Ein wunder Punkt bei Online-Werbung sind etwa oftmals betrügerische Anpreisungen von vermeintlich sicheren Geldanlagen, bei denen die kriminellen Drahtzieher auf Namen und Gesichter prominenter Mitbürger setzen. Einige der Unternehmen, die diese Werbung ausspielen, reagieren jedoch nur langsam auf die Meldung derartiger Betrugsversuche. Insbesondere Meta fällt hier negativ auf, wie das Unternehmen Leakshield festgestellt hat.

Das Softwareunternehmen sucht für seine Kunden unter anderem nach betrügerischer Werbung in sozialen Netzwerken und versucht, deren Löschung zu veranlassen. Solche Werbeanzeigen sind auf diversen Plattformen von großen Playern platziert, etwa auch bei Google. Besonders perfide: Die einzelnen geschalteten Werbebilder sind jeweils nur wenige Stunden geschaltet – in der offiziellen Meta Ads Library lässt sich nachvollziehen, dass diese Werbungen lediglich eine bis zwölf Stunden aktiv gesetzt sind – und werden in rascher Folge ersetzt. Dadurch sinkt die Wahrscheinlichkeit, schnell entdeckt und frühzeitig blockiert zu werden, jedoch gelingt dies Unternehmen mit spezialisierten Tools.

Wenn eine Meldung so einer Werbung als betrügerisch erfolgt, sollte diese also rasch entfernt werden. Sonst laufen diejenigen, die sie angezeigt bekommen, Gefahr, Opfer der Betrugsmasche zu werden.

Langsame Löschung trotz verlässlicher Meldungen

Insbesondere, wenn es sich um verlässliche Berichte handelt, die sich etwa mit einer sehr hohen Takedown-Quote durchaus belegen lassen, sollten Plattformen, die solche Werbung schalten, schnell reagieren. Anders als etwa bei Google dauert es bei Meta / Facebook jedoch im Median etwa 12 Tage, bis Scam-Werbung mit Frank Thelen gelöscht wird. Missbrauchen die Kriminellen den Namen und das Antlitz von Dirk Müller, sind es noch 4 Tage (Median), bis die Werbung von Meta verschwindet Wohlgemerkt, sie ist dann bereits ohnehin nicht mehr aktiv geschaltet.

Nicht nachvollziehbar ist dabei, dass die MD5-Checksummen der Werbebilder nach einer Sperrung nicht gefiltert werden. Die wiederholen sich, merkt Leakshield gegenüber heise online an, auch bei später geschalteter Scam-Werbung.

Hier gibt es offenbar noch deutlichen Nachholbedarf seitens Meta. Andere Marktbegleiter zeigen, dass das schneller und kundenfreundlicher geht.

(dmk)

Der Netzwerkausrüster Cisco schließt mit Sicherheitsupdates verschiedene Schwachstellen in seinen Firewalls und dazugehöriger Software. Nach erfolgreichen Attacken auf die Lecks können Angreifer Geräte im schlimmsten Fall vollständig kompromittieren. Auch wenn es derzeit noch keine Berichte zu laufenden Attacken gibt, sollten Admins mit dem Patchen nicht zu lange zögern.

Einbruch in Netzwerke möglich

Als am gefährlichsten gilt eine „kritische“ Sicherheitslücke (CVE-2025-20265) mit Höchstwertung (CVSS Score 10 von 10). Sie betrifft das Secure Firewall Management Center. Die Schwachstelle findet sich der Warnmeldung zufolge in der Art der Implementierung des Authentifizierungsstandards RADIUS. Systeme sind Cisco zufolge aber nur verwundbar, wenn für das Webmanagementinterface RADIUS und/oder SSH-Management aktiv sind.

Weil Nutzereingaben bei der Authentifizierung nicht ausreichend überprüft werden, können Angreifer mit bestimmten Anfragen an der Lücke ansetzen und nach einer erfolgreichen Attacke Befehle mit hohen Nutzerrechten ausführen. Aufgrund der kritischen Einstufung und der zentralen Rolle einer Managementlösung ist davon auszugehen, dass Angreifer so Netzwerke kompromittieren können.

Kunden mit Supportvertrag sollen das Sicherheitsupdate automatisch erhalten. Wer eine solche Option nicht gebucht hat, muss in der Warnmeldung einige Angaben machen, um den Patch zu bekommen.

DoS-Attacken

Viele weitere Schwachstellen sind mit dem Bedrohungsgrad „hoch“ eingestuft. In den meisten Fällen können Angreifer DoS-Zustände herbeiführen, was Abstürze auslöst (etwa CVE-2025-20222). Weiterführende Informationen zu den Lücken und Sicherheitsupdates finden Admins in den unterhalb dieser Meldung verlinkten Warnmeldungen.

Liste nach Bedrohungsgrad absteigend sortiert:

Im Juli musste Cisco Sicherheitsmeldungen zu kritischen Schwachstellen in der Cisco Identity Services Engine anpassen. Updates für die kritischen Sicherheitslecks standen zwar bereit, allerdings wurden sie kurz nach Bekanntwerden auch im Internet attackiert.

(des)

Der Anbieter für Finanzsoftware zur Lohnabrechnung oder für Human Resources (HR) Infoniqa wurde Ziel eines Cyberangriffs. Es kam offenbar zu Störungen der cloudbasierten Dienste. Die sollen inzwischen jedoch wieder verfügbar sein.

Auf Anfrage von heise online nennt Infoniqa als Angriffszeitpunkt die Nacht von Sonntag, den 3. August, auf Montag, 4. August. „Wir haben ihn am Montagmorgen erkannt und sofort unsere für solche Fälle vorbereiteten Schutzmaßnahmen ausgeführt. Teil davon war es unter anderem, die betroffenen Systeme herunterzufahren und zu trennen“, sagte ein Unternehmenssprecher.

„Produkte und Lösungen von Infoniqa in Deutschland und Österreich standen den Kunden durchgehend zur Verfügung, etwaige technische Einschränkungen konnten per Dienstag, 12.8., gelöst werden“, führt er weiter aus. Das fehlende „Die“ am Anfang dieses Satzes scheint jedoch wichtig: Infoniqa benennt selbst technische Einschränkungen. Uns liegt zudem ein Leserhinweis vor, dass die Dienste für ihn über eine Woche lang nicht nutzbar waren.

„ONE Start Cloud“ nicht nutzbar

Auch die weitere Stellungnahme vernebelt den Blick auf die tatsächlichen Auswirkungen. Demnach waren „In der Schweiz […] alle Systeme und Dienstleistungen für unsere Kunden zu jeder Zeit ohne Einschränkungen funktionsfähig und sicher“ – jedoch „mit Ausnahme von ONE Start Cloud, für das wir operative Alternativen zur Verfügung stellen konnten“.

Zur Ursache möchte sich Infoniqa während der laufenden Untersuchungen des IT-Vorfalls noch nicht äußern. „Externe Cyber Security Experten und Forensiker analysieren derzeit den Incident. Dabei gilt durchgängig Gründlichkeit vor Geschwindigkeit“, erörtert der Infoniqa-Sprecher. Daher könne das Unternehmen etwa auch noch keine Angaben dazu machen, ob und welche Daten abgeflossen sind.

In einer Benachrichtigungsmail an Kunden hat Infoniqa zudem erwähnt, dass die On-Premises-Installationen nicht eingeschränkt waren, auch von ONE Start nicht. Demnach waren folgende Dienste ohne Einschränkungen weiter nutzbar: ONE Start on premises, ONE 50 Cloud und on premises, ONE 200 Cloud und on premises sowie RunMyPayroll.

(dmk)