Informations/Telekommunikations- Dienstleistungen Christian Freter

Partner von AVM und Seagate

1&1 Premiumpartner 

 

In diesem Blog findet ihr Informationen zu Sicherheitsbedrohungen bei ausgewählten Produkten, Hintergrundinformationen und Links zu wichtigen Webseiten für das Internet. Ich kann keine direkte Aktualität in diesem Blog gewährleisten. Deshalb schaut auch mal öfters bei Webseiten von PC Zeitschriften oder Anbietern von Virenschutz oder bei den Herstellern selber (oft Englisch und benötigt Fachkenntnisse). 

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) warnt vor der Verwendung der Antivirusprogramme von Kaspersky!

 

Kaspersky ist ein russischer Sicherheitsexperte und könnte von der russischen Regierung als Werkzeug für Angriffe ausgenutzt werden.

 

 

 

   

 

NGINX ist ein Open Source Hochleistungs- Webserver und ist ursprünglich eine russische Entwicklung. Durch die Open Source Lizenz wird der Server allen kostenlos zur Verfügung gestellt. Er ist unter anderem eine wichtige Komponente in der Synology Netzwerktechnik, welche auch von mir verwendet wird.

Bereits am Anfang des Krieges gab es eine Untersuchung der US Sicherheitsbehörden zur kritischen IT- Infrastruktur. Natürlich kam der NGINX dabei mit in den Fokus der Gutachter (etwa 10% der IT in den größeren Ländern verwendet diesen Server). Da der NGINX bzw. sein kommerzieller Teil, durch den die Sache auch finanziert wird, von einem US Unternehmen übernommen wurde und der russische Erfinder aus dem gewerblichen Teil des Projektes ausstieg, gab es keine akute Bedrohungssituation. Und es war auch tatsächlich so, dass russische Büros wegen angeblicher Steuerhinterziehung von der russischen Polizei durchsucht wurden.  

Mit dem fortschreitenden Krieg muss man sich natürlich weitere Gedanken machen. Aktuell sind wohl russische Entwickler vorerst aus dem gewerblichen Projekt ausgeschlossen worden. Dadurch geht natürlich viel russisches IT Know- How  verloren, aber das Projekt wird wahrscheinlich überleben. Wegen all dieser Aspekte werde ich zu diesem Zeitpunkt auch nicht auf die Synology Technik verzichten.       

   

Einem Angreifer oder einer Angreiferin oder mehreren Angreifern ist es gelungen, eine registrierte Paypal Domaine anzumelden. Dafür registrierte man sich mit einem Testkonto bei Microsoft365 und einer Testdomaine "paypal.com", die von Microsoft scheinbar nicht geprüft wurde. Das Ergebnis:

 

Die Angreifer konnten Emails versenden, die wie die echten Paypal EMails aussahen (service@paypal.com). In diesen EMails stand dann etwas davon, dass man einen bestimmten Betrag an Paypal zahlen müsste. Klickte man den Bezahllink in der EMail, dann landete man auf der offiziellen Paypal Webseite, aber nach einer Anmeldung gewährte man den Angreifern den Zugriff auf das eigene Paypal Konto (das ist eine offizielle Paypal Funktion).

 

Wie konnte das passieren? Zuerst einmal hat Microsoft die Testdomaine nicht geprüft. Dazu kommt dann noch, dass Microsoft in 2023 eine Funktion in seinen Workspace integriert hat, die den Versand von EMails ermöglicht, obwohl diese eigentlich nicht versendet werden können, das "Sender Rewriting Scheme". Das soll eigentlich ermöglichen, dass man EMails an Mailserver versenden kann, die eigentlich nicht erreicht werden können. D.h. absender@server1.de sendet eine Mail an server3.de, die aber nicht dorthinkommen kann. Also schickt man an eine Adresse auf server2.de, der wieder an server3.de verschicken kann. Dabei werden natürlich ein paar Sicherheitsmaßnahmen ausgehebelt. Bei umfangreichen Sicherheitsmaßnahmen funktioniert das trotzdem nicht zwangsläufig.

 

Was tun?

 

In diesem Fall würde man es auf der Paypal Login Seite bemerken, falls die EMail tatsächlich im Mailkonto landet. Dort steht nämlich, dass man einer ganz bestimmten EMail Adresse Zugriff gewähren soll! Also einfach die Seite wegklicken und die EMail löschen. Also am Besten 3 x hinschauen. Ansonsten, ich habe es bereits öfters erwähnt, bei nicht erwarteten EMails bzw. wenn es keine Reantwort ist, dann keinen Link direkt in der EMail anklicken! Immer über die offizielle Webseite im Webbrowser anmelden.

 

Ihr könnt den offiziellen Blog Hinweis hier nachlesen:

 

https://www.fortinet.com/blog/threat-research/phish-free-paypal-phishing

 

Ansonsten findet ihr etwas bei Golem und PCWelt zu diesem Angriff.