Ich hätte wohl eher den Berufsweg des Crypto-Trojaner-Erpressers mit Schwerpunkt Steuerberatungs-, Wirtschaftsprüfungs- & Anwaltskanzleien wählen sollen. Scheint ein lukratives Geschäftsfeld zu sein, dessen Potential lange nicht ausgeschöpft wurde. 🤗

@f_mayer  schrieb:

die Mitarbeiter "halt vorsichtig sein sollen".

Problem hier ist: Den Mitarbeiter kann man nicht wirklich in die Haftung für sein menschliches Versagen nehmen. Vielleicht lässt sich eine Kündigung (fristlos?) rechtfertigen. Auf dem finanziellen Schaden bleibt das Unternehmen dennoch sitzen und verliert so nur einen, fachlich vielleicht sogar richtig guten, Mitarbeiter. Manchmal sind es die IT-Legastheniker die in Steuerlichen Themen dafür umso mehr wissen mitbringen. Man kann halt nicht in allem Experte sein.

---

@f_mayer  schrieb:

man weißt einfach einen Mitarbeiter an alles wieder herzustellen und erklärt ihm, dass es hierfür einen Knopf geben muss der das alles ganz einfach macht

Auf Sicherungen darf man zwar nicht verzichten, aber auch einen solchen "Knopf" der bei Bedarf alle Systeme auf einen beliebigen vorherigen Stand (Zeitraum wird hier nur durch Speicherplatz beschränkt) zurücksetzt könnte man mit genügend Geld und Zeit realisieren. Ok in der Praxis würde ich daraus eine Kombination von 3-4 Knöpfen und 1-2 Schaltern machen, alleine um die Backups sauber von der restlichen IT zu isolieren. Aber ja, solche Lösungen sind möglich. Wenn der Chef das will, lässt sich das realisieren. Nur eben bevor es zum GAU kommt.

@vogtsburger  schrieb:

 

Auch Notare und Rechtsanwälte, die die Seriosität quasi 'gepachtet' haben, machen auch immer wieder Fehler

---

---

Wenn die KI sich wirklich so gut entwickelt wie manch einer meint, werden wir in Zukunft genau andersherum arbeiten müssen: Hat eine E-Mail keine Fehler, sollte man misstrauisch sein, ob diese tatsächlich vom angegebenen Absender stammt. Zumindest bis die Spam-Chatbots unsere Fehler bewusst replizieren um Echtheit vorzugaukeln...

---

@T_Ahmad  schrieb:

Auf Sicherungen darf man zwar nicht verzichten, aber auch einen solchen "Knopf" der bei Bedarf alle Systeme auf einen beliebigen vorherigen Stand (Zeitraum wird hier nur durch Speicherplatz beschränkt) zurücksetzt könnte man mit genügend Geld und Zeit realisieren.

---

---

---

Du hast das falsch verstanden, Sicherungen braucht es nicht, weil es ja den Knopf gibt (zumindest in der Vorstellung des Chefs). 😉 Dass der Knopf ohne Sicherungen nicht funktioniert, das kriegst du in solche Leute nicht rein.

Da rächt sich ein wenig, dass Windows/Outlook/… den Papierkorb hat und Dateien nicht sofort in den Orkus schiebt, wenn man auf "Löschen" klickt. Denn daraus entsteht die Vorstellung, dass sich auch auf andere Weise verlorene Dateien genauso einfach wieder herstellen lassen.

Für zu viele (sowohl private als auch professionelle) Anwender sind Computer leider immer noch Magie, und manche davon gelangen auch mit noch so viel Erklärung nicht zu Erkenntnis, dass eine defekte/verschlüsselte Festplatte genauso "alles weg" bedeutet wie ein ausgebranntes Archiv. Die sieht schließlich noch ok aus!

---

@T_Ahmad schrieb:
[...]
Hat eine E-Mail keine Fehler, sollte man misstrauisch sein, ob diese tatsächlich vom angegebenen Absender stammt. Zumindest bis die Spam-Chatbots unsere Fehler bewusst replizieren um Echtheit vorzugaukeln...
[...]

---

🤣, jaaa ...  

... an dieses umenschliche Damoklesschwert über unseren menschlichen Köpfen hatte ich noch gar nicht gedacht.

... aber da könnte wirklich was dran sein.

Wenn die KI mal tatsächlich wirklich intelligent werden sollte, dann kann sie bestimmt auch ganz 'bewusst', oder sagen wir lieber 'algorithmisch', die typischen Fehler einbauen, die der 'vorgegaugelte' Mensch auch machen würde, z.B. falsche Apostrophe setzen, Kommata vergessen, alte und neue Rechtschreibung durch falsche Rechtschreibung ersetzen usw. ...

... und wenn diese Fehler fehlen, dann "ooops, hier stimmt was nicht ! Das ist vermutlich ein Fake !" 🤣

---

@vogtsburger  schrieb:
Wenn die KI mal tatsächlich wirklich intelligent werden sollte, dann kann sie bestimmt auch ganz 'bewusst', oder sagen wir lieber 'algorithmisch', die typischen Fehler einbauen, die der 'vorgegaugelte' Mensch auch machen würde, z.B. falsche Apostrophe setzen, Kommata vergessen, alte und neue Rechtschreibung durch falsche Rechtschreibung ersetzen usw. ...

Das kann die KI tatsächlich jetzt schon, wenn man entsprechende Analysedaten und die richtigen Prompts parat hat. Was nur fehlt ist eine Art ScamGPT, was die entsprechenden Werkzeuge mitliefert. Sprich: Auf Knopfdruck die öffentlichen Chat Nachrichten und Social Media Beiträge der zu kopierenden Person zusammensuchen, den Sprach- & Schreibstil analysieren und Mails generieren & versenden. Das wäre mal ein Startup...

Ebenso heute schon möglich:

Mittels KI die Stimme einer Person kopieren und in Echtzeit fälschen. Dann muss man nur die Telefonnummer der kopierten Person spoofen und so dann die Zielperson anrufen, um am Telefon zu versichern, dass die E-Mail tatsächlich vom entsprechenden Absender stammt und vertrauenswürdig ist. Aufzeichnungen zum Trainieren eines Sprachmodells gibt es gerade von den bekannten Beratern, welche Vorträge und Socialmedia Beiträge produzieren zu genüge. Aber authentisch wirkende gefälschte Telefonanrufe gab es tatsächlich schon vereinzelt, wenn auch mit anderer Zielgruppe.

Eigentlich sollten wir dankbar dafür sein, dass es noch immer Menschen gibt, die auf die dümmsten IT Angriffe rein fallen. Ich behaupte der einzige Grund, warum wir noch nicht entsprechend versierten Angriffen begegnen ist, dass es immer noch leichter und schneller ist 5000 billige Mails zu verschicken von denen 2-3 Stück geöffnet werden, als einen professionellen Angriff auf ein einzelnes Ziel. Aber auch das kann sich schnell ändern.

Noch brauchen wir in der Hinsicht noch keine Angst haben. Bislang haben nur einige Nachrichtendienste ausreichende zeitliche Ressourcen für solche spielerein. Und für die sind wir hoffentlich alle keine interessanten Ziele. Aber eines Tages werden wir die Kolleginnen und Kollegen auf solche Angriffsszenarien vorbereiten müssen.

Ich sag es immer wieder. An mir ist ein krimineller verloren gegangen... 😆

---

@T_Ahmad schrieb:
[...]
Ich sag es immer wieder. An mir ist ein Krimineller verloren gegangen... 
[...]

---

... man muss (als Menschheit) auch mal Glück haben 😎

---

@T_Ahmad  schrieb:
als einen professionellen Angriff auf ein einzelnes Ziel.

---

Wobei es das auch schon längst gibt, lohnt sich aber nur bei Zielen an entsprechend exponierter Position (z.B. Prokurist). Was ist Spear-Phishing? Definition und Risiken (kaspersky.de)

Und gerade selbst neu gelernt: Dynamit-Phishing (infoguard.ch)

... gestern kam erstmals eine E-Mail von der "Schufa".

Mein erster Gedanke : ein Fake ?

... aber nein, die Schufa steigt jetzt offenbar auch in das 'Newsletter-Geschäft' ein

und bietet an, jederzeit den tagesaktuellen Schufa-Score einsehen zu können

... wow, was für ein 'toller' Service !

Das klingt etwa so, als wollte man mehrmals pro Woche seinen tagesaktuellen Testosteronspiegel wissen wollen

... jetzt fragt sich bloß, wer einen solchen Bedarf hat und ob die SCHUFA als E-Mail-Absender einen Vertrauensvorschuss genießt 😎

Vielleicht erhalten vor allem Diejenigen solche Angebote, von denen die Schufa noch zu wenige Daten auf dem 'normalen' Weg sammeln konnte

---

@vogtsburger  schrieb:

 

... aber nein, die Schufa steigt jetzt offenbar auch in das 'Newsletter-Geschäft' ein

und bietet an, jederzeit den tagesaktuellen Schufa-Score einsehen zu können

---

Nur den eigenen?

och besser finde ich, dass man zur Abmeldung den Wunsch formulieren muss und Namen sowie E-Mailadresse angeben muss...

Abmeldenbutton Fehlanzeige.

Moin Moin @vogtsburger 

einfache Regeln bedeuten vor allem, jeder kann sie sich merken.

Einfache Regeln bedeuten nicht, alles was rausgefischt wird, ist ein Angriff.

Das herauszufinden ist Aufgabe des Admins.

Einfache Regeln bedeutet auch: Keine lange Anleitung. 

Dass der Prozess dadurch riskanter wird, ist absolut nicht meine Erfahrung! Eher das Gegenteil!

Ich gebe dir Recht, die Checks können sich sicherlich weitgehend automatisieren lassen. Wir nutzen Datevnet zum Abfischen bevor eine Email uns überhaupt erreicht. Aber Datevnet kriegt das nicht vollständig hin. Die Mitarbeiter mit einigen einfachen Regeln zu sensibilisieren hat sich bei uns bewährt!

Dein Beispiel mit der Driveby-Infektion am Ende bereitet mir auch immer wieder Kopfschmerzen. Ich habe deshalb als Standard sehr restriktive Browser-Einstellungen (und mit Addons) für alle vorgegeben. In der normalen Arbeit behindern diese trotzdem nicht. Wenn doch, kann ich mir die Seite vorher einmal anschauen. Tatsächlich passiert das selten. 

Ja, es gibt dann alle paar Monate mal Mecker von der Geschäftsführung, weil dort etwas nicht auf anhieb funktioniert. Das ist aber auszuhalten. Der Sicherheitsgewinn wiegt das immer auf.

Im übrigen geht es im Schnitt um 1-2 Meldungen im Monat. Von denen grob 2 pro Jahr wirklich einen Angriff darstellen. Ich finde, dass ist ein recht effektive Abwehrmaßnahme. (Browser und Email zusammen).

Ich habe auch die Erfahrung gemacht, meine Seminare (recht kurz 1/2 bis max 1 Stunde) werden gerne besucht. Ich bekomme Rückfragen im Seminar oder auch später. Ich erkläre auch im Alltag immer wieder, worauf zu achten ist. Und alle machen mit! Natürlich geben ich auch immer eine positive Rückmeldung. Auch wenn sich eine Email am Ende als OK ergibt. Dann erkläre ich, warum trotz der "Warnregel" es doch eine reguläre Email war. Sprich es war gut, die Email zu melden, der Mandant  hat sich nicht an eigentlich selbstverständliche Regeln gehalten.

Das klappt wirklich gut bisher!

QJ

Sehr geehrter  X,

Ihre nicht beanspruchten Gelder müssen ausgezahlt werden. Bei der Überprüfung Ihrer Akte wurde festgestellt, dass Sie in der Vergangenheit zur Zahlung mehrerer Gebühren aufgefordert wurden. Die meisten dieser Gebühren sind auf die habgierige Haltung der Regierung gegenüber Geldern wie Ihrem zurückzuführen. 🤔

Aus diesem Grund sind wir zu dem Schluss gekommen, dass Ihr Geld über Kryptowährung ausgezahlt wird, wodurch alle strengen Anforderungen staatlicher Parastaten, wie Beratungs- und Steuergebühren, umgangen werden. 🤑

Wenn Sie kein Kryptowährungskonto haben, müssen Sie eines eröffnen (Trustwallet wird empfohlen), damit der neu ernannte Finanzagent Ihre nicht beanspruchten Gelder sofort aufladen kann. 🤗

Mit freundlichen Grüßen
Paul Buteaku

😎

(Smilies ergänzt)

Klingt doch alles sehr plausibel! 

Link? 

😁

... auf ein Inserat auf ImmobilienScout24 (Mietwohnung) meldete sich ein Interessent aus San Franzisco 😅

(das alleine ist noch kein K.O-Kriterium. Wir hatten auch schon Mieter aus Australien, die aus beruflichen Gründen für 3 Jahre hier wohnten ...

... und alle Beteiligten waren hoch zufrieden) 

... aber in diesem Fall scheint es eine Art der "Nigeria Connection" zu sein 

Hallo,

Danke für die Informationen über die Immobilie. Ich werde die Immobilie für private Zwecke mieten, da ich für meinen Ruhestand in Ihr Land ziehen werde. Aus diesem Grund habe ich Sie kontaktiert, damit wir uns gemeinsam mit Ihnen über meinen Plan austauschen können, während meines Ruhestands in Ihrem Land zu investieren.

Aus diesem Grund ist es mir wichtig, Ihnen mitzuteilen, dass ich über einen Betrag von 3,2 Millionen Euro verfüge, den ich im Rahmen eines privaten Militärvertrags hier in Kiew, Ukraine, erhalten habe. Sobald ich von Ihnen höre, dass Sie mir Ihre Hilfe zusichern, werde ich mich bezüglich der Übergabe melden.

Ich möchte Ihnen aufrichtig vertrauen. Ich bin ein Kriegsveteran der NATO-Truppe in der Ukraine, im Zermürbungskrieg infolge der unprovozierten Invasion Russlands in der Ukraine, die viel Leid und humanitäre Krisen sowie wirtschaftliche Härten verursacht hat. Ich habe dieses Geld an einem sehr sicheren Ort in unserem Lager in Odessa, Ukraine, aufbewahrt. Ich habe auf einen Moment wie diesen gewartet, um das Geld sinnvoll einzusetzen, und jetzt möchte ich, dass die Kiste unverzüglich weggebracht wird. Ich habe sehr lukrative Investitionspläne, kann das Geld aber nicht in die USA transferieren, da ich etwa 5 Jahre in Europa sein werde. Ich brauche jemanden, dem ich vertrauen kann. Wenn Sie zustimmen, überweise ich das Geld in Ihr Land, wo Sie der Empfänger sind.

Ich bin ein Geheimdienstoffizier der amerikanischen Marine und diene derzeit in Odessa, Ukraine, als NATO-Gruppe, die in Odessa arbeitet, um die Bewegungen von Schiffen im Schwarzen Meer zu überwachen. Ich kann also nicht mit einem solchen Betrag herumprahlen, sondern muss jemanden als Begünstigten angeben. Ich habe eine 100 % authentische Möglichkeit, das Geld von hier per diplomatischem Kurierdienst zu transferieren. Ich brauche nur Ihre Zustimmung und alles ist erledigt.

Wenn Sie daran interessiert sind, mir bei dieser Transaktion zu helfen, werde ich Ihnen alle Einzelheiten mitteilen, die Sie benötigen, damit wir diese Transaktion erfolgreich durchführen können. Ich habe beschlossen, jemanden zu finden, der echt und nicht imaginär ist, und bin deshalb auf eine sichere Site gegangen, auf der ich sicher sein kann, dass die Person echt ist. Ich glaube, ich kann Ihnen vertrauen. Ich werde per E-Mail mit Ihnen kommunizieren und Sie auch anrufen, wenn es nötig ist, um Sie über wichtige Informationen zu informieren. Ich möchte, dass Sie tapfer sind. Ich habe alles unter Kontrolle, ich habe alle Beweise für diesen Fonds in meinem Besitz, um Ihnen zu zeigen, dass alles authentisch ist.

Wenn ich nach 3 Tagen keine Antwort von Ihnen bekomme, werde ich mich nach jemand anderem umsehen. Ich tue dies auf Vertrauensbasis, daher möchte ich, dass Sie jegliche Gier oder den Gedanken an Betrug beiseite legen, da wir in dieser Geschäftsbeziehung viel zu gewinnen haben. 3,2 Millionen Euro sind eine Menge Geld, der Traum eines jeden Mannes.

Ich bin gerade in der Ukraine und muss dieses Geld sicherstellen und es Ihnen schicken, wenn wir eine angemessene Einigung erzielen. Ich schreibe Ihnen von einer neuen privaten E-Mail-Adresse aus. Bitte löschen Sie diese Nachricht, wenn Sie nicht daran interessiert sind, mit mir zusammenzuarbeiten.

Ich rate Ihnen, diesen Deal streng geheim zu halten. Wenn Sie mir wirklich helfen möchten, entfernen und löschen Sie bitte die Anzeige der Immobilie von der Internetseite, da ich die Immobilie brauche.

Ich warte auf Ihre Kontaktdaten, damit wir weitermachen können. In weniger als 5 Tagen wird das Geld an Sie überwiesen und ich werde vorbeikommen, um den Immobilienvertrag abzuschließen. Ich werde Ihnen 20 % der Summe geben und 80 % sind für mich. Ich hoffe, ich bin bei diesem Geschäft fair.

Grüße,

 

XXXXXX YYYYYYYYYYYYY. 

 

ZZZZZZZZZZZZ

San Francisco,

CA  94109 , USA

Email: mmmmmmmmmm@gmail.com

Da steht doch ganz klar: "100% authentische Möglichkeit". Sollte doch klar sein dass DAS kein Spam/Fishing/Spoofing ist! 🤑

Vor der Einführung des Euros sind anscheinend manche rumgegangen und haben anderen Leuten erzählt, das wäre wie die Währungsreform nach dem zweiten Weltkrieg, alles Geld würde verfallen und jeder bekäme nur ein kleinen Handbetrag ausbezahlt. Ich frage mich wie viel Erfolg die hatten.

---

@f_mayer schrieb:

Ich frage mich wie viel Erfolg die hatten.

---

Wenn man sich die Wahlen in Thüringen heute anschaut, dann auch damals sicherlich: viel.  

zur Wendezeit haben viele Versicherungs-, Vermögens-, Immobilien-, Steuer-, Unternehmens-, Wirtschafts- und sonstige Berater körbeweise die Neuverträge und neuen Aufträge heimgekarrt oder sind sogar mit Wohnmobilen oder Bussen durch die blühenden Landschaften gefahren, um die Kandidaten schon am Gartenzaun oder im eigenen Wohnzimmer zu beglücken 😉

... ich möchte nicht wissen, wieviel Tränen der Freude und des Frustes nach solchen Vertragsabschlüssen geflossen sind 😎

Heute in der elektrischen Post

---

@siro schrieb :
[...]
Heute in der elektrischen Post
[...]

---

... bei Datev-Rechnungen bin ich sowieso immer 'elektrisiert' und schaue lieber 3x hin, um keinen elektrischen Schlag zu 'erwischen' 😉

... mit österreichischen oder allgemein mit ausländischen Telefonnummern bin ich ebenfalls vorsichtig, da man hier auch leicht in eine Gebührenfalle stolpern kann

Ich hab gestern auf meine Private Adresse ne Mail vom BMF bekommen. 

Ich würde für die Jahre 2021-2023 noch insgesamt 500 € bekommen. 

Was für ein dreister Blödsinn!

Gerade solche dreisten Maschen funktionieren wohl am besten. Klassisches Beispiel von Gier frisst Hirn.

So kommt es z. B. auch zu Stande das Kriminalbeamte im Ruhestand ihr gesamtes Vermögen in ein nicht EU Land überweisen, weil irgendein abgeschobener am Telefon erklärt ihn durch Crypto zum Millionär zu machen.

Irgendwo weiter oben hat jemand angemerkt das die Anweisungen an die Kollegen vor allem einfach sein müssen. Die wichtigste Regel um solche Angriffe abzuwehren lässt sich in einem Satz zusammenfassen:

"Wenn etwas zu schön klingt um wahr zu sein, dann liegt es daran das es zu schön ist um wahr zu sein."

Ich bin dann mal weg, mein Millionenvermögen an Fremde im Internet verschenken...

Der SMTP und E-Mail Absender wäre von Interesse. Ist bestimmt auch eine einfache Ente dann. Und wer als deutscher Bürger meint, der Staat hätte was zu verschenken, hat andere Probleme 😂. 

---

@T_Ahmad  schrieb:

"Wenn etwas zu schön klingt um wahr zu sein, dann liegt es daran das es zu schön ist um wahr zu sein."

 

Das würde ich den Leuten am liebsten zum Thema Geldanlagen sagen. Darf man das, oder ist das schon Vermögensberatung?

regelmäßig zum Jahresende hin gehen immer wieder ein paar Digital-Naive irgendwelchen tollen Steuersparmodellen irgendwelcher Nepper auf den Leim

... nun mal wieder eine Nachricht für die 'einfacher gestrickten' E-Mail-Empfänger ...

... denn auch diese sollen dort abgeholt werden, wo sie vermeintlich stehen 

... aber vermutlich ist kein Betrugsversuch primitiv genug, um nicht doch beim Einen oder Anderen zum Ziel zu kommen ...

Folgende These habe ich kürzlich aufgeschnappt: Die am durchschaubarsten Spam-/Phishing-E-Mails sind bewusst so miserabel aufgesetzt, um direkt potentielle Opfer herauszufiltern. Wer so dumm ist, auf solch eine E-Mail hereinzufallen, wird später auch derjenige/diejenige sein, der bereit ist, Geld zu bezahlen.

... da ist sicher etwas Wahres dran 😅

... aber auch die Schlauesten können in ein Fettnäpfchen tapsen

... es gibt 'für jeden Topf einen Deckel'

... nach meiner Erfahrung sind z.B. Mediziner besonders empfänglich für das 'Gift' "Steuersparmodell" , wie es in einem der vorherigen Beiträge auch schon erwähnt wurde 😅

Wir werden seid Freitag von einem Callcenter terrorisiert, welche speziell nach Mitarbeitern fragen. Im gebrochenen Deutsch und wenn man nachfragt, was sie wollen, gibt es keine Antwort.

01572384809; 01572384810