in einigen Modellen der Serie aus dem Bochumer Nokia-Werk ist die Rede und von Schlüsseln für eine verschlüsselte Firmware, die in falsche Hände geraten seien. Dann wird es wirr: man könne durch Firmware-Hacking neben der IMEI, die das Gerät identifiziert, auch die IMSI, die Identität der SIM-Karte, manipulieren – wozu man allerdings eine SIM-Karte klonen müsse, was aber trivial sei.
Alles verstanden? Ich auch nicht. Und die Websites von Ultrascan erwecken nicht gerade den Eindruck hoher Kompetenz und Seriosität.
Leave a Comment » | Gadget, Geschäft, Hackmeck, IT, Phishing, Security, Verschwörung | Tagged: GSM, mTAN, Nokia 1100, Ultrascan | Permalink
Posted by Sven Türpe
March 8, 2009
Ein Nachtrag zu meinem Passwort-Post neulich:
Im aktuellen Risks Digest 25:60 findet sich ein Hinweis auf ein Paper mit dem Titel Do Strong Web Passwords Accomplish Anything? das ähnlich argumentiert und außerdem die unterschiedlichen Perspektiven einzelner Nutzer und einer ganzen Organisation betrachtet. Die Autoren weisen am Ende aber auch darauf hin, dass ihr Paper nicht dazu gedacht ist, Verhaltensregeln für Benutzer abzuleiten.
Leave a Comment » | Freundlich zum Nutzer, IT, Phishing, Security | Permalink
Posted by Sven Türpe
February 5, 2009
De-Mail: unter diesem seltsamen Namen soll in Zukunft eine sichere Kommunikationsinfrastruktur zur Verfügung stehen. Das sieht zumindest ein Gesetzentwurf vor, den die Bundesregierung gestern verabschiedet hat. Betreiber sollen Unternehmen sein, beaufsichtigt vom BSI, und benutzen sollen es – vorerst freiwillig – wir alle.
Für die herkömmliche E-Mail ändert sich nichts. Zusätzlich zu dieser bewährten Infrastruktur erhalten wir aber die Möglichkeit, die ganzen selten benutzten Sonderfunktionen des Postzeitalters im Netz zu nutzen: Einschreiben, Ausweis zeigen, Porto zahlen. Ja, Porto. Was wir dafür bekommen, ist Sicherheit. Lehrbuchsicherheit, um genau zu sein, das heißt Mechanismen, die formale Probleme formal lösen. Ein realitätsbezogenes Bedrohungsmodell gibt es nicht, sondern man wird Sicherheitsmechanismen aus dem Lehrbuch zusammensetzen zu etwas, das dann vor den Bedrohungen schützt, vor denen die gewählten Mechanismen eben schützen. Was alten Männern mit Kugelschreibern eben so einfällt, wenn sie in einem Wahljahr beweisen wollen, für wie modern sie sich halten. Read the rest of this entry »
1 Comment | Freundlich zum Nutzer, Geschäft, IT, Nebenwirkung, Phishing, Regierungsviertel, Security, Unterschätzte Risiken, Vertrauen | Tagged: Bürgerportal, De-Mail, Lehrbuchsicherheit | Permalink
Posted by Sven Türpe
January 13, 2009
Kaum nutzt man mal Muttis Computer, wird einem schlagartig eine Menge klar. Zum Beispiel warum Leute auf zweifelhafte Antivirensoftware hereinfallen. Dass sich plötzlich ein Fenster öffnet und ihnen was verkaufen will, kennen sie nämlich schon: vom kostenlosen Antivirusprogramm, das man ihnen im Seniorencomputerkurs empfohlen hat. Für sich genommen ist Nagware ja harmlos, aber ob Sicherheitssoftware auf dem PC eines IT-Laien der richtige Platz für dieses Marketingkonzept ist?
Ich suche übrigens gerade eine Studentin oder eine Studenten für eine Bachelorarbeit, die sich mit der Frage beschäftigen soll, ob von Antivirus-Software ein Sicherheitsgewinn zu erwarten ist. Details stehen weiter unten in diesem Blog.
Read the rest of this entry »
Leave a Comment » | Freundlich zum Nutzer, Geschäft, IT, Nebenwirkung, Phishing, Security | Tagged: Antivirus, Mutti, Nagware, Schockwerbung | Permalink
Posted by Sven Türpe
July 8, 2008
Wer könnte solch einer Einladung widerstehen?
Ich nicht, und der Klick aufs Werbebanner führte erwartungsgemäß zu einer nur beschränkt seriösen, aber wohl legalen Website.
2 Comments | Freundlich zum Nutzer, Geschäft, Phishing | Tagged: Banner ad, Entry is forbidden, Social Engineering, This page is not for you, Werbebanner | Permalink
Posted by Sven Türpe
March 30, 2008
Das liest sich wie ein Phishing-Versuch zur Verbreitung von Schadsoftware, zumal der Text dazu animiert, etwas herunterzuladen und zu installieren:
Ein Microcode-Zuverlässigkeitsupdate ist verfügbar das verbessert die Zuverlässigkeit Systeme, die Intel-Prozessoren verwenden. Dieser Artikel beschreibt, wie dieses Update gedownloadet wird.
(…)
Q:: welche Probleme werden von dem Microcode-Zuverlässigkeitsupdate behoben?
A:: das Microcode-Zuverlässigkeitsupdate behebt die folgenden Probleme:
- Ein mögliches Intel-Prozessor-marginality
- Ein potenzieller Quell des unvorhersehbaren Systemverhaltens
- Ein Fehler “ob 0×7E abbricht” der bei Start auf einigen Systemen auftreten kann, die ein älteres Pentium 5 CPU ausführen
(…)
Ist aber in Wirklichkeit eine Maschinenübersetzung von Microsoft, über die man stolpert, wenn man den Links zu den Updates folgt. Welcher Text zu lesen ist, hängt übrigens von den Spracheinstellungen des Browsers ab.
Leave a Comment » | Phishing, Security, Wahrnehmung | Tagged: Microsoft Update | Permalink
Posted by Sven Türpe
March 29, 2008
Aus meiner Inbox:
Ich habbe ihnen die zahlung fuer das traktort fuer 2 wochen gesicht und sie antworten mir garnicht,ich werde meine anwalt ruffen und ihnen zu ebay und das polizei denunzieren weil sie um meinen geld die 4000 euro das ich ihnen in voraus gesicht habbe betrugt.Sie mussen antwort so bald wie moglich oder sie werden das polizei zu ihre tuer habben in ein par tage.
Bitte antworten Sie ASAP.
Wer fällt denn bitte auf so etwas rein?
Leave a Comment » | Phishing, Security | Tagged: Best of, spreche gebroche deutsch | Permalink
Posted by Sven Türpe
March 20, 2008
[Notice for our international readers]
Yesterday I received this phishing mail:
To: ****@********
Date: Wed, 19 Mar 2008 10:49:50 +0000
From: Wachovia Connection banking Consumer support <news@wachovia.com>
Subject: Wachovia Connection Web application security
Dear Wachovia Connection Bank Customer:
Due to the emergency situation with our server room and the closing of
the New Orleans Branch of the Federal Reserve, Wachovia Connection
Bank is presently unable to process wire transfers. Therefore we are
asking that customers please refrain from initiating wire transfer
requests through Wachovia Connection until further notice. All wires
initiated before 12:30 PM CDT will be processed; however, there may be significant delays in doing so.
IMPORTANT: All customers must validate personal information.
(...)
and today, a followup message reminding me: Read the rest of this entry »
Leave a Comment » | English, Phishing, Security | Tagged: phising, reminder, state tracking | Permalink
Posted by Sven Türpe
January 25, 2008
Nach dem viralen Video, das Presse und Blogger gleichermaßen gern verbreiten halfen, schließt sich jetzt ohne Medienbruch eine Runde Astroturfing an. Heise Security meldet:
»Eine anonyme Gruppe hat Scientology im Internet den Krieg erklärt. Über ein YouTube-Video verkündet die sich selbst “Anonymous” nennende Gruppe, gegenüber der Scientology-Kirche die Redefreiheit verteidigen zu wollen.«
Da werden die Scientologen aber zittern. Oder noch ein wenig an ihrer sattsam bekannten Selbstdarstellung als verfolgte Unschuld feilen. Und alles nur, weil wir uns eine ausnutzbare Angstneurose gönnen. Wer seine kurieren will: ich verleihe gern meinen Hubbard. Weiter als bis Seite 50 ist noch keiner gekommen, ohne ihn kopfschüttelnd zur Seite zu legen.
Leave a Comment » | Off Topic, Phishing, Propaganda | Tagged: denken hilft, ROTFL, virales marketing, werbekampagne | Permalink
Posted by Sven Türpe
January 17, 2008
Die Masche ist bekannt: irgendwo im Netz stößt man auf eine Website, die einen kostenlosen Sicherheitscheck verspricht. Dazu lädt man sich ein Program herunter und führt es aus. Dieses Programm findet tatsächlich eine Reihe von Sicherheitsproblemen oder behauptet das jedenfalls. Und es hört mit dem Behaupten gar nicht mehr auf, denn das Opfer soll auf jeden Fall die »Vollversion« kaufen, von der es heißt, sie könne die gefundenen Probleme beseitigen.
Seit es diesen Betrug auch für den Mac gibt, hat er sogar einen schönen Namen: Scareware.
Leave a Comment » | Geschäft, In einem Wort, Phishing, Security, Vertrauen | Tagged: Betrug, Psychologie, Scareware | Permalink
Posted by Sven Türpe
