Hilfe - Suche - Mitglieder - Kalender
Vollansicht: Phishing-Mails und Online-Banking
Rokop Security > Neues von Rokop Security > News
Bo Derek
Mit Phishing-Mails fischen die Absender im wahrsten Sinne des Wortes nach vertraulichen Daten des Empfängers, z.B. Transaktionsnummern (TAN) für das Internetbanking oder wollen Malware auf dem Rechner des Opfers verbreiten, die dieser im Anhang jedoch erst anklicken muss. Nachdem für März und April 2005 ein Rückgang an Phishing-Mails verzeichnet wurde, stieg deren Aufkommen bereits im Mai wieder um 33 Prozent an. Unter anderem wird die Verbreitung so genannter "Bot-Netzwerke" für das stärkere Aufkommen verantwortlich gemacht, also Rechner, die durch Malwarebefall bzw. Sicherheitslücken für den Besitzer unbemerkt unter anderem auch Phishing-Mails verschicken können bzw. untereinander vernetzt sind.

Das Prinzip ist in den meisten Fällen ähnlich. In der E-Mail wird vorgegeben, man müsse aus Sicherheitsgründen sofort auf die Seite der Firma surfen und seine Benutzerdaten "verifizieren", eine TAN eingeben oder ähnliches. Der Link in den teilweise recht überzeugend gestalteten Mails führen aber nicht auf die tatsächlichen Unternehmensseiten, sondern auf so genannte "Spoofs", gefälschte Seiten, die denen des Unternehmens teilweise recht ähnlich sehen.

Des weiteren können die Formulare, in denen die vertraulichen Daten einzugeben sind, direkt in der E-Mail sein oder die E-Mail hat lediglich einen viralen Anhang.

Im nachfolgenden Screenshot ist eine solche gefälschte E-Mail zu sehen, die vorgibt von der Deutschen Bank zu kommen und den Empfänger auf eine gefälschte Seite locken will:

[attachmentid=1472]

Der E-Mail-Absender ist für den Empfänger nicht ohne weiteres nachvollziehbar gefälscht und das Logo der Bank soll das Vertrauen des Opfers gewinnen. Selbst die in der Statusleiste zu sehende URL ist für den unerfahrenen Internetbenutzer nicht sofort als unseriös zu erkennen.

Auf der mittlerweile abgeschalteten Seite konnte man sich dann mit seinen Bankdaten einloggen und TANs benutzen, welche die Betreiber der gefälschten Seiten natürlich für die missbräuchliche Nutzung sammelten.

Die Banken kennen diese Vorgehensweise nun schon seit einiger Zeit, jedoch wurde bisher wenig getan, um die Sicherheit der eigenen Kunden vor Phishing-Mails zu erhöhen. Zwar gingen einige Banken schon früh dazu über, die TAN auf der Liste nur noch nacheinander nutzen zu lassen, doch nützte dies wenig, wenn man nicht gleich nach dem Phishing eine weitere TAN eingab, was die gestohlene als ungültig kennzeichnen würde.

Am Montag hat die Postbank nun reagiert und die "indizierten TAN" oder auch "iTAN" eingeführt. Nach und nach erhalten die Kunden der Postbank neue TAN-Listen, die durchnummeriert sind. Per Zufall gibt die Webseite dann bei einer Transaktion vor, welche TAN verwendet werden soll. Wenn also ein Phisher eine TAN gestohlen hat, müsste er erstens noch die zugehörige Nummer kennen und hoffen, dass bei einer Transaktion genau die TAN mit dieser Nummer vom System angefordert wird, was durchaus als sehr unwahrscheinlich zu bewerten ist.

Ein weiteres Verfahren zum Schutz vor TAN-Phishing ist das ebenfalls von der Postbank bereits vor einiger Zet eingeführte "mTAN"-Verfahren. Dabei bekommt man eine einzige TAN für eine Transaktion bei Bedarf auf das Handy geschickt, das vorher natürlich freigeschalten werden muss.

Wie Heise online bereits berichtet hat, setzt die GE Money Bank auf "eTAN". Dabei generiert die Online-Banking-Seite vor dem Durchführen einer Transaktion eine TAN-Nummer, die der Kunde in ein elektronisches Gerät eingeben muss, das dann die eTan generiert.

Die Dresdner Bank hat wiederum das so genannte "e-P@d-PIN"-Verfahren eingeführt, bei dem PIN und TAN nicht über die Tastatur eingegeben, sondern Ziffern auf dem Bildschirm angeklickt werden müssen. Zusätzlich soll eine bessere Verschlüsselung vor dem Abfangen der übertragenen Daten schützen, was jedoch nur gegen Phishing hilft, wenn der Kunde die korrekte Verbindung als solche identifizeren kann. Entsprechend fallen auch die Sicherheitstipps der Bank aus, die den durchschnittlichen Kunden aber wahrscheinlich überfordern dürften.

Andere Banken wie z.B. auch die Deutsche Bank wollen ähnliche Verfahren bis zum Ende des Jahres einführen, andere beschränken sich wiederum auf die wenig hilfreichen Kommentare, man könne Leuten, die auf Phishing-Mails hereinfallen, mit keiner Sicherheitstechnik mehr helfen (Interview in der Kölnischen Rundschau).

Festzuhalten bleibt, dass sich nun endlich etwas zu bewegen scheint. Eine 100%ige Sicherheit kann man zwar nie erreichen, die Zeiten, in denen die Banken das Risiko des Phishings mit stoischer Ruhe dem Kunden überlassen haben, scheinen nun aber wenigstens teilweise vorbei zu sein. Als Kunde sollte man jedoch immer misstrauisch sein, wenn man eine E-Mail von seiner Bank, von eBay, der Telekom oder anderen Firmen erhält. Im Zweifelsfall sollte man auch nach Möglichkeit nicht die Links in der Mail anklicken, sondern die Seite der Firma im Browser manuell ansurfen. Grundsätzlich sollte man jedoch vertrauliche Daten wie Benutzernamen, Passwörter, TANs oder ähnliches nie auf Anforderung herausgeben. Bei Unklarheiten helfen wir in unserem Forum jederzeit gerne weiter.

Links zum Thema:

- leicht verständliche Erklärung zu Phishing-Mails
- Warnung des BSI
- Artikel der PC-Welt über das SiteKey-Verfahren der "Bank of America"
- Spoofstick, eine Erweiterung für den Mozilla-Browser, der beim Erkennen gefälschter Seiten hilft

Bo Derek für Rokop Security 2005
Voyager
hier ist noch der Spoofstick für IE .

Danke für den Hinweis, aber dann nehmen wir doch lieber gleich die Herstellerseite: http://www.corestreet.com/spoofstick/
blueX
Ich bekomme täglich mehrere verschiedene Phising-Mails bei web.de

Ich möchte diese Phising an McAfee AntiSpam weiterleiten, da diese Mails nicht gefiltert wurden.
Die E-Mail-Adresse habe ich.

Aber wie mache ich dies jetzt?
Immer wenn ich auf weiterleiten gehe, dann wird die Nachricht nur noch als Text angezeigt.
Bo Derek
Das kommt auf Deinen E-Mail-Client an. Am besten ist es, die Mail inklusive Header weiter zu leiten, denn darin steht der Server, von dem aus die Mail verschickt wurde. Suche in Deinem E-Mail-Programm deshalb am besten nach einer Ansicht "Quelltext" oder ähnlichem. Kopiere die Inhalte und leite diese an den Anbieter Deines AV-Programms weiter.
blueX
Ich habe kein E-Mail-Programm und hole meine E-Mails im Internet bei web.de ab.

Bo Derek
Dann kannst Du nur bei der Mailansicht rechts oben auf "erweiterter Header" klicken, dann diesen Header inklusive Mailtext markieren, kopieren und in einer Mail weiterleiten. Der Übersicht halber vielleicht als Anhang in einer TXT-Datei.
blueX
Ok, danke werde ich das nächste mal machen.

Muss das nicht irgendwie in HTML weitergeleitet werden?
blueX
Ich habe jetzt wieder eine E-Mail bekommen.

Wie leite ich die jetzt weiter? Kann ich die E-Mail irgendwie abspeichern und dann hochladen??
Bo Derek
Wohin hochladen? Ich dachte, Du leitest den Text der erweiterten Ansicht nun weiter!?
blueX
Dies würd dann so aussehen:


Received: from [221.140.173.226] (helo=217.72.192.149)
by mx22.web.de with smtp (WEB.DE 4.105 #297)
id 1E59Bi-0002rB-00; Tue, 16 Aug 2005 23:41:39 +0200
FCC: mailbox://identdep_op63362133424@deutsche-bank.de/Sent
X-Identity-Key: id1
Date: Tue, 16 Aug 2005 18:41:19 -0400
From: Deutsche Bank AG <identdep_op63362133424@deutsche-bank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: xxx@web.de
Subject: DEUTSCHE BANK INTERNET-BANKING
Content-Type: multipart/related;
boundary="------------020807000504060705080004"
Message-Id: <E1E59Bi-0002rB-00@mx22.web.de>
Sender: identdep_op63362133424@deutsche-bank.de


Reicht dies denn wirklich?
Bo Derek
Ja und dann halt noch der Nachrichtentext, der darunter stand. Mehr kannst Du ohnehin nicht schicken.
blueX
Ich dachte man braucht den HTML-Code dazu.
blueX
Wow - inzwischen bekomme ich schon Phising-Emails von einer Firma, die sich als ebay ausgibt.
Dieses ist eine vereinfachte Darstellung unseres Foreninhaltes. Um die detaillierte Vollansicht mit Formatierung und Bildern zu betrachten, bitte hier klicken.
Invision Power Board © 2001-2018 Invision Power Services, Inc.