React: Wie wir betrogen wurden (-45.000€) 

Wäre also für Pietsmiet nichts, die kriegen ja nicht mal ihre Facecams zum laufen

Das ist aktuell aber ein Verlustgeschäft für die Versicherer. Laut GDV-Bericht für 2021 liegt der Schaden-Kostenquote bei 124%, d.h. die Versicherer mussten bei Cyberversicherungen in 2021 ca. 24% mehr Entschädigung auszahlen als sie überhaupt mit den Versicherungsprämien einnehmen. Die machen das wohl trotzdem um da "den Fuß in die Tür zu kriegen" ... wenn das aber so weitergeht, steigen da die Prämien die man zahlen muss sobald die aktuellen Verträge auslaufen. Dass sich was am "Kleingedruckten" ändert und weitere Auflagen hinzu kommen, ist aber auch denkbar.

Ich arbeite bei einer Versicherung in der IT. Tatsächlich sind Cyber Versicherungen wieder auf dem absteigenden Ast (Schweiz). Das Problem ist, dass die Versicherungssumme nicht gut schätzbar ist und somit auch die Prämie fast nicht berechenbar. Das was du gesagt hast stimmt tatsächlich. Wer seine IT Infrastruktur nicht pflegt und seine Mitarbeiter nicht ständig schult und mit fake Attacken testet, erhält keine Versicherung.

Kann ich bestätigen. Wir mussten Kaspersky loswerden weil es ein russisches Produkt ist.

@@crazyzebra6400 genau das wollte ich auch sagen. Je nach Firma kanns halt in den 8-9 steigen Bereich gehen was dann ggf. An Schaden entsteht.

Kurze Frage aus Interesse heraus: Wenn die Bankverbindung nicht via E-Mail-Anfrage des Kontakts vom jeweiligen Produktionspartner geändert wird, wann (bzw. unter welchen Umständen) denn dann?

@@fluffylab Ich kann nur aus meinem Unternehmen sprechen (Bin zwar aus der IT, aber habe zB die Lieferantenstammpflege Projektmäßig betreut) und bei uns ist der Ablauf: Einkäufer (Teilweise vorher noch Mitarbeiter des Einkäufers) -> Einkaufsleitung -> Buchhaltung, und wenn was geändert werden soll dann wird auch immer nochmal ein Briefbogen vom Handelspartner angefordert wo dann alle entsprechenden Werte abgeglichen werden usw. bevor die Änderung dann irgendwann final durch ist.

@@ChrisCore97 Danke für die fixe und nachvollziehbare Antwort/Erklärung. :) - An eine postalische Absicherung hatte ich gar nicht mehr gedacht. ^^'

@@fluffylab Naja der Briefbogen ist natürlich auch per PDF/Fax übertragbar, also auch nicht sicher gegen Fälschung. in welcher Form unser Einkauf die genau anfordert weiß ich jetzt nicht, ist auch denke ich Fallweise anders. Aber eine PDF-Version (von einem Scan/Fax/Mail) wird im Änderungsprozess immer erfasst wenn die Bankverbindung geändert wird. Auch kann ich natürlich nicht sagen ob die vom Einkauf regelmäßig bei den Lieferanten anrufen wenn so Anfragen kommen, da weiß man dann ja in der Regel besser bescheid ob die Bankverbindung wirklich geändert werden soll.

Hatte es so verstanden das ja auch nochmal eine identische Rechnung mit der neuen Bankverbindung der E-Mail beigefügt wurde. Und das Rechnungen per E-Mail versendet werden ist durchaus Standard in der Wirtschaft. 4:14

Naja, EFAIL und Co. haben gezeigt, dass auch signierte E-Mails nicht unbedingt sicher sind bzw. sehr schlecht verifiziert werden (können). Und ich kenne kaum Unternehmen die wirklich auf S/MIME o.ä. setzen, wenn es nicht zwingend vorgeschrieben ist (bspw. aufgrund von rechtlichen Bestimmungen).

Dude wtf😂

einfach DER Kommentare-OG

what zero pussy does to a mf

Schön geschrieben, aber was sind denn nun diese einfachen möglichkeiten um sich davor zu schützen?

Wurde doch berichtigt

@@FanaticBLoB Hm? Im Original Video

@@TheExplodingCore wenn du auf deinen Zeitstempel gehst, steht es oben rechts.

Ist das 'ne Referenz an den Hitman-Joke? "ICH BIN KOMPRIMIERT!" ZIP-Pedda, irgendwann mal, hab's Datum vergessen. XD

@@MyQUAP Jo, stimmt! Ich hatte es dann bei 12:50 nochmal gesehen und da fehlt die Korrektur :D

Flowcrypt addon für gmail dann hat man pgp, müssen halt aber beide Seiten haben. Verstehe aber auch nicht warum sowas nicht schon Standard ist...

" Die Hacker müssten nicht mal Zugriff auf den Mailhoster bekommen. Theoretisch kann jede Mail abgefangen werden." Und wie, ohne dass die Hoster gehackt werden? Zwischen den Hostern ist ja i.d.R. transportverschlüsselt.

@@copy1533 Gerade im Businessbereich hast du immer wieder Unternehmen, die unter ihrer Domain irgendeinen uralten seit Jahren nicht gepatchten Mailserver rumstehen haben, der im Zweifel unverschlüsselt kommuniziert. Würde sogar bei einem primär handwerklichen Betrieb aus Portugal gut passen, aber hier war es natürlich anders.

​@@TheExplodingCore Der eigene Mailserver sollte unverschlüsselt SMTP einfach nicht akzeptieren, da ist die Gegenseite egal. Und sorry, aber das ist absolut nicht realitätsnah. Vor allem diev on dir erwähnten "primär handwerklichen Betrieb[e]" haben doch niemals einen eigenen Mailserver. Mails sind nicht perfekt, aber dank SPF und DKIM muss man nur auf den Absender achten - und alles andere ist Spam.

@@copy1533 Ne das nicht, aber der Chef hat dann irgend einen freundschaftlichen "IT-Kollegen", der ihm als Gefälligkeit den Server stellt oder ähnliche allein aus Datenschutz Gründen wilden Konstellationen. Du führst da sehr gute Punkte an, aber mir reichte an der Stelle, dass alleine die Möglichkeit besteht. Mit einer bewiesen sicheren Signatur wäre das im Video vermeidbar gewesen, wenn es auch ein anderer Angriffsvektor war. Wobei sie es wahrscheinlich auch geschafft hätten die Gegenseite zum Akzeptieren einer/eines neuen Signatur/Zertifikats zu bringen..

selbst 2 Brüder stimmt so nicht mehr ganz, da da ein ganzes Team inzwischen dahintersteckt.

Kann ich bestätigen. Komme nicht mehr in mein Google-Konto weil ich umgezogen bin und keinen Zugriff mehr auf mein altes Handy habe. Leider hat Google auch keinen Support oder ähnliches also keine Chance da dran zu kommen

bei solchen summen einfach mal zum telefonhörer greifen

Nein eigentlich überhaupt nicht. Als Unternehmen die E-Mails über Crowdstrike sichern lassen und alles entspannt. In Deutschland sind sich halt viele zu schade dafür, die paar Euro im Jahr dafür zu zahlen

Zscaler, Atlassian, etc. können des auch

@@aal3x706 SPF, DKIM, Dmarc reicht. Brauchst keine 'professionelle' Tools. Nur den Mail Server richtig konfigurieren

@@dennissc99 naja, hier wirkt das nicht so gelaufen zu sein, denn die E-Mails wurden ja vom richtigen Server versendet. Die Zugangsdaten müssen erbeutet worden sein. Und bei einer neuen Domain hilft dies auch nicht. Hier hilft es nur, dass der E-Mail-Server erkennen kann, wenn so eine verdächtige Weiterleitung eingerichtet wird und der Mensch noch aufmerksamer ist. (Auf das S achten)

Noch dazu gibt es Recoverycodes die man auch sehr einfach über phishing bekommen kann. Für Unternehmen würde ich das nicht empfehlen, bei Privatpersonen sieht es wieder anders aus. Für den Standart user der kein großes Ziel ist ist 2FA mit OTP und google authenticator definitiv eine gute Möglichkeit deutlich sicherer zu sein. Absolute Sicherheit gibt es eh nicht. Man muss den Hürde nur groß genug machen, damit sich ein Angriff nicht lohnt. Bei den meisten Privatpersonen lohnt es sich nicht OTP zu umgehen. Da sind eher die Klassischen Phishing mails ein Problem.

@@McKenzy1971 Am Sichersten ist halt ein Yubikey mit der UFA, aber Selbst google sagt das ihr Authenticator nicht sicher ist, und darum für Google Mitarbeiter sogar verboten ist die müssen YubiKeys oder ähnliche benutzen.

@@tautautaulau Das ist absolut richtig. Nun ist google aber auch ein großes Ziel. Für Stink normale Privatpersonen ist das nicht unbedingt nötig.

Und Mails über geschäftliche Zahlungen immer verschlüsseln

Rein praktisch dürftest du recht haben, wenn der Grundsatz eingehalten wurde: Versand der Ware erst nach Geldeingang. Aber die Frage ist doch: Wer ist Schuld? Der Fehler/die undichte Stelle lag doch auf der Seite des Herstellers bzw. dessen IT-Service/E-Mail-Hoster. Also musste irgendwann die Ware ohne Zahlungseingang versendet werden, spätestens als dann klar war, wo der Betrug angesetzt hat. Ein Hersteller der dann trotz Zahlung des Kunden dennoch einfach keine Ware rausschickt, würde sich ja selbst strafbar machen und zumindest die Geschäftsbeziehung und seinen Ruf aufs Spiel setzen, wenn er dem rechtlichen Anspruch des Kunden auf seine Ware nicht nachkommt. Je nach Herstellungsland und Größe des Schadens könnte es aber womöglich dennoch so laufen, dass man als Auftraggeber am Ende keine Ware bekommt, obwohl man bezahlt hat, und dass man nicht entschädigt wird, obwohl der Fehler nicht beim Auftraggeber lag - könnte ich mir vorstellen, wenn auch nicht unbedingt innerhalb von Europa. Wäre halt die Frage, ob man seinen Rechtsanspruch denn auch im Herstellungsland durchsetzen kann. Die Lieferung wird sich wohl so oder so erheblich verzögert haben, so lange bis der ganze Betrug aufgefallen ist. Mehr oder weniger ärgerlich war es also auf beiden Seiten.

Dann müsste der Betrüger ja den Authentifizierungscode erraten haben, da er wohl kaum Zugang zu deinen SMS hatte, oder? Bei dem Wert hätte man jedenfalls schon mal eine Rechtsschutz-Versicherung in Anspruch nehmen können, falls vorhanden. Wahrscheinlich hätte Steam dann eingelenkt, da es für sie nicht um einen realen materiellen Wert ging. Es hätte nur sicherlich ganz schön Mühe gemacht.

Hast du 2FA mit nen 6 Stelligen Code, den du eingeben musst? Falls ja hast du den auf ner Phishing Website eingegeben? Eine Website, die aussah wie Epic aber nicht Epic war? Oder hast du ne Chrome/Browser Extension installiert gehabt, die evtl Zugriff auf deine Cookies hatte? Durch stehlen von Cookies kann man auch oftmals 2FA umgehen, weil der Browser/Service dann denkt, ach der hatte ja vorher schon mal seinen 2FA code eingegeben, den belästigen wir nicht mehr mit dem Code!

@@Bigjunior987 kann beides möglich sein. Danke für fie Info.

Das sind die selben Leute, die über die Aussage Merkls, das Internet sei Neuland, gelacht haben.

Viele Menschen haben nunmal kein Wissen darüber, was Technisch alles möglich ist. Alleine wenn ich schon sehe wie wenig Menschen Passwortmanager benutzen.

​@@McKenzy1971 sind Passwort Manager den so gut? hab mich nur damit auseinander gesetzt - Papier ftw xd

@@toxicgood9687 Nein, alleine die Tatsache, dass die Passwörter in Klartext gespeichert werden, ist schon Blödsinn hoch 10.

Das Internet ist so komplex und so viele Menschen benutzen es nur als Mittel zum Zweck, ohne sich z.B. für die technischen Hintergründe zu interessieren. Deswegen finde ich das nachvollziehbar, dass die meisten Leute nicht wissen was eine Man-in-the-middle-Attack ist.

Komisch, wo das doch ein richtig geiler Klau war

"relativ" - da stimme ich zu.

F

zeh

Die Piets nicht, vielleicht erinnerst du dich aber an Doktorfroid. Die haben das schon mal angeschaut.

Bin mir ziemlich sicher das die das schon gesehen haben. Oder im Podcast. Da bin ich mir nicht sicher.

@@dimaraid9474 Kommt mir halt echt bekannt vor.

Podcast bin ich nicht up to date. Kann aber auch sein, dass sie im Podcast darüber reden, weil sie das hier im React gesehen haben. React dann älter als der Podcast.

@@vlagun2416 Der Podcast, wo ich zumindest meine das sie darüber geredet haben, ist schon lange her. Oder es eine reaction gewesen. Darauf wollt ich hinaus, aber definitiv haben die es schon einmal gesehen.

Das hätte in dem Fall im Zweifel genau garnichts gebracht.

@@stellarwind932 was genau?

Schau oben rechts

dann schau es nicht

@@drhupi8417 tue ich auch nicht

@@mazrawel Aber Kommentieren für den Algorithmus, um die Jungs dennoch zu unterstützen. Was für eine Ehrenperson!

richtig Ehre