Spectre und Meltdown: BSI warnt vor E-Mails mit gefälschtem BSI-Absender

Das Bundesamt für Sicherheit in der Informationstechnik warnt derzeit vor gefälschten Mails. Die Empfänger der E-Mails werden laut BSI darin aufgefordert, Sicherheitsupdates durchzuführen, die sich praktischerweise hinter einem Link verbergen, der in der Mail ist. Der Link führt zu einer gefälschten Webseite, die Ähnlichkeit mit der Bürger-Webseite des BSI hat. Der Download und die Ausführung des angeblichen Updates führt zu einer nicht näher definierten Schadsoftware-Infektion des Rechners oder Smartphones. 

Anwender, die die gefälschte Webseite geöffnet haben, sollten keinesfalls das dort verlinkte angebliche Sicherheitsupdate herunterladen. Legitime Sicherheitsupdates zur Behebung der Sicherheitslücken „Spectre“ und „Meltdown“ werden von den jeweiligen Herstellern zur Verfügung gestellt und nicht per E-Mail verteilt.

Ich weiss, dass ihr das wisst, aber vielleicht wissen es nicht alle Verwandten in eurem Umfeld, die euch vielleicht stolz sagen wollen: „Schau mal, das hab ich ganz alleine hinbekommen“.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

2 Kommentare

  1. Wolfgang D. says:

    Langsam holen die früheren Versäumnisse auch die Softwarehersteller, nicht nur Hardwareproduzenten wie Intel, ein. Warum ist nicht längst PGP oder irgendeine freie Signiermöglichkeit in Mailprogramme (und natürlich Webmailer) eingebaut, mitsamt der Sicherheitsstruktur im Netz und einfacher Beantragung für *jeden*? Stattdessen kommt so ein Dreck wie DE-Mail.

    Die Mails vom Bürger-CERT sind alle SMIME signiert, und ich sehe in Outlook sofort die Vertrauenswürdigkeit. Fälschungen haben da wenig Chancen.

  2. Hackfleisch says:

    Es gibt auch für Endkunden und Lieschen Müller ohne jegliche IT Kenntnisse sehr einfache Systeme. T-Online, GMX und Web.de bieten zB Dritten solch eine Verifizierung an. Wenn von meiner Bank oder dem Versandhaus eine Mail kommt, dann steht ein großer, grafischer Haken neben der E-Mail, es wird sehr simpel die Authentizität signalisiert.

    Das Problem ist, dass es – ob so oder anders gelöst ist zweitrangig – keinen einheitlichen Standard gibt und auch keine Pflicht jedes seriösen Anbieters dann nur derartig signierte E-Mails zu versenden.

    In der Tat ein Beispiel von vielen dafür, dass das so mit der IT nicht mehr weiter gehen kann.

    Statt immer mehr und immer schneller sollte immer ausgereifter und immer sicherer angesagt sein. So haben Generationen von ITlern aber gar nicht zu arbeiten gelernt. Es herrscht in der Branche das Ideal der schnell rausgekotzten Beta-Version vor. Hauptsache schnell, schnell. Einzige Ausnahme, die Raumfahrt. Weil dort ein Systemversagen jeglicher Art fast immer Totalverlust bedeutet kommt nur ausführlich getestete Hardware und Software zum Einsatz. Damit ist die Raumfahrttechnik zwar 1-2 Prozessorgenerationen hinter consumer grade Geräten, dafür funktioniert dann halt auch einfach alles, wie es soll.

    Wenn man mir die Wahl lässt hätte ich lieber eine CPU mit der Power von 2014, die dafür ausgereift ist. Die Alternative gibt’s aber gar nicht, alte Gurken sind auch nicht ausgereifter, sobald was auf dem Markt ist wird daran ja nix mehr groß optimiert von der Industrie.

    Und so reifen die Gurken bestenfalls beim Kunden und das Risiko wächst, je mehr von unserem Alltag digitalisiert abläuft.

    Ich hoffe, dass die klagefreudigen Amerikaner die Hersteller an den Rand der Pleite klagen. Vielleicht lernen sie so, dass IT Sicherheit kein Luxus, sondern Pflicht ist. Viele Unbelehrbare denken ja erst um wenn es im Geldbeutel weh tut, das ist bei Firmen ähnlich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.