Ihr kennt sie alle: porno geleakt

In der heutigen Folge reden Sven und Stefan ein wenig über das sehr große Thema des Social Engineerings, welches so groß ist, dass es kaum in einer Sendung vollständig abgehandelt werden kann. Aber Sie versuchen es trotzdem und Bedanken sich auch bei den Hörern und den Kommentatoren. Für eventuelle Probleme bezüglich der Audioqualität bitten die Beiden vielmals um Entschuldigung.

• 2Dogs1Hat

• 26.10.2019: 7.5 Million Records of Adobe Creative Cloud User Data Exposed
  • 3.10.2013: Adobe To Announce Source Code, Customer Data Breach
• 28.10.2019: UniCredit reveals data breach exposing 3 million customer records
• 21.10.2019: Open database leaked 179GB in customer, US government, and military records

• 25.10.2019: Emotet: Berliner Kammergericht bleibt bis 2020 weitgehend offline
• 26.10.2019:  Altmaier präsentiert Pläne für europäisches Cloud-Netzwerk „Gaia X“

• 25.10.2019: Public keys are not enough for SSH security
  • Wir erinnern uns:
  • Die Jungs die gegen TOR arbeiten
  • Cloudbleed
  • Die eure DNS Anfragen sehen wollen
  • Den Serverless Code erfunden haben
  • Die mit den DNS-Zusammenbrüchen
  • Die das halbe Internet kaputt machten
• 16.10.2019: How a Bitcoin Trail Led to a Massive Dark Web Child-Porn Site Takedown
• Ohne Datum: Das BKA findet keine Auszubildenden..
• 24.10.2019: Disruption ist jetzt!
• 24.10.2019: Millions of black people affected by racial bias in health-care algorithms
• 26.10.2019: Strecke zwischen Frankfurter Hauptbahnhof und Flughafen gesperrt
• 25.10.2019: Benutzt hier einer LastPass und verlinkt seinen Persönlichen mit dem Enterprise Account?

Wikipedia:  Social Engineering,  99 % aller Angriffe setzen auf die „Schwachstelle Mensch“, Proofpoint Human Factor Report 2019, Teenager will privates E-Mail-Konto von CIA-Chef geknackt haben (Passwort-Rücksetzung), Norman Alexander: Mind Hacking: Wie Sie mit Beobachtung, Menschenkenntnis und Intuition die Gedanken Ihrer Geschäftspartner entschlüsseln (Audible Hörbuch 4h 31m) neusprech.org  Ich war männlich, verwegen, frei

Fun and other Thinks

• FIP-Box von feste-ip.net

Aufgenommen am: 29.10.2019
Veröffentlicht am: 30.10.2019
Intro & Outro Chiptune  CC BY SA 4.0: Pumped by ROCCOW
Logo CC BY 2.0 Richard Patterson

In diesem Podcast werden Techniken oder Hardware vorgestellt, die geeignet sind, externe Geräte anzugreifen. Dies geschieht ausschließlich zu Bildungszwecken, denn nur, wenn man die Angriffstechniken kennt, kann man sich effektiv davor schützen. Denkt immer daran, diese Techniken oder Hardware nur bei Geräten anzuwenden, deren Eigner oder Nutzer das erlaubt haben.Der unerlaubte Zugriff auf fremde Infrastruktur ist strafbar (In Deutschland §202a, §202b, §202c StGB).

Wenn Poli­tiker in bester Absicht Gesetze machen, kann das Ergebnis "schlechter" als vorher ausfallen. Der Schutz vor betr�­geri­schen Anru­fern sch�tzt die Anrufer.

Von Henning Gajek

Kommentare (10)

AAA

Teilen (15)

• E-Mail 1
• Drucken 5

Ein Punkt des neuen Tele­kom­muni­kati­ons­gesetzes von 2021 sieht - wie bereits berichtet - vor, dass wahr­schein­lich gef�lschte deut­sche Rufnum­mern beim Ange­rufenen nicht mehr ange­zeigt werden d�rfen, der Anrufer kommt jetzt also seit dem 1. Dezember "anonym" oder "unbe­kannt", falls der Anrufer �ber­haupt noch durch­kommt.

ACR verschluckt erw�nschte Anrufer

Roaming-Anrufe aus dem Ausland - keine Nummer?

Wenn beispiels­weise deut­sche Mobil­funk­kunden mit ihrer deut­schen Karte im Ausland roamen und dar�ber zu Hause anrufen m�chten, kommen sie aktuell nur noch "anonym", also ohne Rufnummer beim Ange­rufenen an. Das sollte so eigent­lich nicht sein, denn die Vorschrift sieht ausdr�ck­lich Ausnahmen f�r Mobil­funk­ruf­num­mern im Roaming vor.

Das ist aber tech­nisch derzeit (noch) nicht l�sbar. Also wird alles ausge­blendet, was irgendwie "komisch" sein k�nnte. Und damit gehen Anrufer verloren oder werden blockiert, was in bestimmten Situa­tionen sogar gef�hr­lich werden k�nnte (etwa bei Zwischen­f�llen im Ausland, wo wegen Sprach­schwie­rig­keiten die Lieben daheim infor­miert werden sollen).

Ausl�n­dische Roaming-Kunden auch betroffen

Nicht nur deut­sche Kunden, auch ausl�n­dische Roaming-Kunden in Deutsch­land, die von deut­schen Teil­neh­mern ange­rufen werden, sehen unter Umst�nden keine ankom­mende Rufnummer mehr, wie Tests von teltarif.de ergaben. Eine Logik gibt es hier leider nicht. So ist die Chance, eine Rufnummer zu sehen, bei Einbu­chung ins Netz der Telekom ("D1") noch am h�chsten, aber sicher ist das nicht. Eine Karte von georg.at einem Discounter aus �ster­reich, der daheim im Netz von mobilkom A1 (Telekom Austria) aufge­h�ngt ist, sah die Anrufer nur bei Einbu­chen in das Netz der Telekom. Bei Voda­fone (was beim Roaming bevor­zugt genutzt wird) oder o2 blieb es anonym.

Ein Kunde von Yallo (Schweiz, geh�rt zum Netz von Sunrise) hatte Pech. Keine Nummer, auch im Telekom-Netz nicht.

Ruft z.B. ein Schweizer den �ster­rei­cher (beide in Deutsch­land) an, klappte es bei den Tests problemlos.

Wozu soll das gut sein?

Die Anrufer mit 110 oder 112 in der Anzeige waren Betr�ger, die beson­ders gerne Senioren oder Menschen mit wenig Sprach­kennt­nissen �ber­rum­peln wollten.

Wer bisher ohne Nummer anrief

In den letzten Jahren gab es eigent­lich kaum noch anonyme Anrufe. Nutzer eines sehr alten Telekom-Fest­netz-Anschlusses (aus den 1960-1980er Jahren oder �lter), die nie Tech­nologie oder Tarif gewech­selt haben, �ber­tragen teil­weise bis heute keine Nummer. Auf Wunsch kann das aber einge­schaltet werden, nur muss man darauf achten, dass der Telekom-Hotliner nicht zur Buchung von neueren Tarifen oder Funk­tionen "�ber­reden" will. Da hei�t es hart­n�ckig bleiben.

Nutzer von "Voda­fone zu Hause" �ber­tragen eben­falls keine Rufnummer. Bei diesem Produkt von Voda­fone wird die ehema­lige Telekom-Fest­netz­nummer zu Voda­fone portiert und bei ankom­menden Anrufen auf eine Handy-SIM-Karte weiter­geleitet, die in einer Art statio­n�rem Handy landet, woran ein normales Fest­netz-Telefon ange­schlossen ist.

W�rde man hier mit *31# vor der Rufnummer hinaus tele­fonieren, w�rde die dazu­geh�­rende Mobil­funk­nummer signa­lisiert. Das sorgt aber auf der Gegen­seite eher f�r Verwir­rung, wenn Fest­netz­kunden ohne aktu­ellen Tarif, wo eine Minute zum Handy 25 Cent kosten kann, zur�ck­rufen wollen.

Anrufe ohne Nummer gab es auch bei Firmen, wo Service-Mitar­beiter au�er­halb der Sprech­stunde nicht mit Anrufen gest�rt werden sollten. Inzwi­schen wird die Rufnummer der Tele­fon­zen­trale (z.B. mit einer 0 am Ende) signa­lisiert.

Wenn die 0800-3307000 anruft

Wenn es eine St�rung gibt, rufen Telekom-Service-Mitar­beiter den Kunden mit der Absen­der­ken­nung 0800-3307000 an, um ihr Kommen anzu­k�n­digen. Diesen Anruf muss man unbe­dingt annehmen und best�­tigen, sonst kommt der Tech­niker nicht. Diese Rufnummer ist sogar zur�ck­rufbar und f�hrt inner­halb der verein­barten Termin-Zeit zu genau dem Tech­niker, der dem Kunden zuge­teilt ist, andern­falls zur zentralen Service-Hotline.

Dienst­leister mit fremder Rufnummer

Hotline-Dienst­leister, die im Auftrag einer Firma tele­fonieren, �ber­tragen nicht die Rufnummer ihres eigenen Call-Center-Anschlusses, sondern eine Rufnummer der Firma, f�r die sie t�tig sind, der Fach­begriff hei�t "CLIP_no_scee­ning". Und das beschreibt auch das Problem. Niemand pr�ft wirk­lich, ob f�r die signa­lisierte Nummer eine Berech­tigung vorliegt. In vielen F�llen ist das sinn­voll und wirk­lich gewollt, in beson­ders nervigen F�llen aber nicht.

Call-Center, die im Ausland ange­sie­delt sind (weil dort die L�hne dras­tisch g�ns­tiger sind), werden k�nftig ohne Rufnummer rein­kommen, auch wenn sie durchaus Gutes im Schilde f�hren.

Wenige Betr�ger haben alles verdorben

Betr�­geri­sche Call-Center signa­lisieren gerne Rufnum­mern, die es entweder gar nicht gibt ("nicht vergeben"), z.B. das "Maikr­rosoft S�rwis Deparr­tement". Oder Fake-Europol verwen­dete sogar "echte" Nummern von unbe­tei­ligten Teil­neh­mern, die dann R�ck­rufe von Unbe­kannten bekamen. "Sie haben bei mir ange­rufen?" - "Nein, wer sind Sie?"

Lieb gemeint, falsch umge­setzt

Mit der neuen Rege­lung wollte der Gesetz­geber diesem Treiben ein Ende bereiten und hat nun genau das Gegen­teil erreicht.

Entweder muss man jetzt jeden Anruf auf Verdacht entgegen nehmen, in der Hoff­nung, es ist der Freund im Urlaub, oder die Erbtante mit Uralt-Anschluss oder ... es ist tats�ch­lich ein Call-Center, das B�ses im Schilde f�hrt.

Beschwerden gegen Spam-Anrufe sind nun auch nicht mehr m�glich, weil keine Rufnummer mehr vorhanden ist, weder die echte Nummer des Anru­fers (die amtliche Stellen sehen k�nnten) noch die gefakte.

Fr�her war alles besser?

In der guten alten Zeit staat­licher Telefon-Mono­pole w�re nie ein Beamter auf die Idee gekommen, mit gef�lschten Nummern zu arbeiten.

Im Zeit­alter von virtu­ellen Gesch�fts­modellen, wo mit nicht fass­baren Dingen unend­lich viel Geld verdient werden kann, sind viele "gute Sitten" l�ngst verfallen.

Welche L�sungen g�be es?

Wer eine Webseite im Internet aufruft, kennt das Vorh�n­geschloss im Browser, das eine veri­fizierte (signierte) Webseite ank�n­digt. Zwar sind auch hier Betr�­gereien m�glich, aber doch sehr aufwendig und daher eher selten.

Bei Tele­fon­ver­bin­dungen gibt es offenbar keine Zerti­fikate. Hier kann einfach irgend­eine Absender-Rufnummer �ber­mit­telt werden, die dem Absender in den Kram passt.

Da Tele­fon­gespr�che oft nicht mehr direkt zwischen A und B vermit­telt werden, sondern rund um die Welt �ber aktuell g�ns­tige Wege geschickt werden, m�ssen allerlei Tricks ange­wendet werden, damit der Anrufer nicht mit ausl�n­dischen Kennungen verwirrt wird, weil der Original-Anrufer m�gli­cher­weise aus dem Nach­barort oder von einem Handy herkommt, aber �ber Nirwa­nistan und Taka-Tuka-Land geroutet wurde.

Ideale L�sung: Gepr�fte Zerti­fikate

Die rich­tige L�sung w�ren Zerti­fikate, wo jeder Tele­fon­teil­nehmer f�r die Nummern, die er gebucht hat, ein Zerti­fikat bekommt, um diese Nummer zu �ber­mit­teln. Idea­ler­weise w�rde das die Tele­fon­gesell­schaft des Kunden �ber­nehmen. Bei Firmen k�nnten solche Zerti­fikate auch an berech­tigte Call-Center ausge­liehen und notfalls auch zur�ck­gezogen werden. Solche Zerti­fikate w�rden dann in Deutsch­land vom BSI oder von vom BSI zerti­fizierten Ausga­bestellen verteilt, etwa von seri�sen und gepr�ften Tele­fon­gesell­schaften.

Zweit­beste L�sung: Nummern mit * oder # markieren

Da die Einrich­tung solcher Zerti­fikate Zeit braucht, w�re es sinn­voller, die �ber­tra­genen Rufnum­mern wieder einzu­schalten und im Zwei­fels­fall mit einem Stern oder einer Raute zu markieren. Eindeutig verbo­tene Rufnum­mern wie 110, 112 oder 0137 oder 0900 k�nnen weiterhin komplett blockiert werden.

Wenn dann 0304530810* oder *0304530810 im Display erscheint, ist die Wahr­schein­lich­keit hoch, dass es ein Anruf von teltarif.de ist, aber 100-prozentig sicher ist es halt nicht. Vielen Tele­fon­kunden w�re damit aber mehr geholfen, als mit der derzei­tigen "Null-L�sung".