Datenschutz & Sicherheit
Immer mehr Spuren beim Messenger-Phishing weisen auf Russland
Die Hinweise auf eine russische Urheberschaft der Phishing-Attacken auf die Messenger Signal und WhatsApp verdichten sich. Das Medienhaus Correctiv hat nun den Angriff auf den früheren Vizepräsidenten des Bundesnachrichtendienstes, Arndt Freytag von Loringhoven, ausgewertet und ist dabei auf digitale Spuren gestoßen, die nach Russland führen.
Seit Monaten werden vorrangig Personen aus Politik, Militär und Journalismus gezielt mit einer Phishing-Attacke auf den Messengern Signal und WhatsApp angegriffen, wie netzpolitik.org im Januar berichtete. Anfang Februar warnten der deutsche Verfassungsschutz und das BSI vor dem Angriff und verwiesen auf „wahrscheinlich staatlich gesteuerte Cyberakteure“.
Nachdem niederländische Geheimdienste den Angriff Russland zugeschrieben hatten, veröffentlichte netzpolitik.org weitere Hinweise auf diese Spur, deren Muster sich zudem in Belarus und Armenien beobachten lässt. Am vergangenen Freitag haben nun auch das US-amerikanische FBI und die IT-Sicherheitsbehörde CISA die Attacke russischen „Cyberakteuren“, die mit russischen Geheimdiensten in Verbindung stünden, zugeschrieben.
Russisches Hosting und Phishing-Programm
Die Recherche von Correctiv untermauert nun diese Behauptung. So konnte Correctiv die laufende Angriffswelle in Deutschland mit früheren Kampagnen in der Ukraine und Moldau in Verbindung bringen. Zudem konnte Correctiv die Nutzung des russischen Hosting-Dienstleisters Aeza und den Einsatz eines russischen Phishing-Programms Defisher nachweisen. In Kombination mit dem politischen Zuschnitt spreche dies dafür, dass es sich um eine zusammenhängende politische Kampagne handle, die ihren Ursprung in Russland habe, folgern die Rechercheure.
Eine Auftraggeberschaft des russischen Staates kann dies nicht beweisen. Die eindeutige Attribution ist bei Hackerangriffen in der Regel sehr schwierig, da es viele Faktoren gibt, um die Herkunft eines Angriffs zu verschleiern oder falsche Fährten zu legen. Dazu kommen politische Interessen bei der Zuweisung der Urheberschaft und der Drahtzieher, die sich in einer militärischen Auseinandersetzung wie dem Angriffskrieg gegen die Ukraine noch verschärfen.
Wir sind communityfinanziert
Unterstütze auch Du unsere Arbeit mit einer Spende.
Wie kann man sich schützen?
„Diese Angriffe nutzen keine Schwachstelle in der Signal-Anwendung selbst aus. Signal ist nach wie vor eine der sichersten und am weitesten verbreiteten verschlüsselten Messaging-Apps“, sagte Donncha Ó Cearbhaill, Leiter des Security Lab bei Amnesty International im Januar gegenüber netzpolitik.org.
Von Signal selbst hieß es damals gegenüber netzpolitik.org: „Signal wird Sie niemals in irgendeiner Form über einen Zwei-Wege-Chat innerhalb der App kontaktieren.“ Zudem sollten die Nutzer:innen die Registrierungssperre aktivieren. Das geht unter „Einstellungen“ –> „Konto“ und dann den Schieberegler bei „Registrierungssperre“ aktivieren. Zudem sagt Signal: „Geben Sie Ihre Signal-PIN oder Registrierungssperre niemals an Dritte weiter.“
Wenn eine Nachricht eines bislang unbekannten Accounts mit dem beschriebenen oder einem ähnlichen Inhalt ankommt, sollte man die ankommende Nachricht „melden“ und dann „melden und blockieren“ klicken. In keinem Fall sollte man den Anweisungen folgen, weil Signal niemals Nutzer:innen auf einem solchen Weg kontaktieren würde.
Sollte in Chats die Nachricht auftauchen, dass sich die Sicherheitsnummer eines Kontakts geändert hat, bedeutet das häufig nur, dass dieser ein neues Handy hat. Dennoch sollte man immer in solchen Situationen auf einem anderen Kanal als dem Signal-Textchat bei dem betreffenden Kontakt nachfragen, warum sich dessen Sicherheitsnummer geändert hat.
Für die Überprüfung eignet sich in der Regel ein Telefonat oder noch besser ein Videotelefonat. Ratsam ist zudem, sich alle mit Signal verbundenen eigenen Geräte anzeigen zu lassen und nicht mehr benötigte zu löschen.
Datenschutz & Sicherheit
Sichere API-Zugriffe für Agenten mit Postman Passport
Postman, Hersteller des gleichnamigen API-Entwicklungs-Tools, führt mit Passport ein sicheres Zugangssystem für APIs ein. Es basiert nicht mehr auf Zugangsschlüsseln (API-Keys, Credentials), die jeder verwenden kann, der sie besitzt – also auch Einbrecher. Sondern es führt eine Zugangskontrolle mit individuellen Zertifikaten ein.
Weiterlesen nach der Anzeige
API-Nutzer sind dabei kryptografisch eindeutig identifiziert und bekommen Zugänge von Postman granular und kontrolliert freigeschaltet. Der private Schlüssel verbleibt jeweils beim Nutzer, sodass niemand anderes die zugehörigen Zugangsschlüssel verwenden kann. Die Zugangsprüfung findet in einem speziellen Postman-Proxy innerhalb des Kundennetzwerks statt.
Privater Schlüssel und der Zugangs-Proxy verbleiben in der Umgebung des API-Nutzers.
(Bild: Postman)
Postman prüft das Zertifikat des Kunden und erteilt dauerhaften oder temporären Zugang zu API-Endpunkten. Agenten können Zugänge an Unteragenten weitergeben, aber nur kurzzeitig im zertifizierten Bereich. Unternehmensweite Access Points lassen sich ebenfalls in das System integrieren.
Ein Zugriff am Proxy vorbei ist nicht möglich. Über die Zertifikate lassen sich auch feingranulare Zugriffsmodelle auf Endpunkte umsetzen.
Immer mehr API-Aufrufe durch Agenten
Postman reagiert damit auf die zunehmende und unkontrollierte Verbreitung von API-Credentials, die oft nur in Profilen, Textdateien oder YAML-Konfigurationen vorliegen und von Entwicklern im Alltag oft schnell hin- und herkopiert werden, gerne auch über Git, MS Teams oder Slack. Während eines Einsatzes findet sich ein Schlüssel laut Postman an acht Plätzen in einem Rechner und wird so zur leichten Beute für Angreifer.
Weiterlesen nach der Anzeige
Der zunehmende Einsatz von KI-Agenten im Entwicklungszyklus von Software erhöht diese Risiken noch, da Agenten selbsttätig mit den Schlüsseln umgehen und diese eventuell in der Infrastruktur oder an Unteragenten weitergeben.
Das neue System von Postman erhöht durch den Proxy zwar den Aufwand im Unternehmen, löst aber eine Reihe von Sicherheitsproblemen.
Lesen Sie auch
(who)
Datenschutz & Sicherheit
Ubiquiti UniFi OS-Sicherheitslücken werden angegriffen
Seit Ende Mai 2026 sind kritische Sicherheitslücken in Ubiquiti UniFi OS bekannt. Der Hersteller hat dort aktualisierte Software bereitgestellt, um die Lecks abzudichten. Das nehmen einige Admins offenbar nicht ernst, denn nun wurden Angriffe in freier Wildbahn auf die Schwachstellen beobachtet.
Weiterlesen nach der Anzeige
Davor warnt die US-amerikanische Cybersicherheitsbehörde CISA nun. Sie hat die drei kritischen Sicherheitslücken im Ubiquiti-Betriebssystem in den „Known Exploited Vulnerabilities“-Katalog aufgenommen, was heißt, dass die Behörde Kenntnis von darüber attackierten Installationen hat. Es handelt sich gleich um drei kritische Sicherheitslücken in Ubiquiti UniFi OS, die nun angegriffen werden.
Drei kritische Sicherheitslücken
Angreifer mit Zugriff auf das Netzwerk können etwa an einer unzureichenden Zugriffskontrolle von UniFi-OS-Geräten ansetzen und unbefugt Änderungen daran vornehmen (CVE-2026-34908, CVSS 10.0, Risiko „kritisch“). Eine Path-Traversal-Schwachstelle ermöglicht bösartigen Akteuren zudem, auf Dateien aus dem zugrundeliegenden Betriebssystem zuzugreifen und diese zu manipulieren, um so Zugriff auf das Konto im System zu erlangen (CVE-2026-34909, CVSS 10.0, Risiko „kritisch“). Angreifer können zudem eine unzureichende Eingabevalidierung ausnutzen, um Befehle einzuschleusen (CVE-2026-34910, CVSS 10.0, Risiko „kritisch“).
Die Sicherheitsmitteilung von Ubiquiti weist noch keine Informationen zu den beobachteten Angriffen aus. IT-Verantwortliche sollten prüfen, ob ihre Ubiquiti-UniFi-OS-Instanzen bereits auf Version 5.1.12 oder neuer respektive Version 5.0.8 für UniFi OS Server aktualisiert wurden oder ob das Update noch fällig ist – und dieses gegebenenfalls umgehend installieren. Die CISA nennt keine Details zu den Angriffen, sodass Art und Umfang unbekannt bleiben. Es gibt daher auch keine Hinweise für erfolgreiche Angriffe (Indicators of Compromise, IOC), mit denen Admins die Systeme auf Einbruchsspuren untersuchen könnten.
Die CISA warnt noch vor einer weiteren angegriffenen Schwachstelle in Lantronix EDS5000. Das HTTP-RPC-Modul protokolliert mittels Shell-Befehlen mit, wenn Login-Anfragen fehlschlagen. Durch den Nutzernamen-Parameter können Angreifer Befehle einschleusen, die mit root-Rechten ausgeführt werden (CVE-2025-67038, CVSS 9.8, Risiko „kritisch“). Betroffen ist die Version EDS5000 2.1.0.0R3, wer die Server einsetzt, sollte nach Aktualisierungen Ausschau halten und diese installieren.
(dmk)
Datenschutz & Sicherheit
Zoho Corp. ManageEngine: Kritische SSO-Lücke ermöglicht Kontenübernahme
Mehrere Produkte von Zoho Corp. ManageEngine sind anfällig für eine Schwachstelle, die die Single-Sign-on-Integration (SSO) mitbringt. Angreifer könnten dadurch Konten übernehmen.
Weiterlesen nach der Anzeige
Das schreibt Zoho Corp. ManageEngine in einer Sicherheitsmitteilung. Sofern User sich mittels SSO in ManageEngine ADSelfService Plus, RecoveryManager Plus, M365 Manager Plus oder ADAudit Plus einloggen und diese Produkte als integrierte Komponenten innerhalb ManageEngine AD360 eingebunden sind, kann das Problem auftreten. Die erstellten SSO-Tickets, mit denen die Sitzungen authentifiziert werden, können von Angreifern vorhergesagt werden, wodurch diese Konten übernehmen können (CVE-2026-11374, CVSS 9.0, Risiko „kritisch“).
Betroffen sind den Angaben zufolge ADSelfService Plus bis einschließlich Build 6528, RecoveryManager Plus bis inklusive 6320, M365 Manager Plus bis einschließlich 4816 und ADAudit Plus bis inklusive 8702. Die Versionen ADSelfService Plus 6529, RecoveryManager Plus 6321, M365 Manager Plus 4817 und ADAudit Plus 8703 sowie neuere Pakete schließen diese Sicherheitslücke.
Servicepacks installieren
Zohocorp stellt die Updates als Servicepack zum Herunterladen bereit. Die sind jeweils für die einzelnen betroffenen Produkte verfügbar:
Die Sicherheitslücke scheint noch nicht in freier Wildbahn angegriffen zu werden, darüber schreiben die Autoren der Mitteilung nichts. Die Schwachstelle hat ein IT-Forscher mit dem Handle 0xmanhnv über das Zoho-Bug-Bounty-Programm an den Hersteller gemeldet.
Zuletzt wurden im vergangenen November mehrere teils kritische Sicherheitslücken in unterschiedlichen Produkten von Zohocorp ManageEngine bekannt. Angreifer konnten etwa dadurch SQL-Befehle aufgrund einer SQL-Injection-Schwachstelle oder generell Befehle einschleusen.
Weiterlesen nach der Anzeige
(dmk)
Open Source Software Stack: Qualcomm übernimmt Modular für Datacenter-Projekte
Warum Gründer bewusst auf externe Finanzierung verzichten
KI-Coding-Tools: Geschwindigkeit ohne Kontrolle als Risiko
Empfehlungsalgorithmen bei TikTok erklärt: Die Maschine hinter dem Endlos‑Feed
iX-Workshop Angriffsziel lokales AD − Schwachstellen finden und beheben
„Don’t Starve Elsewhere“: Survival‑Hit kehrt nach zehn Jahren zurück
-
Künstliche Intelligenzvor 3 MonatenEmpfehlungsalgorithmen bei TikTok erklärt: Die Maschine hinter dem Endlos‑Feed
-
Künstliche Intelligenzvor 3 MonateniX-Workshop Angriffsziel lokales AD − Schwachstellen finden und beheben
-
Künstliche Intelligenzvor 3 Monaten„Don’t Starve Elsewhere“: Survival‑Hit kehrt nach zehn Jahren zurück
-
Künstliche Intelligenzvor 2 MonatenWeitere Entlassungswelle bei Disney: Bis zu 1000 Mitarbeiter betroffen
-
Künstliche Intelligenzvor 3 MonatenKine‑Exakta: Die erste Spiegelreflexkamera fürs Kleinbild
-
Künstliche Intelligenzvor 2 Monaten
xTool P3 im Test: CO₂-Laser mit 80 Watt schneidet und graviert auch Acryl
-
Social Mediavor 1 MonatMetas neuer Creative Setup Workflow: Was sich wirklich ändert – und warum das nicht nur eine UI-Frage ist!
-
Apps & Mobile Entwicklungvor 2 MonatenMega-GPUs für Nvidia, AMD & Co: TSMC zeigt CoWoS-Package mit >11.600 mm² & 24 × HBM5E
