1 Punkte von GN⁺ 2024-02-24 | 1 Kommentare | Auf WhatsApp teilen
  • Eine echte FedEx-SMS zur Zahlung von Zöllen und Steuern zeigte fast dieselben Signale wie eine Phishing-Nachricht; in einer Umfrage mit über 4.000 Teilnehmenden hielten 87 % sie für verdächtig
  • Die Nachricht enthielt eine kurze shipment number, eine dringende Zahlungsaufforderung, merkwürdige Groß- und Kleinschreibung, fehlende Währungsangabe sowie eine Zahlungsadresse bei bpoint.com.au statt bei FedEx
  • In der FedEx-Sendungsverfolgung waren Informationen zu duty oder tax kaum zu finden, und beim BPOINT-Link ließen sich tracking number, customer name und amount allein durch Änderungen an URL-Parametern verändern
  • Auch die Wege zum Kundensupport und die telefonischen Hinweise waren verwirrend; erst ein drei Tage später eingetroffener E-Mail-Anhang mit Prusa-Rechnung sowie Bestell-, Preis- und Versandinformationen bestätigte, dass die SMS zur echten Anfrage passte
  • Technische Kontrollen wie das Blockieren von Scam-SMS reichen nicht aus; wenn legitime Unternehmensnachrichten typische Merkmale von Phishing nachahmen, bricht die Urteilsgrundlage der Nutzer zusammen

Wenn eine echte Versandbenachrichtigung wie Phishing aussieht

  • In letzter Zeit kamen viele SMS-Phishing-Nachrichten der Art „Ihr Paket kann nicht zugestellt werden“ an, die die Filter der Mobilfunkanbieter passierten und bis in den Posteingang gelangten
  • Bei der Prüfung auf Phishing achtet man auf Signale wie Dringlichkeit, die Angst, etwas zu verpassen, und merkwürdige URLs, die nicht zum Versanddienstleister passen
  • Während tatsächlich eine FedEx-Lieferung erwartet wurde, traf eine SMS ein, in der zur Zahlung von duty und taxes aufgefordert wurde; allein anhand des äußeren Eindrucks war schwer zu beurteilen, ob es sich um eine echte Aufforderung oder um Phishing handelte
  • An der Umfrage auf X nahmen über 4.000 Personen teil, und 87 % bewerteten sie als „dodgy AF“

Verdächtige Signale in der SMS

  • Die Nachricht enthielt eine ungewohnte Schreibweise und Zeichenfolgen wie -Exp, anders als bei FedEx, das üblicherweise FedEx mit großem E schreibt
  • Die shipment number wirkte zu kurz und war identisch mit der Nummer in der darunterstehenden Zahlungsaufforderung
  • Der Ausdruck urgent funktioniert als Social-Engineering-Signal, das Menschen dazu bringen soll, ohne ausreichendes Nachdenken zu handeln
  • Die Groß- und Kleinschreibung von Duty und Taxes war merkwürdig, und obwohl es sich um eine Nachricht eines globalen Versanddienstleisters handelte, fehlten Währungsangabe oder Dollarzeichen
  • Der Zahlungslink führte weder auf eine FedEx-Domain noch auf eine australische Regierungsdomain, sondern zu bpoint.com.au
  • Die Angabe eines Kontaktwegs direkt in der SMS stand im Gegensatz zum Trend, bei dem NAB Links aus Textnachrichten entfernt

Warum die direkte Überprüfung ebenfalls schwierig war

  • Der grundlegende Rat bei verdächtigen Zahlungsaufforderungen lautet: nicht auf den Link in der Nachricht klicken, sondern die betreffende Website direkt aufrufen und dort prüfen
  • In der Prusa-Kaufbestätigung wurden die Versandinformationen gesucht und anschließend die FedEx-Website aufgerufen, doch auf der Sendungsverfolgungsseite ließen sich keine Einträge zu duty oder tax finden
  • Folgte man dem Link in der SMS, konnten tracking number, customer name und amount allein durch Ändern von URL-Parametern beliebig angepasst werden
    • Das war ohne Änderungen am Browser-DOM und ohne Abfangen von Traffic möglich, allein durch Ändern der Query-String-Parameter
    • Dieses Verhalten wirkte wie bei einer Phishing-Seite, doch BPOINT war ein von der Commonwealth Bank bereitgestelltes Payment Gateway
  • Am nächsten Tag traf vom selben Absender eine weitere SMS ein
    • Diesmal war die shipping number in der Nachricht enthalten, und die Groß- und Kleinschreibung von duty und taxes war korrekt
    • PAY NOW war in Großbuchstaben geschrieben, und der „Link“ bestand ohne Scheme, Domain oder Pfad nur aus Query-String-Parametern, sodass man ihn nicht anklicken und bezahlen konnte
    • Auch die Namen der Query-String-Parameter waren nun komplett in Großbuchstaben geschrieben, was den Eindruck erweckte, dass es einen anderen Erzeugungsprozess gab oder der Prozess defekt war

Kundensupport und endgültige Bestätigung

  • Bei der Suche nach der 1800-Nummer erschien die zugehörige Nummernseite von Reverse Australia weit oben in den Ergebnissen; Kommentare und Suchergebnisse insgesamt zeigten Verwirrung darüber, ob die Nachricht legitim war
  • Statt die Nummer aus der SMS zu verwenden, wurde versucht, über den Customer Support auf der FedEx-Website Klarheit zu erhalten
  • Die Support-Seite konzentrierte sich auf E-Mail-Kommunikation und die Prüfung von Absenderdomains und nannte eine andere Telefonnummer als die in der SMS
  • Beim Anruf unter der angegebenen Nummer und der Auswahl des Menüs für duty und taxes funktionierten nach einigen Schritten die Tastatureingaben nicht mehr, sodass dieselbe Ansage wiederholt wurde
    • Als Alternative wurde empfohlen, 132610 anzurufen, doch das war genau die Nummer, die ursprünglich angerufen worden war
  • Bei einem erneuten Versuch über einen anderen Menüpfad wurde nach der tracking number gefragt, anschließend wurden dieselben Informationen wie auf der Website genannt und eine Option zur Verbindung mit einem Mitarbeiter angeboten
  • Der Mitarbeiter erklärte, der Wert der Sendung betrage 799 US-Dollar und werde in 1.215,97 AU-Dollar umgerechnet, wodurch inbound fees anfielen; ob dies mit dem Betrag in der SMS übereinstimme, sollte per Rückruf bestätigt werden
  • Drei Tage nach der ersten SMS traf eine E-Mail ein, und Betrag, BPOINT-Adresse und Nachricht stimmten mit der SMS überein
  • Der E-Mail-Anhang enthielt die vollständige Prusa-Rechnung sowie Bestellnummer, Preis und Versandinformationen, womit bestätigt wurde, dass die SMS mit einer echten Anfrage verbunden war

Unternehmensnachrichten, die Phishing-Abwehr schwächen

  • Allein in Australien beläuft sich der Schaden durch Scams jährlich auf mehr als 3 Mrd. AU-Dollar, global ist das Problem noch größer
  • Die ACMA erklärte, dass Telekommunikationsanbieter 336 Millionen Scam-SMS blockiert hätten; wie viele Scam-Nachrichten nicht blockiert wurden, ist jedoch unbekannt
  • Da technische Kontrollen allein nicht ausreichen, müssen Menschen Scams anhand von Mustern wie Geldforderungen, Dringlichkeit, merkwürdiger Grammatik und Groß-/Kleinschreibung sowie seltsamen URLs erkennen
  • In diesem Fall enthielt eine legitime FedEx-Nachricht jedoch genau solche Scam-Erkennungsmuster in großer Zahl
  • In einer Zeit, in der KI-gestützte Scams immer schwerer zu erkennen sind, wird die Urteilsgrundlage der Nutzer geschwächt, wenn Nachrichten legitimer Organisationen nicht von denen von Scammern zu unterscheiden sind

1 Kommentare

 
GN⁺ 2024-02-24
Meinungen auf Hacker News
  • FedEx gehört unter den Großunternehmen zu denen mit der schlechtesten digitalen Plattform und zugleich der nachlässigsten Sicherheit.
    Als ich in einen Apartmentkomplex der 10. Generation zog und den FedEx Delivery Manager einrichtete, gab ich nur die neue Adresse ein – ohne jegliche Verifizierung sah ich sofort die Lieferanweisungen des Vormieters, einschließlich des privaten Garagencodes des Gebäudes. Ein Dieb hätte genau dasselbe tun können.
    Nachdem ich wieder ausgezogen war, wollte ich die neue Adresse hinzufügen, aber die Website warf jedes Mal Fehler. Nach dem Durchforsten von Foren stellte sich die Hypothese als richtig heraus, dass Sonderzeichen im Passwort Teile der Website dauerhaft kaputtmachen. Sogar der Ablauf zum Ändern des Passworts war defekt, sodass meine Frau am Ende mit einem schwächeren Passwort ein neues Konto erstellen musste.
    Das Unternehmen an sich ist beeindruckend, aber das hier ist wirklich Amateurniveau.

    • Ich frage mich, ob das wirklich ein beeindruckendes Unternehmen ist. An mehreren Adressen lag meine Erfolgsquote bei Zustellungen bei etwa 50 %, und ich kenne auch andere, die ähnliche langfristige Probleme hatten.
    • Ich bestellte in Südkalifornien einen Computer, der über Texas, Florida und Maine lief und dann wieder nach Nordkalifornien kam.
      Die letzten beiden Bestellungen wirkten, als seien sie einfach von jemandem innerhalb von FedEx gestohlen worden: Sie gingen in eine Anlage hinein, kamen danach aber nicht mehr heraus. Der Kundendienst ist nur eine Entschuldigungsmaschine im Ausland und kann nichts lösen. Früher habe ich FedEx bevorzugt, aber das Serviceniveau ist so stark gesunken, dass ich sie inzwischen bewusst meide.
    • Es gab auch noch Schlimmeres. Um kostenlose FedEx-Versandmaterialien zu bekommen, legte ich ein Versandkonto an, konnte aber wegen der Passwortprobleme auf der Website kein Konto erstellen; vermutlich habe ich es über die mobile App umgangen, die einen anderen Ablauf nutzt.
      Kaum war das Konto erstellt, kamen internationale Versandrechnungen über Tausende Dollar von Absendern und Empfängern, mit denen ich überhaupt nichts zu tun hatte, und sie wurden sogar automatisch von der hinterlegten Kreditkarte abgebucht. Als ich die Karte entfernte, kamen dicke Papierrechnungen von FedEx per Post.
      Wie sich herausstellte, erlaubt FedEx die Abrechnung über jedes beliebige Konto, solange man nur die neunstellige Kontonummer kennt. Dadurch können Betrüger zufällige Nummern generieren und so etwas ständig machen. FedEx kümmerte sich nicht darum, weigerte sich, eine Betrugsmeldung aufzunehmen, und ließ auch nach der Meldung weitere betrügerische Sendungen zu. Erst nachdem ich bei der Kreditkartenfirma ein Chargeback veranlasst hatte, wurde das Konto geschlossen – aber die Marketing-E-Mails, die ich nun nicht einmal mehr abbestellen kann, kommen weiter. Dieses Unternehmen sollte niemand nutzen.
    • Spectrum ist auch nicht viel besser. Vor ein paar Jahren vertippte sich ein neu eingezogener Nachbar bei der Anmeldung eines neuen Kontos und gab meine Adresse ein; Spectrum folgerte freundlicherweise, dass der vorherige Bewohner sein Konto kündigen wolle, und schaltete mein Internet ab.
      Mit nichts weiter als einer Adresse kann man also von überall im Internet aus gegen praktisch jede beliebige Person auf der Erde einen Denial-of-Service-Angriff auf deren Anschluss ausführen.
    • Vor ein paar Jahren kaufte ich den OP-1 von teenage engineering, und FedEx lieferte ihn in den Briefkasten. USPS nahm das FedEx-Paket aus dem Briefkasten und beschlagnahmte es im örtlichen Postamt, ohne mich in irgendeiner Weise zu informieren.
      Nachdem ich ein bis zwei Monate lang gewartet und geglaubt hatte, das Paket sei gestohlen worden, fragte ich bei USPS nach, ob es vielleicht dort aufbewahrt werde. Tatsächlich lag es im „Unzustellbare-Post“-Raum, und ich bekam eine lange Standpauke, dass es illegal sei, wenn FedEx Pakete in einen Briefkasten legt, der USPS-/Staatseigentum ist.
      Ich rief bei FedEx an, um eine Lösung zu bekommen, aber soweit ich mich erinnere, gingen sie entweder nicht ans Telefon oder sagten, es gebe keine Möglichkeit, den Zusteller zu kontaktieren. Seitdem meide ich FedEx; UPS meide ich inzwischen ebenfalls, nachdem sie zwei antike Lampen beschädigt haben, die ich bei eBay gekauft hatte.
  • Als meine Frau einen Hypothekenkredit beantragte, rief jemand an, der behauptete, von der Bank zu sein, und sagte, da das Haus auf uns beide laufe, müsse er bestätigen, ob ich den Kredit genehmige.
    Er fragte nach meinem Namen, den ich ihm nannte, und anschließend gab ich ihm auch die letzten vier Ziffern meiner Sozialversicherungsnummer. Als er dann sofort die vollständige Sozialversicherungsnummer verlangte, gingen bei mir die Warnlampen an. Mir wurde unwohl dabei, einem Fremden, der mich aus heiterem Himmel angerufen hatte, überhaupt die letzten vier Ziffern gegeben zu haben, also rief ich die Nummer auf der Website der Bank zurück und fragte, ob man bestätigen könne, dass er tatsächlich Mitarbeiter sei.
    Er wurde gereizt und sagte, eine Nummer, die zu ihm durchstelle, werde wohl nicht auf der Website stehen; wenn ich ihm nicht die vollständige Sozialversicherungsnummer gebe, müsse er den Kreditantrag ablehnen. Als ich sagte, ich könne keine Informationen herausgeben, wenn es keinen Weg gebe, ihn über die offizielle Banknummer wieder zu erreichen, wurde er wütend und legte auf.
    Wie sich herausstellte, war er tatsächlich Bankmitarbeiter und hat den Kreditantrag wirklich storniert.

    • Die Bank hat mich einmal angerufen, um Sicherheitsfragen zu stellen. Als ich sagte, ich würde die Nummer auf der Bank-Website zurückrufen, hieß es, wenn ich die Bank anrufe, gebe es keine Möglichkeit, mit dem Team für Sicherheitsfragen verbunden zu werden; es funktioniere ausschließlich so, dass sie mich anrufen.
      Als ich tatsächlich die offizielle Nummer anrief, bestätigte die Bank das auch. Ich erklärte, dass das eine schlechte Sicherheitspraxis sei, aber man sagte mir, ich solle einfach anhand der Anrufernummer prüfen, ob der Anruf von der Bank komme. Es brachte überhaupt nichts, Spoofing von Anrufernummern zu erklären.
    • Wenn man ein gewisses Alter hat, sollte man vorsichtig sein, denn die letzten vier Ziffern der Sozialversicherungsnummer können praktisch den Großteil der nützlichen Entropie ausmachen.
      Vor 2011 zeigten die ersten drei Ziffern die ausstellende Stelle an, und die mittleren zwei Ziffern, die „Gruppennummer“, wurden nach einer öffentlich bekannten Reihenfolge vergeben. Die Sozialversicherungsbehörde veröffentlichte außerdem regelmäßig Listen mit der höchsten Gruppennummer, die jede Stelle erreicht hatte.
      Durch eine Änderung des Steuerrechts im Jahr 1986 wurde für den Kinderfreibetrag die Sozialversicherungsnummer des Kindes erforderlich, wodurch die Registrierung bei der Geburt üblich wurde; bei diesen Personen sind die ersten fünf Ziffern sehr leicht vorherzusagen.
    • Das ist einfach ein extrem inkompetenter und unhöflicher Kreditsachbearbeiter. Normalerweise bekommen Kreditsachbearbeiter Provision, daher haben sie einen starken Anreiz, den Abschluss zustande zu bringen und den Scheck auszustellen.
      Wenn man Kunden verärgert, bekommt man die schöne Provision nicht, also sind sie normalerweise freundlich. Der letzte Kreditsachbearbeiter, mit dem ich gesprochen habe, hat Hypothekendarlehen von über 1 Milliarde Dollar pro Jahr abgeschlossen und war auch am Telefon wirklich nett.
      In so einem Fall hätte man ihn dazu bringen können, eine E-Mail von einer offiziellen Bankadresse zu schicken oder die bankeigene Web-App bzw. das Messaging-System zu nutzen.
    • Mir ist etwas Ähnliches passiert. Ich habe einen ziemlich großen Betrag von einem Bankkonto auf ein anderes überwiesen, und ein paar Minuten später kam ein Anruf von einer Nummer, die wie die „Betrugsprävention“ der empfangenden Bank aussah.
      Als ich ranging, hatte die Person am anderen Ende den sehr starken Akzent, den man oft bei Betrugsanrufen hört, fragte, ob ich kürzlich eine Transaktion getätigt hätte, und verlangte dann zusätzliche personenbezogene Daten wie meine Wohnadresse und Sozialversicherungsnummer, um diese Transaktion zu bestätigen. Als ich ablehnte, hieß es, mein Konto werde gesperrt.
      Tatsächlich wurde das Konto gesperrt, und ich musste persönlich in eine Filiale gehen, um es wieder freischalten zu lassen; außerdem musste ich nachweisen, dass das Geld, das ich überweisen wollte, tatsächlich auf dem anderen Konto vorhanden war. Das ergibt überhaupt keinen Sinn. Es war kein neues Konto, und ich hatte schon früher zwischen diesen beiden Konten überwiesen; ich weiß nicht, welche Art von Betrug sie damit verhindern wollten.
    • In den Bedingungen meiner Bank steht, dass man geheime Informationen wie PINs oder Einmalpasswörter nicht an Dritte weitergeben darf, nicht einmal an Bankmitarbeiter.
      Als ich jedoch wegen einer Praxis nachfragte, die wie Phishing aussah, hieß es, das sei in Ordnung, weil es sich um eine „legitime“ Website handle, die Zugangsdaten entgegennimmt, um die Transaktionen der letzten 180 Tage einzusehen, einen Kredit-Score zu berechnen und anschließend Geld abzubuchen. Man sagte auch, man werde sich die Situation mit dem deutschen Unternehmen ansehen und prüfen, ob es eine bessere Lösung gebe.
      Ein Zahlungsanbieter namens klara oder klarna scheint in Deutschland ziemlich beliebt zu sein, aber ich kann nicht nachvollziehen, dass eine Bank ihre sicherheitsbezogenen Bedingungen einseitig ändert. Wenn man geheime Informationen an die falsche Person weitergibt, ist das natürlich dein Problem, und selbst wenn die Sozialversicherungsnummer bei Betrügern landet, wird es die Bank nicht interessieren.
  • Vor ein paar Monaten war eine E-Mail, die ich vom IT-Center der Firma bekam, verdächtiger als jede Phishing-Mail, die ich je erhalten hatte.
    Sie kam von einer generischen Domain wie @itservice.com, die der offiziellen Firmendomain überhaupt nicht ähnelte, und der Betreff lautete „URGENT: your account is expiring soon“. Im Text standen mehrere Links, alle schwer lesbar und über mehrere Zeilen lang; keine einzige Domain hatte einen direkten Bezug zur Firma.
    Außer auf den Link zu klicken, gab es keine Lösung, auch keine Alternativen wie „Zu den Kontoeinstellungen gehen“ oder „Direkten Vorgesetzten kontaktieren“. Es war aber eine echte Mail. Zur Einordnung: Das Unternehmen hat rund 100.000 Beschäftigte.

    • Unsere IT hat mit ablaufenden m365-Passwörtern genau dasselbe gemacht. Sie nutzte nicht die Firmendomain, es gab viele Tippfehler, und die URL war hinter einem merkwürdigen Link-Shortener versteckt.
      Dasselbe Team erzwingt alle sechs Monate eine Passwortänderung und verhindert auch die Wiederverwendung der letzten 20 Passwörter. Das sind Passwörter, die man 10- bis 20-mal am Tag manuell in Systeme eingeben muss, in denen man den Passwortmanager nicht direkt aufrufen kann. Man kann sich ausmalen, wie stark die durchschnittlichen Passwörter der Beschäftigten sind.
      IT-Inkompetenz sollte zu einem Audit-Versagen führen, und besser noch ein Grund für ein Delisting sein, finde ich.
    • Banken machen so etwas auch. Wenige Minuten nachdem ich etwas gekauft hatte, bekam ich eine extrem betrügerisch wirkende E-Mail, die angeblich von der Bank kam. Darin war ein minderwertiges GIF, und ich sollte auf einen Link zu einer zufälligen Nicht-Bank-Website wie purchase-verification-users.net/235532/confirm.html klicken; bei einer Suche tauchte die Seite nicht auf.
      Gleichzeitig kam ein Anruf von einer zufälligen Nummer, bei dem ein paar Käufe bestätigt werden sollten, und wie sich herausstellte, war das keine Nummer, die auf der Website meiner Bank stand.
      Ich legte auf und rief die Bank direkt an. Nachdem ich mich 10 Minuten durch das Sprachmenü gekämpft hatte, bestätigte ein Mitarbeiter, dass diese Nummer tatsächlich für Kundenkontakte verwendet werde. Als ich fragte, warum sie nicht in der auf der Website veröffentlichten Nummernliste stehe, sagte er, man rufe häufig auch von Nummern an, die nicht online veröffentlicht seien.
      Als ich fragte, ob die Bank diese E-Mail geschickt habe, sagte er, wenn in der Absenderzeile die Bank stehe, könne ich darauf klicken, er habe aber keine Information darüber, ob genau diese E-Mail wirklich verschickt worden sei. Also sinngemäß: Wenn die Absenderzeile nicht die Bank ist, nicht klicken; wenn es die Bank ist, kann man klicken.
    • Bei einem Unternehmen dieser Größe hätte das IT-Center den im Mail-Client installierten Button „Report Phishing attempt“ drücken sollen.
      Das ist zwar etwas sarkastisch gemeint, aber wenn ein Unternehmen dieser Größenordnung nicht einmal eine Möglichkeit zum Melden von Phishing hat, dann gibt es dort ein ernsteres Problem als eine verdächtige E-Mail-Kampagne.
    • In der Sicherheitsschulung der Firma wird gelehrt, die URLs in erhaltenen E-Mails sorgfältig zu prüfen, aber die Sicherheitssoftware der Firma schreibt alle URLs in eingehenden E-Mails um.
      Wenn der Zweck wahrscheinlich eine zentrale Prüfung ist, kann das bis zu einem gewissen Grad ein vernünftiger Kompromiss sein, aber es verschlechtert meine Fähigkeit, die Legitimität einer E-Mail einzuschätzen, erheblich. Zumindest die Schulungsinhalte sollten aktualisiert werden.
    • Unsere Firma macht Hosting und PaaS, und im internen Messenger bat mich jemand, den ich noch nie gesehen hatte, „bitte“ ein paar Befehle als root auszuführen und ihm die Ergebnisse zu schicken.
      Zuerst war ich schockiert und machte einen Informationssicherheits-Check, aber es stellte sich heraus, dass es ein „Neuer“ war, der für eine Inventarisierung der Geräte Systeminformationen sammeln musste. Er hatte noch keinen Zugriff auf die Netzwerkverwaltungstools und wusste nicht wirklich, warum es keine gute Idee ist, blind curl ... | sh auszuführen, also dachte er, es sei in Ordnung, sich die Informationen stückweise direkt von Leuten geben zu lassen.
      So etwas passiert tatsächlich.
  • Heute habe ich auf Reddit einen Beitrag gesehen, laut dem eine deutsche Bank die neuen AGB auf einem USB-Stick per Post verschickt hat: https://www.reddit.com/r/de/comments/1ax7ky3/milde_interessa...
    Das ist auf einem Niveau, das man sich nicht ausdenken kann.

    • Der Kommentar dazu gefiel mir: „Ich arbeite irgendwo in einer Organisation der Sparkassen-Gruppe als externer CyberCyberCyber-Beauftragter, und ich kann garantieren, dass niemand, der auch nur ein bisschen mit Informationssicherheit bei Banken zu tun hat, von dieser Marketingidee gehört hat.“
    • Ich weigere mich einfach, zu glauben, dass das echt ist. Als psychologischer Abwehrmechanismus.
    • Nach EU-Recht gibt es die Anforderung, solche Dokumente auf einem „dauerhaften Datenträger“ zu übermitteln.
      Manche Banken oder Finanzinstitute scheinen das seltsam auszulegen. Anderswo scheint ein E-Mail-Anhang völlig auszureichen.
    • Laut ChatGPT-Übersetzung enthielt der USB-Stick „Allgemeine Geschäftsbedingungen, Preis- und Leistungsverzeichnis, Bedingungen“, und es handelte sich um einen Hinweis der Sparkasse Bremen AG, dass „das ab dem 1. Mai 2024 geltende Preis- und Leistungsverzeichnis, die Allgemeinen Geschäftsbedingungen und zusätzlichen Bedingungen auf dem USB-Stick eingesehen werden können“.
    • Einige deutsche Banken haben sogar kostenpflichtige Speicherdienste mit mehreren Tarifen aufgebaut.
      Sie haben die Pflicht, Kunden Dokumente zuzustellen, aber das Management interpretiert diese Anforderung seltsam, und ihnen werden die absurdesten Lösungen und Ideen verkauft.
  • Als ich ein Auto gekauft hatte, bekam ich ein paar Monate später eine E-Mail, ich hätte den Abschluss einer Versicherung nicht nachgewiesen und solle eine nicht der Bank gehörende Domain besuchen, um den Nachweis einzureichen.
    Die E-Mail sah aus wie schlampig eingescanntes Briefpapier und war wirklich verdächtig. Nachdem ich sie ein paar Mal bekommen hatte, kontaktierte ich schließlich die Bank, und sie war echt.
    Ich versuchte, nicht einem Schaltermitarbeiter, sondern der zuständigen Person mit eigenem Schreibtisch zu erklären, warum diese Situation schlecht ist, aber sie verstand es nicht. Kurz darauf zahlte ich den Kredit ab und verließ diese Bank.

    • Bei einer Hypothek hatte ich etwas Ähnliches. Ich bekam einen seltsam formulierten Brief, ich solle auf irgendeine Website gehen, um Informationen zur Wohngebäudeversicherung zu aktualisieren oder zu bestätigen.
      Als ich meinen Versicherungsmakler anrief, stellte sich heraus, dass die Anfrage echt war. Ich erklärte, dass dieser Brief nach sämtlichen Warnsignalen nur ein paar Stufen von einem Nigeria-Prinz-Betrug entfernt sei, aber viel geändert hat sich offenbar nicht.
  • Der Artikel selbst war hervorragend, aber die erste SMS war so furchtbar, dass FedEx den Empfängern genauso gut hätte sagen können, sie sollten die Zollgebühren an einen nigerianischen Prinzen überweisen.
    Allerdings stimme ich der Richtung von Troy Hunts Empfehlungen nur teilweise zu. Die Grundannahme sollte sein, dass Menschen echte Nachrichten im Allgemeinen nicht von Phishing-Nachrichten unterscheiden können. Durch AI wird das künftig noch stärker gelten, und sich auf solche Unterscheidungsmerkmale zu verlassen, ist ein fataler Fehler.
    Stattdessen sollte man sich niemals auf externe Links oder Telefonnummern in empfangenen Nachrichten verlassen. Man sollte die Adresse oder Telefonnummer selbst heraussuchen und sich bei dem jeweiligen Dienst einloggen. Auflegen, nachschlagen, zurückrufen sollte zum absoluten Leitsatz werden.
    Verantwortungsbewusste Organisationen sollten erklären, dass sie niemals Links oder Telefonnummern in SMS, E-Mails oder Anrufen aufnehmen, und in Benachrichtigungen nur etwa schreiben: „Weitere Details finden Sie, wenn Sie sich im Dashboard anmelden.“

    • Ich glaube nicht, dass Troy Hunt das so empfiehlt. Gleich zu Beginn des Artikels macht er den Witz „aber ich bin ein kluger Mensch und falle nicht darauf herein“ und verweist darauf, nachzulesen, warum Menschen bei URLs schlecht sind.
      Es ist klar, dass er den Ansatz, betrügerische URLs per Heuristik zu erkennen, langfristig nicht für skalierbar hält.
    • Die Aussage „durch AI wird das noch stärker gelten“ trifft auf eine Lage, die eigentlich schon kaum noch schlimmer werden kann.
      Menschen scheitern schon jetzt zu etwa 95 % daran, Phishing zu erkennen. Menschen können echte E-Mails, Websites, SMS usw. bereits exakt nachbilden; dafür braucht es keine AI.
    • Das ist eine größere Einschränkung als nötig und unfreundlich gegenüber Nutzern, die nicht technikaffin, abgelenkt, an dem Tag krank oder einfach etwas schwer von Begriff sind.
      Man kann Links einfügen, solange sie zur Kerndomain gehören und kurz sowie gut erkennbar sind: https://example.com/contact
      Wenn der Nutzer nicht eingeloggt ist, sollte zuerst ein Login-Flow angezeigt werden, der erklärt: „Wenn Sie eine Nachricht von uns erhalten haben, melden Sie sich an, um weitere Details zu sehen.“ Wenn es ein Kontaktformular, eine Telefonnummer oder einen Support-Chat gibt, sollte das ebenfalls enthalten sein.
      Phishing-Seiten können das bis zu einem gewissen Grad ebenfalls nachahmen, aber das ist kein Grund, Nutzer dazu zu zwingen, selbst herauszufinden, wie sie ihr Problem lösen.
    • Kein Grund zur Sorge. Laut einigen Richtern und gewählten Amtsträgern muss man einfach ChatGPT fragen, ob eine verdächtige SMS von AI erstellt wurde.
  • Das ist zwar das Ergebnis organisatorischer Inkompetenz, aber irgendwann muss es eine Person gegeben haben, die den Inhalt der fraglichen SMS-Vorlage in irgendein Computersystem eingegeben hat.
    Ich frage mich wirklich, was diese Person sich dabei gedacht hat, die Wörter so aneinanderzureihen. Um es noch schlimmer zu machen, hätte man sich ernsthaft anstrengen müssen.

    • Diese „Wörter“ waren vermutlich verschachtelte Templates, sodass beim Eingeben schwer zu verstehen war, wie das fertige Ergebnis aussehen würde.
      In der Tech-Branche gibt es viele Menschen mit guten Absichten, die Dinge, die für eine Einzelperson etwas zu komplex sind, ohne Kollegen oder Reviewer umsetzen. In großen Unternehmen gibt es sogar ganze Teams und Abteilungen in diesem Zustand.
      Diese Person muss nicht völlig inkompetent gewesen sein; sie könnte sogar der Star Engineer des Teams gewesen sein, während die anderen den Mund hielten, weil sie glaubten, nichts beitragen zu können. Die wirklich Guten dürften sich in ein cooles neues Projekt auf einer anderen Etage oder in ein elitäres „Refactoring-Team“ abgesetzt haben und keine Zeit mit Dingen wie Template-Updates verbracht haben.
    • Man muss nicht davon ausgehen, dass es nur eine Person war.
      Eine Person könnte den Text geschrieben haben, eine andere könnte in einem Jira-Ticket Teiländerungen verlangt haben. Dann passte der Datentyp nicht zu dem, was der Autor angefordert hatte, und der Entwickler hatte keine Lust, sich darum zu kümmern, und hat es einfach ausgeliefert.
      Oder die Nachricht könnte aus mehreren voneinander getrennten if-Anweisungen bestehen, und nur die finale Ausgabe wird an Kunden übermittelt. Wenn niemand die gesamte Nachricht sieht und jeder nur den kleinen Teil innerhalb seiner eigenen Bedingung ändert, entstehen häufig schreckliche Logmeldungen.
      Ich habe früher einmal an Code gearbeitet, der sehr detaillierte Meldungen darüber erzeugte, warum ein bestimmter Fehler aufgetreten war. Später stellte sich heraus, dass der Großteil davon nie bei Kunden ankam, weil weiter hinten jemand die Variable neu zugewiesen hatte, statt += zu verwenden. Eine Menge Support-Tickets hätten sich vermeiden lassen.
    • Man sagt zwar auch, Betrüger seien sehr clever und setzten absichtlich alle Techniken ein, die unsere psychologischen Schwächen ausnutzen, aber zu 90 % bekommen sie wohl einfach die Anweisung, eine Nachricht zu schreiben, die „offiziell klingt“.
      Die hypothetische Person, die dieses Template geschrieben hat, wollte vermutlich dasselbe tun, und deshalb sah das Ergebnis so ähnlich aus. Dass sie „urgent“ verwendete oder „Duty“ und „Taxes“ mit Großbuchstaben begann, scheint ebenfalls aus dem Versuch entstanden zu sein, formeller und offizieller zu wirken; ein geübter Texter war sie eindeutig nicht.
    • Das Wort „Inkompetenz“ ist interessant.
      Das alte Sprichwort über Inkompetenz und Bosheit zwingt einen, zwischen beidem zu wählen, aber tatsächlich ist es wohl genauer, von einem Spektrum dazwischen und mehreren Dimensionen auszugehen, die bewusste und unbewusste Absichten erklären.
      Beim britischen Post-Office-Skandal sieht man, wie sich auf Inkompetenz Bosheit und darauf wieder Inkompetenz schichtet. In manchen Organisationen werden offenkundig schädliche Positionen sogar als „Policy“ formuliert. Oft fällt das unter „PR“, und künftig wird „AI“ häufiger genutzt werden, um Bosheit zu verbergen und Prüfungen zu umgehen.
      In der letzten Folge des ITV-Dramas gibt es eine starke Szene, in der Toby Jones als Alan Bates über Inkompetenz und Böses sagt: „Die beiden sind dasselbe.“ Ab einem bestimmten Punkt verschwindet der Unterschied zwischen Inkompetenz und Bösem. Eine tiefere psychologische Diskussion dazu gibt es hier: https://cybershow.uk/episodes.php?id=23
      Verwandtes Material: https://en.wikipedia.org/wiki/Mr_Bates_vs_The_Post_Office, Edward Bernays’ Definition von Public Relations formuliert ein Glaubensbekenntnis aus Täuschung, Manipulation und Desinformation, das dem Sicherheitsdenken diametral entgegengesetzt ist: https://en.wikipedia.org/wiki/Public_Relations_(book)
  • Deckt sich gut mit meiner FedEx-Erfahrung. Sie schickten mir 7 Monate nachdem ich das Paket erhalten hatte eine Rechnung, und ein paar Tage später kam eine Mahnung ohne die für die Zahlung nötigen Informationen.
    Eine unbezahlte Rechnung kann verloren gegangen sein, aber die nötigen Informationen wegzulassen ist ziemlich faul und dumm. Ich wurde aufgefordert, auf www.fedex.com ein Konto anzulegen, also tat ich das, aber dort wusste man nichts von meiner Rechnung.
    Zufällig fand ich die ursprüngliche Rechnung wieder, und auf dieser 7 Monate verspätet verschickten Rechnung stand in winziger Schrift „sofort zahlbar“. In unserem Land sind normalerweise 30 Tage üblich, daher war das eine Formulierung, die ich auf einer Rechnung zum ersten Mal sah. Natürlich schickten sie 10 Tage, nachdem ich bezahlt hatte, auch noch eine zweite Mahnung.

    • Bei manchen Unternehmen ist das gängige Praxis.
      Wenn man auf einer mautpflichtigen Straße in Texas fährt, gibt es keine Mautstelle, an der man vor Ort zahlen kann, und 6–12 Monate später kommt per Post eine Rechnung mit der Aufschrift „fünfte und letzte Warnung“. Darin soll man etwa 4 Dollar Maut und 80 Dollar Säumnisgebühr zahlen.
      Ich bin überzeugt, dass die Leute, die das betreiben, Freunde oder Familie im Parlament von Texas haben.
    • Bei mir war es ähnlich: Das Erste, was ich hörte, war, dass meine Zollforderung an ein Inkassobüro übergeben worden war.
      Es kamen jede Menge einschüchternde Nachrichten zum Inkasso, aber außer dem Hinweis, dass es mit einem FedEx-Paket zusammenhing, gab es keinerlei Erklärung.
  • Das ist ein echtes Problem, das entsteht, weil so vieles an externe Cloud-Anbieter ausgelagert wird.
    Früher war es in Ordnung, wenn etwas aus dem Firmen-Intranet kam. Heute kommen Umfragen, Schulungen und neue Hype-Projekte alle von unbekannten externen Domains, und man soll sich dort mit den Firmen-Zugangsdaten anmelden.
    Unser Unternehmen betreibt „Fake-Phishing“-Kampagnen, um das Erkennen von Phishing-E-Mails spielerisch zu trainieren und die Aufmerksamkeit hochzuhalten, aber für legitime Unternehmensarbeit sollte so etwas nicht nötig sein.

  • Als Gesetzesvorschlag: Wenn eine elektronische Benachrichtigung eines Unternehmens so sehr nach Phishing aussieht, dass eine vernünftige Person klare Gründe hätte, ihre Legitimität anzuzweifeln, sollten alle finanziellen und rechtlichen Folgen des Ignorierens dieser Nachricht vom Absender getragen werden.
    Mit „Absender“ ist hier die Stelle gemeint, die die elektronische Benachrichtigung verschickt hat.

    • Sobald man im Gesetz Begriffe wie „vernünftig“ festlegt, landet man im Sumpf.
      Man kann davon ausgehen, dass jedes Mal, wenn das Wort „vernünftig“ in einem Gesetz vorkommt, bereits über 1 Milliarde Dollar an Anwaltskosten ausgegeben wurden oder noch ausgegeben werden.
    • Ich wäre deswegen auch fast in Schwierigkeiten geraten. Eine „Bank“, bei der ich kein Kunde war, schickte mir wiederholt Nachrichten wie „Dringend, antworten Sie auf dieses Formular mit Ihren personenbezogenen Daten, sonst sperren wir Ihr Konto“, und das sah ziemlich nach Betrug aus.
      Später bekam ich denselben Inhalt als echten Brief, rief bei der Bank an und stellte fest, dass dort ein Konto lag, auf dem Rentengelder von einem früheren Arbeitgeber verwahrt wurden.
    • In diesem Fall ist die Folge, dass die australische Regierungsbehörde, die Einkommensteuer erhebt, ihr Geld nicht bekommt.
      Dann übergibt diese Behörde das Paket nicht an FedEx, und am Ende bekommt man sein Paket nicht. FedEx muss solche Benachrichtigungen viel besser machen und sollte zumindest einen Copywriter einstellen.
    • Tatsächlich liegen die Folgen bereits beim Absender. Bei Nichteinhaltung wird das Paket je nach Land und Art der Ware vernichtet oder zurückgeschickt.
      Schade ist, dass es keine einfache Möglichkeit gibt, die Steuern im Voraus zu zahlen, und man es dem Zufall überlassen muss, ob etwas kontrolliert wird. Zum Glück hat die EU dieses Problem aufgeräumt, sodass es kaum noch seltsame Überraschungen gibt. Abgesehen von den United States und dem United Kingdom.
    • Das Management wird vermutlich überreagieren und 100-Faktor-Authentifizierung einführen sowie ein 30-stelliges Passwort verlangen, in dem Unicode-Symbole Pflicht sind.