Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

> Phishing-Mails und Online-Banking
Gast_Bo Derek_*
Beitrag 11.08.2005, 14:28
Beitrag #1






Gäste






Mit Phishing-Mails fischen die Absender im wahrsten Sinne des Wortes nach vertraulichen Daten des Empfängers, z.B. Transaktionsnummern (TAN) für das Internetbanking oder wollen Malware auf dem Rechner des Opfers verbreiten, die dieser im Anhang jedoch erst anklicken muss. Nachdem für März und April 2005 ein Rückgang an Phishing-Mails verzeichnet wurde, stieg deren Aufkommen bereits im Mai wieder um 33 Prozent an. Unter anderem wird die Verbreitung so genannter "Bot-Netzwerke" für das stärkere Aufkommen verantwortlich gemacht, also Rechner, die durch Malwarebefall bzw. Sicherheitslücken für den Besitzer unbemerkt unter anderem auch Phishing-Mails verschicken können bzw. untereinander vernetzt sind.

Das Prinzip ist in den meisten Fällen ähnlich. In der E-Mail wird vorgegeben, man müsse aus Sicherheitsgründen sofort auf die Seite der Firma surfen und seine Benutzerdaten "verifizieren", eine TAN eingeben oder ähnliches. Der Link in den teilweise recht überzeugend gestalteten Mails führen aber nicht auf die tatsächlichen Unternehmensseiten, sondern auf so genannte "Spoofs", gefälschte Seiten, die denen des Unternehmens teilweise recht ähnlich sehen.

Des weiteren können die Formulare, in denen die vertraulichen Daten einzugeben sind, direkt in der E-Mail sein oder die E-Mail hat lediglich einen viralen Anhang.

Im nachfolgenden Screenshot ist eine solche gefälschte E-Mail zu sehen, die vorgibt von der Deutschen Bank zu kommen und den Empfänger auf eine gefälschte Seite locken will:



Der E-Mail-Absender ist für den Empfänger nicht ohne weiteres nachvollziehbar gefälscht und das Logo der Bank soll das Vertrauen des Opfers gewinnen. Selbst die in der Statusleiste zu sehende URL ist für den unerfahrenen Internetbenutzer nicht sofort als unseriös zu erkennen.

Auf der mittlerweile abgeschalteten Seite konnte man sich dann mit seinen Bankdaten einloggen und TANs benutzen, welche die Betreiber der gefälschten Seiten natürlich für die missbräuchliche Nutzung sammelten.

Die Banken kennen diese Vorgehensweise nun schon seit einiger Zeit, jedoch wurde bisher wenig getan, um die Sicherheit der eigenen Kunden vor Phishing-Mails zu erhöhen. Zwar gingen einige Banken schon früh dazu über, die TAN auf der Liste nur noch nacheinander nutzen zu lassen, doch nützte dies wenig, wenn man nicht gleich nach dem Phishing eine weitere TAN eingab, was die gestohlene als ungültig kennzeichnen würde.

Am Montag hat die Postbank nun reagiert und die "indizierten TAN" oder auch "iTAN" eingeführt. Nach und nach erhalten die Kunden der Postbank neue TAN-Listen, die durchnummeriert sind. Per Zufall gibt die Webseite dann bei einer Transaktion vor, welche TAN verwendet werden soll. Wenn also ein Phisher eine TAN gestohlen hat, müsste er erstens noch die zugehörige Nummer kennen und hoffen, dass bei einer Transaktion genau die TAN mit dieser Nummer vom System angefordert wird, was durchaus als sehr unwahrscheinlich zu bewerten ist.

Ein weiteres Verfahren zum Schutz vor TAN-Phishing ist das ebenfalls von der Postbank bereits vor einiger Zet eingeführte "mTAN"-Verfahren. Dabei bekommt man eine einzige TAN für eine Transaktion bei Bedarf auf das Handy geschickt, das vorher natürlich freigeschalten werden muss.

Wie Heise online bereits berichtet hat, setzt die GE Money Bank auf "eTAN". Dabei generiert die Online-Banking-Seite vor dem Durchführen einer Transaktion eine TAN-Nummer, die der Kunde in ein elektronisches Gerät eingeben muss, das dann die eTan generiert.

Die Dresdner Bank hat wiederum das so genannte "e-P@d-PIN"-Verfahren eingeführt, bei dem PIN und TAN nicht über die Tastatur eingegeben, sondern Ziffern auf dem Bildschirm angeklickt werden müssen. Zusätzlich soll eine bessere Verschlüsselung vor dem Abfangen der übertragenen Daten schützen, was jedoch nur gegen Phishing hilft, wenn der Kunde die korrekte Verbindung als solche identifizeren kann. Entsprechend fallen auch die Sicherheitstipps der Bank aus, die den durchschnittlichen Kunden aber wahrscheinlich überfordern dürften.

Andere Banken wie z.B. auch die Deutsche Bank wollen ähnliche Verfahren bis zum Ende des Jahres einführen, andere beschränken sich wiederum auf die wenig hilfreichen Kommentare, man könne Leuten, die auf Phishing-Mails hereinfallen, mit keiner Sicherheitstechnik mehr helfen (Interview in der Kölnischen Rundschau).

Festzuhalten bleibt, dass sich nun endlich etwas zu bewegen scheint. Eine 100%ige Sicherheit kann man zwar nie erreichen, die Zeiten, in denen die Banken das Risiko des Phishings mit stoischer Ruhe dem Kunden überlassen haben, scheinen nun aber wenigstens teilweise vorbei zu sein. Als Kunde sollte man jedoch immer misstrauisch sein, wenn man eine E-Mail von seiner Bank, von eBay, der Telekom oder anderen Firmen erhält. Im Zweifelsfall sollte man auch nach Möglichkeit nicht die Links in der Mail anklicken, sondern die Seite der Firma im Browser manuell ansurfen. Grundsätzlich sollte man jedoch vertrauliche Daten wie Benutzernamen, Passwörter, TANs oder ähnliches nie auf Anforderung herausgeben. Bei Unklarheiten helfen wir in unserem Forum jederzeit gerne weiter.

Links zum Thema:

- leicht verständliche Erklärung zu Phishing-Mails
- Warnung des BSI
- Artikel der PC-Welt über das SiteKey-Verfahren der "Bank of America"
- Spoofstick, eine Erweiterung für den Mozilla-Browser, der beim Erkennen gefälschter Seiten hilft

Bo Derek für Rokop Security 2005

Angehängte Datei(en)
Angehängte Datei  db.jpg ( 138.42KB ) Anzahl der Downloads: 142
 
Go to the top of the page
 
+Quote Post
 
Start new topic
Antworten (1 - 12)
Voyager
Beitrag 11.08.2005, 14:41
Beitrag #2



Ist unverzichtbar
*******

Gruppe: Mitglieder
Beiträge: 14.840
Mitglied seit: 05.07.2004
Mitglieds-Nr.: 1.143

Betriebssystem:
Windows 7 SP1 (x64)
Virenscanner:
NIS2013
Firewall:
NIS2013



hier ist noch der Spoofstick für IE .

Danke für den Hinweis, aber dann nehmen wir doch lieber gleich die Herstellerseite: http://www.corestreet.com/spoofstick/


--------------------
Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System:
Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB

"Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach."
Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI
Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s
Go to the top of the page
 
+Quote Post
Gast_blueX_*
Beitrag 11.08.2005, 17:24
Beitrag #3






Gäste






Ich bekomme täglich mehrere verschiedene Phising-Mails bei web.de

Ich möchte diese Phising an McAfee AntiSpam weiterleiten, da diese Mails nicht gefiltert wurden.
Die E-Mail-Adresse habe ich.

Aber wie mache ich dies jetzt?
Immer wenn ich auf weiterleiten gehe, dann wird die Nachricht nur noch als Text angezeigt.
Go to the top of the page
 
+Quote Post
Gast_Bo Derek_*
Beitrag 11.08.2005, 22:13
Beitrag #4


Threadersteller




Gäste






Das kommt auf Deinen E-Mail-Client an. Am besten ist es, die Mail inklusive Header weiter zu leiten, denn darin steht der Server, von dem aus die Mail verschickt wurde. Suche in Deinem E-Mail-Programm deshalb am besten nach einer Ansicht "Quelltext" oder ähnlichem. Kopiere die Inhalte und leite diese an den Anbieter Deines AV-Programms weiter.
Go to the top of the page
 
+Quote Post
Gast_blueX_*
Beitrag 12.08.2005, 14:40
Beitrag #5






Gäste






Ich habe kein E-Mail-Programm und hole meine E-Mails im Internet bei web.de ab.

Go to the top of the page
 
+Quote Post
Gast_Bo Derek_*
Beitrag 12.08.2005, 14:45
Beitrag #6


Threadersteller




Gäste






Dann kannst Du nur bei der Mailansicht rechts oben auf "erweiterter Header" klicken, dann diesen Header inklusive Mailtext markieren, kopieren und in einer Mail weiterleiten. Der Übersicht halber vielleicht als Anhang in einer TXT-Datei.
Go to the top of the page
 
+Quote Post
Gast_blueX_*
Beitrag 12.08.2005, 15:15
Beitrag #7






Gäste






Ok, danke werde ich das nächste mal machen.

Muss das nicht irgendwie in HTML weitergeleitet werden?
Go to the top of the page
 
+Quote Post
Gast_blueX_*
Beitrag 15.08.2005, 18:15
Beitrag #8






Gäste






Ich habe jetzt wieder eine E-Mail bekommen.

Wie leite ich die jetzt weiter? Kann ich die E-Mail irgendwie abspeichern und dann hochladen??

Der Beitrag wurde von blueX bearbeitet: 15.08.2005, 18:15
Go to the top of the page
 
+Quote Post
Gast_Bo Derek_*
Beitrag 15.08.2005, 18:38
Beitrag #9


Threadersteller




Gäste






Wohin hochladen? Ich dachte, Du leitest den Text der erweiterten Ansicht nun weiter!?
Go to the top of the page
 
+Quote Post
Gast_blueX_*
Beitrag 17.08.2005, 18:57
Beitrag #10






Gäste






Dies würd dann so aussehen:


Received: from [221.140.173.226] (helo=217.72.192.149)
by mx22.web.de with smtp (WEB.DE 4.105 #297)
id 1E59Bi-0002rB-00; Tue, 16 Aug 2005 23:41:39 +0200
FCC: mailbox://identdep_op63362133424@deutsche-bank.de/Sent
X-Identity-Key: id1
Date: Tue, 16 Aug 2005 18:41:19 -0400
From: Deutsche Bank AG <identdep_op63362133424@deutsche-bank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: xxx@web.de
Subject: DEUTSCHE BANK INTERNET-BANKING
Content-Type: multipart/related;
boundary="------------020807000504060705080004"
Message-Id: <E1E59Bi-0002rB-00@mx22.web.de>
Sender: identdep_op63362133424@deutsche-bank.de


Reicht dies denn wirklich?
Go to the top of the page
 
+Quote Post
Gast_Bo Derek_*
Beitrag 17.08.2005, 19:15
Beitrag #11


Threadersteller




Gäste






Ja und dann halt noch der Nachrichtentext, der darunter stand. Mehr kannst Du ohnehin nicht schicken.
Go to the top of the page
 
+Quote Post
Gast_blueX_*
Beitrag 19.08.2005, 15:56
Beitrag #12






Gäste






Ich dachte man braucht den HTML-Code dazu.
Go to the top of the page
 
+Quote Post
Gast_blueX_*
Beitrag 20.08.2005, 16:44
Beitrag #13






Gäste






Wow - inzwischen bekomme ich schon Phising-Emails von einer Firma, die sich als ebay ausgibt.
Go to the top of the page
 
+Quote Post

Closed TopicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 



Vereinfachte Darstellung Aktuelles Datum: 28.03.2024, 09:44
Impressum