Kein victim blaming, aber diese „Signal Support“-Phishing-Masche ist GENAU DAS, wovor jedes Cybersecurity-Training warnt.

Reply to Kein victim blaming, aber diese „Signal Support“-Phishing-Masche ist GENAU DAS, wovor jedes Cybersecurity-Training warnt. on Sat, 25 Apr 2026 11:44:15 GMT

hillu@infosec.exchange — Sat, 25 Apr 2026 11:44:15 GMT

@lobingera @slothrop @evawolfangel Es ist ein Unding, dass unsere Branche großteils seit Jahrzehnten der Meinung ist, im Prinzip ja alles im Griff zu haben und den User als Ursache schlecht gemachter Authentisierung/Autorisierung zu sehen.
Wir sind auch unsagbar schlecht darin, einmal etablierte Verfahren zu überdenken, wenn sie aus der Zeit gefallen sind. Man muss ja froh sein, dass der Wahn der quartalsweise Passwortänderung vorbei ist ("Ich weiß, was Du Sommer2025 getan hast")! Dabei wirken die sich stets ändernden Regeln für den User wie beliebig ausgedacht, und das wird mit steigender Komplexität mit Hardware-Tokens, Passkeys, Single-Sign-On-Gedöns etc. eher noch schlimmer.
Solange es lukrativ und einfach genug ist, den User für die Kompromittierung eines Systems einzuspannen, werden Angreifer das tun und Verteidiger nur hinterherlaufen.
Awareness hilft nicht, haben wir schon probiert. UI/UX ist sicherlich ein Teil der Lösung, wird aber in Form eines aufgeklebten Pflasters nicht reichen.

(Natürlich muss die Klöcknerin weg, aber das hat mit dem Securitykram nichts zu tun.)

Reply to Kein victim blaming, aber diese „Signal Support“-Phishing-Masche ist GENAU DAS, wovor jedes Cybersecurity-Training warnt. on Sat, 25 Apr 2026 08:31:06 GMT

lobingera@chaos.social — Sat, 25 Apr 2026 08:31:06 GMT

@hillu @slothrop @evawolfangel

Nachsatz: Ich hab' ja auch keine technische Lösung als Vorschlag, aber vielleicht sollte man ernsthaft an Regulierung der UX arbeiten, die es zumindest schwierig macht, Phishing erfolgreich durchzuführen

"If you run a system, that can be compromised by a single click, you run the wrong system."

Vielleicht könnten mal Psych hier einsteigen?

Reply to Kein victim blaming, aber diese „Signal Support“-Phishing-Masche ist GENAU DAS, wovor jedes Cybersecurity-Training warnt. on Sat, 25 Apr 2026 08:27:58 GMT

lobingera@chaos.social — Sat, 25 Apr 2026 08:27:58 GMT

@hillu @slothrop

@evawolfangel Hat auf einem Vortrag letztens (München, for day sec) schön geschildert, wie das Fachkräften, die übermüdet/überlastet sind auch passiert

Reply to Kein victim blaming, aber diese „Signal Support“-Phishing-Masche ist GENAU DAS, wovor jedes Cybersecurity-Training warnt. on Sat, 25 Apr 2026 07:22:07 GMT

andree4live@mastodontech.de — Sat, 25 Apr 2026 07:22:07 GMT

@slothrop da muss die Betroffenen ja jemand angeschrieben haben. Schon das wäre nicht möglich wenn man Signal richtig konfiguriert so das mich unbekannte Nummern / Accounts gar nicht erst anschreiben können? Oder liege ich da falsch? Die Leute die da an unserer Regierungsspitze sitzen haben also weder eine Schulung für den Umgang noch jemanden der die Messenger richtig konfiguriert?

Reply to Kein victim blaming, aber diese „Signal Support“-Phishing-Masche ist GENAU DAS, wovor jedes Cybersecurity-Training warnt. on Sat, 25 Apr 2026 06:24:35 GMT

musevg@23.social — Sat, 25 Apr 2026 06:24:35 GMT

@slothrop
Hypothese: Sie sind so sehr von sich eingenommen, dass sie denken sie seien immun gegen solchen Quatsch.

Reply to Kein victim blaming, aber diese „Signal Support“-Phishing-Masche ist GENAU DAS, wovor jedes Cybersecurity-Training warnt. on Sat, 25 Apr 2026 06:14:40 GMT

slothrop@chaos.social — Sat, 25 Apr 2026 06:14:40 GMT

@hillu @lobingera Naja, dass eine wie Frau Klöckner noch anderes im Kopf hat, verstehe ich schon.

Der Gender-Wahn stoppt sich nicht von allein, und im Vorzimmer stehen schon die Herren von Daimler und VW mit der Wunschliste für die nächste Woche. Kann schon hektisch sein, der Job.

Aber sollten da nicht die deutschen Geheimdienste adäquate Gegenmaßnahmen…

…ah. Ach ja. Da war was.

Reply to Kein victim blaming, aber diese „Signal Support“-Phishing-Masche ist GENAU DAS, wovor jedes Cybersecurity-Training warnt. on Sat, 25 Apr 2026 06:11:04 GMT

slothrop@chaos.social — Sat, 25 Apr 2026 06:11:04 GMT

Fairerweise muss man sagen: wenn der FSB an deine Daten will, kriegt er sie am Ende auch.

Aber gleich auf den ersten Billo-Anlauf reinzufallen, ist halt kein Ruhmesblatt.

Reply to Kein victim blaming, aber diese „Signal Support“-Phishing-Masche ist GENAU DAS, wovor jedes Cybersecurity-Training warnt. on Sat, 25 Apr 2026 06:10:39 GMT

hillu@infosec.exchange — Sat, 25 Apr 2026 06:10:39 GMT

@lobingera @slothrop Wer weiß, vielleicht hat das ja irgendwas mit dem apathischen Durchklicken zu tun?

Reply to Kein victim blaming, aber diese „Signal Support“-Phishing-Masche ist GENAU DAS, wovor jedes Cybersecurity-Training warnt. on Sat, 25 Apr 2026 05:55:37 GMT

lobingera@chaos.social — Sat, 25 Apr 2026 05:55:37 GMT

@slothrop Du kennst die Erfolgsraten von Cybersecurity Trainings?