PHISHING: Der Kampf gegen die Passwort-Fischer

http://www.heise.de/newsticker/meldung/50939
http://www.heise.de/security/news/meldung/50793
http://www.heise.de/security/news/meldung/50179
heise schrieb:
Trojaner Bizex-E nutzt ungepatchte Sicherheitslücke im Internet Explorer
Der PIN und TAN stehlende Trojaner Bizex-E dringt über die seit drei Wochen bekannte
Drag&Drop-Sicherheitslücke im Internet Explorer in Windows-Systeme ein. Auch
Windows-XP-Systeme mit installiertem Service Pack 2 sind für solche Angriffe anfällig --

einen Patch von Microsoft gibt es bislang nicht.

no comment....

cp
 
und weiter geht es:

http://www.heise.de/newsticker/meldung/51205

Wieder Postbank-Phishing-Mails unterwegs

Als Kundeninformation der Postbank getarnte Phishing-Mails sind seit kurzem unterwegs. Phishing-Mails (Password Fishing) sollen arglose Online-Kunden auf Websites locken, die den echten Web-Auftritten von Banken täuschend ähnlich nachempfunden sind, und dort zur Eingabe von Zugangsdaten verleiten.

Die neuen Phising-Mails, die Postbank-Kunden hereinlegen sollen, enthalten eine Warnung vor möglichen Viren und Trojanern.

cp
 
Achtung! CitiBank Kunde ....

Ich habe heute an meine alternative Mail-Adresse eine englischsprachige Mail von der "Citibank" bekommen. Der Inhalt kurz und bündig. Sie wollen die Bestätigung meiner Bankdaten. Man tut, was man kann. :D Mit einem entsprechenden Link, der aber nicht etwa zu einer gefakten Seite der City-Bank führte, sondern zunächst mal zu Google. Google wiederum informiert darüber, dass keine Info zur URL xxx da wäre, falls diese gültig sei, oder so ähnlich. Oder Webseiten suchen, die den Begriff, sprich die URL enthalten. Das habe ich dann gemacht. Nun landet man auf einer Seite, die sich dem Kampf gegen Pishing verschrieben hat. Die Seite ist in "Down under" beheimatet.
Warum zum Teufel verschicken die selber Spam, ich kann also an die hehren Absichten nicht so ganz glauben. Das die aus dem fernen "Down under" mich vor Schaden bewahren wollen!!!
Weiß aber auch nicht, was das ganze soll? Grübel, grübel.
 
Ich denke mal, dass die verlinkte URL schlicht und ergreifend bereits abgeschaltet wurde. Das geht manchmal sehr schnell, wenn erste Beschwerden auftauchen.
Und dass dann Google kommt, liegt wahrscheinlich daran, dass die Einstellungen Deines Browsers dahingehend sind, dass bei Nichterreichbarkeit einer URL automatisch diese SuMa eufgerufen wird.
 
Dino schrieb:
... die verlinkte URL schlicht und ergreifend bereits abgeschaltet wurde. Das geht manchmal sehr schnell, wenn erste Beschwerden auftauchen....
Die Banken selbst und der Reiffeisenverbund rühmen sich selbst - und dieses hier bestätigt sie - ab Beschwerde, innert 4 Minuten (schnellstens) taktisch zu reagieren. :p
 
Nun, die Banken-Phisher haben jedenfalls ausgephisht:

Kölner Stadtanzeiger 17.12.2004 schrieb:
Verdächte sollen Passwörter abgefischt haben

Der entstandene Schaden wird auf mindestens 30 000 Euro geschätzt.

Bonn - Mit der Festnahme von fünf Verdächtigen krönte die Bonner Staatsanwaltschaft gestern bundesweite Ermittlungen, die sie seit Ende Oktober - auch auf Grund einer Strafanzeige der Postbank - führt. Das bestätigte Sprecher Fred Apostel. Den Festgenommenen wird danach vorgeworfen, mit „Phishing-Attacken“ durch das Abfischen von Passwörtern und Zugangscodes Zugriff auf Konten von Postbankkunden genommen zu haben. Laut Apostel ist dabei in der kurzen Zeit seit Oktober ein tatsächlicher Schaden in Höhe von etwa 30 000 Euro entstanden. Den beabsichtigten Schaden schätzt er auf weitere 100 000 Euro. Die Polizeiaktion erstreckte sich von Nord- bis Süddeutschland und auch auf den Bonner Raum. Bei den fünf Festgenommenen handelt es sich um Männer im Alter zwischen 17 Jahren und Mitte 20, die als Haupttäter einer Gruppe betrachtet werden. Sie wurden dem Haftrichter vorgeführt.

„Phishing“ ist ein Kunstwort aus den englischsprachigen Begriffen „password“ und „fishing“. Michael Dickopf, Pressesprecher des in Bonn ansässigen Bundesamtes für Sicherheit in der Informationstechnik (BSI), nennt zwei Vorgehensweisen bei den betrügerischen Internet-Aktivitäten. In der ursprünglichen Form werden Computer-Nutzer per E-Mail auf gefälschte Internetseiten gelockt, wo sie aufgefordert werden, Angaben über Passwörter und Zugangsinformationen für ihr Online-Banking zu machen. Oft werden technische Änderungen oder Wartungsarbeiten als Begründung genannt. Mit den so gewonnenen Daten versuchen die Betrüger auf die Konten der Betroffenen zuzugreifen.

Geheime Zugansdaten

Die Experten des BSI warnen davor, telefonisch oder per E-Mail Angaben über geheime Zugangsdaten zu machen: „Kreditinstitute werden auf diesem Wege niemals vertrauliche Daten anfordern.“ Eine neuere, aufwändigere Variante des Phishings bedient sich so genannter „Trojaner“. Dabei handelt es sich um böswillige Schadensprogramme, die weitgehend selbständig vertrauliche Daten an unbefugte Dritte weitergeben können. Nach Erkenntnissen der Bonner Staatsanwaltschaft haben sich die gestern Festgenommenen dieser Methode bedient. So habe der eingeschmuggelte Trojaner die sensiblen Daten während der Eingabe durch die Anwender gesammelt und bei Auftragsbestätigung nicht zur Bank sondern zu den Verdächtigen übermittelt. Die hätten damit wiederum eigene Transaktionen zum Schaden der Kunden getätigt. Weitere Informationen über betrügerische Manipulationen im Internet und Schutzmaßnahmen dagegen gibt es auf den Internet-Seiten des BSI. (rk)
 
Das ist wohl erst der Beginn der "Phishing-Ära" und in der Relation ein kleiner Etappensieg:
http://www.spiegel.de/netzwelt/technologie/0,1518,332995,00.html
Die Sicherheitsfirma Kaspersky Lab und auch auch andere beobachteten 2004 ein verstärktes Treiben internationaler krimineller Gruppierungen, wobei es eine Tendenz gibt, Viren und ähnliches für illegale Ziele einzusetzen. "Es ist offensichtlich, dass der Computer-Underground das enorme Potenzial erkannt hat, sich mit Hilfe von eigenen Malware-Entwicklungen im Netz zu bereichern", erklärt David Emm, Sicherheitstechnologie-Experte bei Kaspersky.

cp
 
HVB-Phishing

Gerade erhalten:

Dear HVB Group Bank customer,

We recently reviewed your account, and suspect that your HVB Group Bank Internet Banking account may have been accessed by an unauthorized third party.
Protecting the security of your account and of the HVB Group Bank network is our primary concern. Therefore, as a preventative measure, we have temporarily limited access to sensitive account features.

To restore your account access , please take the following step to ensure that your account has not been compromised:

1. Review your recent account history for any unauthorized withdrawals or deposits, and check your account profile to make sure no changes have been made. If any unauthorized activity has taken place on your account, report to HVB Group Bank staff immediately.

To get started, please click the link below:

https://......com/secure/logon.asp?dd=1

We apologize for any inconvenience this may cause, and appreciate your assistance in helping us maintain the integrity of the entire HVB Group Bank system. Thank your for your prompt attention to this matter.

Sincerely,

The HVB Group Bank Team.

Please do not reply to this email. Mails sent to this address cannot be answered. For assistance, log in to your HVB Group Bank account and choose the "Help" link in the header of any page.


Die Links führen tatsächlich zu:
http://www.briannabh.com/~emily/hvb.com/secure/logon/logon.asp/


Der Header:

Return-Path: <[email protected]>
X-Flags: 0000
Delivered-To: GMX delivery to (ich)@gmx.de
Received: (qmail invoked by alias); 09 Jan 2005 13:26:35 -0000
Received: from server.yfps.tpc.edu.tw (EHLO server.yfps.tpc.edu.tw) (163.20.100.1)
by mx0.gmx.net (mx059) with SMTP; 09 Jan 2005 14:26:35 +0100
Received: from localhost (localhost [127.0.0.1])
by server.yfps.tpc.edu.tw (Postfix) with ESMTP id 8387DC7294
for <(ich)@gmx.de>; Sun, 9 Jan 2005 21:26:24 +0800 (CST)
Received: from server.yfps.tpc.edu.tw ([127.0.0.1])
by localhost (server.yfps.tpc.edu.tw [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id 78513-10 for <(ich)@gmx.de>;
Sun, 9 Jan 2005 21:26:24 +0800 (CST)
Received: by server.yfps.tpc.edu.tw (Postfix, from userid 80)
id 256E0C73E4; Sun, 9 Jan 2005 21:23:28 +0800 (CST)
To: (ich)@gmx.de
Subject: Unauthorized Access To Your HVB Group Internet Banking account
From: HVB Group Bank <[email protected]>
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: 8bit
Message-Id: <[email protected]>
Date: Sun, 9 Jan 2005 21:23:28 +0800 (CST)
X-Virus-Scanned: by virus and spam scan at yfps.tpc.edu.tw
X-Amavis-Alert: BAD HEADER Improper use of control character (char 0D hex) in message header 'MIME-Version'
MIME-Version: 1.0\r\n ^
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 0 (Mail was not recognized as spam)
 
stieglitz schrieb:
ich weiss, bei heise steht auch noch ;)
etwas ausführlicher und mit Beispiel:
http://www.heise.de/newsticker/meldung/57481
Dreistes Postbank-Phishing

Eine freche Phishing-Mail macht seit gestern Nacht die Runde. Sie sieht aus, als ob sie von [email protected] stammen würde und hat den Betreff "PostBank TAN-Absicherung". Mit einer obskuren Begründung fordert die Mail auf, für ein angebliches TAN-Absicherungsverfahren gleich zwei TANs einzugeben. Die nachgemachte Postbank-Webseite sieht zwar täuschend echt aus, ist allerdings weder verschlüsselt noch mit einer Postbank-URL versehen.
j.
 
Mit Trojaner Konten geplündert

aus: www.presseportal.de/polizeipresse/p_story_rss.htx?nr=660774

21.03.2005 - 15:19 Uhr, Polizei Gifhorn

Gifhorn (ots) - Erstmalig ist es im Bereich der PI Gifhorn in den vergangenen Tagen zu 2 betrügerischen Eingriffen im Online-banking gekommen. Geschädigt wurden ein 25-jähriger mit einem Betrag von 4.800 Euro und unabhängig davon eine 31-jährige mit einem Betrag von 4.100 Euro.

Die PC der Geschädigten wurden von einem sog. Trojaner befallen. Unbekannt ist, ob der Befall über einen Download oder mittels E-Mail erfolgte. Der Befall wurde in beiden Fällen erst Tage später von den vorhandenen Virenschutzprogrammen angezeigt. Er ist in einer Java-Datei verschlüsselt. Der Trojaner übermittelte dann die eingegebenen PIN- und TAN–Daten bei Überweisungsvorgängen an einen externen Server. Tatsächlich wurden die Überweisungsaufträge nicht ausgeführt. Die ermittelten PIN- und Tan-Daten wurden in der Folgezeit für jeweils einen Überweisungsauftrag von den unbekannten Tätern benutzt, bei dem die Konten der Geschädigten komplett leergeräumt wurden.

Überwiesen wurden die Geldbeträge auf das Konto eines 62-jährigen aus Nordrhein Westfalen, der die Gelder bar abhob und per Western Union Überweisung u.a. nach St. Petersburg überwies. Der 62-jährige hatte sein Konto für die Transaktionen zur Verfügung gestellt, nachdem er auf entsprechende E-Mail-Anbebote mit Gewinnversprechen in Höhe von 10 % reagiert hatte. Die Ermittlungen zu den unbekannten Auftraggebern dauern an. Es wurden nicht nur Auslandstransaktionen durchgeführt, sondern auch südostasiatische Server für bspw. E-mail-Verkehr genutzt. Der 62-jährige wird sich für seinen Tatbeitrag verantworten müssen.

---

Da hilft wohl nur: Nach jeder Online-Überweisung nachsehen, ob mit der eingegebenen TAN tatsächlich eine Buchung ausgelöst wurde.
 
Re: Mit Trojaner Konten geplündert

johinos schrieb:
Da hilft wohl nur: Nach jeder Online-Überweisung nachsehen, ob mit der eingegebenen TAN tatsächlich eine Buchung ausgelöst wurde.

Es hilft auch, den Rechner vor Bank-Transaktionen mit einer Linux Live-CD (Knoppix, Kanotix, ...) zu booten.

MfG
L.
 
Es gibt viel, was hilft. Sicher ist auch die vor genannte Idee eine gute. Aber es ist nun mal so, dass der Normal-User sich an seinen PC setzt und durchaus mit einer gewissen Umsicht seine Online-Banking-Sessions abhandelt. Linux interessiert ihn nicht, denn mit Windows kennt er sich vermeintlich aus. Und er kennt alles, was an Fieslingen auf dem Rechner vorhanden sein kann, als Virus. Ein solcher hat gefälligst Abstürze zu provozieren, Festplatten zu löschen oder von mir aus auch Mails zu verschicken, um sich weiter zu verbreiten. Außerdem hat er einen Virenscanner im System (letztes Update hat er doch gerade gemacht - ist erst eine...nee, zwei...nee, warte mal...doch schon 6 Wochen her).
Was da tatsächlich alles an Sauereien durch überflüssige Zeitgenossen ausgeheckt wird, übertrifft für viele die Vorstellungskraft. Insofern wäre das allerwichtigste das nachhaltige Breitreten in der Presse - bundesweit und täglich und in großen Lettern, so dass auch der letzte Gelegenheits-User nicht umhin kann, es zur Kenntnis zu nehmen.
 
MaydayPay: Trojaner statt Mai-Zahlung schon im April

Phisher in [url=http://www.heise.de/newsticker/meldung/58188 schrieb:
heise[/url]]Da es viele Betrugsfaelle mit den Konten von unseren Bankkunden zustande gekommen sind,
Kauf dich Deutschbuch, hat mich auch gehelft...

Noch'n Gedicht, kam letzte Woche per E-Mail:

Hello, ich@gmx.de
You've got cash!
Samuel Morse just sent you money with MayDayPay.
------------------------------
Payment Details
------------------------------
Amount: $359.00 USD
Simply click http://www. maydaypay .com and complete MayDayPay's easy registration form to claim your money. MayDayPay lets users send money to anyone with an email address. Use MayDayPay.com to settle restaurant tabs with colleagues, pay friends for movie tickets, or buy a baseball card at an online auction. You can also send personalized money requests to your friends for a group event or party. For more information about MayDayPay, go to: http://www. maydaypay .com
Welcome to MayDayPay!
The MayDayPay Team

Der header dazu:
Return-Path: <[email protected]>
X-Flags: 1000
Delivered-To: GMX delivery to ich@gmx.de
Received: (qmail invoked by alias); 31 Mar 2005 05:52:08 -0000
Received: from CPE00402b46c506-CM000a739ac3ab.cpe.net.cable.rogers.com (EHLO CPE00402b46c506-CM000a739ac3ab.cpe.net.cable.rogers.com) [70.24.23.235]
by mx0.gmx.net (mx057) with SMTP; 31 Mar 2005 07:52:08 +0200
Received: from unknown (HELO localhost) (127.0.0.1)
by localhost.pprrakl.com with SMTP; Thu, 31 Mar 2005 08:58:03 +0000
Received: from 53.197.8.179 (53.197.8.179[53.197.8.179])
by CPE00402b46c506-CM000a739ac3ab.cpe.net.cable.rogers.com (IMP) with HTTP
for <ich@gmx.de>; Thu, 31 Mar 2005 08:58:03 +0000
Message-ID: <653031112259483@CPE00402b46c506-CM000a739ac3ab.cpe.net.cable.rogers.com>
From: "MayDayPay" <[email protected]>
To: "ich@gmx.de" <ich@gmx.de>
Subject: MayDayPay payment received [transaction id:mdp9531120]
Date: Thu, 31 Mar 2005 08:58:03 +0000
MIME-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
User-Agent: Internet Messaging Program (IMP) 3.2.2
X-Originating-IP: 53.197.8.179
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 0 (Mail was not recognized as spam)
X-GMX-UID: WvU5Yo8eeSE5CqQibnQhaXN2IGRvb0AK


Bei antispam ist so was auch schon beschrieben, und die Briten bringen Trojaner damit in Verbindung.
 
Zurück
Oben