Sicherheits - NEWS ( Computer, Hardware, Software und Co. )

DKB und Commerzbank - Bankkunden wieder einmal im Visier von Betrügern

In den vergangenen Wochen gab es immer wieder Warnungen vor E-Mails von Kriminellen, die es auf Kunden diverser Banken abgesehen haben.
Nun warnt die Verbraucherzentrale erneut vor betrügerischen Nachrichten.

Dieses Mal gehen die betrügerischen E-Mails im Namen der Commerzbank und der DKB heraus – zumindest geben sie vor, von den seriösen Banken zu stammen.
Beide fordern die Empfänger zu dringenden Aktionen auf.
Doch Vorsicht: Hierbei handelt es sich um Phishing-Versuche.

In einer der gefälschten Mails, die scheinbar von der Commerzbank versendet wurde, werden Kunden aufgefordert, ein vermeintlich auslaufendes Sicherheitszertifikat zu aktualisieren.
Dieses sei mit der photoTAN-Registrierung verknüpft und die Aktualisierung notwendig, um das Online-Banking weiterhin nutzen zu können.

Der Betreff der Mail lautet: "Wichtig, Aktion erforderlich! Ref-ID:".
Besonders auffällig ist die genannte Frist bis zum 29. Februar 2025 – ein Datum, das in diesem Jahr gar nicht existiert und inzwischen bereits vorbei ist.

Auch DKB-Kunden werden von der Verbraucherzentrale zur Vorsicht gemahnt.
In einer E-Mail sollen sie ihre Telefonnummer über einen Button bestätigen.
Angeblich werde dadurch die "höchste Sicherheit für das Konto" gewährleistet und die "sichere Nutzung" fortgesetzt.
Wird der Aufforderung nicht innerhalb von 48 Stunden nachgekommen, drohe eine Kontosperrung.
Zudem wird für die Entsperrung des Kontos eine Gebühr angedroht.

Die Verbraucherzentrale empfiehlt, derartige Schreiben am besten zu ignorieren.
Verschieben Sie sie unbeantwortet in den Spam-Ordner und klicken Sie keinesfalls auf enthaltene Links. Falls Sie ein Konto bei der Commerzbank oder DKB besitzen, prüfen Sie in der offiziellen App oder auf der Website der Bank, ob dort ähnliche Aufforderungen zu finden sind.

Paragon Partition Manager - Angreifer bringen verwundbaren Paragon-Treiber mit und missbrauchen ihn

Angreifer missbrauchen ein Leck in einem Treiber von Paragon Partition Manager.
Besonders gefährlich: den können sie selbst mitbringen.

In dem Treiber "BioNTdrv.sys" von Paragons Partition Manager missbrauchen Angreifer eine Sicherheitslücke, durch die sie höhere Rechte im System erlangen.
Paragon reagiert mit aktualisierter Software.
Da der Treiber ein ordentliches Microsoft-Zertifikat mitbringt, können bösartige Akteure dieses einfach selbst auf Windows-Rechner installieren, ohne weitere Paragon-Software.
Microsoft hat deswegen die Block-Liste der verwundbaren Treiber aktualisiert, die das Laden von anfälligen Versionen verhindern soll.

Das CERT weist in einer Sicherheitsmitteilung auf die Schwachstellen hin. In dem Treiber "BioNTdrv.sys" vor der nun aktuellen Version 2.0.0, insbesondere die Versionen 1.3.0 und 1.5.1 aus Paragons Partition Manager 7.9.1 sowie 17, klaffen insgesamt fünf Sicherheitslücken.
Der Treiber dient dem Low-Level-Zugriff auf Laufwerke mit erhöhten Rechten im Kernel-Kontext, um auf Daten zuzugreifen und sie zu verwalten.
Es sind sowohl die kostenlosen Community-Editionen als auch die kommerzielle Version der Software betroffen.

hier weiter lesen ...

Sicherheitslücke bedroht Milliarden IoT-Geräte: ESP32 - Bluetooth-Chip mit kritischer Backdoor

Der ESP32-Chip von Espressif Systems, ein essenzielles Bauteil für die Konnektivität in über einer Milliarde IoT-Geräten ("Internet of Things") weltweit, steht im Zentrum einer Sicherheitsdebatte.
Eine kritische Sicherheitslücke wurde entdeckt, die es Angreifern ermöglicht, unbemerkt auf Geräte zuzugreifen und diese zu manipulieren.

Spanische Sicherheitsforscher von Tarlogic Security haben insgesamt 29 undokumentierte Befehle in der Bluetooth-Firmware des ESP32-Chips entdeckt.


Diese Befehle ermöglichen es Angreifern, MAC-Adressen zu fälschen, unbefugt auf Daten zuzugreifen und sogar langfristige Schadsoftware zu installieren.
Besonders besorgniserregend ist das Potenzial, Sicherheitsmechanismen zu umgehen, was die Integrität von smarten Schlössern, medizinischen Geräten und Computern gefährdet.

Die versteckten Befehle, zugänglich über den Opcode 0x3F, sind nicht dokumentiert und wurden möglicherweise versehentlich im System belassen.
Diese Lücke wurde unter der Kennung CVE-2025-27840 registriert und erfordert dringende Aufmerksamkeit der Industrie.
Ein speziell entwickeltes Bluetooth-Analysetool von Tarlogic Security ermöglicht die Identifikation dieser Befehle und bietet einen tiefen Einblick in die Schwachstellen.

Der ESP32-Chip erlaubt eine kostengünstige Wi-Fi- und Bluetooth-Konnektivität.
Diese sind essenziell für die Vernetzung von IoT-Geräten und ermöglichen eine breite Palette von Anwendungen, von smarten Haushaltsgeräten bis hin zu medizinischen Überwachungsgeräten.
Der ESP32-Chip ist weit verbreitet und in zahlreichen IoT-Geräten integriert.
Angesichts der Sicherheitslücke sollten jedoch potenzielle Käufer auf Firmware-Updates und Sicherheitszertifikate achten, um die Integrität ihrer Geräte zu gewährleisten.

Musk meldet "massive Cyberattacke gegen X"

Der Onlinedienst X ist nach Angaben von Eigentümer Elon Musk "mit vielen Ressourcen" angegriffen worden.
Zehntausende Nutzer meldeten technische Probleme.

Auf den Onlinedienst X ist nach Angaben seines Eigentümers Elon Musk eine "massive Cyberattacke" verübt worden.
Am Montag hatten Zehntausende Nutzer Probleme mit X. Laut der Referenzseite Downdetector.com lag der Höhepunkt der Einschränkungen am Montagmorgen gegen 10 Uhr US-Ostküstenzeit (15 Uhr MEZ).
Zu diesem Zeitpunkt meldeten knapp 40.000 X-Nutzer einen Ausfall des Onlinedienstes.
Diese Zahl sank anschließend deutlich, bevor sie drei Stunden später wieder auf fast 35.000 anstieg - und dann wieder sank.

Der Onlinedienst, der früher Twitter hieß, hat seit seiner Übernahme durch Musk Ende 2022 immer wieder mit Pannen zu kämpfen.
Derzeit soll er im Auftrag von Trump mit dem gleichen radikalen Ansatz die US-Bundesbehörden verkleinern.

"IP-Adressen aus dem Gebiet" Musk vermutet Ukraine hinter massivem Cyberangriff auf X

Nachdem Unbekannte versuchen, Elon Musks Plattform X mit einem Cyberangriff lahmzulegen, vermutet der Multimilliardär nun in einem Interview, dass der Angriff aus der Ukraine stammt.
Die IP-Adressen würden aus dem Gebiet stammen.
Seit seiner Tätigkeit für die US-Regierung werden Musks Unternehmen immer wieder angegriffen.
​

Bundesamt warnt vor gefährlichen Captchas

Wer beim Öffnen von Webseiten derzeit auf "Ich bin kein Roboter"-Captchas stößt, sollte nach dem Setzen des grünen Bestätigungshäkchens besonders vorsichtig sein.
Wird nach dem Abhaken der Zugang zur Seite gewährt, ist alles in Ordnung.

Doch erscheint nach der Häkchen-Abfrage ein weiteres Banner mit Anweisungen zum Ausführen von Tastenkombinationen, ist man auf einer brandgefährlichen, manipulierten Webseite gelandet, die Schadsoftware auf den Rechner schleusen will.
Davor warnt aktuell wieder das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Dann gilt: Sofort abbrechen und den Browser schließen

Fordern Captchas Tastenkombis, stimmt etwas nicht
Erstmals war die Angriffsmethode Ende 2024 aufgetaucht und etwa vom Schweizerischen Bundesamt für Cybersicherheit (BACS) dokumentiert worden:
Dass man es schon eingangs mit einem gefälschten Captcha zu tun hatte, wird klar, wenn ein zweites Banner auftaucht, das zur angeblichen weiteren Verifikation das Ausführen diverser Tastenkombinationen fordert.

So läuft der perfide Angriff ab:
1. Mit dem Setzen des Häkchens beim "Ich bin kein Roboter"-Captcha ist schon ein bösartiger Befehl in den Zwischenspeicher kopiert worden.

2. Im zweiten Banner wird man dazu aufgefordert, per Tastenkombination ein Windows-Eingabefeld zu öffnen.

3. Mit einer weiteren Tastenkombi soll man nichts ahnend den gefährlichen Befehl aus der Zwischenablage in das Eingabefeld einfügen und dann ausführen.

4. Danach wird von einem Server der Angreifer eine Schadsoftware heruntergeladen und installiert, die verheerende Möglichkeiten hat.


hier weiter lesen ..

Hacker nutzen alte Windows-Sicherheitslücke aus - Microsoft tut nichts

Microsoft weiß von einer seit 2017 ausgenutzten Sicherheitslücke in Windows.
Doch das Unternehmen schließt diese Lücke nicht.
Anwender müssen sich selbst schützen.

Experten des Sicherheits-Unternehmens Trend Micro haben eine als ZDI-CAN-25373 bezeichnete Sicherheitslücke in Windows entdeckt, die Angreifer seit mindestens 2017 ausnutzen.
Über die Lücke können die Angreifer Schadcode auf den betroffenen Windows-Rechnern ausführen, sofern der Benutzer eine verseuchte Webseite besucht oder eine infizierte Datei öffnet.

Die Lücke steckt in der Vorgehensweise, wie Windows .lnk-Dateien (Verknüpfungsdateien) verarbeitet. Angreifer können Kommandozeilen-Befehle, die für Windows-Benutzer unsichtbar sind, über diese Lücke einschleusen.
Sobald der Anwender die entsprechende Datei öffnet, werden diese versteckten Befehle ausgeführt.

Laut Trend Micro nutzen mindestens elf Hackergruppen, die mit staatlichen Akteuren wie Nordkorea, Iran, Russland und China in Verbindung gebracht werden, diese Lücke aus.

Bitte, Anmelden oder Registrieren um den Inhalt zu sehen!

Zum Vergrößern anklicken....

Trend Micro hat Microsoft am 20. September 2024 über die Schwachstelle informiert, doch die Redmonder Softwareschmiede hat sie bisher nicht geschlossen.
Mit der Begründung, dass die Lücke angeblich nicht schwerwiegend sei und der Microsoft Defender die Ausnutzung dieser Lücke erkennen und verhindern würde.

Microsoft rät Nutzern:

Bitte, Anmelden oder Registrieren um den Inhalt zu sehen!

Zum Vergrößern anklicken....

Ob Microsoft doch noch einen Patch veröffentlicht, ist derzeit unbekannt. Ausschließen will Microsoft das aber nicht, wie das Unternehmen gegenüber der IT-Sicherheitsnachrichtenseite Bleepingcomputer erklärte: “Wir werden in Erwägung ziehen, dieses Problem in einer zukünftigen Version zu lösen”.

Von wegen Frühlingsschnäppchen: Verbraucherzentrale - Bei diesen Onlineshops droht Abzocke

In den meisten Teilen Deutschlands nimmt der Frühling endlich an Fahrt auf.
Die steigenden Temperaturen laden auch dazu ein, wieder Aktivitäten aufzunehmen, die während des Winters buchstäblich aufs Eis gelegt werden mussten.

Um die ersten warmen Sonnenstrahlen zu genießen, zieht es die meisten Menschen nach draußen.
Egal, ob Gärtnern und Fahrradfahren - meistens muss das über den Winter eingelagerte Equipment erst einmal entstaubt werden.
Oder man kauft sich etwas Neues.

Wer auf der Suche nach günstigen Produkten ist - seien es nun Heckenscheren oder Fahrradtaschen -, stöbert meistens im Internet und vergleicht dort Preise.
Doch wenn das Angebot allzu verlockend ist, stecken dahinter meistens keine großzügigen Händler, sondern Betrüger.

Vorsicht bei diesen Onlineshops
Die Verbraucherzentrale hat jetzt einige dieser Fakeshops identifiziert.
Dabei handelt es sich vor allem um Anbieter, die Saisonware anbieten.
Zum Frühlingsbeginn sind das etwa Garten- und Bauartikel sowie Fahrräder und Zubehör.

Bei diesen Anbietern sollten Sie nicht bestellen:

dailyessentialsmall.shop
vering24.de
trend-handel.de
chromasphere.shop
bergxperten.de
chicandgo.com
kamenik-at.de
fahrradhandel-hartmann.de
radbegeisterung.de
fahrradhandel-kappler.de
reinholdrasenmaher.com
moro-fahrraeder.de
wasserleben-handel.de
hansrasenmaher.com
adventure-shop.at

So erkennen Sie Fakeshops
Viele Fakeshops sind inzwischen professionell aufgezogen und von seriösen Anbietern teils kaum zu unterscheiden.
Dennoch gibt es einige Dinge, auf die Sie achten können.
Dazu gehören etwa ein fehlendes oder unvollständiges Impressum, sehr niedrige Preise, wenige Zahlungsmethoden (oft nur Vorkasse) und Rechtschreib- und Grammatikfehler auf der Webseite.

Bevor Sie etwas im Internet bestellen, sollten Sie sich immer die Bewertungen anderer Kunden anschauen, etwa bei Trusted Shops oder Trustpilot.

Manipulierte Betriebsdaten:Betrug mit Seagate-Festplatten

Als neu deklarierte Festplatten, die in Wahrheit eine lange Laufleistung hinter sich haben, gelangen vermehrt in den Onlinehandel.
Welche Modelle betroffen sind und was Sie tun können.

Viele Onlinehändler verschickten in den vergangenen Wochen Seagate-Festplatten als Neuware, die jedoch bereits sehr viele Stunden gelaufen waren.
Betrüger hatten die SMART-Werte gebrauchter Laufwerke zurückgesetzt und schleusten sie über bisher unbekannte Wege wieder in die Distribution ein.
Auch offiziell von Seagate empfohlene Händler sind betroffen.
Über erste Erkenntnisse wurde bereits in der vergangenen Ausgabe der c’t berichtet .

Der Betrug geht über Deutschland und angrenzende Länder hinaus: Mittlerweile gibt es Nachrichten aus Australien, China, Thailand und den USA.
Dabei geht es vor allem um Seagate-Festplatten aus der Server-Baureihe Exos, und zwar mit Kapazitäten von 12, 14 und vor allem 16 TByte.
Dazu gesellen sich einzelne Fälle von NAS-Platten aus der Ironwolf-(Pro-)Reihe mit 8, 10 und 16 TByte. Alle diese Laufwerke protokollieren ihre Betriebsdaten nicht nur mit den üblichen SMART-Werten, sondern zusätzlich über sogenannte Field Accessible Reliability Metrics (FARM).

Betrugsmasche bei Google Maps enttarnt

Google hat ein Betrugsnetzwerk aufgedeckt, das gefälschte Unternehmensprofile auf Google Maps eingetragen haben soll.
Der Konzern verklagt jetzt einen der mutmaßlichen Drahtzieher aus dem US-Bundesstaat Maryland.

Der Mann soll laut der vor dem Bezirksgericht des Northern District of California eingereichten Klageschrift die Fake-Profile mit dem Ziel erstellt haben, ahnungslose Nutzer zu täuschen und deren Daten weiterzuverkaufen.

Betroffen gewesen seien vor allem Nutzer, die über Google Maps die Hilfe von Schlüsseldiensten oder Abschleppfirmen in Anspruch nehmen wollten.
Die Nutzer hätten teils überteuerte Angebote bekommen - oder deren Daten wurden einfach weiterverkauft, heißt es in dem Dokument.

Auch in Europa waren die Betrüger aktiv
Laut Klage soll der Mann mit weiteren Personen diese gefälschten Unternehmensprofile weltweit erstellt haben.
Besonders aktiv sei das Netzwerk im Raum Washington, D. C., aber auch in der Türkei gewesen.

Neben neuen Firmen seien von den Betrügern auch bestehende, inaktive Google-Business-Profile verwendet worden.
Die Kriminellen hätten die Namen, Webseiten, Telefonnummern und Adressen der Unternehmen teilweise geändert und durch falsche Angaben ersetzt.

Der Fall ist nicht der erste, den Google aufgedeckt hat.
Der Konzern teilte "CBS News" mit, dass es 2023 rund 12 Millionen gefälschte Unternehmensprofile entfernt oder blockiert habe - etwa eine Million mehr als im Jahr zuvor.

Dem Bericht nach setzt Google zahlreiche Werkzeuge ein, um solche Fake-Profile automatisch zu erkennen.
Online-Unternehmensprofile seien sowohl für Unternehmen als auch für Verbraucher unglaublich wertvoll, so ein Unternehmenssprecher.
"Gefälschte Profile und Bewertungen untergraben das Vertrauen in die Plattform", so ein Google-Sprecher.

Google-Klageschrift als PDF (Englisch)

Angreifer nutzen Lücke in Chrome bereits aus: Sofort Update aufspielen

Google hat ein neues Sicherheits-Update für Chrome bereitgestellt.
Es beseitigt eine Browser-Schwachstelle, die bereits für Angriffe ausgenutzt wird.

Google hat die neuen Chrome-Versionen Chrome 134.0.6998.177/178 für Windows bereitgestellt. Chrome-Updates für Mac, Linux und Android sind nicht angekündigt.
Die mit dem Update geschlossene Sicherheitslücke wird offenbar schon für Angriffe ausgenutzt.
Die Hersteller anderer Chromium-basierter Browser dürften rasch nachziehen.

Im Chrome Release Blog nennt Srinivas Sista die beseitigte Sicherheitslücke, die durch externe Sicherheitsforscher entdeckt und an Google gemeldet worden ist.
Google stuft die Schwachstelle CVE-2025-2783 als hohes Risiko ein.
Es handelt sich um einen ausnutzbaren Fehler in der Komponente Mojo, der unter unklaren Randbedingungen auftritt.
Mojo ist eine Sammlung von Laufzeitbibliotheken für die Interprozesskommunikation (IPC).
Die Lücke wurde am 20. März durch Experten des russischen Antivirusherstellers Kaspersky an Google gemeldet.

Laut Google gibt es Hinweise darauf, dass diese Schwachstelle bereits für Angriffe ausgenutzt wird. Diese Hinweise dürften von Boris Larin und Igor Kuznetsov stammen, Sicherheitsforscher bei Kaspersky. Vermutlich haben sie die Sicherheitslücke bei der Untersuchung von Malware-Attacken entdeckt.
Wer dabei wen angreift, bleibt zunächst im Ungewissen, doch die Attacken gelten offenbar Windows-Rechnern, denn Google stellt nur Chrome-Updates für Windows bereit.

Betrügerische Websites: Verbraucherzentrale warnt vor Abzocke

Die Verbraucherzentrale Niedersachsen warnt vor neuen betrügerischen Websites.
Konkret geht es dabei um die Seiten "post-nachsenden.de" und "dein-rundfunkbeitrag.de".

Die beiden Seiten sähen täuschend echt aus, so die Verbraucherzentrale Niedersachsen.
Sie warnt jedoch: Beide Seiten erweckten nur den Anschein, Angebote der Deutschen Post sowie des Rundfunkbeitragsservices zu sein.
Tatsächlich stecke der Anbieter "Digitaler Post Service FZCO" aus Dubai dahinter.

Service echt, Preis aber deutlich überhöht
Zwar würden beispielsweise Nachsende-Aufträge, die über die Websites gebucht wurden, tatsächlich an die Deutsche Post weitergeleitet, so die Verbraucherzentrale.
Allerdings zu deutlich höheren Kosten.
Im Fall der Nachsendungen koste der Service 69 statt rund 30 Euro, hieß es.
Die Fachleute empfehlen: Verbraucherinnen und Verbraucher sollten genau auf die Internetadresse achten, wenn sie derartige Websites aufrufen.
Bei Suchmaschinen würden die Abzock-Seiten zudem teilweise als Anzeigen auftauchen.

Anbieter sitzt in Dubai: Rechtliche Schritte schwierig
Neu ist diese Masche nicht: Bereits im vergangenen Jahr hatte ein anderes Unternehmen versucht, mit den Websites "service-nachsendeauftrag.de" und "service-rundfunkbeitrag.de" Geld zu erbeuten.
Der Verbraucherzentrale Bundesverband reichte Klage ein.
Offenbar mit Erfolg: Die Seiten sind inzwischen nicht mehr online.
Die Angebote, vor denen die Verbraucherzentrale aktuell warnt, seien quasi identisch, hieß es.
Der größte Unterschied: Der aktuelle Anbieter sitze in Dubai. Rechtliche Schritte würden so deutlich erschwert.