PHISHING: Der Kampf gegen die Passwort-Fischer

schlagt mich, aber wäre es nicht ziemlich schlecht für die Phisher, wenn ein Großteil der aufgeklärten User alle Phishing-Mails mit falschen Eingaben beantworten würde? Da die Deppen nicht aussterben und jeden tag ein Dummer aufsteht, der betrogen werden kann, wird man es wohl kaum erreichen, daß die Betrüger überhaupt keine Antworten mehr erhalten.

Die Devise sollte also nicht lauten Phishing-Mails gleich unbeachtet zu löschen, sondern im Gegenteil, zu beantworten. Im Moment wird es wohl so aussehen, daß die Mehrheit der Antworten auf Phishing-Versuche für die Betrüger positiv ausfällt. Soll heißen, sie erhalten von unbedarften naiven Mitmenschen PINs und TANs geliefert.

Würden alle aufgeklärten User Phishing-Mails beantworten und falsche, aber plausible Daten eingeben, würden die Betrüger in einer Flut von Antworten ersticken und könnten die wenigen richtigen Antworten gar nicht mehr herausfinden. Sie müssen ja sämtliche PINs und TANs in Handarbeit ausprobieren.
 
User Nr 2528 schrieb:
Würden alle aufgeklärten User Phishing-Mails beantworten und falsche, aber plausible Daten eingeben, würden die Betrüger in einer Flut von Antworten ersticken und könnten die wenigen richtigen Antworten gar nicht mehr herausfinden. Sie müssen ja sämtliche PINs und TANs in Handarbeit ausprobieren.
Zum Vergrößern anklicken....

Von solch einem Vorgehen würde ich persönlich abraten. Abgesehen davon, dass diese Seiten in den meisten Fällen doch releativ schnell vom Netz genommen werden, weiß man nie, was einem beim Besuch einer dieser Seiten (z.B. Trojaner) untergejubelt wird. Denn die können dann, auch im Zusammenhang mit Phishing, wirklich gefährlich werden.

Gruß
Wembley
 
User Nr 2528 schrieb:
schlagt mich, aber wäre es nicht ziemlich schlecht für die Phisher, wenn ein Großteil der aufgeklärten User alle Phishing-Mails mit falschen Eingaben beantworten würde? ...
Zum Vergrößern anklicken....
Also Schlagen ist nicht. Zumindest nicht zur Weihnachtszeit. :o
Ansonsten finde ich den Vorschlag gut, empfehle aber dazu den bequemen, ziemlich effizienten und vor allem ungefährlichen Weg über PhishFighting.com. :evil:
 
Oh ja, wieder ein Beispiel für gelungene deutsche Prosa :wink:

Sehr geehrte Kundin Sehr geehrter Kunde

Wir sind gezwungen, Ihnen folgendes mitzuteilen. Im Zusammenhang mit häufiger wiederholten Angriffen auf die Portale der deutschen Banken ist die Direktion der Deutsche Bank zur Entscheidung gekommen, eine vollständige Zwangserneuerung der Informationen uber Ihre Konten vorzunehmen. Sie müssen das nachfolgende Link befolgen und die Angaben zum Zugriff von Ihrem Konto ändern. Auf Grund der entstandenen Situation wollen wir auf Ihr Verständnis und Zusammenarbeit hoffen, weil es der beste Weg ist, ihre Konten zu sichern.

h**p://www.deutsche-bank.de

Antworten Sie bitte auf diesen Brief nicht. Die Briefe, die an diese Anschrift geschickt werden, werden nicht beantwortet. Um Hilfe zu bekommen. Kommen Sie auf Ihr Deutsche Bank konto und tippen Sie oben auf der beliebigen Seite «Hilfe» ein.

2005 Deutsche-Bank AG.© Alle Rechte vorbehalten. Handelsmarken und Brands sind Eigentum von ihren Besitzern.
Zum Vergrößern anklicken....

Was sagt der Header?

Code: 
Received: (qmail invoked by alias); 29 Dec 2005 06:46:21 -0000
Received: from unknown (HELO 221.222.76.192) [221.222.76.192]
  by mx0.gmx.net (mx029) with SMTP; 29 Dec 2005 07:46:21 +0100
Message-ID: <277801c60c42$2e530d61$d9a7b215 @ deutsche-bank.de>

Deutsche Bank, Postbank und citibank (meist auf englisch) scheinen die Top 3 der Pishing-Versuche seit Monaten anzuführen :evil:

Noch nicht mal im Spamschutznetz verfängt sich dieser Müll, trotz "Received: from unknown"...
 
Und gleich wieder ein neuer Phishing Trick:
http://www.heise.de/newsticker/meldung/68257

12.01.2006 11:59
Phishing mit Google
Phisher versuchen derzeit, Google für ihre Zwecke einzuspannen. In den vergangenen Tagen gingen mehrere vermeintlich von Paypal stammende E-Mails mit dem Betreff "Personal Data Verification Process" bei heise online ein. In der HTML-Ansicht enthalten die Nachrichten einen Link, der vermeintlich zu Paypal führt. Im Quelltext führt der Link auf den ersten Blick zu Google. Er macht sich eine Weiterleitungsfunktion zu Nutze, mit der man einen beliebigen Link in eine Google-URL verpacken kann: Zum Beispiel führt der Link http://www.google.com/url?sa=t&url=http://www.heise.de unmittelbar auf die Heise-Webseite.
Zum Vergrößern anklicken....
 
iTAN-Verfahren

Die Financial Times Deutschland berichtet heute: "Banken rüsten sich gegen Klau von Kontodaten":
Deshalb wollen die Institute im laufenden Jahr mit der Einführung so genannter indizierter Transaktionsnummern (iTAN) den Betrügern trotzen. Dabei erhalten die Kunden Blöcke mit durchnummerierten TAN-Zahlenkombinationen. Vor jeder Transaktion teilt ihnen die Bank mit, welche Nummer dran ist. Die TAN wird nur kurze Zeit freigeschaltet. Damit wird eine TAN, die ein Kunde versehentlich preisgibt, für Datenräuber wertlos. [...]
Die Institute propagieren mit dem iTAN-Verfahren zwar mehr Sicherheit. Trotzdem wurde das System schon vorher von Wissenschaftlern an einem Tag geknackt. [...]
Die Wissenschaftler haben bei ihrem Angriff Kunden auf gefälschte Internetseiten der Banken gelockt und einen gleichzeitigen Dialog mit ihnen und der Bank aufgebaut. Dadurch konnte ein bestimmte TAN sofort abgefragt werden. "Das Verfahren ist nur sicher, wenn der Kunde überprüft, ob die SSL-Verbindung sicher ist", sagt Borges. Die Kunden würden den Schutzmechanismus aber ignorieren oder ihn nicht verstehen. Einzig sicher seien die mobilen TANs und der Chipkartenleser.
Zum Vergrößern anklicken....
 
UlliZ schrieb:
Oh ja, wieder ein Beispiel für gelungene deutsche Prosa :wink:
Zum Vergrößern anklicken....
Gerade in meinem account gefunden :tröst::
Sehr geehrte Kundin, sehr geehrter Kunde,

Von den technischen Diensten der Bank ist die Erneuerung der Software vom on-line System für den Zugang der Kunden zum Bankdienstleistungen vorgenommen worden. Wir bitten Sie inständig Link nach unten zu verfolgen, für den Start der Bestätigung der Ausnutzung der Benutzerinformation. Wenn Sie Link eintippen, so müssen Sie den Anweisungen folgen, die auf der Seite der Bestätigung von den Benutzerangaben angeführt sind.

h**ps://www.dresdner-bank.de/conf_procedure.asp?start_session

Die vorliegende Vorschrift ist an alle Bankkunden abgeschickt worden und das ist eine Pflichterfüllung.

Wir entschuldigen uns bei Ihnen wegen der möglichen Unannehmlichkeiten und bedanken uns für die Zusammenarbeit.

© Dresdner Bank AG. Alle Rechte vorbehalten
Zum Vergrößern anklicken....
Hat schon einmal jemand einen Link nach unten verfolgt... :gruebel: Bitte diesbezüglich um :help: .
 
h**ps://www.dresdner-bank.de/conf_procedure.asp?start_session
Zum Vergrößern anklicken....

Wer diesen Link kopiert, landet nicht auf den Seiten der Phisher (sofern die Hosts-Datei nicht manipuliert ist).

Wer allerdings auf den Link klickt, landet bestimmt auf einer anderen Seite, die von den Phishern erstellt wurde.

Wohin verweist denn der Link wirklich?
 
http://www.heise.de/newsticker/meldung/68335
Verbraucherschützer schlagen wegen Betrugs bei Online-Banking Alarm

Angesichts sich massiv häufender Beschwerden über Betrugsfälle beim Online-Banking hat die Verbraucherzentrale Nordrhein-Westfalen Alarm geschlagen. "Bei den Sicherheitsproblemen müssen wir uns fragen, ob man den Zahlungsverkehr via Internet überhaupt noch empfehlen kann." Das sagte Hartmut Strube, Finanzjurist bei der Verbraucherzentrale Nordrhein-Westfalen, auf Anfrage und bestätigte damit einen Bericht der "Neue Ruhr/Neue Rhein Zeitung" (Samstagsausgabe).
Zum Vergrößern anklicken....
 
http://www.heise.de/newsticker/meldung/68391
Eine unrühmliche Ausnahme sind die Volksbanken Raiffeisenbanken einschließlich diverser Filialen. Dort kommen Frames immer noch ohne Vorsichtsmaßnahmen zum Einsatz, sodass sich sogar verschlüsselte Login-Seiten zum Online-Banking von Phishern missbrauchen ließen.

Um sich vor derartigen Fallen zu schützen, kann man in den Einstellungen des Internet Explorer die Option "Subframes zwischen verschiedenen Domänen bewegen" deaktivieren.
Zum Vergrößern anklicken....
cp
 
Raiffeisenbank Österreich - Phishing-Mail

Ich habe zufällig von einem Kollegen von einer neuen Masche erfahren, die sich im Gegensatz zu dem grauenhaften Kauderwelsch schlecht nachgeahmter Seiten geradezu professionell ausmacht.

Die Spam-Mail ist zwar noch recht holprig verfasst,

Sehr geehrte Bankkunden, Unser Staat ist in eine komplizierte on - line - Banking - Lage geraten und deswegen wurde uns den Rat gegeben, die on - line - Konten von unseren Kunden zu überwachen, um die "Eintagskonten" zu ermitteln, die von den Schwindlern verwendet werden konnten, um das Geldmittel von den Konten waschen zu können, deswegen bitten wir Sie, die Form auszufüllen, die auf unserer offiziellen Web-Seite zu finden ist.

Die Konten, die bis zum 11.02.06 auf unsere Formblätter nicht eingetragen werden, werden bis zur Feststellung ihrer Eröffnung und Anwendung sowohl von den Firmenkunden, als auch von den Ptivatkunden blockiert.

Wir möchten uns bei Ihnen für die Unannehmlichkeiten, die wir Ihnen bereitet haben, entschuldigen. Wir hoffen aber doch darauf, daß wir mit Ihnen in der Zukunft auch weiter erfolgreich und effektiv arbeiten werden.
ELBA-internet

Copyright by RAIFFEISEN DATENNETZ GESELLSCHAFT M.B.H, Jacquingasse 47, A-1030 Wien


Klickt man auf den in der Mail angegebenen Link h**p://www.online-raiffeisen.com/ (Ladezeit kann u.U. ein paar Minuten dauern) landet man auf einem nahezu perfekt "eingebetteten" und auf den ersten Blick geradezu "einladend" gestalteteten Formular.

Das Formular der Kontenbestätigungen
Wir bitten Sie, die Form aufmerksam, sauber und klar auszufüllen!
Name:
Familienname:
Adresse (Straße, Haus Nr.):
Stadt:
Telefon - Nr.:
Bankleitzahl:
Konto oder Depot:
Verfügernummer:
(die letzten 8 Stellen)
PIN:
TAN:


Gibt man irgend etwas in das Formular ein und betätigt den "Eingabe"-Button, erhält man zunächst mehrere Male die Meldung "Pin-Code ungultig", nach dem xten Versuch schließlich die höfliche Bestätigung

Danke
Wir haben alles gut bekommen
Mit freundlichen Grüßen

und wird anschließend auf die offizielle Bankseite von http://raiffeisen.at/eBusiness weitergeleitet
und das alles trotz deaktiviertem "Subframes zwischen verschiedenen Domänen bewegen".

Siehe auch die Warnung der Raiffeisenbank Österreich:hier

Diese Warnung ist mittlerweile eine Woche alt, die Phisher-URL
ist aber nach wie vor online.
 
Weil es so schön passt: Eine weitere auf österreichische Banken abzielende Phishing-Mail, die ebenfalls ein paar Tage alt ist. Dieses betrifft die Bank Austria Creditanstalt.

Gruß
Wembley
 

Anhänge

  • ba-ca-phishing.jpg
    ba-ca-phishing.jpg
    74,1 KB · Aufrufe: 392
Zu den jüngsten Phishing-Attacken, die Kunden der Raiffeisen-Banken bzw. der Bank Austria Creditanstalt zum Ziel hatten, zwei durchaus interessante Artikel von orf.at:

"Torpig", der Trojaner, und die Phisher. So ungefähr könnte eine zusammenfassende Überschrift beider Artikel lauten.

Artikel 1: http://futurezone.orf.at/it/stories/87948/
orf.at schrieb:
Im Windschatten der Phishing-Mails gegen Kunden von BA-CA und Raiffeisen wurde ein Trojaner verbreitet, der nach und nach die Konten plündert. Den Trojaner fängt man sich über eine Windows-Sicherheitslücke via WWW ein.
Zum Vergrößern anklicken....

Artikel 2: http://futurezone.orf.at/it/stories/88397/
orf.at schrieb:
Ein Blick auf den Code des Wurms macht offenbar, dass hier [mindestens] eine Betrügerbande tätig ist, die länderübergreifend in Westeuropa agiert. Während in Österreich, das im Dezember in das "Torpig"-Prgramm aufgenommen wurde, gerade einmal vier Telebanking-Websites gelistet sind, die zu BA-CA bzw. Raiffeisen gehören, enthält der Code von "Torpig-U" gute zwei Dutzend deutsche Banken-Websites. Ebensoviele Banken-Angriffsziele aus Großbritannien sind gelistet, in Spanien nimmt der tückische Trojaner gar 31 Banken ins Visier.
Zum Vergrößern anklicken....
Gruß
Wembley
 
Zurück
Oben