Not a bad #phishing attempt, this time targeting #1Password users.
Google verklagt Phishing-Kartell
Google erhebt Klage gegen die Lighthouse-Gang. Die Klageschrift dokumentiert den Ablauf des Phishing-Betrugs. Bringen wird sie wohl wenig.
#Google #Kriminalität #Phishing #Wirtschaft #ZweifaktorAuthentisierung #news
Hey, look at that — a 🎣 #phishing campaign targeting users of the lovely secure email service @Tutanota hosted on Vercel.
👀
⬇️
https://lookyloo.circl.lu/tree/20844887-8964-4338-a602-3f8af1b43252
https://urldna.io/scan/691491953b77500011582d51
A perfect example of how new hosting platforms offering LLM-powered tools are being abused to craft highly targeted phishing campaigns that perfectly mimic the real service’s identity.
@publicvoit @renchap @gracjan Nice try. Please watch my explanation that I sent to Renaud.
@rmondello @renchap @gracjan To my understanding, some implementations that allow migration of #passkeys to other accounts are prone to #Phishing.
https://arxiv.org/abs/2501.07380
"Another concern could be #socialengineering, where a user is tricked into sharing a passkey with an account controlled by an attacker." -> classic phishing, I'd say.
Convenience vs. #security, the usual trade-off.
According to that, roaming authenticators (classic #FIDO2 USB/NFC devices that are able to handle passkeys) are the only phishing-resistant method.
Still, Passkeys are much better than anything else (except FIDO2 HW tokens, of course) but it seems to be the case that the slogan that passkeys are 100% protecting against phishing isn't true any more.
What are your thoughts on that angle?
heise online
boosted
Am Mittwoch: Der heise security Crashkurs zum Schutz vor Cybercrime
Jetzt noch buchen! Dieses unabhängige und praxisorientierte Webinar erklärt, wie Angreifer vorgehen und wie Sie Ihre IT bestmöglich davor schützen.
#Cybercrime #Cybersecurity #Datensicherheit #IT #Security #Malware #Phishing #Ransomware #news
Am Mittwoch: Der heise security Crashkurs zum Schutz vor Cybercrime
Jetzt noch buchen! Dieses unabhängige und praxisorientierte Webinar erklärt, wie Angreifer vorgehen und wie Sie Ihre IT bestmöglich davor schützen.
#Cybercrime #Cybersecurity #Datensicherheit #IT #Security #Malware #Phishing #Ransomware #news
@matclab La Poste est spécialiste de ça (utiliser plusieurs noms de domaine sans lien entre eux) :-(
@bortzmeyer Alors, après avoir recherché pas mal de choses, j'ai fini par tomber sur cette FAQ du site de la poste : https://aide.laposte.fr/contenu/j-ai-recu-un-sms-ou-un-mail-me-demandant-de-payer-des-droits-de-douane-comment-etre-sur-qu-il-ne-s-agit-pas-d-une-arnaque
Qui ne mentionne des mails en provenance de laposte.fr.
MAIS, qui propose d'aller voir sur l'outil de suivi en ligne pour voir si le numéro de colis est légitime et en attente de paiement des droits de douane : https://www.laposte.fr/outils/suivre-vos-envois
Ils ne réfléchissent pas beaucoup à la cybersécurité à la poste. C'est inquiétant !
On est d'accord qu'un mail de notif-laposte.info@notif-laposte.info qui demande des sous pour la poste, c'est un phishing ? Je poubellise ?
Hmmm, le whois dit que ça appartient au groupe LA POSTE : https://www.whois.com/whois/notif-laposte.info, mais on n'a rien pour en vérifier la légitimité…
@bortzmeyer comment on fait pour lever les doutes dans ce cas ?
Online-Versicherungsschutz greift nicht bei Phishing per SMS
Nicht jeder Schaden, der durch digitale Täuschung entsteht, ist laut Landgericht Bielefeld direkt durch eine Hausratversicherung mit Internetschutz abgedeckt.
#Cybersecurity #EMail #IT #OnlineBanking #Phishing #Wirtschaft #news
Collins Aerospace: Alte Passwörter und verzögerte Reaktion ermöglichen Datenklau
Neue Details zum Cyberangriff auf Collins Aerospace: Alte Passwörter ermöglichten Datenklau, wohl Millionen Passagierdaten betroffen – mehr als nur Ransomware.
#Cyberangriff #Datenleck #Datenschutz #IT #Netzpolitik #Phishing #Ransomware #Sicherheitslücken #Wirtschaft #news
heise online
boosted
LKA Niedersachsen warnt vor Guthabenkarten-Betrugsmasche
Das LKA Niedersachsen sieht eine Häufung von Betrugsversuchen, bei denen Täter sich als Bekannte ausgeben und Guthabenkarten wollen.
LKA Niedersachsen warnt vor Guthabenkarten-Betrugsmasche
Das LKA Niedersachsen sieht eine Häufung von Betrugsversuchen, bei denen Täter sich als Bekannte ausgeben und Guthabenkarten wollen.
So I think I'll need to read up on it a bit. I understand that "Passkeys" try to do something similar as SSH pubkeys.
But do you know a good technical explainer of what's going on and how it works?
(Yes, I could search myself but I am looking for recommendations of articles you have read that you found helpful and clear.)
EDIT: https://passkeys.io did make some things clearer.
@tante Ich habe auf https://karl-voit.at/FIDO2-vs-Passkeys/ zu #Passkeys und #FIDO2 gebloggt und u.a. auch erklärt, weshalb Passkeys in immer mehr Situationen leider nicht mehr gänzlich gegen #Phishing schützen, FIDO2 meiner Meinung nach aber sehr wohl.
D.h. die Hardware-Tokens liefern aktuell den einzig wasserdichten Schutz gegen Phishing. Trotzdem haben Passkeys viele Vorteile gegenüber den üblichen Methoden wie #TOTP, #TAN via #SMS oder #Email, ...
Possible Phishing 🎣
on: ⚠️hxxps[:]//home1448[.]godaddysites[.]com
🧬 Analysis at: https://urldna.io/scan/68eb9ca73b7750258490ad21
#cybersecurity #phishing #infosec #urldna #scam #infosec
Shauna GM
boosted
🎣 Phishing Alert!
Malicious attackers use lookalike domains to trick you into clicking fake links. These sites steal logins, banking info & more.
🛡️ Stay safe:
🔹 Double-check URLs
🔹 Don’t log in via links
🔹 Bookmark official sites
👉 Check the full guide: https://tuta.com/blog/how-to-prevent-phishing
Stay alert this #CyberSecurityMonth
🎣 Phishing Alert!
Malicious attackers use lookalike domains to trick you into clicking fake links. These sites steal logins, banking info & more.
🛡️ Stay safe:
🔹 Double-check URLs
🔹 Don’t log in via links
🔹 Bookmark official sites
👉 Check the full guide: https://tuta.com/blog/how-to-prevent-phishing
Stay alert this #CyberSecurityMonth
sjvn
and 2 others
boosted
Hello all.
Mastodon does NOT solicit paid verification.
Looks like there’s a new version of the fake ‘Mastodon Team’ phishing attempts that are targeting new users by replying to Introduction posts.
Again, please alert new users, and please report and block this fraudulent account.
![A phishing post with a link for the unwary from a new so-called ‘Mastodon Team’ account. It reads “ Hello, dear Mastodon user! We've noticed your activity on our forum and are ready to offer you cooperation. To proceed, please complete the verification using the link that our assistant will send you below. [bad link] Once verified, you will be able to receive monthly payments from our company. Thank you for everything, Mastodon!”](https://cdn.tenforward.social/media_attachments/files/115/323/014/134/522/248/original/21a405b8faca2763.png)
Hello all.
Mastodon does NOT solicit paid verification.
Looks like there’s a new version of the fake ‘Mastodon Team’ phishing attempts that are targeting new users by replying to Introduction posts.
Again, please alert new users, and please report and block this fraudulent account.
Yikes. Here’s another new fraudulent account to report and block. Same M.O., same phishing message.
Seems like we’ve got a new wave of these.
Report, block and warn please.
![A phishing post with a link for the unwary from a new so-called ‘Mastodon Team’ account. It reads “ Hello, dear Mastodon user! We've noticed your activity on our forum and are ready to offer you cooperation. To proceed, please complete the verification using the link that our assistant will send you below. [bad link] Once verified, you will be able to receive monthly payments from our company. Thank you for everything, Mastodon!”](https://cdn.tenforward.social/media_attachments/files/115/323/716/043/096/072/original/c29da243a208a34c.jpeg)