Phishing-Mails und Online-Banking Einstellungen

[Gast_Bo Derek_*]

Mit Phishing-Mails fischen die Absender im wahrsten Sinne des Wortes nach vertraulichen Daten des Empfängers, z.B. Transaktionsnummern (TAN) für das Internetbanking oder wollen Malware auf dem Rechner des Opfers verbreiten, die dieser im Anhang jedoch erst anklicken muss. Nachdem für März und April 2005 ein Rückgang an Phishing-Mails verzeichnet wurde, stieg deren Aufkommen bereits im Mai wieder um 33 Prozent an. Unter anderem wird die Verbreitung so genannter "Bot-Netzwerke" für das stärkere Aufkommen verantwortlich gemacht, also Rechner, die durch Malwarebefall bzw. Sicherheitslücken für den Besitzer unbemerkt unter anderem auch Phishing-Mails verschicken können bzw. untereinander vernetzt sind.

Das Prinzip ist in den meisten Fällen ähnlich. In der E-Mail wird vorgegeben, man müsse aus Sicherheitsgründen sofort auf die Seite der Firma surfen und seine Benutzerdaten "verifizieren", eine TAN eingeben oder ähnliches. Der Link in den teilweise recht überzeugend gestalteten Mails führen aber nicht auf die tatsächlichen Unternehmensseiten, sondern auf so genannte "Spoofs", gefälschte Seiten, die denen des Unternehmens teilweise recht ähnlich sehen.

Des weiteren können die Formulare, in denen die vertraulichen Daten einzugeben sind, direkt in der E-Mail sein oder die E-Mail hat lediglich einen viralen Anhang.

Im nachfolgenden Screenshot ist eine solche gefälschte E-Mail zu sehen, die vorgibt von der Deutschen Bank zu kommen und den Empfänger auf eine gefälschte Seite locken will:



Der E-Mail-Absender ist für den Empfänger nicht ohne weiteres nachvollziehbar gefälscht und das Logo der Bank soll das Vertrauen des Opfers gewinnen. Selbst die in der Statusleiste zu sehende URL ist für den unerfahrenen Internetbenutzer nicht sofort als unseriös zu erkennen.

Auf der mittlerweile abgeschalteten Seite konnte man sich dann mit seinen Bankdaten einloggen und TANs benutzen, welche die Betreiber der gefälschten Seiten natürlich für die missbräuchliche Nutzung sammelten.

Die Banken kennen diese Vorgehensweise nun schon seit einiger Zeit, jedoch wurde bisher wenig getan, um die Sicherheit der eigenen Kunden vor Phishing-Mails zu erhöhen. Zwar gingen einige Banken schon früh dazu über, die TAN auf der Liste nur noch nacheinander nutzen zu lassen, doch nützte dies wenig, wenn man nicht gleich nach dem Phishing eine weitere TAN eingab, was die gestohlene als ungültig kennzeichnen würde.

Am Montag hat die Postbank nun reagiert und die "indizierten TAN" oder auch "iTAN" eingeführt. Nach und nach erhalten die Kunden der Postbank neue TAN-Listen, die durchnummeriert sind. Per Zufall gibt die Webseite dann bei einer Transaktion vor, welche TAN verwendet werden soll. Wenn also ein Phisher eine TAN gestohlen hat, müsste er erstens noch die zugehörige Nummer kennen und hoffen, dass bei einer Transaktion genau die TAN mit dieser Nummer vom System angefordert wird, was durchaus als sehr unwahrscheinlich zu bewerten ist.

Ein weiteres Verfahren zum Schutz vor TAN-Phishing ist das ebenfalls von der Postbank bereits vor einiger Zet eingeführte "mTAN"-Verfahren. Dabei bekommt man eine einzige TAN für eine Transaktion bei Bedarf auf das Handy geschickt, das vorher natürlich freigeschalten werden muss.

Wie Heise online bereits berichtet hat, setzt die GE Money Bank auf "eTAN". Dabei generiert die Online-Banking-Seite vor dem Durchführen einer Transaktion eine TAN-Nummer, die der Kunde in ein elektronisches Gerät eingeben muss, das dann die eTan generiert.

Die Dresdner Bank hat wiederum das so genannte "e-P@d-PIN"-Verfahren eingeführt, bei dem PIN und TAN nicht über die Tastatur eingegeben, sondern Ziffern auf dem Bildschirm angeklickt werden müssen. Zusätzlich soll eine bessere Verschlüsselung vor dem Abfangen der übertragenen Daten schützen, was jedoch nur gegen Phishing hilft, wenn der Kunde die korrekte Verbindung als solche identifizeren kann. Entsprechend fallen auch die Sicherheitstipps der Bank aus, die den durchschnittlichen Kunden aber wahrscheinlich überfordern dürften.

Andere Banken wie z.B. auch die Deutsche Bank wollen ähnliche Verfahren bis zum Ende des Jahres einführen, andere beschränken sich wiederum auf die wenig hilfreichen Kommentare, man könne Leuten, die auf Phishing-Mails hereinfallen, mit keiner Sicherheitstechnik mehr helfen (Interview in der Kölnischen Rundschau).

Festzuhalten bleibt, dass sich nun endlich etwas zu bewegen scheint. Eine 100%ige Sicherheit kann man zwar nie erreichen, die Zeiten, in denen die Banken das Risiko des Phishings mit stoischer Ruhe dem Kunden überlassen haben, scheinen nun aber wenigstens teilweise vorbei zu sein. Als Kunde sollte man jedoch immer misstrauisch sein, wenn man eine E-Mail von seiner Bank, von eBay, der Telekom oder anderen Firmen erhält. Im Zweifelsfall sollte man auch nach Möglichkeit nicht die Links in der Mail anklicken, sondern die Seite der Firma im Browser manuell ansurfen. Grundsätzlich sollte man jedoch vertrauliche Daten wie Benutzernamen, Passwörter, TANs oder ähnliches nie auf Anforderung herausgeben. Bei Unklarheiten helfen wir in unserem Forum jederzeit gerne weiter.

Links zum Thema:

- leicht verständliche Erklärung zu Phishing-Mails
- Warnung des BSI
- Artikel der PC-Welt über das SiteKey-Verfahren der "Bank of America"
- Spoofstick, eine Erweiterung für den Mozilla-Browser, der beim Erkennen gefälschter Seiten hilft

Bo Derek für Rokop Security 2005

Angehängte Datei(en)

 db.jpg ( 138.42KB ) Anzahl der Downloads: 142