Autor: Felix Bauer

Der berüchtigte Enkeltrick hat eine neue Dimension erreicht. Cyberkriminelle nutzen zunehmend hoch entwickelte künstliche Intelligenz (KI), um die Stimmen vermeintlich hilfsbedürftiger Verwandter täuschend echt zu imitieren, was zu noch überzeugenderen Betrugsversuchen führt.

Mit nur 30 Minuten Audiomaterial kann eine KI ein komplettes Stimmprofil einer Person erstellen. Je mehr Audiomaterial zur Verfügung steht, desto genauer wird die Imitation und desto schwieriger wird es für potenzielle Opfer, Unstimmigkeiten in der imitierten Stimme zu erkennen.

Dank sozialer Medien ist es für Cyberkriminelle einfach, an das benötigte Audiomaterial zu gelangen. Die verwendeten KI-Modelle können nicht nur Stimmhöhe, Tonfall und regionale Dialekte imitieren, sondern auch individuelle Phrasen und Sprachmuster.

Der amerikanische Netzwerksicherheitsspezialist McAfee hat einen alarmierenden Bericht mit dem Titel "Beware the Artificial Impostor" veröffentlicht. Demnach gaben 25 Prozent der Befragten an, bereits mit einem solchen KI-basierten Stimmbetrug konfrontiert worden zu sein.

Fast die Hälfte der Befragten gab an, bei verschiedenen Notfällen wie Autounfällen, Diebstahl oder verlorenem Portemonnaie helfen zu würden, wenn sie einen Anruf bekämen.

Und diese Betrugsmasche ist nicht nur auf Privatpersonen beschränkt, auch Unternehmen sind potenzielle Ziele. Viele Geschäftstransaktionen werden per Telefon oder Voicemail abgewickelt und stellen somit ein Einfallstor für Kriminelle dar.

IT-Sicherheitsforscher des britischen Unternehmens Jumpsec haben eine bisher unentdeckte Schwachstelle in der beliebten Kommunikationssoftware Microsoft Teams identifiziert, die Angreifern Tür und Tor öffnet, um Malware an Nutzer zu versenden. Die Schwachstelle tritt in der Standardkonfiguration von Teams auf und umgeht den üblichen Phishing-Schutz.

Laut den Sicherheitsexperten von Jumpsec liegt das Problem in der Art und Weise, wie Teams externe und interne Kontakte filtert. Die Filterung erfolgt clientseitig und durch das Vertauschen der internen und externen Empfänger-IDs in einer POST-Anfrage kann diese Sicherheitsmaßnahme leicht umgangen werden. Dies ermöglicht es Benutzern außerhalb des Unternehmens, Dateien an Mitarbeiter des Unternehmens zu senden, was es Cyberkriminellen leicht macht, Opfer zu finden und ihnen Schadcode unterzuschieben.

Obwohl Teams bei Kontakten von außerhalb der Organisation eine Warnung anzeigt, wird diese oft ignoriert. Das macht die Schwachstelle besonders gefährlich, vor allem in Kombination mit der Verwendung von Typosquatting-Domains.

Microsoft hat die Schwachstelle zwar bestätigt, hält sie aber nicht für schwerwiegend genug, um sofortige Sicherheitsupdates zur Verfügung zu stellen. Dies hat die Forscher dazu veranlasst, Unternehmen und Anwendern dringend zu empfehlen, zu prüfen, ob der Kontakt mit externen Parteien über Teams unbedingt notwendig ist. Ist dies nicht der Fall, sollte der Zugriff im Teams Admin Center unter "Externer Zugriff" eingeschränkt werden.

Microsoft Teams hatte in der Vergangenheit bereits mehrfach mit Sicherheitsproblemen zu kämpfen. In einem früheren Fall wurden beispielsweise Microsoft Token unverschlüsselt gespeichert, was Angreifern den Zugriff auf Microsoft-Dienste der Nutzer ermöglichte.

Der Hersteller Fortinet hat auf eine kritischen Sicherheitslücke in FortiNAC aufmerksam gemacht. Böswillige Online-Akteure können diese Schwachstelle ausnutzen, um bösartigen Code einzuschleusen und auszuführen, wodurch Netzwerke und Daten einer erheblichen Gefahr ausgesetzt werden.

Fortinet hat reagiert und neue Softwareversionen zur Verfügung gestellt, die die Sicherheitslücken beheben. Die erste Schwachstelle (CVE-2023-33299, CVSS 9.6, kritisch) basiert auf der Deserialisierung von nicht vertrauenswürdigen Daten, wodurch unautorisierte Benutzer Befehle oder Code einschleusen und ausführen können. Die Ausnutzung dieser Schwachstelle erfolgt typischerweise durch präparierte Anfragen an den Dienst, der auf TCP-Port 1050 lauscht.

Zusätzlich wurde eine zweite, mittelschwere Sicherheitslücke (CVE-2023-33300, CVSS 4.8, mittel) identifiziert, die es Angreifern erlaubt, Befehle in den FortiNAC-Dienst einzuschleusen, der auf TCP-Port 5555 lauscht. Dadurch können nicht authentifizierte Benutzer lokale Dateien auf dem Gerät in andere lokale Verzeichnisse kopieren. Der Angreifer muss jedoch über ausreichende Rechte verfügen, um auf das Gerät zugreifen zu können.

Beide Schwachstellen betreffen eine Reihe von FortiNAC-Versionen, darunter 9.4.0 bis 9.4.2, 9.2.0 bis 9.2.7, 9.1.0 bis 9.1.9 sowie verschiedene ältere Versionen. Fortinet hat aktualisierte Versionen zur Verfügung gestellt, die die Schwachstellen beheben, darunter FortiNAC 9.4.3, 9.2.8, 9.1.10 und 7.2.2.

IT-Verantwortliche werden dringend aufgefordert, die bereitgestellten Updates umgehend herunterzuladen und zu installieren.

Sicherheitsforscher haben im Auftrag von NordVPN im Darknet auf acht großen Marktplätzen einen riesigen Datensatz mit Kreditkarteninformationen entdeckt. Der Datensatz enthält vertrauliche Details wie Adressen, Telefonnummern und E-Mail-Adressen, die für Cyberkriminelle von großem Wert sein können. Diese Daten könnten potenziell dazu verwendet werden, Kreditkarten zu belasten oder Phishing-Angriffe durchzuführen.

Der durchschnittliche Preis für diese gehackten Informationen variiert je nach Herkunftsland. Daten von deutschen Kreditkarten wechseln im Darknet für durchschnittlich 4,34 € den Besitzer. Am attraktivsten scheinen jedoch Daten von dänischen Karten mit einem Durchschnittspreis von 10,73 € zu sein.

Interessanterweise stammen mehr als die Hälfte der insgesamt sechs Millionen analysierten Datensätze aus den USA, obwohl sie einen geringeren Preis erzielen als ihre dänischen Pendants. Die Untersuchung ergab, dass etwa 62,8% der in der Datenbank gefundenen Karten gehackt wurden, während der Rest wahrscheinlich das Ergebnis von Datenlecks ist.

Apple hat vor kurzem eine Reihe wichtiger Sicherheitsupdates für seine gesamte Produktpalette veröffentlicht, darunter iPhones, iPads, Macs und Apple Watches. Die Updates betreffen auch ältere Geräte und werden dringend empfohlen, um bekannte Sicherheitslücken zu schließen, die aktiv für Angriffe ausgenutzt wurden.

Die identifizierten Schwachstellen befinden sich im Kern der Betriebssysteme und in WebKit, Apples eigener Browser-Engine. Diese Lücken könnten es Cyber-Angreifern ermöglichen, Schadcode einzuschleusen und möglicherweise vollständigen Zugriff auf die betroffenen Geräte zu erlangen.

Das Sicherheitsteam von Kaspersky hat diese Schwachstellen entdeckt und gemeldet. Es stellte sich heraus, dass sie der Haupteinfallstor für die Überwachungssoftware TriangleDB waren. Angriffe mit dieser Software richteten sich hauptsächlich gegen ältere iOS-Versionen vor 15.7.

"MOVEit", die beliebte Dateiübertragungssoftware, die von vielen Unternehmen und Dienstleistern für den sicheren Datentransfer genutzt wird, ist derzeit in den Schlagzeilen, nachdem eine schwerwiegende Sicherheitslücke entdeckt wurde. Diese ermöglichte es Hackern, eigenständigen Code auf den betroffenen Servern zu implementieren und auszuführen.

Die Ransomware-Gruppe Cl0p nutzte diese Schwachstelle aus und startete eine groß angelegte Angriffswelle, die während des Memorial Day in den USA ihren Höhepunkt erreichte. Zu den Opfern gehörten sowohl US-Regierungsstellen als auch eine Vielzahl globaler Unternehmen.

Die Kriminellen hatten Zugriff auf alle Daten, die mit "MOVEit" übertragen und auf den Servern gespeichert wurden. Derzeit erpressen sie die betroffenen Unternehmen mit der Drohung, die gestohlenen Daten zu veröffentlichen.

Eine vorläufige Liste der betroffenen Unternehmen wurde bereits im Darknet gefunden. Darunter befinden sich US-Finanzunternehmen und internationale Größen wie BBC, British Airways, NortonLifeLock und Shell.

Betroffen ist auch das große Preisvergleichsportal Verivox.

Ein Datenleck bei einem IT-Dienstleister der Barmer Krankenkasse hat dazu geführt, dass vertrauliche Kundendaten in die Hände Unbefugter gelangt sind. Betroffen waren Kunden, die am Bonusprogramm der Krankenkasse teilgenommen hatten, das in Partnerschaft mit dem betroffenen IT-Dienstleister betrieben wird.

Die Barmer Krankenkasse hat damit begonnen, die betroffenen Kundinnen und Kunden schriftlich über den Datenschutzvorfall zu informieren, um ihren Verpflichtungen aus der Datenschutz-Grundverordnung (DSGVO) nachzukommen. Der Vorfall ereignete sich am 31. Mai und wurde der Krankenkasse am 16. Juni gemeldet. Am darauffolgenden Tag informierte die Barmer in einer Pressemitteilung die Öffentlichkeit.

Derzeit prüft die Barmer, ob durch das Leck auch auf den eigenen Datenbestand zugegriffen werden konnte. Die eigenen IT-Systeme der Krankenkasse sind nach derzeitigem Kenntnisstand jedoch nicht betroffen und die Sicherheitslücke wurde inzwischen geschlossen.

Bei den abgeflossenen Daten handelt es sich um Name, Vorname, Krankenversicherungsnummer, Prämienhöhe und Bankverbindung (IBAN) der betroffenen Kundinnen und Kunden. Die Barmer hat sofort nach Bekanntwerden des Vorfalls die Verbindung zu dem betroffenen IT-Dienstleister gekappt.

Weitere Details über den Angriff und die ausgenutzte Sicherheitslücke sowie die genaue Anzahl der Betroffenen liegen derzeit noch nicht vor.

Der Vorfall macht deutlich, dass IT-Dienstleister im Gesundheitswesen und in anderen Branchen attraktive Ziele für Cyberkriminelle sind. Hier lagern große Mengen an Kundendaten, deren Diebstahl bei einem erfolgreichen Angriff weitreichende Folgen haben kann.