Category Archives: Security

Lustige E-Mails II.

Irgendwie frage ich mich immer, welche Idioten auf solche E-Mails reinfallen. Ob als “Finanzagent” oder “Logistikpartner” – erstaunlich, diese Masche greift immer wieder:

Karrieren und Stellenangebot

Wir bieten Ihnen eine offene Vakanz an. Dieses Stellenangebot ist beschraenkt und gilt nur fuer die Buerger Deutschlands.

Unsere Firma angagiert das Personal fuer die Hausarbeit als Der aeusserliche Hilfsvertreter (Outside Support Representant). Diese Hausarbeitsposition basiert sich auf online-part-time, im beschleunigten Tempo (fast-pased Position). Die nebenamtlichen (Part-time) Mitarbeiter arbeiten gewoehnlich 4 Stunden pro Tag (Montag-Freitag) und arbeiten gewoehnlich nicht am Wochenende und an Feiertagen. Waehrend Ihrer Arbeit werden Sie mit Paketen und Paeckchen zu tun haben. Ihre Hauptaufgaben sind Erhalten, Umverpacken (notwendigerweise) und Absenden an den Endkunden.

Fuer ein Paket bekommt der Mitarbeiter ‚¬ 20,00 und Monatsgehalt je nach dem Angebot. Unsere Mitarbeiter, die nebenamtlich arbeiten, bekommen fuer jedes Paket gute Kommission. Achten Sie bitte darauf, dass diese Leute nicht mehr als 17 Stunden pro Woche beschaeftigt werden duerfen.

Fuer solche Arbeit brauchen wir keine grossen Arbeitserfahrungen und stellen keine hohen Anforderungen. Die vorliegende Arbeit ist ausgezeichnet fuer Studenten, Muetter und Menschen, die online tageweise Arbeit suchen. Wir sind eine sich schnell entwickelnde internationale Gesellschaft und Sie haben eine grosse Moeglichkeit Ihre Karriere mit uns zu beginnen. Bitte verlieren Sie keine Zeit und beginnen Sie mit Ihrer Karriere gleich.

Bitte senden Sie Ihr Resuemee/CV oder kurzen Lebenslauf an folgende e-mail ab: xxxxxx@gmail.com

In 2-3 Tagen werden Sie von uns Antwort bekommen. Danke fuer Ihre Aufmerksamkeit und Interesse an uns.

Note:
Diese Position ist online angeboten und kann von einer beliebigen Personalvermittlungsagentur verwendet werden. Diese Arbeit koennen Sie online oder durch Marketing- und online- Listen finden.

Richtig Übersetzt: “Wir suchen Idioten, die uns bei Betrug im Versandhandel unterstützen und gerne dem Staatsanwalt als Ansprechpartner zur Verfügung stehen.”

Lustige E-Mails…

Eigentlich schon lange nichts mehr von der Nigeria Connection gehört. Um so mehr habe ich mich über diese Mail von heute gefreut:

Engr. Simbaliwe Sisulu
Pretoria
Südafrika
Private eMail: xxxxxxxx@mail2tycoon.com

FÜR IHRE FREUNDLICHE AUFMERKSAMKEIT:

Ich bin Ingenieur Simbaliwe Sisulu, ein Eingeborener von Kwazulu Geburts-
in Südafrika, das mit der Südafrika-Abteilung des Bergbaus u. der Energie
arbeitet.

In erster Linie entschuldige mich ich für die Anwendung dieses Mittels, um
Sie für eine Verhandlung dieser Größe zu erreichen, aber diese liegt an
der Vertraulichkeit und an sofortigem Zugang, die auf diesem Mittel
ausgeruht werden. Informiert sein, dass gab ein Mitglied des
Südafrika-Ausfuhrförderung-Rates (SEPC) der ein Teil meiner
Regierungsdelegation zu Ihrem Land während einer neuen
Geschäftsausstellung war, mir Ihre beneidenswerten
Bescheinigungen/Einzelheiten beim Versichern ich auf Ihrer Kompetenz, um a
zu behandeln Geschäft, das eine große Geldsumme in absolute
Vertraulichkeit mit einbezieht.

Folglich habe ich mich entschieden, eine vertrauliche Mitarbeit mit Ihnen
in der Durchführung des Abkommens zu suchen, das nachstehend zugunsten
aller Parteien beschrieben wird und während das Hoffen Sie es als strenges
Geheimnis wegen der Art dieser Verhandlung hält.

Innerhalb der Abteilung des Bergbaus u. der Energie, in der ich als
Direktor und mit der Mitarbeit von drei anderen Spitzenbeamten arbeite,
haben wir in unserem Besitz die überfälligen Vertragsvorgelegten Wechsel,
die vierzehn auf Million, vierhundert tausend Staat-Dollar (14.400.000.00)
sich belaufen. Dieses Geld, dem wir beabsichtigen, seine Übertragung als
Form der Vertragszahlung zu einer zuverlässigen Firma/zu einem einzelnen
Konto abhängig von Ihrer Bequemlichkeit zu verarbeiten.

Ihre Unterstützung und Mitarbeit liegt an den Umständen erforderliches,
die unsere Arbeit als Regierungsbeamte umgeben, hingegen der
Südafrika-Staatsdienst-Verhaltenskodex uns nicht erlaubt, ein
Auslandsbankkonto folglich laufen zu lassen Ihr Wert in der vollständigen
Verhandlung.

Momentan ist diese Menge ($14.4M) die Balance des Gesamtauftragswertes
darstellend, der im Namen meiner Abteilung durch eine fremde Vertragsfirma
durchgeführt wird, die wir die Beamten absichtlich über-fakturierten, das
Lügen, das im Regierungsübertragungsurkunde-Bankkonto mit Reserve Bank von
Südafrika nicht beansprucht ist. Wir hiermit Ihre Unterstützung und
Mitarbeit suchen, die uns ermöglichen, diese Geldsumme zu Ihnen als Form
der Vertragszahlung zu verarbeiten.

Wir haben die notwendige zu validieren Ermächtigung, und Zustimmungen des
schwebenden Geschäfts nachzuschicken behauptet zur Regierung für
abschließende Zahlung auf Zustimmung durch Reserve Bank von Südafrika
(RSBA). Alle Partner stimmten, beim Mandates Unterstellen Mandates
Unterstellen ich, um vorzuschlagen, der wenn Sie bereit sind, uns in der
Verhandlung zu unterstützen, Ihr Anteil der Summe 30% der 14.4 Million
ist, 65% sind für uns und 5% für alle mögliche Unkosten zu, die im Verlauf
dieses Projektes genommen wurden einschließlich Telefon- und
Telefaxrechnungen.

Das Geschäft selbst ist das 100%-Safe auf Ihrem Teil versah Ihnen
Festlichkeit es mit äußerster Geheimhaltung und Vertraulichkeit. Auch
merken, dass Ihr Bereich der Spezialisierung nicht eine Behinderung zur
erfolgreichen Durchführung dieser Verhandlung ist.

Ich habe mich mein Vertrauen in Ihnen beim Erwarten Ihrer sofortigen
Antwort durch das private email address sisulumessages@workmail.co.za, um
mich über yourcapability zu benachrichtigen, um uns zu unterstützen
ausgeruht, wenn ich Erfolg in dieser Verhandlung erzielte.

Schließlich auf Ihrem Teil, schätzen wir Sie Festlichkeit diese
Verhandlung als sehr vertrauliches, während wir Ihnen versichern, dass von
einem 100%-Safe und freien einer Verhandlung des vollen Beweises Sie
befolgen unsere Anweisungen total bereitstellte.

Ich erwarte Ihre Bestätigung meiner Mitteilung beim Beten, dass dieses der
Anfang einer lebenslänglichen Teilhaberschaft zwischen uns ist.

Für Ihre vorweggenommene Mitarbeit danke.

Mit freundlichen Grüßen

Engr. Simbaliwe Sisulu

So, mal schauen ob es von Herrn Sislu ein Photo auf Scambaiter gibt *g*

Einer Firewall vertauen…

die das Kürzel “NSA” im Namen trägt?

Gerade eine E-Mail von Sonicwall weitergeleitet bekommen. Auszug:

Eine Firewall der nächsten Generation.

Die neue SonicWALL NSA 240 Firewall mit 600 Mbps1 Netzwerkdurchsatz bei
voller Performance.

SonicWALL bietet einmalige Sicherheit, Performance und
Benutzerfreundlichkeit zu einem erschwinglichen Preis.

Okay, niemand kann behaupten er wäre vom Hersteller nicht vorgewarnt worden ;)

Danke an Sven, für den Tipp

Kommt VoIP doch auf dem Google Handy

Nach einem Bericht im Handelsblatt Blog könnte VoIP auf dem G1 schon in der nächsten Version, mit dem Segen von T-Mobile unterstützt werden. Zu begrüßen wäre es, denn ohne VoIP ist das Googles Android nur ein amputiertes Betriebssystem – von der versprochenen Offenheit keine Spur.

Im Spagat mit den Bedürfnissen der Netzbetreiber, hat sich Google dazu hinreißen lassen, die VoIP Unterstützung in der aktuellen Version von Android zu unterbinden. Auch kann die Open Source Gemeinde nicht die betreffenden Funktionen einfach nachträglich einbauen, da wesentliche Elemente von Android nicht in den Sourcen offengelegt sind. Das offizielle Argument heisst “Sicherheit”, wobei Security by Obscurity bekanntlich nicht wirklich eine gute Sicherheitsstrategie ist. Vielmehr geht es wohl eher darum, die Netzbetreiber vor einer unkontrollierten VoIP Nutzung zu schützen.

So haben die Macher von OpenMoko, einem ebenfalls auf Linux basierendem OS für Handies, kein Problem damit die gesamte Source zu veröffentlichen. Denn die für das GSM Netz sensible Routinen sind auf direkt auf der Hardware des GSM-Baustein im Handy gekapselt. Googles Versuch teilweise Offenlegung des Quelltextes mit Sicherheitsaspekten zu begründen, ist daher wohl kaum mehr wie eine laue Schutzbehauptung.

Vergleicht man das G1 Android mit dem OpenMoko Handy “Neo Freerunner“, besticht die “echte” offene Plattform Open Moko mit einem eleganteren Design, freier Netzwahl ohne SIM Lock und USB Standardschnittstellen. So muss eine alternative zum iPhone aussehen!

Wie das E-Mail Postfach von Sarah Palin gehackt wurde

Das E-Mail Postfach von Sarah Palin der republikanischen Anwärterin zur US Vizepräsidentschaft wurde gehackt. Nicht technisches Know How war dazu notwendig, sondern eine akribische Recherche zur Biografie im Internet. Denn die Angreifer nutzen die Funktion für “vergessene Passwörter” in Palins Yahoos E-Mail Account.

Im Blog von Michelle Malkin wird eine E-Mail des Hackers veröffentlicht, in denen die Details zum Hack genau beschrieben sind. Das Palin ein E-Mail Konto bei Yahoo hat, habe der Angreifer aus der Presse erfahren. Um an das Passwort des Yahaoo-ID Accounts zu gelangen, mussten bei der Funktion “Passwort vergessen” zwei persönliche Fragen zur Biografie von Sarah Palin beantwortet werden. Die Antworten wurden per Wikipedia, Google und Postleitzahlenverzeichnis gesucht und gefunden. Dazu der Hacker “rubico” in einer E-Mail:

after the password recovery was reenabled, it took seriously 45 mins on wikipedia and google to find the info, Birthday? 15 seconds on wikipedia, zip code? well she had always been from wasilla, and it only has 2 zip codes (thanks online postal service!)

the second was somewhat harder, the question was €œwhere did you meet your spouse?€ did some research, and apparently she had eloped with mister palin after college, if youll look on some of the screenshits that I took and other fellow anon have so graciously put on photobucket you will see the google search for €œpalin eloped€ or some such in one of the tabs.

I found out later though more research that they met at high school, so I did variations of that, high, high school, eventually hit on €œWasilla high€ I promptly changed the password to popcorn and took a cold shower€¦

Im Gegensatz zum “klassischen Hacking”, bei dem der Angreifer ein tiefes technischen Verständnis des zu kompromitierenden Systems benötigt, war der Hack des Palin E-Mail Postfachs ein cleveres Such- und Puzzlespiel per Internetrecherche. Das macht den Hack nicht weniger spektakulär, sondern es zeigt wie anfällig System sind, die die Sicherheit per vermeintlichen “biografischen Geheimnissen” sicherstellen möchten. Im Zuge von immer mehr Suchmöglichkeiten über soziale Netzwerke, wird es immer schwieriger werden biografische Besonderheiten zu schützen.

Fragen wie “Wie lautet der Name Ihres Haustieres?” oder “Wie lautet der Mädchenname Ihrer Mutter?“, sind nicht wirklich geheim in einer zunehmend vernetzten Welt und werden mit dem Grad der Vernetzung in sozialen Netzwerken zunehmend offensichtlicher.

Blogger Bruce Schneier, zerlegt in seinem Artikel “The Curse of the Secret Question” das Prinzip der biografischen Geheimfragen. Dem ist nichts hinzuzufügen.

So schützt man sich vor Datenklau am US Zoll

Die Geschäftswelt steht Kopf: der US Zoll erlaubt sich Laptops bei der Einreise in die USA zu durchforsten und Daten zu kopieren. Alles im Sinne des Anti-Terror-Kampfes *Hüstel*.

Wer Angst vor Wirtschaftsspionage hat kann sich schützen. Allerdings sollte man sich auf keinen Fall die Empfehlung des DIHK verlassen und sensible Daten bei Reisen in die USA sich einfach per E-Mail nachschicken lassen. Dies ist genau so unsicher, wie die Daten auf dem Laptop zu belassen. Eine unverschlüsselte Mail kann problemlos gescannt werden. Und warum sollte die NSA nicht auch beim E-Mail Verkehr lauschen?

Also vergessen wir die Schnapsidee des DIHK. Es gibt nur zwei Methoden die vor einem Datenklau schützen:

1.) Verschlüsselung von sensiblen Daten in einem Krypto-Container auf dem Laptop. Dieser Container verwahrt die Daten sicher vor dem Zugriff durch Dritte und ist zudem nur schwer auf dem Laptop zu identifizieren. Ein dazu passendes Open Source Programm ist TrueCrypt

2.) Verschlüsselung von E-Mails mittels  Open PGP. Das drauf aufbauende Programm Enigmail OpenPGP ist als Plugin für Thunderbird erhältlich. Damit lassen sich E-Mails und Anhänge sehr wirkungsvoll verschlüsseln.

Aber ganz unabhängig von den Begierden der US-Behörden: sensible Daten sollte man so oder so nie und nimmer unverschlüsselt auf seinen Laptop speichern oder per E-Mail verschicken.

Biometriequatsch bei EDEKA

Liebe Leute bei EDEKA: Nur weil etwas modern ist, ist es noch lange nicht gut. Nur weil etwas mit einem Computer gesteuert wird, ist es noch lange nicht sicher.

Von was ich spreche? Na von dieser biometrischen Zugangskontrolle, die ich beim letzten Einkauf im örtlichen EDEKA entdeckt habe. Die Tür zum Bürobereich der Marktleitung wird seit neuestem mit einem biometrischen Schloss gesichert. Ein kleiner Scanner am Lesegerät des Schlosses liest den Fingerabdruck und öffnet die Türe für berechtigte Personen.

Wow, soviel Hightech in der “Einkaufsgenossenschaft der Kolonialwarenhändler im Halleschen Torbezirk zu Berlin€œ? Da hat ein IT-Beratungsunternehmen einen guten Auftrag ergattert und Highttech-Security-Lösungen vom feinsten verkauft.

Während ich vor Ehrfurcht staune,  nimmt die Kassiererin meine Cola Flasche in die Hand und schiebt diese über den Kassenscanner. “Macht 1.29”. Ich zahle in abgezählten Münzen und nehme die Flasche und halte diese leicht schräg. Auf dem schwarzen Flaschenkörper zeichnen sich zart aber deutlich die Fingerabdrücker der Mitarbeiterin ab.

“Danke für die Eintrittskarte” wollte ich sagen, doch ich habe es mir verkniffen.

Hätte ich vor den Laden auszurauben, bräuchte ich nicht mal einen Schlüssel. Die Cola Flasche mit dem biometrischen Zugangscode der Mitarbeiterin reicht.

Okay, jetzt kann jemand einwerfen, dass der normale Dieb doch nicht mit High Tech arbeitet und schon gar nicht aus einem Flaschen-Fingerabdruck eine biometrische Kontrolle überlisten kann. Die zuständigen Manager von werden jetzt sicher sagen: “Das ist doch sehr hypothetisch. Unser System ist praktisch und sicher. Hat ja auch eine Menge Geld gekostet…”.

Sicher hat es… und es ist reine Verschwendung von Geld. Zudem wird eine Sicherheit vorgegaukelt, die es nicht gibt. Den Fingerabdruck eines Mitarbeiters der EDEKA bekomme ich mit jedem Einkauf kostenlos geschenkt. Für 4.99 kann ich mir im gleichen Laden noch den Sekundenkleber kaufen um den Abdruck zu sichern. Die Anleitung zum Herstellen des künstlichen Fingerabdruckes gibt es im Internet.

Und wer glaubt, das in einschlägigen kriminellen Kreisen noch mit Brecheisen und Dietrich gearbeitet wird, der soll doch einfach mal in den Sicherheitsabteilungen Deutscher Kreditinstitute nachfragen. Der moderne Bankräuber benutzt PC, Skimmer, Minikameras und Kartenkopiergeräte. Dagegen ist das Herstellen eines falschen Fingerabdruckes ein Klacks.

Deshalb: Nur weil etwas modern ist, ist es noch lange nicht gut. Nur weil etwas mit einem Computer gesteuert wird, ist es noch lange nicht sicher.

1 3 4 5 6 7 9