Wer einmal mit Handelsregister-Eintragungen zu tun hatte kennt die phishy Rechnungen und Zahlungsaufforderungen von “Trittbrettfahrern”. Trotz einer Fülle von Transparenzgesetzen und Dokumentationspflichten, wollen solche “Geschäftsmodelle” einfach nicht versiegen. Eine vergleichbare Masche habe ich kürzlich bei einem Kunden entdeckt: Per Post kam eine Rechnung mit erstaunlich genauen Details: Vom Aussehen, den Kontaktdaten, der Abteilung bis hin zu E-Mail und Telefon-Durchwahl des Ansprechpartners stimmte alles. Weiterlesen

Just gestern bei einem der typischen “wir gehen all-in auf Microsoft” Unternehmen passiert: Meine Email kam nicht durch. Der Blick in die Fehlermeldung offenbart die Fehlkonfiguration des Mailservers. EMails werden “im Namen” des Absenders neu versendet, was natürlich an der gesetzten DMARC-Policy effektiv verhindert wird. Den gleichen Schmus versuchen auch Betrüger mit ihren Phishingversuchen. Weiterlesen

Jüngstes Beispiel zur Widerlegung von Security through Obscurity: Ein kleines C++ Programm von Arsenii Esenin zur Deaktivierung des Windows Defenders. Das geschieht durch eine nicht dokumentierte WSC API, die jeder AV-Hersteller zur Installation seiner Software aufrufen muss. Der Windows-Defender macht anschliessend Platz für das Schlangenöl des Drittanbieters. Weiterlesen

Satya Nadella sagt im Video zur Recall Produkteinführung: “We promise to make Recall super secure. Nobody will be able to access it.” Das ist das “Security above else” Versprechen von Nadella und Microsoft. Eine glatte Lüge wie Kevin Beaumont aka GossiTheDog aufzeigt. Er hat einen ersten Blick auf Recall werfen können: Weiterlesen