Hallo Ralf,
- Keylogging im Internetcafe
wie viele Internetcafes gibt es noch?
War von mir stellvertretend auch für andere Geräte genannt, die ich nicht unter Kontrolle habe: in Schule, Universität, Bibliotheken, Lounges usw.
Leider gibt es ganz wenige Dienste, die hierfür die alternative Verwendung von Einwegkennworten zulassen.
- Belauschen von unverschlüsselten Zugriffen aufs Postfach
technisch von wem machbar?
Gerade in vielen technisch nicht ganz aktuellen WLAN-Hotspots noch ohne technischen Background machbar. Einfach Schnüffelprogramm downloaden und starten.
kannte ich bislang nicht, sehe aber auch kaum Potential
Oh, wenn Dich Deine Unkenntnis nicht hier zu einer Fehleinschätzung verleitet. Denn das sind sehr erfolgreiche Ansätze, weil sie weitgehend unabhängig von der verwendeten Plattform sind. Das betrifft somit auch vorgeblich sichere Betriebssysteme und Browser, weil der Client überhaupt nicht befallen wird und es keine Spuren (außer temporären Browser-Cache oder Logs) hinterlässt. Und somit gehen alle gewöhnlichen Schutzmechanismen wie Virenscanner ins Leere. Man bedient sich einfach der Designfehler.
Zwar setzen diese Angriffe voraus, dass man den Benutzer auf die falsche Seite lockt, aber dafür gibt es zahlreiche, praxisbewährte Verfahren. Und die üblichen Indikatoren schlagen keinen Alarm.
Die aktuelle Abmahnwelle zum Pornostreaming hat gezeigt, wie viele erfolgreiche Entführungen man allein durch Vertipperdomänen erreicht.
- Mehrfachverwendung von Kennworten
führt höchstens zu mehrfachen Treffern
Hierbei hast Du mich offenkundig missverstanden. Denn ich denke an andere Dienste. Nicht wenige Benutzer verwenden das Kennwort beim Mailprovider auch in Foren, Onlineshops usw… Bei Datenraub in Sonys Playstation-Netzwerk ist genau das gemacht worden: Man hat die Daten an einer schlecht geschützten Stelle kopiert und dann bei gängigen Anwendungen (Mail, ebay usw.) ausprobiert. Es reicht ja schon, wenn ein paar Prozent Treffer gelandet werden, wenn die Datenbank Millionen von Zugangsdaten enthält.
Ich weiß nicht einmal, woher das BSI weiß, ob die Mailkonten
zu echten Identitäten gehören oder auf Vorrat angelegte Dummys
sind.
Ich fragte mich, woher das BSI wissen will, ob die gehackte Mailadresse [email protected] tatsächlich einer realen Person gehört und nicht von einem Bot angelegt wurde, der für zufällige Vornamen/Nachnamen-Kombinationen schon 2010 bei Yohaa 50.000 neue Adressen generiert hat.
Die Methodik des BSI ist meines Erachtens sehr professionell. Sie hätten hier nur eine bessere Skalierung gebraucht, damit die Seiten nicht beim Rush abschmiert.
Ich rechne trotzdem damit, dass in den nächsten Tagen gehäuft Spams bei meinen Adressen auflaufen, die vorgeblich vom BSI kommendend Schadsoftware im Gepäck haben.
Wie zu erwarten, kriege ich von denen keine Antwort ;-(
Was auch richtig so ist. Schließlich ist das BSI nicht daran interessiert, millionenfach Mails zu verteilen und von Leuten Rückfragen zu erhalten, die ihre Mailadresse gar nicht selbst dort eingegeben haben. Es reichen wahrscheinlich schon diejenigen, die den detailliert beschriebenenen Prozess nicht gelesen oder nicht verstanden haben 
Bei der Überprüfung teilt das BSI eine Kennung mit. Dient die
dazu, dem Empfänger das gefundene Kennwort zu zeigen?
Nein. Das dient dazu, damit auch Menschen ohne PGP-Kenntnis feststellen können, ob die antwort vom BSI oder aus den Karpaten kommt. Nur mit der Kennung im Betreff ist die Antwort echt.
Ciao, Allesquatsch
