In der heutigen Folge reden Sven und Stefan ein wenig über das sehr große Thema des Social Engineerings, welches so groß ist, dass es kaum in einer Sendung vollständig abgehandelt werden kann. Aber Sie versuchen es trotzdem und Bedanken sich auch bei den Hörern und den Kommentatoren. Für eventuelle Probleme bezüglich der Audioqualität bitten die Beiden vielmals um Entschuldigung. Show
Wikipedia: Social Engineering, 99 % aller Angriffe setzen auf die „Schwachstelle Mensch“, Proofpoint Human Factor Report 2019, Teenager will privates E-Mail-Konto von CIA-Chef geknackt haben (Passwort-Rücksetzung), Norman Alexander: Mind Hacking: Wie Sie mit Beobachtung, Menschenkenntnis und Intuition die Gedanken Ihrer Geschäftspartner entschlüsseln (Audible Hörbuch 4h 31m) neusprech.org Ich war männlich, verwegen, frei Fun and other Thinks
Aufgenommen am: 29.10.2019 In diesem Podcast werden Techniken oder Hardware vorgestellt, die geeignet sind, externe Geräte anzugreifen. Dies geschieht ausschließlich zu Bildungszwecken, denn nur, wenn man die Angriffstechniken kennt, kann man sich effektiv davor schützen. Denkt immer daran, diese Techniken oder Hardware nur bei Geräten anzuwenden, deren Eigner oder Nutzer das erlaubt haben.Der unerlaubte Zugriff auf fremde Infrastruktur ist strafbar (In Deutschland §202a, §202b, §202c StGB). Wenn Politiker in bester Absicht Gesetze machen, kann das Ergebnis "schlechter" als vorher ausfallen. Der Schutz vor betr�gerischen Anrufern sch�tzt die Anrufer. Von Henning Gajek Kommentare (10) AAA Teilen (15)
Ein Punkt des neuen Telekommunikationsgesetzes von 2021 sieht - wie bereits berichtet - vor, dass wahrscheinlich gef�lschte deutsche Rufnummern beim Angerufenen nicht mehr angezeigt werden d�rfen, der Anrufer kommt jetzt also seit dem 1. Dezember "anonym" oder "unbekannt", falls der Anrufer �berhaupt noch durchkommt. ACR verschluckt erw�nschte Anrufer
Roaming-Anrufe aus dem Ausland - keine Nummer?Wenn beispielsweise deutsche Mobilfunkkunden mit ihrer deutschen Karte im Ausland roamen und dar�ber zu Hause anrufen m�chten, kommen sie aktuell nur noch "anonym", also ohne Rufnummer beim Angerufenen an. Das sollte so eigentlich nicht sein, denn die Vorschrift sieht ausdr�cklich Ausnahmen f�r Mobilfunkrufnummern im Roaming vor. Das ist aber technisch derzeit (noch) nicht l�sbar. Also wird alles ausgeblendet, was irgendwie "komisch" sein k�nnte. Und damit gehen Anrufer verloren oder werden blockiert, was in bestimmten Situationen sogar gef�hrlich werden k�nnte (etwa bei Zwischenf�llen im Ausland, wo wegen Sprachschwierigkeiten die Lieben daheim informiert werden sollen). Ausl�ndische Roaming-Kunden auch betroffenNicht nur deutsche Kunden, auch ausl�ndische Roaming-Kunden in Deutschland, die von deutschen Teilnehmern angerufen werden, sehen unter Umst�nden keine ankommende Rufnummer mehr, wie Tests von teltarif.de ergaben. Eine Logik gibt es hier leider nicht. So ist die Chance, eine Rufnummer zu sehen, bei Einbuchung ins Netz der Telekom ("D1") noch am h�chsten, aber sicher ist das nicht. Eine Karte von georg.at einem Discounter aus �sterreich, der daheim im Netz von mobilkom A1 (Telekom Austria) aufgeh�ngt ist, sah die Anrufer nur bei Einbuchen in das Netz der Telekom. Bei Vodafone (was beim Roaming bevorzugt genutzt wird) oder o2 blieb es anonym. Ein Kunde von Yallo (Schweiz, geh�rt zum Netz von Sunrise) hatte Pech. Keine Nummer, auch im Telekom-Netz nicht. Ruft z.B. ein Schweizer den �sterreicher (beide in Deutschland) an, klappte es bei den Tests problemlos. Wozu soll das gut sein?
Die Anrufer mit 110 oder 112 in der Anzeige waren Betr�ger, die besonders gerne Senioren oder Menschen mit wenig Sprachkenntnissen �berrumpeln wollten. Wer bisher ohne Nummer anriefIn den letzten Jahren gab es eigentlich kaum noch anonyme Anrufe. Nutzer eines sehr alten Telekom-Festnetz-Anschlusses (aus den 1960-1980er Jahren oder �lter), die nie Technologie oder Tarif gewechselt haben, �bertragen teilweise bis heute keine Nummer. Auf Wunsch kann das aber eingeschaltet werden, nur muss man darauf achten, dass der Telekom-Hotliner nicht zur Buchung von neueren Tarifen oder Funktionen "�berreden" will. Da hei�t es hartn�ckig bleiben. Nutzer von "Vodafone zu Hause" �bertragen ebenfalls keine Rufnummer. Bei diesem Produkt von Vodafone wird die ehemalige Telekom-Festnetznummer zu Vodafone portiert und bei ankommenden Anrufen auf eine Handy-SIM-Karte weitergeleitet, die in einer Art station�rem Handy landet, woran ein normales Festnetz-Telefon angeschlossen ist. W�rde man hier mit *31# vor der Rufnummer hinaus telefonieren, w�rde die dazugeh�rende Mobilfunknummer signalisiert. Das sorgt aber auf der Gegenseite eher f�r Verwirrung, wenn Festnetzkunden ohne aktuellen Tarif, wo eine Minute zum Handy 25 Cent kosten kann, zur�ckrufen wollen. Anrufe ohne Nummer gab es auch bei Firmen, wo Service-Mitarbeiter au�erhalb der Sprechstunde nicht mit Anrufen gest�rt werden sollten. Inzwischen wird die Rufnummer der Telefonzentrale (z.B. mit einer 0 am Ende) signalisiert. Wenn die 0800-3307000 anruftWenn es eine St�rung gibt, rufen Telekom-Service-Mitarbeiter den Kunden mit der Absenderkennung 0800-3307000 an, um ihr Kommen anzuk�ndigen. Diesen Anruf muss man unbedingt annehmen und best�tigen, sonst kommt der Techniker nicht. Diese Rufnummer ist sogar zur�ckrufbar und f�hrt innerhalb der vereinbarten Termin-Zeit zu genau dem Techniker, der dem Kunden zugeteilt ist, andernfalls zur zentralen Service-Hotline. Dienstleister mit fremder RufnummerHotline-Dienstleister, die im Auftrag einer Firma telefonieren, �bertragen nicht die Rufnummer ihres eigenen Call-Center-Anschlusses, sondern eine Rufnummer der Firma, f�r die sie t�tig sind, der Fachbegriff hei�t "CLIP_no_sceening". Und das beschreibt auch das Problem. Niemand pr�ft wirklich, ob f�r die signalisierte Nummer eine Berechtigung vorliegt. In vielen F�llen ist das sinnvoll und wirklich gewollt, in besonders nervigen F�llen aber nicht. Call-Center, die im Ausland angesiedelt sind (weil dort die L�hne drastisch g�nstiger sind), werden k�nftig ohne Rufnummer reinkommen, auch wenn sie durchaus Gutes im Schilde f�hren. Wenige Betr�ger haben alles verdorbenBetr�gerische Call-Center signalisieren gerne Rufnummern, die es entweder gar nicht gibt ("nicht vergeben"), z.B. das "Maikrrosoft S�rwis Deparrtement". Oder Fake-Europol verwendete sogar "echte" Nummern von unbeteiligten Teilnehmern, die dann R�ckrufe von Unbekannten bekamen. "Sie haben bei mir angerufen?" - "Nein, wer sind Sie?" Lieb gemeint, falsch umgesetztMit der neuen Regelung wollte der Gesetzgeber diesem Treiben ein Ende bereiten und hat nun genau das Gegenteil erreicht. Entweder muss man jetzt jeden Anruf auf Verdacht entgegen nehmen, in der Hoffnung, es ist der Freund im Urlaub, oder die Erbtante mit Uralt-Anschluss oder ... es ist tats�chlich ein Call-Center, das B�ses im Schilde f�hrt. Beschwerden gegen Spam-Anrufe sind nun auch nicht mehr m�glich, weil keine Rufnummer mehr vorhanden ist, weder die echte Nummer des Anrufers (die amtliche Stellen sehen k�nnten) noch die gefakte. Fr�her war alles besser?In der guten alten Zeit staatlicher Telefon-Monopole w�re nie ein Beamter auf die Idee gekommen, mit gef�lschten Nummern zu arbeiten. Im Zeitalter von virtuellen Gesch�ftsmodellen, wo mit nicht fassbaren Dingen unendlich viel Geld verdient werden kann, sind viele "gute Sitten" l�ngst verfallen. Welche L�sungen g�be es?Wer eine Webseite im Internet aufruft, kennt das Vorh�ngeschloss im Browser, das eine verifizierte (signierte) Webseite ank�ndigt. Zwar sind auch hier Betr�gereien m�glich, aber doch sehr aufwendig und daher eher selten. Bei Telefonverbindungen gibt es offenbar keine Zertifikate. Hier kann einfach irgendeine Absender-Rufnummer �bermittelt werden, die dem Absender in den Kram passt. Da Telefongespr�che oft nicht mehr direkt zwischen A und B vermittelt werden, sondern rund um die Welt �ber aktuell g�nstige Wege geschickt werden, m�ssen allerlei Tricks angewendet werden, damit der Anrufer nicht mit ausl�ndischen Kennungen verwirrt wird, weil der Original-Anrufer m�glicherweise aus dem Nachbarort oder von einem Handy herkommt, aber �ber Nirwanistan und Taka-Tuka-Land geroutet wurde. Ideale L�sung: Gepr�fte ZertifikateDie richtige L�sung w�ren Zertifikate, wo jeder Telefonteilnehmer f�r die Nummern, die er gebucht hat, ein Zertifikat bekommt, um diese Nummer zu �bermitteln. Idealerweise w�rde das die Telefongesellschaft des Kunden �bernehmen. Bei Firmen k�nnten solche Zertifikate auch an berechtigte Call-Center ausgeliehen und notfalls auch zur�ckgezogen werden. Solche Zertifikate w�rden dann in Deutschland vom BSI oder von vom BSI zertifizierten Ausgabestellen verteilt, etwa von seri�sen und gepr�ften Telefongesellschaften. Zweitbeste L�sung: Nummern mit * oder # markierenDa die Einrichtung solcher Zertifikate Zeit braucht, w�re es sinnvoller, die �bertragenen Rufnummern wieder einzuschalten und im Zweifelsfall mit einem Stern oder einer Raute zu markieren. Eindeutig verbotene Rufnummern wie 110, 112 oder 0137 oder 0900 k�nnen weiterhin komplett blockiert werden. Wenn dann 0304530810* oder *0304530810 im Display erscheint, ist die Wahrscheinlichkeit hoch, dass es ein Anruf von teltarif.de ist, aber 100-prozentig sicher ist es halt nicht. Vielen Telefonkunden w�re damit aber mehr geholfen, als mit der derzeitigen "Null-L�sung". |