PHISHING: Der Kampf gegen die Passwort-Fischer

[Aka-Aka]

yun-yang-group

alexg*@esec*.com

hmm.
Sollten die Journalisten a bisserl recherchieren und nicht bloss so 'nen Quatsch zitieren wie "man muss halt vorsichtiger werden"... Denn auch die Firmen, die Geld für Werbung für Internetfirmen kriegen, müssten doch vorsichtig sein. Haben die auch Verträge mit der nicht existenten yun-yang-group gemacht? Oder nicht?
Ob ja, ob nein, sie sind faktisch mit verantwortlich, wenn sie deren Angebote transportieren - und sie müssten zur Mithilefe gedrängt werden können von Behörden- oder eben Journalistenseite...

manno...

 

[Anonymous]

http://www.heise.de/newsticker/meldung/64951

Der c't-Test hat allerdings gezeigt, dass keines der Angebote allein rundum schützt. Erst ein Mix aus verschiedenen Maßnahmen senkt das Risiko auf ein akzeptables Niveau. "Der beste Schutz vor Phishing-Attacken bleibt weiterhin das Misstrauen potenzieller Opfer, die darüber entscheiden, ob und wo sie ihre Daten eingeben", zieht c't das Fazit.

http://www.heise.de/ct/05/22/148/

Sitzt der Geld waschende Finanzagent in Deutschland oder in der EU, ist der Fall meist schnell geklärt. Schwieriger wird es für die Ermittlungsbehörden, wenn bereits die erste Überweisung in ein Land außerhalb der EU ging. Dann müssen sie über ein Rechtshilfeersuchen um Unterstützung beim Verfolgen der Verdächtigen bitten. Bis alles in die Wege geleitet ist, sind die heißen Spuren in der Regel erkaltet und die Täter über alle Berge.

Wenig hilfreich beim Kampf gegen Phishing erweist sich die deutsche Gesetzgebung. Das Versenden von Phishing-Mails und das Betreiben einer Phishing-Seite stellt in der Regel nur eine straffreie Vorbereitungshandlung zum Computerbetrug dar und rechtfertigt noch keine Ermittlungen. Erst wenn ein Konto mittels der geklauten TAN erleichert wurde und das Opfer Anzeige erstattet hat, dürfen die Kriminalbeamten loslegen.

So wundert es nicht, dass beim Kampf gegen Phishing bisher kaum echte Erfolge erzielt wurden. Über die Anklage der Strohmänner wegen Geldwäsche und das Abschalten der Phishing-Seiten sind die Ermittlungsbehörden und Banken im Wesentlichen nicht hinausgekommen.

 

[Anonymous]

Sitzt der Geld waschende Finanzagent in Deutschland oder in der EU, ist der Fall meist schnell geklärt.

So wundert es nicht, dass beim Kampf gegen Phishing bisher kaum echte Erfolge erzielt wurden. Über die Anklage der Strohmänner wegen Geldwäsche und das Abschalten der Phishing-Seiten sind die Ermittlungsbehörden und Banken im Wesentlichen nicht hinausgekommen.

Erst schreibt man, dass der Fall meist schnell geklärt ist (was ohnehin gelogen ist) und dann kommt man zur Realität zurück. Solange die Behörden (zumindest in D) nicht mit den Banken zusammen arbeiten, da die Banken lieber ihr eigenes Süppchen kochen, werden die Erfolge noch lange auf sich warten lassen. Außerdem wurschteln derzeit alle, zumeist die für den Geschädigten, örtlich zuständigen Strafverfolger nur irgendwie rum, ohne zentraler Koordinierung, geschweige denn mit treffenden Ermitlungen aus einer Hand! :evil:

 

[Captain Picard]

http://www.heise.de/newsticker/meldung/65252

Millionenschaden durch Phishing

Nach einer Meldung des Nachrichtenmagazins Focus liegen den deutschen Landeskriminalämtern (LKA)
mehr als 1000 Fälle von Kunden vor, deren Bank-Zugangsdaten zu betrügerischen Überweisungen
missbraucht wurden. Der geschätzte Schaden summiert sich auf insgesamt 4,5 Millionen Euro.
Dabei sind die immer häufigeren Phishing-Mails nur ein Aspekt. Zunehmende Gefahren gehen von
technisch aufwendigeren Verfahren wie Spionage-Software auf dem Rechner des Opfers aus.

http://www.handelsblatt.com/pshb?fn=tt&sfn=go&id=1126204

bei den bisherigen Meldungen hieß es doch immer. es sei noch nicht zu größeren Schäden gekommen...

cp

 

[stieglitz]

Und das ist der Bericht im Focus, ziemlich umfangreich über mehrere Seiten. Für regelmässige Leser hier im Forum sicher nichts neues.
Aber für Anfänger ist der Focus-Bericht sicher recht interessant.
http://focus.msn.de/hps/fol/article/article.htm?id=17355
und im Handelsblatt erschein heute auch ein umfangreicher Bericht.
http://www.handelsblatt.com/pshb?fn=tt&sfn=go&id=1126596

Es ist ja begrüssenswert, wenn die grossen Medien die Gefahren im Internet einer breiten Öffentlichkeit näher bringen.

 

[Wembley]

Auch österreichische Banken sind mittlerweile Ziel der Phishing-Attacken. Diesmal traf es dieErste/Sparkasse. Die Phisher registrierten eine Domain, in deren Namen sich nur ein Buchstabe vom echten Internet-Banking-Portal unterschied.

Allerdings haben es hier die Phisher schwer. Seit dem Frühjahr 2005 fragt das System nach dem Zufallsprinzip eine bestimmte TAN-Nummer ab, gibt die ersten beiden Ziffern an und der Kunde muss dann diese Nummer anhand seiner Liste ergänzen. Die müssten schon im Besitz mehrerer TAN-Nummern sein, um eine Chance auf Erfolg zu haben.


Siehe hier:

http://futurezone.orf.at/futurezone.orf?read=detail&id=276597

Gruß
Wembley

 

[Anonymous]

"Volksbank: Dringende Mittteilung"

Heftig: Die gesamte Mail als Link - keine Chance, der Ziel-Url zu entgehen


"Volksbank: Dringende Mittteilung - Lesen Sie bitte unverzuglich. [ref:3600]"

Aus dem Header:

Return-Path: <Unterstutzung90 @ vr-web . net>
...
Received: from barakony-300b35 ([82.131.224.253]) by
...
id 4L7R06J5; Thu, 27 Oct 2005 08:45:39 +0200
Message-ID: <001e01c5dac1$e756ac0c$0100a8c0 @ barakony-300b35>
From: "VR bank Unterstutzung" <Unterstutzung90 @ vr-web . net>
To: "ich"
Subject: Volksbank: Dringende Mittteilung - Lesen Sie bitte unverzuglich. [ref:3600]
Date: Thu, 27 Oct 2005 08:44:39 +0200
...
dann jede Menge davon:
nMzW7H6ZvLfj/KTF9DBnrCxWnJSqzNzm9ClUjEdojERcfCxirJy77FSCpDddnHx+fCtijEdqnPTy
9NTSzKjU9Ka93HGOrKG6zIyuzICgvDpulEF2nCFVfKPC1JSsvL7t/Kvd/LTC5DJnpIeozJy+3LvF
Im Bild gebinnt der Text "Wichtige Information von der Verwaltung der Volksbank! ..."
und der Link heißt:
http :// 202.164.185.98:8081 /__F5793BCFE4343540.nsf/(WWWFrame)/XCFDTGHFYHJNFGHNDGBDR545343635F21 / index.htm
(an mehreren Stellen sind Leerzeichen eingefügt)

 

[Anonymous]

Viren

Diese email enthält gefärliche Viren. Sofort löschen nicht draufklicken!

Betreff: Sehr Wichtig! oder Wichtig

Header:

"Received: from [84.113.140.32] (helo=217.72.192.188)
by mx32.web.de with smtp (WEB.DE 4.105 #323)
id 1EV8Kf-0004Mr-00; Thu, 27 Oct 2005 16:02:17 +0200
FCC: mailbox_//identdep_op53197893 @ volksbank.de/Sent
X-Identity-Key: id1
Date: Thu, 27 Oct 2005 12:56:16 -0200
From: Volksbanken Raiffeisenbanken AG <identdep_op53197893 @ volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: [...] @ web.de
Subject: Es ist wichtig! [Thu, 27 Oct 2005 19:02:16 +0400]
Content-Type: multipart/related;
boundary="------------020605050901030507060004"
Message-Id: <E1EV8Kf-0004Mr-00 @ mx32.web.de>
Sender: identdep_op53197893 @ volksbank.de"

[An einigen Stellen editiert - bitte NUBs beachten!] - modaction.sep

h*tp://www.blogol.hu/pikz/mindenkinek/MWSnap001.jpg

 

[stieglitz]

Eine, zumindesten für mich, neue Methode des Phishing wird von der Polizei Mittelfranken gemeldet.

Wie sich bei den umfangreichen und langwierigen Ermittlungen
herausstellte, war auf seinem Rechner ein sog. "Abbruchtrojaner"
unbemerkt installiert worden. Dies kann z.B. durch das Anklicken
einer beliebigen Seite im Internet geschehen sein. Der Trojaner brach
nach Eingabe der Geheimzahl die Verbindung zur Bankseite ab, die
angegebene Nummer verschickte er an seinen "Programmierer". Dieser
wiederum nutzte die TAN, um den Betrag auf sein eigenes Konto zu
überweisen.

Und nicht nur der Betrogene, sondern auch der Mittelsmann gehört eher zu den Opfern.

Als dringend tatverdächtig wurde vom Fachkommissariat der
Nürnberger Kriminalpolizei ein 31-jähriger Nürnberger ermittelt, auf
dessen Konto die Überweisung erfolgte. Seinen Angaben nach fungierte
er allerdings nur als Geldkurier für eine ausländische Firma. Über
ein Zeitungsinserat wäre er an die Firma geraten.

Wegen Computerbetruges, Datenveränderung, Ausspähen von Daten und Geldwäsche wird der 31-Jährige angezeigt. Überdies muss er den
gesamten Geldbetrag an den Geschädigten zurückzahlen.

http://www.presseportal.de/polizeipresse/p_story_rss.htx?nr=741312
gefunden hier:
http://www.intern.de/news/7204.html
Eine äusserst heimtückische Methode, da der Betrogene gar nichts merkt.
Die bisherige Methode Passwörter zu fischen, dürfte langsam zu bekannt sein, als da noch allzuviele darauf hereinfallen.(aber sicher immer noch viel zu viel)

 

[Captain Picard]

eben auf dem web.de account eingeschlagen:

Deutsche Bank e-mail wir zu prufen
Sehr geehrter Kunde,

Die wichtigste Richtung der Entwicklung vom Online-Service der Deutsche Bank ist Gewaehrleistung der
Sicherheit unserer Kunden. Wir setzen daher technische und organisatorische Sicherheitsmassnahmen ein,
um Ihre Daten - welche Sie der Deutsche Bank zur Verfuegung stellen - gegen Manipulationen, Verlust,
Zerstoerung oder den Zugriff unberechtigter Personen zu schuetzen.

Um Ihren E-Mail-Adresse wir zu prufen - Wir bitten Sie, das spezielle Formular auszufullen:

ht*p://www.deutsche-bank.de/....................

Wir danken Ihnen fuer die schnelle Reaktion auf unsere Bitte. Wir hoffen auf Ihr Verstaendnis,
weil unser Endziel die Sicherheit unserer Kunden ist.

macht Sinn, vor allem weil ich kein DB-Kunde bin :rotfl:

 

[Anonymous]

Um Ihren E-Mail-Adresse wir zu prufen - Wir bitten Sie, das spezielle Formular auszufullen:

Nu schau mal einer kiek - die haben inzwischen gemerkt, daß "form" im Deutschen "Formular" heißt und daß Formulare nicht "erfullt", sondern "ausgefüllt" werden - fehlen nur noch die Umlautchen und am Satzbau sollte auch noch mal was getan werden!

Wie war das noch? "Dunkel die andere Seite ist" - "Halt's Maul, Yoda, und iß Deinen Toast!"

 

[Wembley]

Nach der Sparkasse/Erste ist in Ö die Bawag/PSK dran. Siehe hier:


http://www.zdnet.de/news/security/0,39023046,39137891,00.htm


Interessant ist auch, dass die Person, die im Whois-Eintrag der "bösen" Seite steht, real zu existieren scheint, ja sogar in mehreren Verzeichnissen als Mediziner eingetragen ist.

Gruß
Wembley

 

[Captain Picard]

Interessant ist auch, dass die Person, die im Whois-Eintrag der "bösen" Seite steht, real zu existieren scheint, ja sogar in mehreren Verzeichnissen als Mediziner eingetragen ist.

naja, Amsterdam hat unzählige Grachten und ob es die Adresse wirklich gibt...
die Suche nach dem Namensinhaber & Amsterdam ergibt hübsche Treffer , er scheint viele Wohnsitze zu haben

cp

 

[Wembley]

naja, Amsterdam hat unzählige Grachten und ob es die Adresse wirklich gibt...

In diesem Amsterdam gibt es wohl kein Ajax, höchstens als Putzmittel.

Beim anderen österreichischen Phishingmail verhält es sich ähnlich. Da durfte eine "Soccer-Mom" herhalten. Stellt sich die Frage, ob deren Adressen einfach so gephisht wurden oder ob die sich für was anwerben haben lassen, ohne zu wissen, worauf die sich einlassen.

Gruß
Wembley

 

[Captain Picard]

http://www.handelsblatt.com/pshb?fn=tt&sfn=go&id=1134652

hiz DÜSSELDORF. Kunden des Online Bezahldienstes Paypal erhalten derzeit verstärkt Phishing Mails, wie die Websense Security Labs berichten. In den betrügerischen Nachrichten werden die Opfer aufgefordert, das ausführbare Programm "PayPal Tool" über einen Link zu laden. Es handelt sich dabei allerdings nicht um ein Programm für die Abwicklung von Onlinezahlungen. „PayPal-2.5.200-MSWin32-x86-2005.exe“ ist ein trojanisches Pferd, das bei der Installation die Namensauflösung auf dem Rechner modifiziert.

 

[sascha]

Eine klasse Geschichte zu den Hintermännern des Phishings (hoffentlich hier noch nicht gepostet):

http://www.spiegel.de/spiegel/0,1518,383454,00.html

 

[Der Jurist]

Eine klasse Geschichte zu den Hintermännern des Phishings (hoffentlich hier noch nicht gepostet):

http://www.spiegel.de/spiegel/0,1518,383454,00.html

Doch schon hier gepostet: http://forum.computerbetrug.de/viewtopic.php?p=125695#125695

 

[sascha]

 

[Anonymous]

Nach den üblichen Banken-Mails hatte ich gestern erstmals auch eine "Abfrage" für meine web.de - Mailbox in besagter Mailbox.
Allerdings eher plump aufgemacht, warum hätte es eine .de Seite nötig, englische Texte zu verschicken unter einer zweifelhaften Absendeadresse?
Außerdem erwarte ich wenigstens eine persönliche Anrede

Betreff: web.de ID: [...]@web.de
Von: Verification <[...]> ins Adressbuch
An: [...]@web.de
Datum: 10.11.05 06:57:28

Received: from [24.99.135.3] (helo=c-24-99-135-3.hsd1.ga.comcast.net)
by mx29.web.de with smtp (WEB.DE 4.105 #323)
id 1Ea5R3-0008Nl-00
for [...]@web.de; Thu, 10 Nov 2005 06:57:21 +0100
Message-ID: <[email protected]>
From: Verification <[...]>
To: [...]@web.de
Subject: =?iso-8859-1?B?d2ViLmRlIElEOiBqYmFydGhvbEB3ZWIuZGU=?=
Date: Thu, 10 Nov 2005 06:48:48 +0000
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_0000_1200B942.32B51DEF"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express V6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
Sender: [...]


De‮ra‬ web.de Mem‮eb‬r,

We mu‮ts‬ che‮kc‬ th‮ta‬ yo‮ru‬ web.de ID was regi‮ets‬red by re‮la‬ peop‮el‬. So, to he‮pl‬ web.de prev‮ne‬t automat‮de‬
reg‮oitartsi‬ns, p‮el‬ase c‮cil‬k on t‮sih‬ li‮kn‬ and com‮lp‬ete c‮edo‬ verificat‮oi‬n pr‮seco‬s:

xxx://web.de/uU65AlNDbjlliSzVRDUmcl4NDBLkXfsPu5PxvwA3MAbyTTbVgm8UKl9o9nw8

T‮knah‬ you.

(enthält diesen bereits aus dem Verkehr gezogenen Link):

xxx://www.google.sh/url%3Fq%3Dhttp://%73t%09A%6%64%61%09 RT%09%7aa.%63%6fM/%63%67i-%62%69%6e%09/%70%6f%63%68 /%72%65%09dir.%63%09gi%3Fs%3Dweb.de

[Link umgebrochen - er zerschießt die ganze Forenoptik] - modaction.sep

 

[Anonymous]

Jetzt ist unter

http://[...].196.82.[...]/rpm

die berliner Volksbank dran habe in 3 Tagen 10 mails mit dem [...] bekommen und alles nur über die Adresse die ich in Ebay nutze.

Was tut eigentlich Ebay dagegen das die Mailadresse ausgelesen werden?

[Gefährlichen Link editiert - hierfür besteht das "Linkforum" (gesonderte Freischaltung erforderlich) - bitte NUBs beachten!] - modaction.sep