In den Schlagzeilen

1. Bericht zum Digitalen Verbraucherschutz

Am 14. März hat das BSI seinen "Bericht zum Digitalen Verbraucherschutz 2022" veröffentlicht. In ihm informiert das Bundesamt mit einem Themenschwerpunkt über die technologischen Möglichkeiten und Varianten von Phishing – ein hoch relevantes Cyber-Sicherheitsthema, das die Menschen auch in Zukunft beschäftigen wird. Mit dem Bericht will das BSI alle Akteure im Digitalen Verbraucherschutz ermutigen, noch stärker in die Sensibilisierungs- und Aufklärungsarbeit der Verbraucherinnen und Verbraucher zu investieren.

Weitere Informationen und die Möglichkeit zum kostenlosen Download finden Sie beim BSI: https://www.bsi.bund.de/DE/Service-Navi/Publikationen/DVS-Bericht/dvs-bericht_node.html

2. Betrugsversuche mit gefälschtem Chatbot

Cyber-Kriminelle nutzen den mit künstlicher Intelligenz ausgestatteten ChatGPT von OpenAI, um potentielle Opfer über Phishing-Mails anzulocken. Dafür verwenden sie Betreffzeilen wie zum Beispiel "ChatGPT: New AI bot has everyone going crazy about it" ("ChatGPT: Der neue KI-Bot macht alle verrückt"). In den Mails sind Links enthalten, die auf Fake-Plattformen wie "importcapital.cc" leiten. Dort versucht ein gefälschter Bot, Besucherinnen und Besucher zur Herausgabe von persönlichen Informationen zu verleiten.

BSI zu den Chancen und Bedrohungen durch Künstliche Intelligenz: https://www.bsi.bund.de/dok/129146

CSO Online über gefälschte Chatbots: https://www.csoonline.com/de/a/security-experten-warnen-vor-neuer-chatgpt-betrugsmasche,3674485

3. Polizei gelingt Schlag gegen Hackergruppe

Das Landeskriminalamt Nordrhein-Westfalen und die ukrainische Polizei vermelden einen Erfolg im Kampf gegen die international tätige Hackergruppe "DoppelPaymer". Die aus der Ukraine operierende Bande arbeitet vor allem mit Ransomware, um die Daten ihrer Opfer zu verschlüsseln und erst gegen eine Lösegeldzahlung wieder freizugeben. Unter anderem soll die Gruppe im September 2020 die Düsseldorfer Uniklinik lahmgelegt haben. Im Zuge einer Razzia wurden elektronische Geräte der Gruppe beschlagnahmt. Zudem konnten die Ermittlungsbehörden einen internationalen Haftbefehl gegen drei mutmaßliche Mitglieder erwirken.

BSI-Informationen über Ransomware: https://www.bsi.bund.de/dok/522730

Der Spiegel über Fahndungserfolg gegen "DoppelPaymer": https://www.spiegel.de/netzwelt/web/ransomware-deutscher-und-ukrainischer-polizei-gelingt-schlag-gegen-hacker-gruppe-a-35fd33e4-81e2-4ad8-a85f-725951948b31

4. Lidl Pay: Sechs Männer, hunderte Betrügereien

Mit der Zahlungs-App "Lidl Pay" ist es normalerweise möglich, Einkäufe beim Discounter über das Smartphone zu bezahlen. Allerdings steht die App schon seit ihrem Start 2021 in dem Verdacht, Betrügerinnen und Betrüger anzulocken, die mit der App und auf Kosten unbeteiligter Dritter einkaufen können. Die Münchner Polizei ist nun tatsächlich einer Gruppe auf die Spur gekommen, die mutmaßlich verschiedene Betrugsmethoden rund um die App genutzt hat. Darunter waren wohl Bestellungen im Online-Shop von Lidl oder der Erwerb von Gutscheinen in den Filialen – jeweils mit falschen Nutzerdaten. Die Polizei ordnet den sechs verdächtigen Männern rund 500 Fälle zu, die einen Vermögensschaden in bis zu sechsstelliger Höhe verursacht haben sollen.

Das BSI gibt Hinweise zur sicheren Nutzung beim mobilen Bezahlen: https://www.bsi.bund.de/dok/131684

Süddeutsche Zeitung zum Betrug mit Lidl Pay: https://www.sueddeutsche.de/muenchen/muenchen-lidl-betrug-app-festnahmen-1.5763056

5. Hackergruppe veröffentlicht intime Bilder

Wie groß die realen Gefahren durch Ransomware sein können, zeigte jüngst eine Gruppe von Cyber-Kriminellen in den USA. Dort hat die Ransomware-Gruppierung Alphv sensible Patientinnen- und Patientendaten veröffentlicht, darunter zum Beispiel auch Nacktbilder von Brustkrebspatientinnen. Die Gruppe gab zudem bekannt, im Besitz weiterer Daten aus der Patientendatenbank sowie von Ausweisen zu sein. Man sei bereit, diese auch zu veröffentlichen, heißt es. Wie viele Daten im Besitz der Bande sind und wie hoch die Forderungen sind, sei nicht bekannt, heißt es.

Heise Online über die Veröffentlichungen von Alphv: https://www.heise.de/news/Skrupellos-Cybergang-Alphv-veroeffentlicht-Patientenbilder-nach-Einbruch-7536239.html

6. Kurz notiert

• Cyber-Kriminelle erbeuten 160 GByte sensible Daten bei Acer: https://www.heise.de/news/Datenleck-Cyber-Einbrecher-erbeuten-160-GByte-sensible-Daten-bei-Acer-7539463.html
• Hacker spähen Daten der Stadtwerke Karlsruhe aus: https://www.spiegel.de/netzwelt/web/karlsruhe-hacker-greifen-stadtwerke-an-und-spaehen-daten-aus-a-76d0b8f5-ffeb-42c0-b0f9-405a517342e6

Up-to-date

7. Foxit PDF Editor: Offen für Schadcode

Sicherheitslücken im Foxit PDF Editor können zum Einschleusen von Schadcode genutzt werden, der über manipulierte PDF-Dokumente verteilt wird. Betroffen ist Foxit PDF Editor in Version 11.2.4.53774 und allen vorhergehenden 11.x-Fassungen sowie 10.1.10.37854 und frühere Versionen. Der Hersteller hat die Version 11.2.5. bereitgestellt, die diese Sicherheitslücke schließt.

Heise Online über Sicherheitslücken bei Foxit PDF Editor: https://www.heise.de/news/Foxit-PDF-Editor-Luecken-erlauben-einschleusen-von-Schadcode-7540068.html

8. Sicherheitslücke in Apples GarageBand

Die mit MacOS kostenlos ausgelieferte Musiksoftware GarageBand enthält eine Lücke, die das Programm angreifbar macht, so Apple. Um welche Art es sich bei der Lücke handelt, hat Apple nicht mitgeteilt. Ebenso wenig kommunizierte das Unternehmen, ob bereits Exploitcode vorliegt, es also bereits direkte Angriffe gegeben hat. Allerdings hat Apple Anfang März ein laut Hersteller "wichtiges" Update für seine Musikproduktionssoftware auf Version 10.4.8 vorgelegt, das diese Lücke schließen soll.

Heise Online über Lücken bei der Musikproduktion: https://www.heise.de/news/Problematische-Sicherheitsluecke-in-Apples-GarageBand-7538801.html

Aktuelle Version der GarageBand im Mac App Store: https://apps.apple.com/app/garageband/id682658836

9. Google Chrome: 40 Sicherheitslücken geschlossen

Gleich 40 Sicherheitslücken hat Google im Chrome-Webbrowser der Version 111 geschlossen – darunter auch solche, die zuvor als "hochriskant" eingestuft worden waren. Die fehlerbereinigten Versionen lauten nach der Aktualisierung Chrome 111.0.5563.54 für iOS, 111.0.5563.64 für Mac und Linux und 111.0.5563.64/.65 für Windows. Extended Stable-Release für Linux und Mac ist nun auf dem Stand 110.0.5481.192.

Heise Online über geschlossene Lücken in Google Chrome: https://www.heise.de/news/40-Sicherheitsluecken-gestopft-Google-macht-Chrome-111-sicherer-7538631.html

10. Aktuelle Warnmeldungen

Über weitere aktuelle Lücken und Schwachstellen in Hard- und Software informiert das "Computer Emergency Response Team" des BSI regelmäßig auf seiner Webseite. Informationen und Tipps zum Umgang mit diesen Schwachstellen sowie aktuelle Warnmeldungen finden Sie auch auf der BSI-Startseite: https://www.bsi.bund.de/DE/Home/home_node.html

Gut zu wissen

11. Informationen über Phishing-Varianten

Neben der am meisten verbreiteten Form der Cyber-Kriminalität, dem E-Mail-Phishing, gibt es zahlreiche weitere Varianten, die sich weniger in der Absicht unterscheiden als im Kanal, über den sie verbreitet werden. Dazu bietet das BSI ausführliche Informationen über

• Smishing, das Phishing über SMS: https://www.bsi.bund.de/dok/6596368
• Vishing, das Voice-Phishing mit der Absicht, über Anrufe an sensible Daten zu kommen: https://twitter.com/BSI_Bund/status/1565723727324557313
• Quishing, das Phishing über QR-Codes: https://twitter.com/BSI_Bund/status/1564639077495934977 und https://twitter.com/BSI_Bund/status/1531290645725339651
• Whaling, das zielgerichtete Phishing gegen Führungskräfte: https://twitter.com/BSI_Bund/status/1631609141314633729
• Spoofing, den Betrug über gefälschte Telefonnummern oder gefälschte E-Mail-Absender: https://www.bsi.bund.de/dok/132342

12. BSI-Studie: Viele Software-Produkte für Onlineshops sind unsicher

Das BSI hat die Sicherheitseigenschaften von Software-Produkten untersucht, mit denen Onlinehändlerinnen und -händler ihre Webshops erstellen. Fast alle untersuchten Produkte wiesen eine unzureichende Passwortrichtlinie auf. In sieben von zehn Shop-Softwareprodukten wurden verwundbare JavaScript-Bibliotheken identifiziert, in der Hälfte der untersuchten Produkte fand das BSI Software, die veraltet ist und keine Sicherheits-Updates mehr erhält. BSI-Vizepräsident Gerhard Schabhüser: "Die vorliegende Studie zeigt, dass die Verantwortung für sicheres Onlineshopping sowohl auf Hersteller- als auch auf Händlerseite liegt. Um die Gefahr künftiger Datenleak-Vorfälle zu senken und eine nachhaltige Steigerung des IT-Sicherheitsniveaus von Onlineshops zu erreichen", forderte Schabhüser, "müssen Software-Hersteller regelmäßig Schwachstellenanalysen durchführen."

Pressemitteilung des BSI über seine Studie mit Link zum kostenlosen Download: https://www.bsi.bund.de/dok/1085798

Praktisch sicher

13. So erkennen Sie Phishing-E-Mails

Grundsätzlich schadet es nicht, im täglichen E-Mail-Verkehr die Augen nach Phishing-Inhalten offen zu halten. Folgende Anzeichen sind ziemlich klare Indizien, die Sie misstrauisch werden lassen sollten:
• Der Text der Mail gibt dringenden Handlungsbedarf vor, z.B. „Wenn Sie Ihre Daten nicht umgehend aktualisieren, dann gehen sie unwiederbringlich verloren“.
• Die Absenderinnen und Absender drohen Ihnen: „Wenn Sie das nicht tun, müssen wir Ihr Konto leider sperren.“
• Sie werden in der Mail aufgefordert, vertrauliche Daten einzugeben, zum Beispiel die PIN für Ihren Onlinebanking-Zugang oder Ihre Kreditkartennummer.
• Die E-Mail enthält Links oder Formulare.
• Die Mail scheint von einer bekannten Person oder Organisation zu stammen, jedoch klingt das Anliegen der Absenderin oder des Absenders ungewöhnlich oder befremdlich.
Behörden und Banken werden Sie mit solchen Aufforderungen niemals kontaktieren. Seien Sie stets misstrauisch und öffnen Sie nicht bedenkenlos Dateianhänge oder klicken auf Links.

Weitere Informationen, darunter ein Video zum Thema Phishing, finden Sie auf der Webseite des BSI: https://www.bsi.bund.de/dok/132200

Übrigens

Das BSI können Sie demnächst wieder live erleben:

Das BSI lädt vom 10. bis 11. Mai 2023 zum 19. Deutschen IT-Sicherheitskongress unter dem Motto "Digital sicher in eine nachhaltige Zukunft" ein. Die Veranstaltung findet digital statt. Melden Sie sich jetzt an unter: www.bsi.bund.de/IT-Sicherheitskongress

Außerdem sind wir Gast auf der "Potsdamer Konferenz für Nationale CyberSicherheit", die am 19. und 20. April 2023 in den Räumen des Hasso-Plattner-Instituts (HPI) stattfindet. Dort wird unter anderem auch der Bundes-CIO Markus Richter sprechen.

Die vollständige Agenda sowie die Möglichkeit, sich kostenlos für die Konferenz anzumelden, finden Sie hier: https://hpi.de/das-hpi/veranstaltungen/konferenzen/potsdamer-sicherheitskonferenz/konferenz.html

Sie wünschen weitere Sicherheitstipps und Informationen für Ihren digitalen Alltag: https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/verbraucherinnen-und-verbraucher_node.html

Sie haben allgemeine Fragen oder Verbesserungsvorschläge für diesen Newsletter? Unsere Kontaktmöglichkeiten: https://www.bsi.bund.de/DE/Service-Navi/Kontakt/kontakt_node.html

Ihnen gefällt dieser Newsletter? Empfehlen Sie ihn Familie, Freundinnen und Freunden oder Kolleginnen und Kollegen: https://www.bsi.bund.de/DE/Service-Navi/Abonnements/Newsletter/Buerger-CERT-Abos/Abonnieren/abonnieren_node.html