[datensicherheit.de, 21.02.2026] „Okta-Sicherheitsforscher haben kürzlich in einem Blog-Beitrag berichtet, neuartige Phishing-Kits aufgespürt zu haben“, so Dr. Martin J. Krämer, „CISO Advisor“ bei KnowBe4, in seiner aktuellen Stellungnahme. Diese Kits ermöglichen es demnach auch unerfahrenen Angreifern, hochkomplexe, stark individualisierte Vishing-Angriffe zu initiieren – selbst Multi-Faktor-Authentifizierungen (MFA) sollen sich mit ihrer Hilfe leicht überwinden lassen. Das Ziel der Angreifer seien der unentdeckte Zugang zu und Zugriff auf die Google-, Microsoft- und „Krypto-Währungs“-Konten ihrer Opfer. Der Einschätzung der Sicherheitsforscher von Okta, dass solche und ähnliche Vishing-Angriffe in den kommenden Jahren noch stark zunehmen würden, könne nur zugestimmt werden. Krämer rät Unternehmen, ihre Anti-Phishing-Maßnahmen zu verstärken.

Foto: KnowBe4

Dr. Martin J. Krämer zu Phishing-Attacken: Sämtliche Mitarbeiter müssen kontinuierlich über Strategien und Taktiken der Angreifer auf dem Laufenden gehalten werden!

Phishing-Seite leitet Opfer automatisch an „Telegram“-Kanal des Cyberangreifers weiter

Der Ablauf der Angriffe erfolge bei allen Kits nach weitgehend demselben Muster, berichtet Krämer: „Zunächst ermitteln die Angreifer ihre Opfer und kundschaften sie aus. Namen, Telefonnummern und präferierte Apps und Dienste werden festgestellt. Dann erstellen sie – unter Zuhilfenahme der Kits – maßgeschneiderte Phishing-Webseiten, die sie äußerlich als Webseite der von ihren Opfern präferierten App erscheinen lassen.“

• Dann riefen kontaktierten sie ihre Opfer per Telefon – dabei vortäuschend, Mitarbeiter der Support-Hotline der jeweiligen App zu sein. „Unter dem Vorwand, für die App eine IT-Support- oder Sicherheitsanforderung umsetzen zu müssen, bringen sie ihre Opfer dazu, in deren Browser die getarnte Phishing-Website zu öffnen. Hier werden die Opfer dann gebeten, ihren Nutzernamen und ihr Passwort einzugeben.“

Was die Opfer nicht wüssten: Sobald sie ihre „Credentials“ (Berechtigungsnachweise) eingegeben haben, leite die Phishing-Seite sie automatisch an den „Telegram“-Kanal des jeweiligen Angreifers weiter. „Die Angreifer setzen das ‚Support‘-Gespräch dann fort, während sie im Hintergrund auf ihrem eigenen Rechner schon einmal auf die tatsächliche Website der App wechseln und die ,Credentials’ ihres Opfers eingeben.“

Phishing-Kit ermöglicht Angreifern MFA-Überwindung

Das Problem der Angreifer: Online-Anmeldungen seien mittlerweile in aller Regel zusätzlich über eine MFA abgesichert – könnten von diesen also nicht durch einfache Phishing-Angriffe überwunden werden. Zum Glück der Angreifer könnten diese Phishing-Kits aber noch mehr – nämlich die Phishing-Webseiten in Echtzeit an die konkreten individuellen Anforderungen der Angreifer anpassen.

• „Diese werden so in die Lage versetzt, ihren Opfern verbal anzukündigen, dass gleich ein ,One Time Password’ (OTP) oder eine Push-Benachrichtigung auf ihrem Rechner erscheinen wird – was dann auch, Phishing-Kit sei Dank, tatsächlich geschieht.“

Gibt das betreffende Opfer dann auch dort seine Daten ein, etwa durch Bestätigung der Push-Benachrichtigung, habe der Angreifer die MFA seines Opfers überwunden. „Der Weg, sich ungestört im Nutzerkonto seines Opfers zu bewegen, Informationen einzusehen oder bösartige Aktivitäten zu starten, ist frei!“, warnt Krämer.

Sämtliche Mitarbeiter – bis zur Unternehmensleitung – sollten kontinuierlich über Phishing-Strategien und -Taktiken informiert werden

Krämer führt zu dieser Masche aus: „Ermöglichen tun all dies clientseitige Skripte auf der Phishing-Webseite, mit denen die Angreifer den Authentifizierungsablauf im Browser ihres Opfers in Echtzeit steuern können – während sie ihrem Opfer verbal über das Telefon Anweisungen geben, Vertrauen aufbauen und auf mündliches Feedback reagieren.“ Synchron zu den Anweisungen der Angreifer am Telefon könne gezielt gesteuert werden, was das Opfer an seinem Bildschirm sieht.

• „Der Einschätzung der Sicherheitsforscher von Okta, dass solche und ähnliche Vishing-Angriffe in den kommenden Jahren noch stark zunehmen werden, kann nur zugestimmt werden. Unternehmen kann nur geraten werden, ihre Anti-Phishing-Maßnahmen zu verstärken!“, kommentiert Krämer.

Denn solch ein Vishing-Angriff könne doch leicht Mitarbeiter – bis hinauf in die Geschäftsführung – ins Visier nehmen. Am effektivsten und effizientesten werde ihnen dies durch die breite Anhebung des Sicherheitsbewusstseins der gesamten Belegschaft gelingen. Krämers Fazit: „Sämtliche Mitarbeiter müssen kontinuierlich über Strategien und Taktiken der Angreifer auf dem Laufenden gehalten werden. Sie können und müssen zur ersten Verteidigungslinie ausgebaut werden, wenn es darum geht, das Unternehmen vor den immer komplexer werdenden Phishing-Angriffen abzusichern!“

Weitere Informationen zum Thema:

knowbe4
KnowBe4 News und Wissenswertes

knowbe4
Dr. Martin J. Krämer

WIKIPEDIA
Vishing

okta, Blog, 22.01.2026
Threat Intelligence / Phishing kits adapt to the script of callers

datensicherheit.de, 13.09.2025
CEO DEEPFAKE CALL: Bei Anruf Awareness-Training zum Thema Vishing / Swiss Infosec bietet proaktiv Sensibilisierung und Training für Mitarbeiter im Kontext der Gefahren KI-basierter Anrufsimulationen (Voice AI Deepfakes) an

datensicherheit.de, 11.09.2025
KI-Vishing: Bekannte Stimmen werden zum Sicherheitsrisiko / Beim Vishing inszenieren Cyberkriminelle mit KI-generierten Stimmen täuschend echte Anrufe, um Mitarbeiter zu Zahlungen oder zur Herausgabe sensibler Informationen zu bewegen

datensicherheit.de, 26.03.2025
Vorsicht Vishing: Zahl der Voice-Phishing-Angriffe steigt stark an​ / Neuer Threat Intelligence Report von Ontinue enthüllt alarmierende Entwicklung​

[datensicherheit.de, 02.02.2026] Nach aktuellen Erkenntnissen der Cybersicherheitsexperten bei Surfshark hat es 2025 einen massiven Anstieg der Verluste durch Deepfake-Betrug gegeben: „Die Zahlen sind auf über 1,1 Milliarden Dollar gestiegen, was einer Verdreifachung gegenüber den 360 Millionen Dollar im Jahr 2024 entspricht – eine beachtliche Steigerung um das Neunfache gegenüber den zwischen 2020 und 2023 verzeichneten 128 Millionen Dollar.“ Social-Media-Plattformen spielten eine zentrale Rolle bei diesen Betrügereien: 83 Prozent aller Verluste durch Deepfakes hatten demnach ihren Ursprung auf diesen Web-Plattformen.

Abbildung: Surfshark

Deepfake-Betrug nimmt zu: Insbesondere „facebook“ im Visier Cyberkrimineller

Die drei am meisten missbrauchten Web-Plattformen für Deepfake-Kampagnen

Diese drei Web-Plattformen seien für 93 Prozent der in Sozialen Medien initiierten Deepfake-Betrugsverluste entscheidend:  „facebook“ habe mit Verlusten von 491 Millionen US-Dollar an der Spitze gelegen – gefolgt von „WhatsApp“ mit 199 Millionen US-Dollar und „Telegram“ mit 167 Millionen US-Dollar.

• Andere Social-Media-Plattformen wie etwa „TikTok“, „Instagram“ und „Threads“ machten fast 36 Millionen US-Dollar an Verlusten aus, während weitere Verluste in Höhe von 31 Millionen US-Dollar auf unbekannten Web-Plattformen entstanden seien.

„Es überrascht kaum, dass Deepfake-Betrug in Sozialen Medien floriert. Die vielen Betrugsfälle auf diesen Plattformen haben wahrscheinlich zwei Hauptgründe: ,facebook’ bleibt die weltweit größte Social-Media-Plattform, was sie für Betrüger statistisch gesehen profitabler und logischer macht, um diesen Kanal zu nutzen“, kommentiert Miguel Fornes, „Information Security Manager“ bei Surfshark.

Beliebte Deepfake-Betrugsmasche: Identitätsdiebstahl prominenter Personen

Andererseits profitierten „WhatsApp“ und „Telegram“ von einem psychologischen Vertrauensvorschuss, da diese Web-Plattformen üblicherweise für enge Freunde und Kollegen gedacht seien – „kurz gesagt, für Menschen, denen wir bereits vertrauen“. Dies führe dazu, dass den über diese Kanäle geteilten Inhalten eher Glauben geschenkt werde.

• Die häufigsten Deepfake-Betrugsmaschen im Jahr 2025 seien Fälle, in denen sich Betrüger als Prominente ausgegeben hätten, um für fiktive Investitionsmöglichkeiten zu werben. „Diese Art von Betrug machte 80 Prozent der gesamten Deepfake-Verluste aus und war für 96 Prozent der Verluste auf Social-Media-Plattformen verantwortlich, was insgesamt 886 Millionen Dollar entspricht.“

Betrüger hätten Deepfake-Videos und -Audiodateien genutzt, um sich überzeugend als Prominente, Unternehmenschefs oder Finanzexperten auszugeben und ihre Opfer dazu zu bringen, ihnen zu vertrauen und in Scheingeschäfte zu investieren. Einer der bekanntesten Fälle betrifft laut Fornes das britische Ingenieurbüro Arup: „Hier nahm ein Finanzmitarbeiter an einer Videokonferenz teil, bei der alle außer dem Opfer Deepfakes waren. Ein mit Deepfake erzeugter CFO brachte ihn dazu, eine Zahlung in Höhe von 25 Millionen US-Dollar zu leisten.“

„Romance Scam“ ebenfalls sehr beliebte Deepfake-Masche

Eine weitere nennenswerte Art des Deepfake-Betrugs sei der sogenannte Liebesbetrug („Romance Scam“), bei dem Kriminelle realistische Videos und Audioaufnahmen nutzten, um gefälschte Liebesbeziehungen zu Opfern aufzubauen. Später forderten sie Geld für angebliche gesundheitliche Notfälle oder überzeugten die Opfer, in betrügerische Geschäfte zu investieren.

• In 57 Prozent der Fälle seien Frauen die Zielgruppe, während Männer 43 Prozent ausmachten. Durch Liebesbetrug seien Verluste in Höhe von schätzungsweise zehn Millionen US-Dollar entstanden.

Ein bemerkenswertes Szenario seien die wiederkehrenden Betrugsfälle unter Missbrauch des Bildes des US-Schauspielers Brad Pitt, wie etwa bei einer Person in Frankreich, welche 850.000 US-Dollar verloren habe, oder zwei Personen in Spanien, welche insgesamt 385.000 US-Dollar verloren hätten.

Deepfake-Abwehrmaßnahmen – es besteht weiter Handlungsbedarf

Laut Fornes haben Unternehmen wie Meta in der Vergangenheit zwar hervorragende Arbeit mit menschlichen Content-Moderatoren verrichtet und setzen diese weiterhin zur Bekämpfung von Deepfakes ein.

• Der vielversprechende C2PA-Standard werde zwar immer mehr eingesetzt, um die Herkunft von Medieninhalten kryptographisch zu überprüfen und Deepfakes zu bekämpfen, aber die traurige Wahrheit sei, dass Unternehmen im Moment viel mehr tun müssten, um das Problem richtig in den Griff zu bekommen.

In der Zwischenzeit sollten sich die Verbraucher dieser Gefahr bewusst sein und sich dieser Entwicklung anpassen, um nicht als „kleiner Fisch“ in den riesigen „Schleppnetzen“ der Deepfake-Betrüger zu enden.

Miguel Fornes gibt Empfehlungen zum Umgang mit potenziellen Deepfake-Atatcken

Surfshark gibt Verbrauchern die folgenden Ratschläge:

Achten Sie auf visuelle Auffälligkeiten!
Erscheinungen wie unnatürliche Beleuchtung oder Inkonsistenzen im Gesicht sowie Audio-Anomalien, wie Unregelmäßigkeiten im Rhythmus oder schlechte Lippensynchronisation.

Die Quelle muss überprüft werden!
Man könne nicht mehr einfach glauben, was man sieht: „Wenn ein Video ein Unternehmen bei einer bahnbrechenden Ankündigung oder einen Prominenten bei einer Verlosung zeigt, sollten Sie das Video ignorieren und stattdessen die offizielle Website besuchen!“

Keine Risiken bei Angeboten von „Prominenten“ eingehen!
Die Tatsache, dass 80 Prozent der Deepfake-Verluste mit für Investitionen werbenden Prominenten in Verbindung stünden, sei das größte Warnsignal.

Seien Sie bei privaten Nachrichten vorsichtig!
„Seien Sie sich darüber im Klaren, dass eine weitergeleitete Nachricht von ,Onkel John’ oder ,Kindergartengruppe’ keine verifizierte Quelle hat. Bleiben Sie auch bei privaten Plattformen immer wachsam!“

Schützen Sie Ihre „Trainingsdaten“!
Deepfakes benötigten Daten (Fotos und Audio), um die Künstliche Intelligenz (KI) zu trainieren. „Überprüfen Sie daher Ihre Datenschutzeinstellungen in den Sozialen Medien und beschränken Sie Ihr Profil nach Möglichkeit auf ,Nur Freunde’. Laden Sie nach Möglichkeit keine Videoclips mit hoher Bildqualität hoch, in denen Sie direkt in die Kamera sprechen!“ Solche Videodateien seien für Betrüger nämlich besonders wertvoll, um die Stimme und das Aussehen des Opfers zu kopieren.

Achten Sie auf die typischen Warnsignale für Betrug!
Deepfakes seien nur eine neue Verpackung für altbekannte Betrugsmethoden. „Seien Sie besonders aufmerksam, wenn Medieninhalte spektakuläre Gewinne versprechen, an Ihre Emotionen appellieren, um Sie von etwas zu überzeugen, oder wenn eine unerwartete Romanze plötzlich eine finanzielle Wendung nimmt. Misstrauen Sie auch ungewöhnlichen Anfragen oder Kommunikation über unerwartete Kanäle!“

Vereinbaren Sie ein „Sicherheitswort“ für die Familie!
„Legen Sie noch heute mit Ihren engsten Familienmitgliedern ein einfaches Sicherheitswort oder eine einfache Sicherheitsfrage fest: Wenn jemand anruft und behauptet, in einer Notlage zu sein (entführt, verhaftet, Krankenhaus) und Geld benötigt, fragen Sie nach dem Sicherheitswort!“

Weitere Informationen zum Thema:

Surfshark
Wir entwickeln die populärsten Sicherheitsprodukte für Menschen in der ganzen Welt / Unser Ziel ist es, Menschen die volle Kontrolle über ihr digitales Leben zu ermöglichen, das Bewusstsein für die sich entwickelnden Online-Bedrohungen zu schärfen, Barrierefreiheit zu fördern und die Zukunft des Internets zu sichern. Wir arbeiten an einer Zukunft, in der das Internet eine offene, integrative und unschätzbare globale Ressource für alle bleibt.

THE ORG
Miguel Fornés – Governance & Compliance Manager

Surfshark, 27.01.2026
Facebook led in deepfake-related fraud in 2025

C2PA Coalition for Content Provenance and Authenticity
Advancing digital content transparency and authenticity / The Coalition for Content Provenance and Authenticity, or C2PA, provides an open technical standard for publishers, creators and consumers to establish the origin and edits of digital content. It’s called Content Credentials, and it ensures content complies with standards as the digital ecosystem evolves.

BBC, Laura Gozzi, 15.01.2025
AI Brad Pitt dupes French woman out of €830,000

The Guardian, 23.09.2024
Spanish police arrest five people over fake Brad Pitt scam / Suspects accused of conning two women out of €325,000 by pretending to be Hollywood star online

CNN Business, Kathleen Magramo, 17.05.2024
British engineering giant Arup revealed as $25 million deepfake scam victim

datensicherheit.de, 19.12.2025
Bekämpfung von KI-gestütztem Social Engineering: KnowBe4 stellt Deepfake-Training bereit / KnowBe4 hat als Anbieter einer weltweit renommierten Plattform, welche sich umfassend mit „Human Risk Management“ und agentenbasierter KI befasst, nun eine Deepfake-Schulung vorgestellt

datensicherheit.de, 08.12.2025
Deepfake-Angriffe: 2025 von quantitativer Zunahme wie qualitativer Raffinesse geprägt / Sowohl quanti- als auch qualitativ haben KI-basierte Betrugsfälle 2025 merklich zugelegt – bei jedem fünften von ihnen wird mittlerweile auf Deepfakes gesetzt

datensicherheit.de, 14.10.2025
KI-basierte Betrugsmethoden: Wenn Deepfakes zur Waffe werden / Künstliche Intelligenz (KI) wird zunehmend zur Waffe in den Händen von Kriminellen. Während wir noch über die Chancen der Digitalisierung diskutieren, nutzen Betrüger bereits hoch entwickelte KI-Tools, um perfekte Fälschungen zu erstellen, die selbst Experten täuschen können und eine Herausforderung für Ermittler und Unternehmen darstellen

datensicherheit.de, 22.09.2025
Deepfakes in Echtzeit ab 30 US-Dollar im Darknet angeboten / Kaspersky-Experten vom „Global Research and Analysis Team“ (GReAT) haben in Untergrundforen Anzeigen entdeckt, die Echtzeit-Deepfakes für Video und Audio günstig anbieten

datensicherheit.de, 17.08.2025
Deepfakes 2025: Zuvor KI-Spielerei und heute bedrohliches Hacker-Tool / Marco Eggerling warnt anhand jüngster Fälle von Cyberangriffen mittels Deepfakes, dass diese auf KI basierene Technologie zum neuen Standardwerkzeug für Hacker geworden ist

[datensicherheit.de, 30.10.2024] Kaspersky warnt in einer aktuellen Stellungnahme vor einer Malware-Kampagne, welche sich demnach gegen sogenannte FinTech-Nutzer richtet. Auch in Deutschland und Österreich gebe es Betroffene – vorwiegend kleine und mittlere Unternehmen (KMU), Finanz- und FinTech-Akteure sowie Anwaltskanzleien. Der für die Attacken genutzte Remote-Access-Trojaner sei vermutlich dem APT-Akteur „DeathStalker“ zuzurechnen.

Laut Kaspersky-Telemetrie richtet sich globale Malware-Kampagne gegen Nutzer in 20 Ländern

Kaspersky habe eine weltweite Spionage-Kampagne entdeckt, welche sich gegen die FinTech- und Trading-Branche richte – betroffen seien sowohl Unternehmen als auch Einzelpersonen: „Dabei nutzen die Bedrohungsakteure ,Telegram’-Kanäle mit Finanzthemen zur Verbreitung einer Trojaner-Spyware. Das ,Global Research and Analysis Team’ von Kaspersky (GReAT) vermutet hinter der Kampagne den Hack-for-Hire-APT-Akteur ,DeathStalker’, der bereits öfters in Erscheinung trat und sich auf die Finanzbranche spezialisiert hat.“

Laut Kaspersky-Telemetrie richtet sich die globale Kampagne gegen Nutzer in 20 Ländern, darunter in Europa auch Deutschland und Österreich. „Bei der jüngsten von Kaspersky beobachteten Angriffswelle versuchten die Bedrohungsakteure, ihre Opfer mit der Malware ,DarkMe’ über ,Telegram’-Kanäle, die sich mit Finanzthemen beschäftigen, zu infizieren.“ Bei „DarkMe“ handele es sich um einen Remote-Access-Trojaner (RAT), der Informationen stehlen und Remote-Befehle ausführen könne, welche von einem unter Täter-Kontrolle stehenden Server stammten.

Die Installation dieser Malware sei das Ende einer Infektionskette, welche höchstwahrscheinlich mit schädlichen LNK-, COM- und CMD-Dateien erfolge. Sie seien in ein Dateiarchiv verpackt – wie zum Beispiel RAR oder ZIP –, welches wiederum Anhang eines „Telegram“-Posts der Angreifer sei. Nach erfolgreicher Installation entferne die Malware die zur Bereitstellung des „DarkMe“-Implantats benötigten Dateien, vergrößere dieses Implantat und lösche weitere Spuren, welche auf eine Malware-Infektion hindeuten könnten.

Kasperky-Experten: APT „DeathStalker“ vermutlich für Angriffe verantwortlich

Kasperky-Experten vermuten hinter diesen Cyber-Angriffen den Bedrohungsakteur „DeathStalker“ (früher „Deceptikons“): „Eine Cyber-Söldner- und Hack-for-Hire-Gruppe, die mindestens seit dem Jahr 2018, möglicherweise bereits seit 2012, aktiv ist. ,DeathStalker’ entwickelt eigene Toolsets und gilt als APT-Experte.“ Hauptziel sei das Sammeln von Unternehmens-, Finanz- und persönlichen Daten für die jeweiligen Auftraggeber, welche sich davon wohl Wettbewerbsvorteile versprächen.

„Angegriffen werden vorwiegend kleine und mittlere Unternehmen, Finanz- und FinTech-Akteure sowie Anwaltskanzleien und – vereinzelt – auch Regierungsstellen.“ Da noch nie ein Diebstahl von Geldern beobachtet worden sei, stufe Kaspersky „DeathStalker“ als eine nicht-staatliche Geheimorganisation ein, welche zudem großen Wert auf die Verschleierung ihrer Aktionen lege und gerne „unter falscher Flagge“ operiere.

„Anstelle von traditionellen Phishing-Methoden nutzen Bedrohungsakteure nun auch ,Telegram’-Kanäle zur Verbreitung ihrer Malware“, so Maher Yamout, „Lead Security Researcher“ im „Global Research and Analysis Team“ (GReAT) bei Kaspersky. Bereits in früheren Kampagnen habe man beobachten können, dass Messaging-Plattformen wie „Skype“ als Infektionsvektoren dienten. Anders als bei Phishing-Websites vertrauten potenzielle Opfer dort eher den Absendern und öffneten schädliche Dateien. „Zudem löst das Herunterladen von Dateien über Messenger-Apps weniger Sicherheitswarnungen aus als ein normaler Internet-Download“, erläutert Yamout. Dies spiele den Bedrohungsakteuren zusätzlich in die Hände. Nutzer sollten daher bei Nachrichten und Links besonders wachsam sein – dies schließe auch Instant-Messaging-Apps wie „Skype“ und „Telegram“ ein.

Kaspersky-Empfehlungen zum Schutz vor „DarkMe“

Für Privatpersonen empfiehlt Kaspersky:

• die Installation einer vertrauenswürdigen Sicherheitslösung (wie z.B. „Kaspersky Premium“)
• und sich stets über aktuelle Cyber-Angriffe etwa mit Hilfe einschlägiger Blogs zu informieren.

Unternehmen empfiehlt Kaspersky folgende Maßnahmen zum Schutz vor fortgeschrittenen Bedrohungen:

• „Die unternehmenseigenen Sicherheitsexperten benötigen tiefgreifenden Einblick in alle Cyber-Bedrohungen, denen das Unternehmen ausgesetzt sein könnte.“ „Kaspersky Threat Intelligence“ beispielsweise vermittele umfassende und aussagekräftige Erkenntnisse im Kontext des Vorfallmanagements und solle dabei helfen, Cyber-Risiken rechtzeitig zu erkennen.
• Zusätzlich sollten Mitarbeiter über Cybersecurity-Kurse auf dem Laufenden gehalten werden. Kaspersky z.B. biete mit seinem „Kaspersky Expert Training Portfolio“ praxisorientierte Schulungsangebote für InfoSec-Experten an.
• „Kaspersky Next“ schließlich biete etwa Unternehmen jeder Größenordnung und Branche Echtzeitschutz, fortschrittliche Endpoint-Protection sowie umfassende EDR- und XDR-Technologien.

Weitere Informationen zum Thema:

kaspersky daily
Neueste Beiträge

[datensicherheit.de, 27.09.2024] Der Nachrichtendienst „Telegram“ habe sich als eine Plattform herauskristallisiert, die im Spannungsfeld zwischen Datenschutz, Sicherheit und der Verantwortung von Technologie-Unternehmen stehe. „Von Anfang an hat sich ,Telegram’ von anderen Sozialen Netzwerken und Messaging-Apps unterschieden, da es Funktionen bietet, welche die Privatsphäre der Nutzer schützen und die Kommunikation im großen Stil ermöglichen“, so Lothar Geuenich, „VP Central-Europe“ bei Check Point, in seiner aktuellen Stellungnahme. Dazu gehörten Ende-zu-Ende-Verschlüsselung (in geheimen Chats), anonyme Konten und die Möglichkeit, Gruppen mit bis zu 200.000 Mitgliedern zu gründen, was „Telegram“ zu einer beliebten Wahl für Nutzer auf der ganzen Welt mache. Geuenich kommentiert: „Diese Beliebtheit bringt jedoch auch erhebliche Herausforderungen mit sich, insbesondere im Bereich der Cyber-Sicherheit.“

Foto: Check Point

Lothar Geuenich zu „Telegram“: Es ist, wie vieles in der IT-Sicherheit, eine Gratwanderung…

Auffälligster Aspekt bei „Telegram“ die starke Betonung des Datenschutzes

Einer der auffälligsten Aspekte von „Telegram“ sei die starke Betonung des Datenschutzes: Im Gegensatz zu vielen anderen Web-Plattformen ermögliche „Telegram“ seinen Nutzern, Gruppen beizutreten und zu kommunizieren, ohne ihre Telefonnummer preiszugeben, und biete damit ein Maß an Anonymität, welches in einer Zeit, in der sogenannte digitale Fußabdrücke immer genauer untersucht würden, sehr geschätzt werde.

„Dieser Fokus auf die Privatsphäre erstreckt sich zudem auf die Verschlüsselungspraktiken, mit einer Ende-zu-Ende-Verschlüsselung in geheimen Chats, die sicherstellt, dass die Nachrichten nur für die vorgesehenen Empfänger zugänglich sind.“ Darüber hinaus biete „Telegram“ mit seinem „MTProto“-Protokoll für Standard-Chats ein ausgewogenes Verhältnis zwischen Geschwindigkeit und Sicherheit – „was es zu einer bevorzugten Wahl für Nutzer macht, die sowohl Wert auf Leistung als auch auf Privatsphäre legen“.

„Telegram“ schafft jedoch Sicherheitslücken, welche von Cyber-Kriminellen ausgenutzt werden können

Die gleichen Funktionen indes, die „Telegram“ für datenschutzbewusste Nutzer attraktiv machten, schafften jedoch auch Sicherheitslücken, welche von Cyber-Kriminellen ausgenutzt werden könnten. Geuenich erläutert: „Die Möglichkeit, auf der Plattform anonym zu kommunizieren, und ihr relativ zurückhaltender Ansatz bei der Moderation von Inhalten haben sie zu einem Zufluchtsort für Personen gemacht, die in illegale Aktivitäten verwickelt sind. Von verbrecherischen Handelsaktivitäten bis hin zur Koordination von Cyber-Angriffen – die Infrastruktur von ,Telegram’ wurde teilweise dazu genutzt, Aktivitäten zu erleichtern, die das Gesetz verletzen.“ Dies habe bei Regierungen und Experten zu wachsender Besorgnis über das Missbrauchspotenzial geführt.

Die vor Kurzem erfolgte Verhaftung von Pawel Durov, „CEO“ von Telegram, aufgrund von Anschuldigungen im Zusammenhang mit der Nutzung der Plattform durch illegale Gruppen habe diese Probleme in den Vordergrund gerückt. Dieses Ereignis verdeutliche das anhaltende Bemühen, ein Gleichgewicht zwischen dem Schutz der Privatsphäre der Nutzer und der Notwendigkeit, illegale Aktivitäten im Internet zu verhindern und einzudämmen. Es werfe auch wichtige Fragen über die Verantwortung von Web-Plattformanbietern bei der Überwachung von Inhalten und Kommunikation in ihren Netzwerken auf: „Wie können Plattformen wie ,Telegram’ sicherstellen, dass sie in einer Zeit, in der digitale Privatsphäre immer wichtiger wird, nicht versehentlich kriminelles Verhalten begünstigen? Welche Rolle sollten Regierungen und Cyber-Sicherheitsunternehmen bei der Überwachung und Regulierung dieser Plattformen spielen?“

Aus der Perspektive der IT-Sicherheit stellt „Telegram“ eine besondere Herausforderung dar

Aus der Perspektive der IT-Sicherheit stelle „Telegram“ eine besondere Herausforderung dar: „Die verteilte Infrastruktur der Plattform, die sich über mehrere Länder erstreckt, macht es schwierig, sie zu blockieren oder abzuschalten, selbst in Ländern, in denen sie offiziell verboten ist.“ Diese Widerstandsfähigkeit gegen Zensur sei eine der Hauptstärken von „Telegram“, die es der Plattform ermögliche, auch in Regionen mit restriktiven Regierungen aktiv zu bleiben.

„Dies bedeutet jedoch auch, dass Strafverfolgungsbehörden bei der Überwachung und Unterbindung illegaler Aktivitäten auf der Plattform auf erhebliche Hindernisse stoßen“, so Geuenich. Die eingebaute Proxy-Unterstützung, welche es den Nutzern ermögliche, staatliche Beschränkungen zu umgehen, erschwere die Bemühungen, den Informationsfluss und die Aktivitäten auf „Telegram“ zu kontrollieren.

Reichweite von „Telegram“ als weiteres zentrales Problem

Ein weiteres zentrales Problem sei die Reichweite von „Telegram“: „Mit der Möglichkeit, Gruppen mit bis zu 200.000 Mitgliedern zu gründen, erleichtert ,Telegram’ die schnelle Verbreitung von Informationen. Dies kann sowohl von Vorteil als auch problematisch sein.“ Während dies die Bildung großer, engagierter Gemeinschaften ermögliche, erleichtere es zugleich Hackern, schädliche Inhalte zu verbreiten oder illegale Aktivitäten in großem Maßstab zu koordinieren.

Die schiere Größe dieser Gruppen mache die Moderation zu einer gewaltigen Aufgabe, und der verhältnismäßig nachsichtige Ansatz von „Telegram“ bei der Löschung von Inhalten sei ein Streitpunkt von Kritikern, die argumentierten, dass die Plattform nicht genug unternehme, um illegales Verhalten zu unterbinden.

Wachsende Popularität von „Telegram“ verständlich

Trotz dieser Herausforderungen sei die wachsende Popularität von „Telegram“ verständlich: „Die Plattform bietet ein Maß an Privatsphäre und Funktionalität, das von vielen ihrer Konkurrenten nicht erreicht wird. Für Nutzer, die ihre Anonymität schätzen und in großem Umfang kommunizieren möchten, ohne Angst vor Verfolgung oder Überwachung haben zu müssen, ist ,Telegram’ die ideale Wahl.“ Besonders attraktiv sind demnach die Funktionen der Web-Plattform in Regionen, in denen staatliche Überwachung weit verbreitet ist, da sie den Nutzern ein Kommunikationsmittel bietet, das widerstandsfähig gegen Zensur und staatliche Eingriffe ist.

Geuenich betont: „Die Lösung muss sein, da sich die Digitale Landschaft ständig verändert, dass Technologie-Unternehmen, Regierungen und Cyber-Sicherheitsexperten zusammenarbeiten, um ein Umfeld zu schaffen, in dem die Nutzer frei kommunizieren können, ohne Angst haben zu müssen, dass ihre Privatsphäre beeinträchtigt wird, und gleichzeitig sicherzustellen, dass diese Plattformen nicht zur Förderung illegaler Aktivitäten genutzt werden.“

„Telegram“ sollte Gleichgewicht finden, welches sowohl Schutz der Privatsphäre als auch Berücksichtigung von Sicherheitsbedenken ermöglicht

„Zusammenfassend lässt sich sagen, dass ,Telegram’ zwar einzigartige Vorteile in Bezug auf Datenschutz und Skalierbarkeit bietet, diese Funktionen jedoch erhebliche Herausforderungen in Bezug auf die Cyber-Sicherheit mit sich bringen“, unterstreicht Geuenich. Die Widerstandsfähigkeit, Anonymität und Fähigkeit dieser Plattform, mit großen Gruppen zu kommunizieren, machten sie sowohl zu einem mächtigen Werkzeug für legitime Kommunikation als auch zu einem potenziellen Zentrum für illegale Aktivitäten.

In Zukunft werde es entscheidend sein, ein Gleichgewicht zu finden, welches sowohl den Schutz der Privatsphäre der Nutzer als auch die Berücksichtigung von Sicherheitsbedenken ermögliche, welche mit einer so mächtigen Plattform einhergingen. Geuenich abschließend: „Es ist, wie vieles in der IT-Sicherheit, eine Gratwanderung…“

Weitere Informationen zum Thema:

datensicherheit.de, 04.06.2024
Telegram: Über 122 Gigabyte an Daten in Kanälen der Messenger-App veröffentlicht / Darunter sollen auch hochsensible Daten wie Nutzernamen bzw. E-Mail-Adressen und Passwörter zu verschiedenen Online-Accounts sein

datensicherheit.de, 05.05.2023
Keine Scheu mehr vor der Öffentlichkeit: Cyber-Kriminalität, das Dark Net und Telegram / Im Interview mit Oded Vanunu zur aktuellen Bedrohungslage der IT-Sicherheit, Trends, Zukunft des Web 3 und Telegram

datensicherheit.de, 05.11.2020
Telegram: Illegale Marktplätze geschlossen / BKA meldet Sicherstellung der Kommunikation in 9 Telegram-Gruppen mit ca. 8.000 Mitgliedern

datensicherheit.de, 14.06.2019
Hackerangriff auf Telegram – Digitale Angriffe mit politischer Intention auf dem Vormarsch / Ein Statement von Marc Wilczek, Geschäftsführer von Link11

[datensicherheit.de, 04.06.2024] Laut aktuellen Medien-Berichten sollen zahlreiche Nutzerdaten in „Telegram“-Kanälen geleakt worden sein – darunter hochsensible Angaben wie Nutzernamen bzw. E-Mail-Adressen und Passwörter zu verschiedenen Online-Accounts. ESET kommentiert in einer Stellungnahme diesen Vorfall und gibt evtl. betroffenen Nutzern Tipps.

Cyber-Kriminelle missbrauchen Telegram-Kanäle zur Verbreitung gestohlener Daten

Einer aktuellen Meldung des Blogs „Troy Hunt“ zufolge haben Unbekannte über 122 Gigabyte an Daten in Kanälen der Messenger-App „Telegram“ veröffentlicht. Der Blog-Herausgeber ist zudem Betreiber von „‘;–have i been pwned?“, einer Web-Datenbank für geleakte Zugangsdaten. Darin enthalten: „361 Millionen E-Mail-Adressen, von denen knapp die Hälfte bis dato anscheinend noch nie in einem solchen Datenleck aufgetaucht ist.“

Auch Benutzernamen und Passwörter zu Online-Konten seien Teil dieses Leaks. Cybersecurity-Experten haben demnach diese Anmeldedaten von mehreren „Telegram“-Kanälen gesammelt: „In diesen von Cyber-Kriminellen genutzten Kanälen werden gestohlene Daten verbreitet, um den Ruf des Kanals zu verbessern und Abonnenten zu gewinnen.“ Die dort geposteten Informationen seien höchstwahrscheinlich zum großen Teil echt.

Starker und aktueller Malware-Schutz für Datensicherheit unabdingbar

„Telegram wird häufig als offenes, app-basiertes ,Dark Forum’ genutzt, in dem Benutzerdaten und illegales Material ausgetauscht werden. Es teilt viele Eigenschaften mit dem ,DarkWeb’ hinsichtlich Anonymisierung und zieht auch Cyber-Kriminelle für bösartige Aktivitäten an“, erläutert der ESET-IT-Sicherheitsexperte Jake Moore.

„Benutzernamen und Kennwörter werden häufig mithilfe von Infostealer-Malware gestohlen, mit der Cyber-Kriminelle Computer infizieren. Ein starker und aktueller Malware-Schutz ist deshalb unabdingbar“, so Moores dringender Rat.

Weitere konkrete ESET-Tipps zur Stärkung der Datensicherheit für Nutzer:

Eigene Daten überprüfen!
Auf der Website „‘;–have i been pwned?“ könnten Nutzer feststellen, ob ihre E-Mail-Adressen und Passwörter bereits vom aktuellen oder einem vorangegangenen Leak betroffen waren.

Auf Spam-Nachrichten achten!
Sind die eigenen Daten bereits im Umlauf, sollten Nutzer in nächster Zeit besonders vorsichtig sein: „Die gesammelten E-Mail-Adressen werden häufig für Spam-Kampagnen genutzt.“

Bestehende Passwörter ändern!
„Hacker werden die erbeuteten Zugangsdaten für den Zugriff auf verschiedene Accounts nutzen.“ Experten sprächen hier von „Credential Stuffing“. Vor allem sollten Nutzer für jedes Konto ein einzigartiges, sicheres Passwort verwenden.

Eine Zweifaktor-Authentifizierung (ZFA) einrichten!
Sobald neben Nutzernamen und Passwort ein weiterer Faktor – wie z.B. eine Smartphone-App – in Benutzung ist, könnten Cyber-Kriminelle nicht mehr ohne weiteres auf Online-Konten zugreifen, sollten sie in den Besitz von Login-Daten gelangen.

Weitere Informationen zum Thema:

Troy Hunt, 04.06.2024
Telegram Combolists and 361M Email Addresses

‚;–have i been pwned?
Check if your email address is in a data breach

datensicherheit.de, 05.05.2023] Im Rahmen der CPX 360 EMEA in München, der Hausmesse von Check Point Software Technologies, dem großen IT-Sicherheitsanbieter aus Israel, hat Herausgeber und Chefredakteur von datensicherheit.de (ds)  Carsten J. Pinnow mit Oded Vanunu, Head of Products Vulnerabilities Research bei Check Point, über die aktuelle Bedrohungslage der IT-Sicherheit und die Trends unter Hackern gesprochen. Außerdem wurden die Zukunft des Web 3 mit Smart Contracts als neuer Basis und Telegram als öffentlicher Plattform und Schwarzmarkt für Cyber-Kriminelle thematisiert.

Oded Vanunu, Head of Products Vulnerabilities Research bei Check Point, Foto: Check Point

ds: Guten Tag, Herr Vanunu! Schön, dass wir uns heute mal wieder von Angesicht zu Angesicht unterhalten können. Beginnen wir gleich mit der ersten Frage: Sie haben schon einige große Nachforschungen durchgeführt und veröffentlicht, aber welche war die faszinierendste Entdeckung Ihrer Karriere?

Oded Vanunu: Hallo! Ja, ich freue mich auch, dass wir wieder Veranstaltungen vor Ort abhalten und besuchen können. Zu Ihrer Frage: Es gibt viele Dinge, auf die ich stolz sein kann. Nicht jeder Tag ist gleich strukturiert, ganz anders als beispielsweise in einer Position als Leiter der Cyber-Kriegsführung oder in einem Cyber-Unternehmen, das sich wirklich nur auf Cyber konzentriert. Ich habe jedoch auf fast allen großen Plattformen Schwachstellen entdeckt. Die Auswirkungen betrafen sofort Millionen, Hunderte von Millionen oder sogar Milliarden von Menschen. Wir fanden, zum Beispiel, eine Sicherheitslücke in WhatsApp. Das war eine der wichtigsten Entdeckungen. Wir waren sogar in der Lage, die gesamte Kommunikation nachzuvollziehen. Wir konnten Nachrichten im Namen anderer Personen oder von Personen, die nicht in der Gruppe waren, versenden. Wir konnten Nachrichten löschen und bearbeiten. Das war eine wichtige Erkenntnis, denn WhatsApp wird von den meisten Menschen für die tägliche Kommunikation genutzt. Daneben hatten wir Schwachstellen im DGI gefunden. Dies ermöglichte uns den Zugang zu Drohnen oder zu den Assets anderer Leute, sogar zu den Assets von Strafverfolgungsbehörden. Uns stand alles offen. Es gab Schwachstellen in Instagram, die wir ausnutzen konnten, um den Leuten eine bösartige Story zu senden. Sobald Sie diese öffnete, konnten wir Code auf Ihrem Gerät ausführen. Es gab also viele faszinierende Entdeckungen, aber ich denke, die Sache mit WhatsApp war bemerkenswert, da es sehr lange dauerte, bis die Sicherheitslücke geschlossen wurde.

ds: Sie nannten zwei Hauptaspekte, neben dem menschlichen Faktor, wenn etwas schief geht, nämlich die Konfiguration und die Implementierung der Algorithmen. Sie haben in Ihrem Kurzvortrag auch den Übergang von Web 2 zu Web 3 erwähnt und über Blockchains und deren Manipulation gesprochen. Mein Vater hat mir vor 40 Jahren schon von einigen Problemen, die Sie noch auf Ihrer Liste haben, erzählt: Division durch Null, Pufferüberlauf, hartkodierte Passwörter, Debugging-Informationen und fünf Weitere. Es sind somit noch dieselben. Die Frage lautet daher: Vielleicht sind die Algorithmen sicher, wenn man Blockchains verwendet, aber was ist mit der Implementierung der Algorithmen?

Oded Vanunu: Das ist das Problem. Sie haben völlig Recht, denn das Konzept der Ende-zu-Ende-Verschlüsselung ist nicht neu. Wir sind nun lediglich mit diesem Konzept sehr vertraut geworden. Es wurde in allen Instanzen von Messaging-Anwendungen implementiert. Es gibt das Backend, welches nicht wirklich dezentralisiert ist und im Grunde genommen als Basis genutzt wird, wenn man Sicherheitsdienste oder Cloud-Dienste anbietet oder aufbaut. Zusätzlich erstellt man das Frontend, welches die gesamte Geschäftslogik beinhaltet und alles für den Kunden zur Verfügung stellt, aber: Im Web 3 wird die wichtigste Neuerung sein, das Modell des Smart Contracts hinzuzufügen. Es ist wie eine Software oder wie ein QuellCcode, der auf eine Aktion wartet, um eine Art von Trigger Code zu erzeugen, um daraufhin eine Transaktion in der Blockchain durchzuführen. Genau dort liegen die Schwachstellen in der Umsetzung. Mir reicht nur eine Schwachstelle dort aus. Wenn ich diese ausnutze, erreiche ich eine Erhöhung meiner Zugriffsrechte auf die Blockchain. Beispielsweise bin ich bei Open Sea, einem der größten NFT-Marktplätze, auf diese Weise kürzlich fündig geworden. Es ist wie das Facebook der NFTs. Bedenken Sie, dass NFTs nicht nur dazu da sind, um Affenbilder zu verkaufen.

ds: Dazu kann ich sagen: ein Freund von mir arbeitet an einer neuen Art von Journalismus. Wenn man Artikel schreibt, wird man derzeit nur einmal bezahlt, aber in Zukunft will er Texte schreiben, die man wie NFTs verkaufen kann. So kann man mehrmals Geld verdienen. Ist das eine reale Möglichkeit, NFTs zu nutzen, nicht um Affenbilder zu verkaufen, sondern um ein digitales Produkt zu vertreiben?

Oded Vanunu: Ja, so wird es funktionieren! Das wird ganz einfach sein. Es wird eine App geben und alle Artikel werden dort auf einer Blockchain mit einem Smart Contract gespeichert, der die Logik des Angebots implementiert. Sobald jemand diese Daten nutzen möchte, muss er dafür bezahlen oder eine im Smart Contract implementierte Bedingung erfüllen, damit der Besitz wechseln kann. Angenommen aber, es handelt sich um die App Ihres Freundes, die er erstellt hat, und alle seine Artikel sind darin enthalten. Ich schaue mich um und finde eine Sicherheitslücke in seiner Anwendung, die ich ausnutzen kann. Eine Art Logikfehler oder eine Schwachstelle in der Eingabesicherheit. Das sind die häufigsten Fälle. Dann schicke ich Ihrem Freund einen bösartigen Link aus dem E-System. Wenn er daraufklickt, löst das den Angriff aus und gibt mir seine Token, die ich meiner Wallet hinzufüge und so ihm stehle. Das ist der größte Schwachpunkt.

ds Arbeiten Sie an einer Lösung für dieses Problem?

Oded Vanunu: Im Prinzip ja. Wir testen die gerade mit Kunden. Ich gehe davon aus, dass diese in naher Zukunft auf den Markt kommen wird. Außerdem versuchen wir nicht nur diesen, sondern noch einige andere Aspekte abzudecken.

ds: Es ist also immer dasselbe. Das, was heute als etwas Neues präsentiert wird, wurde in der Vergangenheit bereits entwickelt. Das ist also die nächste Stufe davon.

Oded Vanunu: Ja, doch es ist dennoch eine Innovation, die wir angesichts der künftigen Herausforderungen im Cyberspace fördern wollen, denn im Jahr 2022 wurden auf die beschriebene Weise bereits Vermögenswerte von rund 3 Milliarden US-Dollar entwendet. Das NFT-Ökosystem und die Innovation in diesem Bereich entwickeln sich und die IT-Sicherheit muss mithalten.

ds Das ist ein sehr spannendes Thema. Wir könnten sicher noch viel länger darüber reden. Aber ich würde gerne noch ein anderes Thema ansprechen. Hat die Pandemie das Verhalten von APT-Gruppen verändert?

Oded Vanunu: Ich habe viel zu diesem Thema geforscht. Die Pandemie war ein immenser Anstoß für viele Veränderungen und Entwicklungen, die wir heute beobachten können. Die Cyber-Kriminalität ist viel aggressiver und direkter geworden, vor allem, was Geldforderungen betrifft. Vor der Pandemie fanden alle böswilligen Aktivitäten und die Vorbereitung aller Hacker-Angriffe im Dark Net statt. Das Dark Net ist ein Ort, der für normale Menschen nicht leicht zugänglich ist. Es war daher ein Marktplatz, auf dem Akteure an andere Akteure verkaufen konnten, und ein Ort des Austausches unter Hackern. Als die Pandemie ausbrach, sahen wir eine große Verlagerung vom Dark Net, das ein isolierter Bereich ist, hin zu Telegram, einem leicht zugänglichen Messenger-Dienst. In den letzten zwei Jahren hat sich Telegram zum wichtigsten Marktplatz für Cyber-Kriminelle entwickelt, um ihre Waren zu vertreiben und Dienste anzubieten. Das ist etwas Außergewöhnliches, denn die Geschäftslogik von Telegram erlaubt es, Kanäle zu erstellen, sie mit Bots auszustatten, so dass man nicht einmal anwesend sein muss, und zudem geschieht alles anonym. Man kann eine Anwendung erstellen, die im Grunde Bots sprechen lässt, woraufhin wir anfingen, irrsinnige Ergebnisse zu sehen. Es war wie eine Tiefenrecherche, irre Zahlen rund um die Welt über die Entstehung von Schwarzmärkten. Es ist sehr simpel, weil man nur Krypto oder eine Gift Card verschicken muss, um, was auch immer man haben will, zu kaufen. Im Jahr 2021 war Telegram die wichtigste Plattform für Hacker und APT-Gruppen. Seitdem haben die Aktivitäten jedes Jahr zugenommen. Es gab daher einen generellen Anstieg der Cyber-Angriffe um 60 bis 80 Prozent. Was mit gefälschten Impfausweisen begann, hat sich zu einer Plattform für viele verschiedene Arten von Scams entwickelt. Aus meiner Sicht war die Epidemie der Übergang der Cyber-Kriminalität vom Verstecken ihrer Kanäle, Produkte und Aktivitäten im Dark Net hin zum Präsentieren im öffentlichen Netz.

ds: Wird Telegram weiterhin dafür genutzt?

Oded Vanunu: Natürlich. Es hört nicht auf. Im Gegenteil: die Nutzung nimmt zu.

ds: Wie untersucht Check Point die Nutzung von Telegram und wie sammelt ihr eure Informationen?

Oded Vanunu: Die Grundlage ist Aufklärung. Es müssen viele Informationen auf verschiedenen Plattformen und in verschiedenen Bereichen abgefragt werden. Sobald wir die Möglichkeit haben, Informationen in Echtzeit zu sehen, beginnen wir, eine Art von Operation im Dark Net aufzubauen. Dafür erstellt man Avatare, tritt einer Gruppierung bei, besucht Foren und versucht ständig, Dinge zu kaufen. Diese Operation wurde auf Telegram übertragen und wir haben Tools und Funktionen entwickelt, mit denen wir nach Schlüsselwörtern suchen und Kanäle durchsuchen können, die wir infiltrieren wollen. Wir haben also intelligente Funktionen entwickelt, um die relevanten Informationen zu finden, die wir suchen.

ds: Haben Sie, wie viele Israelis im Bereich der IT-Sicherheit, Ihre Fähigkeiten in der Armee gelernt?

Oded Vanunu: Nein, ich habe in der Armee keine IT gemacht. Jedes Jahr bildet die Armee Tausende von jungen Menschen im Alter von 21 oder 22 Jahren im realen Kampf und im Cyberwar aus. Das ist unbezahlbar. Wenn sie mit der Militär-Ausbildung fertig sind, nehmen sie dieses Wissen und setzen es in Innovationen um. Wir haben also großes Glück, dass wir diese Möglichkeit haben, denn der Cyberspace ist einer der wichtigsten Bereiche, der sich ständig verändert und man muss Schritt halten.

ds: Herr Vanunu, haben Sie vielen Dank für das interessante Gespräch.

Weitere Informationen zum Thema:

datensicherheit.de, 30.03.2023
Cybersicherheit: Prävention vor nachträglicher Erkennung

datensicherheit.de, 03.02.2023
Hacker-Angriffe: Check Point meldet Zunahme der Nutzung von Code-Paketen

datensicherheit.de, 29.06.2020
Cybersicherheit: Vision einer mutigen neuen Welt während und nach der Pandemie

[datensicherheit.de, 11.08.2021] Die Check Point® Software Technologies Ltd. aktualisiert nach eigenen Angaben ihre Nachforschung zu gefälschten „Corona“-Impfnachweisen: Deren Sicherheitsforscher weisen demnach auf eine Zunahme von solche Angebote bewerbenden „Telegram“-Gruppen um weltweit 257 Prozent hin, wobei die meisten weiterhin aus Europa stammten. Im März 2021 seien die Werbungen vor allem für die USA, Großbritannien und Deutschland gedacht gewesen – nun kämen viele Länder in großer Zahl hinzu, darunter die Niederlande, Schweiz, Italien, Griechenland, Pakistan, Indonesien und Frankreich.

Foto: Check Point

Oded Vanunu: Anbieter haben es auf mehr abgesehen, als nur gefälschte Impfausweise zu verkaufen und Geld zu verdienen…

Über 2.500 Telegram-Gruppen derzeit aktiv

Check Point schätzt, „dass über 2.500 Gruppen derzeit aktiv sind“. Die Nutzerzahlen in diesen Gruppen hätten sogar um 566 Prozent zugenommen, wodurch jede Gruppe im Schnitt 100.000 Teilnehmer aufweise. Manche Gruppen wiesen sogar über 450.000 Teilnehmer auf.
„Die Preise für die gefälschten Impfausweise sanken aufgrund des hohen Angebots um die Hälfte.“ Im März habe ein Pass rund 171 Euro (200 US-Dollar) gekostet, nun sei er für 85 Euro (100 US-Dollar) zu haben.

Kontaktiert werden Verkäufer über Telegram, Whatsapp, Wickr, Jabber oder E-Mail

Hinzu komme das Angebot, sogar digitalisierte EU-Nachweise kaufen zu können, sowie gefälschte PCR-Test-Ergebnisse. „Die Anbieter werben sogar damit, dass ihre Pässe in den digitalen Systemen der USA, Großbritanniens und der EU registriert seien.“
Bezüglich der Bezahlung würden „Paypal“ und Krypto-Währungen, wie „Bitcoin“, „Ethereum“, „Monero“, „Dogecoin“, „Litecoin“, akzeptiert. Manchmal außerdem „Amazon Pay“, die Videospiele-Plattform „Steam“ und „ebay“-Gutscheine. Kontaktiert werden könnten die Verkäufer über „Telegram“, „Whatsapp“, „Wickr“, „Jabber“ und E-Mail. Damit werde auch deutlich, dass sich dieser Schwarzmarkt vom sogenannten Darknet zu Nachrichten-Anwendungen, allen voran „Telegram“, verschiebe, um ein breites Publikum ohne große Hindernisse zu erreichen.

Telegram im Vergleich zum Darknet technisch weniger kompliziert zu bedienen

„Wir haben in diesem Jahr das Darknet und ,Telegram‘ auf ,Corona‘-Virus-bezogene Angebote untersucht. Im Moment können gefälschte Impfausweise für fast alle Länder erworben werden. Alles, was Interessierte tun müssen, ist, das Land anzugeben, aus dem sie stammen und welches Produkt sie möchten“, berichtet Oded Vanunu, „Head of Products Vulnerabilities Research“ bei Check Point Software Technologies.
Anbieter entschieden sich übrigens dafür, auf „Telegram“ zu werben und Geschäfte zu machen, weil sie so ihren Vertrieb skalieren könnten. „Telegram“ sei im Vergleich zum Darknet wenig technisch kompliziert zu bedienen und könne schnell eine große Anzahl von Menschen erreichen.

Zunahme der Nutzerzahlen im Darknet und bei Telegram zu erwarten

Vanunu führt aus: „Wir glauben, dass die rasante Ausbreitung der ,Delta‘-Variante und der damit verbundene Druck, sich impfen zu lassen, den Markt beflügelt haben. In der Tat gibt es Menschen, die sich nicht impfen lassen wollen, aber trotzdem die Freiheiten haben möchten, die mit dem Nachweis einer Impfung einhergehen. Diese Menschen wenden sich zunehmend dem Darknet und ,Telegram‘ zu.“
Seit März 2021 seien die Preise für gefälschte Impfausweise um die Hälfte gesunken, und Online-Gruppen für diese betrügerischen „Corona“-Virus-Dienste hätten eine Anhängerschaft von Hunderttausenden von Menschen gewonnen. Vanunu abschließender Rat: „Ich empfehle dringend, sich nicht auf diese Verkäufer einzulassen, denn diese Anbieter haben es auf mehr abgesehen, als nur gefälschte Impfausweise zu verkaufen und Geld zu verdienen.”

Weitere Informationen zum Thema:

Check Point Blog
Black market for fake vaccine certificates reaches new peaks, while Delta variant keeps spreading globally

datensicherheit.de, 04.02.2021
Darknet: Vermeintliche COVID-19-Impfstoffe im Angebot / Preise zwischen 165 und 1.000 Euro auf Darknet-Handelsplätzen

[datensicherheit.de, 19.05.2021] Das Bundeskriminalamt (BKA) hat nach eigenen Angaben im Auftrag der Generalstaatsanwaltschaft Bamberg, Zentralstelle Cybercrime Bayern (ZCB), am 18. Mai 2021 insgesamt sieben Objekte in vier Bundesländern durchsucht. Diese Maßnahmen richteten sich demnach gegen sieben Männer im Alter von 20 bis 37 Jahren – diesen werden unter anderem „banden- und gewerbsmäßiger Computerbetrug und Datenhehlerei“ vorgeworfen.

Einsätze des BKA in Brandenburg, Baden-Württemberg, Nordrhein-Westfalen und Rheinland-Pfalz

Bei den Einsätzen in Brandenburg, Baden-Württemberg, Nordrhein-Westfalen und Rheinland-Pfalz seien unter anderem zahlreiche Smartphones und andere digitale Beweismittel, betrügerisch erlangte Waren sowie Bargeld und Krypto-Währungen sichergestellt worden.
„Darüber hinaus konnten sechs ,Telegram‘-Accounts übernommen und gesichert werden.“ Die Beschuldigten stünden im Verdacht, gewerbs- und bandenmäßig die Durchführung sogenannter Refund-Betrugstaten in der „Telegram“-Gruppe mit dem Namen „GermanRefundCrew“ angeboten und letztendlich über 600 solcher Betrugstaten begangen zu haben.
Beim Refund-Betrug handele es sich um eine Erscheinungsform des Computerbetrugs, bei welcher „die Täter Waren im Internet bestellen und im Anschluss eine Rücksendung vortäuschen, um eine Rückerstattung des Zahlbetrags zu erhalten“.

BKA geht von einem Gesamtschaden von über 500.000 Euro aus

Mit den in der „Telegram“-Gruppe beworbenen Taten sei ein Gesamtschaden von über 500.000 Euro verursacht worden. „Für ihre kriminellen Dienstleistungen verlangten die Beschuldigten eine Provision in Höhe von 23 bis 27 Prozent des jeweiligen Warenwertes.“
Ihnen drohten nun Freiheitsstrafen von sechs Monaten bis zu zehn Jahren.
Bereits im Oktober 2020 seien die „Telegram“-Gruppe „GermanRefundCrew“ im Rahmen eines bundesweiten Einsatzes geschlossen und die Wohnräume des Hauptverdächtigen durchsucht worden. Die weiteren Ermittlungen hätten dann die Strafverfolgungsbehörden auf die Spur der sieben Männer geführt.

Weitere Informationen zum Thema:

datensicherheit.de, 27.01.2021
BKA-Erfolgsmeldung: Emotet-Infrastruktur zerschlagen

[datensicherheit.de, 05.11.2020] Laut einer Meldung des Bundeskriminalamts (BKA) wurden am 29. Oktober 2020 in einer konzertierten Aktion in sechs Bundesländern insgesamt neun Chatgruppen im Messenger-Dienst Telegram übernommen und sichergestellt. Hierzu hätten die Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) – und das BKA sowie weitere Strafverfolgungsbehörden kooperiert.

Ermittlungen gegen Administratoren entsprechender Telegram-Gruppen sowie dortige Händler seit Anfang Juni 2020

Die bundesweiten Ermittlungen gegen Administratoren entsprechender Gruppen sowie dortige Händler seien seit Anfang Juni 2020 geführt worden und hätten bislang zur Identifizierung von 28 Beschuldigten geführt, gegen die dann „Durchsuchungsbeschlüsse in 30 Objekten vollstreckt werden konnten“.
Die Beschuldigten stehen demnach im Verdacht, „Handel mit Betäubungsmitteln, gefälschten Dokumenten, illegal erlangten Daten und anderen inkriminierten Gütern“ über den Messenger-Dienst „Telegram“ betrieben zu haben.

In den übernommenen Telegram-Kanälen und -Gruppen wurden Sicherstellungsbanner veröffentlicht

An dieser konzertierten Aktion seien mit der „Durchführung strafprozessualer Maßnahmen in eigener Zuständigkeit“ auch die Generalstaatsanwaltschaft Bamberg – Zentralstelle Cybercrime Bayern (ZCB) – und die Staatsanwaltschaften in Bremen, Chemnitz, Essen, Hagen, Konstanz und Mannheim in Zusammenarbeit mit örtlichen Polizeidienststellen beteiligt gewesen.
Auch in der Republik Österreich seien durch die Staatsanwaltschaft Feldkirch mit der Polizei Vorarlberg zeitgleich Durchsuchungen durchgeführt worden.
Im Kontext dieser Maßnahmen habe die Kommunikation in insgesamt neun Chatgruppen des Messengers „Telegram“ mit ca. 8.000 Mitgliedern übernommen und sichergestellt werden können, darunter u.a. „Silk Road“, „Marktplatz//Schwarzmarkt“, „GermanRefundCrew“ oder „Cracked Accounts Shop“. In den übernommenen Kanälen und Gruppen sei ein Sicherstellungsbanner veröffentlicht worden. „Im Rahmen der Durchsuchungen der Wohnungen der Tatverdächtigen konnten zudem über vier Kilogramm Betäubungsmittel, acht Waffen und 8.000 Euro Bargeld sowie zahlreiche weitere Beweismittel, insbesondere Smartphones und diverse Datenträger, sichergestellt werden.“

Darknet-Alternative: Handel mit illegalen Waren und Dienstleitungen über Telegram

Der von ZIT und BKA geführte Teil des Ermittlungskomplexes richte sich gegen 13 Männer im Alter von 18 bis 54 Jahren. Gegen sie bestehe u.a. „der Verdacht des Verschaffens einer Gelegenheit zum unbefugten Erwerb bzw. zur unbefugten Abgabe von Betäubungsmitteln (§ 29 Abs. 1 Ziff. 10 BtMG) bzw. des unerlaubten Handels mit Betäubungsmitteln in teils nicht geringer Menge (§§ 29 Abs. 1, 29a Abs. 1 BtMG).“ Gegen einen 25-jährigen Mann aus dem Landkreis Offenbach habe ein durch die ZIT bei dem Amtsgericht Offenbach am Main erwirkter Haftbefehl vollstreckt werden können. Zudem sei ein weiterer 19-jähriger Mann aus dem Landkreis Offenbach vorläufig festgenommen worden, der noch am 30. Oktober 2020 dem Haftrichter des Amtsgerichts Offenbach am Main vorgeführt werden sollte.
Bei dem Handel mit illegalen Waren und Dienstleitungen über „Telegram“ handele es sich um eine Alternative zu Handelsplattformen im sogenannten Darknet. Dabei erfolge in den teilweise öffentlich zugänglichen Kanälen und Chatgruppen von „Telegram“ die Anbahnung der illegalen Geschäfte, etwa durch mit Bildern beworbene Angebote oder durch Listen verifizierter Händler. Die Abwicklung der illegalen Geschäfte zwischen Händler und Käufer erfolge danach in separaten Chats zwischen einzelnen „Telegram“-Nutzern.

Weitere Informationen zum Thema:

datensicherheit.de, 29.08.2020
Empire Market: Weltgrößter Darknet-Markt nicht mehr erreichbar

[datensicherheit.de, 17.06.2019] Zu dem kürzlich bekannt gewordenen Hacker-Angriff auf „Telegram“ nimmt Dr. Guy Bunker, „CTO“ bei Clearswift, Stellung und fordert auf, Anbietern „kritische Fragen“ zu stellen.

DDoS-Angriff am 12. Juni 2019

„Wie Mitte letzter Woche bekannt wurde, ist der Messengerdienst ,Telegram‘ Opfer eines umfassenden Hacker-Angriffs geworden. Es handelte sich hierbei um einen sogenannten DDoS-Angriff (Distributed-Denial-of-Service)“, erläutert Dr. Bunker. Der Service sei am 12. Juni 2019 für Stunden nicht erreichbar gewesen.
Wie Unternehmensgründer Pavel Durov per twitter erklärt habe, liege eine Verbindung zu den aktuell andauernden Protesten in Hongkong nahe – die Nachrichten-App sei von Demonstranten genutzt worden, um sich zu organisieren. Dr. Bunker: „Laut Durov hatte der Angriff seinen Ursprung hauptsächlich in China.“

Botnetz zu „mieten“…

Solche Angriffe seien nicht neu und könnten auf unterschiedliche Art und Weise durchgeführt werden. Innerhalb der letzten Jahre (2018) sei es immer einfacher geworden, ein Botnetz zu „mieten“, um die Attacke auf mehreren verschiedenen Wegen zu lancieren – eine Tatsache, welche die Prävention von Angriffen dieser Art deutlich erschwere.
Nicht zuletzt habe das Bundeskriminalamt (BKA) in seinem aktuellen Bericht „Bundeslagebericht Cybercrime“ berichtet, dass es sich bei DDoS-Angriffen um die am häufigsten beobachteten Sicherheitsverletzungen im Cyber-Raum handele. „Die Folgen dieser sind für Betriebe nicht selten beträchtliche Umsatzeinbußen sowie Imageschäden“, warnt Dr. Bunker..

Junk-Anfragen herausfiltern und verfügbare Bandbreite erhöhen!

Für Großunternehmen, die Messaging-Dienste wie „Telegram“ anbieten, sei die Frage, wie sie sich künftig gegen solche Attacken schützen können, eine quantitative. Grundsätzlich gehe es darum, die Junk-Anfragen herauszufiltern und die verfügbare Bandbreite zu erhöhen, so dass der Dienst für die eigentlichen, legitimen Benutzer schneller verfügbar bleibt als die vielen gesendeten Junk-Anfragen zum Lahmlegen des Systems.
Kleinere Anbieter in diesem Bereich – insbesondere solche, die keine eigenen Rechenzentren besitzen – hätten oftmals Bandbreitenbeschränkungen eingeführt. Diese könnten somit fatalerweise von den Angreifern noch leichter außer Gefecht gesetzt werden.

Gezielt Fragen an den Anbieter bezüglich der Sicherheit stellen!

„Doch welche Konsequenzen sollten Betriebe anderer Branchen ziehen, die unter Umständen selbst Messenger-Services wie Telegram verwenden?“ Generell sollten Unternehmen, die Cloud-basierte Anwendungen nutzen, unbedingt sicherstellen, dass sie gezielt Fragen an den Anbieter bezüglich der Sicherheit stellen. „Während es in diesem Zusammenhang oft um Datenverlust geht und wie dieser verhindert werden kann, sollten hier auch Fragen in Hinblick auf Risiken für die Business-Continuity gestellt werden.“
Ein Aspekt seien hierbei DDoS-Attacken. „Konkret sollte geklärt werden, welche Monitoring- und Kontrollmechanismen es gibt, um einen DDoS-Angriff und somit exzessive Ausfallzeiten zu verhindern“, empfiehlt Bunker. Schließlich sei es innerhalb der Cloud (je nach Anwendung) durchaus möglich, dass ein Angriff gegen einen anderen Kunden desselben Dienstes gestartet werde – dieser Vorstoß führe zum Abstürzen des Systems und wirke sich somit auf das eigene Unternehmen aus. Die Sicherstellung, dass der Anbieter über eine angemessene DDoS-Erkennung und -Prävention verfügt, müsse Teil der Bewertung dieses Dienstes sein.

Foto: clearswift

Dr. Guy Bunker: Sicherstellung, dass der Anbieter über eine angemessene DDoS-Erkennung und -Prävention verfügt!

Weitere Informationen zum Thema:

datensicherheit.de, 14.06.2019
Hackerangriff auf Telegram – Digitale Angriffe mit politischer Intention auf dem Vormarsch / Ein Statement von Marc Wilczek, Geschäftsführer von Link11