Update vom 21.11.2012:
Sehr geehrte Kundinnen und Kunden,
unser Onlineportal http://www.logitel.de wurde mittels eines illegalen Zugreifens –noch- unbekannter Dritter auf unser System angegriffen. Dadurch sind leider auch personenbezogene Daten unserer Kunden in unberechtigte Hände gekommen.
Bitte seien Sie versichert, dass wir selbstverständlich alles tun, um die Umstände, wie es zu diesem Hacker-Angriff kommen konnte, aufzuklären und die hinter der Datenattacke stehende Angreifer zu ermitteln. Unter anderem haben wir sofort nach Bekanntwerden des Angriffs über unseren Rechtsanwalt Strafanzeige bei der zuständigen Staatsanwaltschaft erstattet. Zudem wird natürlich die Sicherheit unseres Systems umfassend überprüft und, soweit überhaupt möglich, weiter verbessert, um zukünftig solche Pannen nach Möglichkeit auszuschließen.
Hier eine (nicht abschließende) Übersicht der Maßnahmen, die wir ergriffen haben und von denen wir nach jetzigem Stand berichten können. Bitte haben Sie Verständnis, dass wir aus ermittlungstechnischen Gründen detailliertere Auskünfte derzeit nicht geben können:
Wir haben sowohl intern Mitarbeiter als auch extern eine außenstehende, anerkannte Sicherheitsfirma damit beauftragt, die Geschehnisse zu untersuchen und alle Log-Files zu überprüfen.
Wir haben umgehend alle möglichen und notwendigen Schritte unternommen, um unsere Sicherheitsmaßnahmen noch weiter zu verbessern.
Wir haben alle unsere Kunden per E-Mail informiert. Zusätzlich haben wir eine Stellungnahme in unserem Blog, auf Facebook und Twitter veröffentlicht.
Jede neue Phishing E-Mail wird direkt an Mastercard weitergeleitet.( stopit@mastercard.com ).
Als zusätzliche Sicherheitsmaßnahme haben wir die Passwörter aller Kunden zurückgesetzt und sie mit Zufallsalgorithmus generierten Passwörtern ersetzt.
Achtung! Sollten Sie Ihr Password, das Sie bei LogiTel benutzt haben, auch für andere unabhängige Dienste oder Konten verwenden, empfehlen wir Ihnen, auch diese vorsichtshalber zu ändern. Grundsätzlich sollten alle Passwörter im besten Fall aus mindestens acht(8), besser aber mehr Zeichen bestehen sowie Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen enthalten. Auch sollte man nicht auf die weit verbreitete Weise zurückgreifen, das man Buchstaben durch Zahlen oder Sonderzeichen ersetzt, wie z.B. den Buchstaben „i“ durch eine „1“ oder ein „!“ (Ausrufezeichen).
Über unseren Hausanwalt haben wir noch am selben Tag des Entdeckens Strafanzeige bei der zuständigen Staatsanwaltschaft gestellt.
Alle Ermittlungen laufen auf Hochtouren. Was wir allerdings bereits auf Basis einer forensischen Untersuchung wissen, ist, dass es derzeit keinerlei Anhaltspunkte dafür gibt, dass unser System von innen kompromittiert wurde.
Ungeachtet der Tatsache nun, dass die Untersuchungen zu diesem Vorfall noch nicht abgeschlossen sind, können wir Ihnen mitteilen, dass im Zuge dieses Angriffes auf unser System von außen nach jetzigem Ermittlungsstand nur die folgenden persönliche Kundendaten abgegriffen worden sind: Vorname, Nachname, E-Mail Adresse
Kopien von Ausweisen und von Kontokarten sowie Vertragsunterlagen sind nicht betroffen, da diese nicht auf dem Server gespeichert werden. Wir sind verpflichtet, diese Dokumente zu sichten und an den jeweiligen Netzbetreiber weiterzuleiten.
Zudem ist, da wir in unserem Shop keine Kreditkarten-Zahlung anbieten, ein Abgreifen von Kreditkartendaten ausgeschlossen.
Diese Form von SPAM Mails suggerieren dem Empfänger in der Regel eine Service Anfrage, in der man gebeten wird, Kreditkartendaten zu bestätigen. Da die Versender nicht wissen, welche Kreditkarten vom Email Empfänger benutzt werden, benutzen diese Spam Versender auch nur eine Kreditkarten Firma (In unserem Fall Mastercard, da diese in Deutschland den höchsten Marktanteil besitzt und so die Trefferquote am höchsten ist).
Hier ein Auszug von der Internet-Seite des Bundeskriminalamtes:
Informationen rund um PHISHING-Mails, Modus operandi variiert
Große Teile der Bevölkerung haben sie bereits selbst erhalten: die so genannten “Phishing-E-Mails”. Der Versand erfolgt trotz zahlreicher Warnmeldungen in den Medien weiterhin. Ziel der Täter ist es, in den Besitz von PIN- und TAN-Nummern sowie anderer Zugangsberechtigungen der Betroffenen zu kommen.
Phishing ist übrigens nicht mehr nur auf das Internet beschränkt. Datendiebe machen auch Jagd auf die Nutzer über das Telefon unter Verwendung von Internettelefonen (VoIP). Eine eigene Bezeichnung für diese neue Technik gibt es auch schon: “Vishing” (“Voice Phishing”).
Ausführliche Informationen zum Thema “Phishing” finden Sie auf dem Informationsangebot “BSI für Bürger” des Bundesamts für Sicherheit in der Informationstechnik.
BSI für Bürger – Phishing
Seien Sie versichert, auch wir sind über diesen Angriff im höchsten Maße verärgert und arbeiten weiterhin daran, unser System sicherheitstechnisch auf höchstem Stand zu halten.
Abschließend bedanken wir uns für Ihre Geduld und Ihr Verständnis und auch für die zahlreichen E-Mails, in denen Sie uns Mut zusprechen und Ihre Unterstützung anbieten.
Sollten Sie irgendwelche zusätzlichen Fragen haben, dann wenden Sie sich bitte direkt an: datenschutz@LogiTel.de
Mit freundlichen Grüßen
Christoph Struck
Geschäftsführer
LogiTel oHG Florian Klotzbücher
Geschäftsführer
LogiTel oHG
Quelle:
http://www.logitel.de/blog/han…en-phishingmails-logitel/
