PHISHING: Der Kampf gegen die Passwort-Fischer
- Ersteller webwatcher
- Erstellt am
Q
q098
AW: PHISHING: Der Kampf gegen die Passwort-Fischer
Es wird immer besser.
Heute waren wieder mal Citibank und Postbank an der Reihe, innerhalb kurzer Zeit. Die Texte und die Art der Links weisen eine gewisse Ähnlichkeit auf, Zufall?
Zuerst eine Mail von der Citibank erhalten mit einer eingebetteten Grafik, in fast fehlerfreiem Deutsch, jedenfalls schon ein deutlicher Fortschritt gegenüber dem holprigen Kauderwelsch vergangener Tage:
Betreff: Citibank Deutschland: amtlicher Bescheid
Von: "CITIBANK DE, 2006" <[email protected]> ins
Received: from [82.234.131.181] (helo=cag06-1-82-234-131-181.fbx.proxad.net)
by mx23.web.de with smtp (WEB.DE 4.107 #114)
id 1FkMz2-0000mX-00
for [email protected]; Sun, 28 May 2006 17:15:13 +0200
Received: from excrescent.mackone.freeserve.co.uk (ehlo precursor.mackone.freeserve.co.uk [102.165.22.240])
by too.de with SMTP id FDKEKDZ8V8
for <[email protected]>; Sun, 28 May 2006 10:15:10 -0600
From: "CITIBANK DE, 2006" <[email protected]>
To: "xxx" <[email protected]>
X-Originating-IP: 125.96.40.132
Subject: Citibank Deutschland: amtlicher Bescheid
User-Agent: MIME-tools 4.104 (Entity 4.116)
X-Mailer: MIME-tools 4.104 (Entity 4.116)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="Z4W__.U3GA4UEHW4"
X-Antivirus: avast! (VPS 0621-4, 26/05/2006), Outbound message
X-Antivirus-Status: Clean
Message-Id: <[email protected]>
Date: Sun, 28 May 2006 17:15:13 +0200
Sender: [email protected]
Sehr geehrter Kunde, sehr geehrte Kundin,
Die Technische Abteilung der Citibank Deutschland führt zur Zeit eine vorgesehene Software-Aktualisierung durch, um die Qualität des Online-Banking-Service zu verbessern.
Wir möchten Sie bitten, unten auf den Link zu klicken und Ihre Kundendaten zu bestätigen.
xxx://citibank.de.homebankingsecure.startsession.asp.upsmail.us/r1/cb/
Da der Link noch aktiv gewesen ist habe ich ihn einfach mal ausprobiert und erhielt diese freundliche Forderung (garniert mit dem Schriftzug der Bank) samt Eingabemasken für persönliche Daten:
Sehr geehrte Kundin, sehr geehrter Kunde,
Dies ist die Homepage, auf der Sie Ihre Online-Banking-Kundendaten bestätigen können.
Wir bitten Sie, alle obligatorischen Felder auszufüllen. Wenn Sie ein obligatorisches Feld frei lassen, wird ein Hinweis angezeigt, in dem Sie aufgefuhrt werden, die fehlenden Felder auszufüllen.
Geben Sie 10 unbenutzte TAN-Nummern ein. Wenn Sie weniger als 10 unbenutzte TAN-Nummern haben, so geben Sie alle unbenutzten TAN-Nummern ein:
Nach der Eingabe derselben und Drücken auf den "Absenden"-Button wird man sofort auf die offizielle Bankseite weitergeleitet.
Noch dreister dann eine Aufforderung der Postbank, nahezu gleicher Text wie bei Citybank:
Betreff: Die wichtige Information
Von: "Deutsche Postbank 2006" <[email protected]> ins Adressbuch
An: "xxx" <[email protected]>
Datum: 28.05.06 17:54:44
Received: from [84.105.192.235] (helo=84-105-192-235.cable.quicknet.nl)
by mx32.web.de with smtp (WEB.DE 4.107 #114)
id 1FkNbC-00088V-00; Sun, 28 May 2006 17:54:39 +0200
Received: from balzac.dmedia-ua.com (gesticulate.onlysexpages.com [30.50.192.222])
by buildpage.com with SMTP id XCLICC6XTA
for <[email protected]>; Sun, 28 May 2006 08:54:38 -0800
Received: from russ.phayze.com (phayze.com.gammae.com [80.63.96.16])
by ruserv.com with SMTP id IYF4Q4NFSO
for <[email protected]>; Sun, 28 May 2006 13:49:38 -0300
From: "Deutsche Postbank 2006" <[email protected]>
To: "xxx" <[email protected]>
Subject: Die wichtige Information
X-Sender: [email protected]
User-Agent: Microsoft Internet Mail 4.70.1155
X-Mailer: Microsoft Internet Mail 4.70.1155
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="PH.Q_ZQESARQ9I_0WKMF2"
Message-Id: <[email protected]>
Date: Sun, 28 May 2006 17:54:39 +0200
Sender: [email protected]
Die Technische Abteilung der Deutsche Postbank führt zur Zeit eine vorgesehene Software-Aktualisierung durch, um die Qualität des Online-Banking-Service zu verbessern.
Wir möchten Sie bitten, unten auf den Link zu klicken und Ihre Kundendaten zu bestätigen.
xxx://banking.postbank.de.app.gami.us/r1/p/
und den Formularinhalt - man braucht nur alle TAN-Nummern einzugeben, muss also nich erst nachzählen ob man 10 oder weniger freie Nummern zur Verfügung hat.
Datenbestätigungsvorgang
Bestätigungsseite fur Online-Banking-Kundendaten.
Fullen Sie alle Felder in dem unten stehenden Formular aus.
Nachdem Sie alle Daten eingegeben haben, klicken Sie auf die Schaltfläche am Ende des Formulars, um auf die nächste Seite zu gelangen.
Geben Sie alle unbenutzten TAN-Nummern Ihrer TAN-Liste ein
Es wird immer besser.
Heute waren wieder mal Citibank und Postbank an der Reihe, innerhalb kurzer Zeit. Die Texte und die Art der Links weisen eine gewisse Ähnlichkeit auf, Zufall?
Zuerst eine Mail von der Citibank erhalten mit einer eingebetteten Grafik, in fast fehlerfreiem Deutsch, jedenfalls schon ein deutlicher Fortschritt gegenüber dem holprigen Kauderwelsch vergangener Tage:
Betreff: Citibank Deutschland: amtlicher Bescheid
Von: "CITIBANK DE, 2006" <[email protected]> ins
Received: from [82.234.131.181] (helo=cag06-1-82-234-131-181.fbx.proxad.net)
by mx23.web.de with smtp (WEB.DE 4.107 #114)
id 1FkMz2-0000mX-00
for [email protected]; Sun, 28 May 2006 17:15:13 +0200
Received: from excrescent.mackone.freeserve.co.uk (ehlo precursor.mackone.freeserve.co.uk [102.165.22.240])
by too.de with SMTP id FDKEKDZ8V8
for <[email protected]>; Sun, 28 May 2006 10:15:10 -0600
From: "CITIBANK DE, 2006" <[email protected]>
To: "xxx" <[email protected]>
X-Originating-IP: 125.96.40.132
Subject: Citibank Deutschland: amtlicher Bescheid
User-Agent: MIME-tools 4.104 (Entity 4.116)
X-Mailer: MIME-tools 4.104 (Entity 4.116)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="Z4W__.U3GA4UEHW4"
X-Antivirus: avast! (VPS 0621-4, 26/05/2006), Outbound message
X-Antivirus-Status: Clean
Message-Id: <[email protected]>
Date: Sun, 28 May 2006 17:15:13 +0200
Sender: [email protected]
Sehr geehrter Kunde, sehr geehrte Kundin,
Die Technische Abteilung der Citibank Deutschland führt zur Zeit eine vorgesehene Software-Aktualisierung durch, um die Qualität des Online-Banking-Service zu verbessern.
Wir möchten Sie bitten, unten auf den Link zu klicken und Ihre Kundendaten zu bestätigen.
xxx://citibank.de.homebankingsecure.startsession.asp.upsmail.us/r1/cb/
Da der Link noch aktiv gewesen ist habe ich ihn einfach mal ausprobiert und erhielt diese freundliche Forderung (garniert mit dem Schriftzug der Bank) samt Eingabemasken für persönliche Daten:
Sehr geehrte Kundin, sehr geehrter Kunde,
Dies ist die Homepage, auf der Sie Ihre Online-Banking-Kundendaten bestätigen können.
Wir bitten Sie, alle obligatorischen Felder auszufüllen. Wenn Sie ein obligatorisches Feld frei lassen, wird ein Hinweis angezeigt, in dem Sie aufgefuhrt werden, die fehlenden Felder auszufüllen.
Geben Sie 10 unbenutzte TAN-Nummern ein. Wenn Sie weniger als 10 unbenutzte TAN-Nummern haben, so geben Sie alle unbenutzten TAN-Nummern ein:
Nach der Eingabe derselben und Drücken auf den "Absenden"-Button wird man sofort auf die offizielle Bankseite weitergeleitet.
Noch dreister dann eine Aufforderung der Postbank, nahezu gleicher Text wie bei Citybank:
Betreff: Die wichtige Information
Von: "Deutsche Postbank 2006" <[email protected]> ins Adressbuch
An: "xxx" <[email protected]>
Datum: 28.05.06 17:54:44
Received: from [84.105.192.235] (helo=84-105-192-235.cable.quicknet.nl)
by mx32.web.de with smtp (WEB.DE 4.107 #114)
id 1FkNbC-00088V-00; Sun, 28 May 2006 17:54:39 +0200
Received: from balzac.dmedia-ua.com (gesticulate.onlysexpages.com [30.50.192.222])
by buildpage.com with SMTP id XCLICC6XTA
for <[email protected]>; Sun, 28 May 2006 08:54:38 -0800
Received: from russ.phayze.com (phayze.com.gammae.com [80.63.96.16])
by ruserv.com with SMTP id IYF4Q4NFSO
for <[email protected]>; Sun, 28 May 2006 13:49:38 -0300
From: "Deutsche Postbank 2006" <[email protected]>
To: "xxx" <[email protected]>
Subject: Die wichtige Information
X-Sender: [email protected]
User-Agent: Microsoft Internet Mail 4.70.1155
X-Mailer: Microsoft Internet Mail 4.70.1155
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="PH.Q_ZQESARQ9I_0WKMF2"
Message-Id: <[email protected]>
Date: Sun, 28 May 2006 17:54:39 +0200
Sender: [email protected]
Die Technische Abteilung der Deutsche Postbank führt zur Zeit eine vorgesehene Software-Aktualisierung durch, um die Qualität des Online-Banking-Service zu verbessern.
Wir möchten Sie bitten, unten auf den Link zu klicken und Ihre Kundendaten zu bestätigen.
xxx://banking.postbank.de.app.gami.us/r1/p/
und den Formularinhalt - man braucht nur alle TAN-Nummern einzugeben, muss also nich erst nachzählen ob man 10 oder weniger freie Nummern zur Verfügung hat.
Datenbestätigungsvorgang
Bestätigungsseite fur Online-Banking-Kundendaten.
Fullen Sie alle Felder in dem unten stehenden Formular aus.
Nachdem Sie alle Daten eingegeben haben, klicken Sie auf die Schaltfläche am Ende des Formulars, um auf die nächste Seite zu gelangen.
Geben Sie alle unbenutzten TAN-Nummern Ihrer TAN-Liste ein
Captain Picard
Commander
AW: PHISHING: Der Kampf gegen die Passwort-Fischer
http://www.spiegel.de/netzwelt/technologie/0,1518,418712,00.html
mehr Phishingnews:
http://news.google.de/news?q=Phishing&hl=de&lr=&sa=X&oi=news_de&ct=title
http://www.spiegel.de/netzwelt/technologie/0,1518,418712,00.html
mehr Phishingnews:
http://news.google.de/news?q=Phishing&hl=de&lr=&sa=X&oi=news_de&ct=title
AW: PHISHING: Der Kampf gegen die Passwort-Fischer
heute ist bei mir zur Abwechslung mal 'ne SPAM-mail von (angeblich) der Postbank im Eingang gewesen. Sieht mir auch verdammt nach 'nem Pishingversuch aus. Dabei bin ich gar kein Kunde der Bank.
Hier ein paar Auszüge aus der email:
[........]
Die Masche ist doch immer die gleiche, nur die Schreiben ändern sich.
Bitte keine Whois-Daten posten. MOD/BR
heute ist bei mir zur Abwechslung mal 'ne SPAM-mail von (angeblich) der Postbank im Eingang gewesen. Sieht mir auch verdammt nach 'nem Pishingversuch aus. Dabei bin ich gar kein Kunde der Bank.
Hier ein paar Auszüge aus der email:
[........]
Die Masche ist doch immer die gleiche, nur die Schreiben ändern sich.
Bitte keine Whois-Daten posten. MOD/BR
AW: PHISHING: Der Kampf gegen die Passwort-Fischer
Zur Abwechslung ist mal wieder die Sparkasse dran. Interessant ist, dass sie für das iTAN Verfahren gleich 20 TANS verlangen, in der Hoffnung, dass dann ein TAN passt. Das es nicht DIE Sparkasse gibt, würde mich schon interessieren wie sie die richtige herausfinden wollen. Die Mail kam heute um 10.58 h. Um 11.45 h waren die Links bereits offline. Desshalb kann man die m.E. auch stehen lassen.
Zur Abwechslung ist mal wieder die Sparkasse dran. Interessant ist, dass sie für das iTAN Verfahren gleich 20 TANS verlangen, in der Hoffnung, dass dann ein TAN passt. Das es nicht DIE Sparkasse gibt, würde mich schon interessieren wie sie die richtige herausfinden wollen. Die Mail kam heute um 10.58 h. Um 11.45 h waren die Links bereits offline. Desshalb kann man die m.E. auch stehen lassen.
AW: PHISHING: Der Kampf gegen die Passwort-Fischer
Sollte man nicht einfach so viele falsche Angaben in die Formulare eingeben wie möglich?
Damit werden die "echten" geklauten Daten irgendwann vollkommen verwässert und sind für die Ganoven schwieriger herauszufinden.
Mir kam da so eine Spontanidee.stieglitz schrieb:
Sollte man nicht einfach so viele falsche Angaben in die Formulare eingeben wie möglich?
Damit werden die "echten" geklauten Daten irgendwann vollkommen verwässert und sind für die Ganoven schwieriger herauszufinden.
AW: PHISHING: Der Kampf gegen die Passwort-Fischer
Aber stören, wie das Baiten bei den Mugus würde das sicherlich.
JBG ist Banker, der kann dazu vielleicht was sagen.
Das ist so sicherlich richtig. M.W. wurde das auch schon mal bei Antispam diskutiert. Es gibt allerdings auch Prüfprogramme, die festellen können, ob die Kontonummer zur Bank gehört.Heiko schrieb:
Aber stören, wie das Baiten bei den Mugus würde das sicherlich.
JBG ist Banker, der kann dazu vielleicht was sagen.
J
JohnnyBGoode
AW: PHISHING: Der Kampf gegen die Passwort-Fischer
Jede Bankengruppe hat ein eigenes Prüfziffernsystem. Wie die PZ ermittelt wird, ist jedoch nur Insidern bekannt.
Es ist nicht anzunehmen, dass Phishing-Betrüger Kontonummern auf ihre Ordnungsmäßigkeit prüfen können.
Ich muss gestehen, dass ich auch bereits diverse Phishing-Formulare mit Phantasienummern versehen und den MuGus o.ä. zugeleitet habe, zuletzt auch bei der "Postbank" mit Abfrage der Telefon-Pin usw.
Hoffentlich gibt es diese Konten, Pins und Tans nicht wirklich in dieser Konstellation, aber das halte ich für höchst unwahrscheinlich.
Jede Bankengruppe hat ein eigenes Prüfziffernsystem. Wie die PZ ermittelt wird, ist jedoch nur Insidern bekannt.
Es ist nicht anzunehmen, dass Phishing-Betrüger Kontonummern auf ihre Ordnungsmäßigkeit prüfen können.
Ich muss gestehen, dass ich auch bereits diverse Phishing-Formulare mit Phantasienummern versehen und den MuGus o.ä. zugeleitet habe, zuletzt auch bei der "Postbank" mit Abfrage der Telefon-Pin usw.
Hoffentlich gibt es diese Konten, Pins und Tans nicht wirklich in dieser Konstellation, aber das halte ich für höchst unwahrscheinlich.
AW: PHISHING: Der Kampf gegen die Passwort-Fischer
Zudem habe ich alte Konten, die seit meiner Kündigung nicht mehr vergeben wurden. Die Daten kann ich da sorgenfrei angeben.
Ich könnte mir auch vorstellen, (m)eine Kontonummer meiner Bank zu verwenden und die BLZ der hier gängigen Banken habe ich im Kopf.Reducal schrieb:
Zudem habe ich alte Konten, die seit meiner Kündigung nicht mehr vergeben wurden. Die Daten kann ich da sorgenfrei angeben.
U
Unregistriert
AW: PHISHING: Der Kampf gegen die Passwort-Fischer
Man könnte doch einfach --> da eine auswählen. Kann doch nichts passieren, die PIN passt ja nie!
Aber: Das Ausfüllen der Formulare würde länger dauern als die Phisher brauchen um zu merken, dass das Login nicht klappt.
Andere Möglichkeit: Die Banken sollten "Honeypot"-Konten einrichten, die Phisher darauf überweisen lassen. Nach Abzug von Finderlohn dann Rücküberweisung an den unvorsichtigen Online-Kunden.
Man könnte doch einfach --> da eine auswählen. Kann doch nichts passieren, die PIN passt ja nie!
Aber: Das Ausfüllen der Formulare würde länger dauern als die Phisher brauchen um zu merken, dass das Login nicht klappt.
Andere Möglichkeit: Die Banken sollten "Honeypot"-Konten einrichten, die Phisher darauf überweisen lassen. Nach Abzug von Finderlohn dann Rücküberweisung an den unvorsichtigen Online-Kunden.
U
Unregistriert
AW: PHISHING: Der Kampf gegen die Passwort-Fischer
Darüber hinaus wird durch die Betätigung der Links die Email-Adresse der Anwender übermittelt, was die Täter in die Lage versetzen könnte, eine Liste von möglichen Sparkassen-Kunden anzufertigen und zukünftig Phishing-Emails gezielter zu versenden.
Da heißt, wer immer die erhaltene EMail weiterleitet, transportiert die EMail-Adresse des ursprünglichen Empfängers mit.
Und wer immer den Link in die Browserzeile kopiert, kann seine eigene EMail-Adresse (irgendeine, die er noch nie genutzt hat und nie wieder nutzen wird) eintragen und kontrollieren, was die alles mit seiner EMail machen...
Interessant ist der tatsächliche Link, der sich hinter den sichtbaren Buchstaben verbirgt, aus Wiesbadener Tagblatt:stieglitz schrieb:
Darüber hinaus wird durch die Betätigung der Links die Email-Adresse der Anwender übermittelt, was die Täter in die Lage versetzen könnte, eine Liste von möglichen Sparkassen-Kunden anzufertigen und zukünftig Phishing-Emails gezielter zu versenden.
Da heißt, wer immer die erhaltene EMail weiterleitet, transportiert die EMail-Adresse des ursprünglichen Empfängers mit.
Und wer immer den Link in die Browserzeile kopiert, kann seine eigene EMail-Adresse (irgendeine, die er noch nie genutzt hat und nie wieder nutzen wird) eintragen und kontrollieren, was die alles mit seiner EMail machen...
AW: PHISHING: Der Kampf gegen die Passwort-Fischer
Mal wieder ein reichlich primitver Phishingversuch auf die Citibank:
Anfang der Woche kamen mal wieder unzählige Anwerbungsschreiben für Mulis.
Immer in etwa der selbe Schrott, hab alles gleich gelöscht.
Mal wieder ein reichlich primitver Phishingversuch auf die Citibank:
Und ich dachte die haben inzwischen eher zuviel Zugangsdaten, den fehlen doch die Mulis.
Anfang der Woche kamen mal wieder unzählige Anwerbungsschreiben für Mulis.
Immer in etwa der selbe Schrott, hab alles gleich gelöscht.
AW: PHISHING: Der Kampf gegen die Passwort-Fischer
Aber diese Art von Phishingversuchen hatte in den letzten Wochen stark abgenommen. Ich hätte diese beiden Beispiele nicht gepostet, wenn es nicht die ersten seit ein paar Wochen gewesen wären.
Die suchen z.Zt. eher verzweifelt nach Mulis.
Vermutlich hast du recht.
Aber diese Art von Phishingversuchen hatte in den letzten Wochen stark abgenommen. Ich hätte diese beiden Beispiele nicht gepostet, wenn es nicht die ersten seit ein paar Wochen gewesen wären.
Die suchen z.Zt. eher verzweifelt nach Mulis.
AW: PHISHING: Der Kampf gegen die Passwort-Fischer
Hallo stieglitz,
Gruß, Konran
Hallo stieglitz,
Kennst du Leute, die sich darauf eingelassen haben? Was für eine Art Ärger ist das, der einem dadurch entsteht?stieglitz schrieb:Hier eine schönes Beispiel der Muli Suche, dreisprachig:
Leider hat man den Job immer nur ganz kurze Zeit und ziemlich viel Ärger am Hals
Gruß, Konran