Aktuelles, Branche - geschrieben von dp am Donnerstag, Mai 4, 2023 21:21 - noch keine Kommentare
Wenn IoT-Haustürkameras zu Phishing-Fallen werden
IoT-System zu einer möglichen Schwachstelle für seine Nutzer geworden
[datensicherheit.de, 04.05.2023] Anfang März 2023 hat nach Angaben von KnowBe4 der E-Mail-Security-Anbieter Inky einen Blog-Beitrag über eine Phishing-Kampagne veröffentlicht, welche das IoT-System Amazon-„Ring“ als Falle nutzte. Das Türklingel-Sicherheitssystem werde normalerweise von Verbrauchern dafür genutzt, um die eigene Haustür via Smartphone zu überwachen. „Dieses IoT-System ist nun selbst zu einer möglichen Schwachstelle für seine Nutzer geworden“, berichtet Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4, in seiner aktuellen Stellungnahme und warnt: „In einer angeblich vom Anbieter versendeten E-Mail versteckte sich eine Phishing-Kampagne, mit dem Ziel, an die Kreditkarteninformationen und Sozialversicherungsnummer seiner Opfer zu gelangen und diese dann zu missbrauchen.“

Foto: KnowBe4
Dr. Martin J. Krämer: Per E-Mail gesendete Links und HTML-Dateien nicht voreilig öffnen!
Phishing-E-Mail droht Betroffenen, dass sie vom IoT-Service getrennt werden
In dieser Phishing-E-Mail würden die Betroffenen darüber informiert, „dass sie von ihrem Service getrennt werden und ihr Abonnement verlängern müssen“. Sie seien aufgefordert worden, eine HTML-Datei zu öffnen, „welche zu einer vom Angreifer gehosteten Website führt, die die Anbieter-Website nachahmt“.
Dr. Krämer erläutert: „Nachdem der Nutzer sich dort angemeldet hat, wird er dazu aufgefordert seine Kreditkarteninformation und Sozialversicherungsnummer anzugeben, um das Abonnement zu erneuern.“ Danach folge eine weitere Weiterleitung – diesmal zur echten Website, während die eingegebenen Daten ihren Weg zum Server des Angreifers fänden und dieser sich in die geöffnete Session einklinke.
Dass IoT-Systeme von Cyber-Kriminellen kompromittiert werden, ist nicht neu
„Wenn diese Schritte erfolgt sind, kann das Opfer nichts mehr unternehmen, um das Entblößen der eigenen Daten rückgängig zu machen“, betont Dr. Krämer. Die zuständigen Behörden und im Falle der Weitergabe der eigenen Kreditkarteninformationen auch die eigene Bank sollten umgehend informiert werden, um den Fall zu melden und den finanziellen Schaden zu begrenzen. Dass IoT-Systeme von Cyber-Kriminellen kompromittiert werden, sei nicht neu, genauso wenig, dass ihre Rechenkapazitäten für das Versenden von Phishing-E-Mails genutzt würden. Angreifer suchten immer wieder nach neuen Wegen, um an Bankinformationen zu gelangen.
Letztlich könnten diese Phishing-Versuche jedoch mit etwas Übung und im besten Falle kontinuierlicher Schulungen erkannt werden. „Zuerst einmal sind es Rechtschreibfehler, die in einer vermeintlich offiziellen E-Mail, wie von der Bank, oder in diesem Fall von dem Anbieter eines Geräts, sofort auf eine mögliche Phishing-Bedrohung hindeuten.“ Schließlich rät auch Dr. Krämer, dass Links und HTML-Dateien, die per E-Mail gesendet wurden, nicht zu voreilig geöffnet werden sollten.
Weitere Informationen zum Thema:
INKY Email Security Blog, Bukar Alibe, März 2023
Fresh Phish: Ring Customers Find Themselves at the Front Door of a Data Harvesting Scheme
Aktuelles, Experten, Positionspapier - Juli 14, 2026 0:57 - noch keine Kommentare
EU-Bericht zum Kinderschutz im Internet: Bitkom fordert risikobasierten Ansatz als Leitprinzip zu erhalten
weitere Beiträge in Experten
- QuantERA: Universität Paderborn bei europäischem Förderprojekt-Aufruf 2025 erfolgreich
- DENIC meldet Digitalen Meilenstein: Anzahl der „.de“-Domains hat 18-Millionen-Marke gerissen
- AI Act: Bundesrat hat Weg für Durchführungsgesetz zur europäischen KI-Verordnung freigemacht
- ISMS: Sieben Tipps für mehr Datensicherheit in KMU
- Zum Start in die Sommerferien 2026: Stau-Informationen per Radio und App bevorzugt
Aktuelles, Branche, Studien - Juli 14, 2026 0:59 - noch keine Kommentare
Cybersecurity-Kompetenz: Kleine Unternehmen holen sich zunehmend externe Expertise
weitere Beiträge in Branche
- Eskalation digitaler Angriffe auf die Produktion: NIS-2-Haftungsfalle für den Mittelstand
- Cyber Resilience Act (CRA): Bringschuld der Unternehmen per September 2026
- Deutsche Bank: Vorwürfe der Datenschutzverletzung thematisieren Gefährdung durch Mitarbeiter-Zugänge
- Datensicherheit und digitale Souveränität: Grundlagen nachhaltiger Wettbewerbsfähigkeit
- ISMS: Sieben Tipps für mehr Datensicherheit in KMU
Aktuelles, A, Experten, Service, Wichtige Adressen - Jan. 13, 2026 1:08 - noch keine Kommentare
Registrierung bei ELEFAND: Krisen- und Katastrophenvorsorge bei Auslandsaufenthalten
weitere Beiträge in Service
- DigiCert-Umfrage: Manuelle Zertifikatsprozesse führen zu Ausfällen, Compliance-Fehlern und hohen Verlusten im Unternehmen
- Threat Hunting: Bedeutung und Wertschätzung steigt
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen



Kommentieren