PHISHING: Der Kampf gegen die Passwort-Fischer

[Qoppa]

Zwei interessante Berichte in der FAZ:

Bankkunden im Netz der Paßwortfischer
bisher soll in D noch niemand zu Schaden gekommen sein, - falls das Geld weg ist, vergüten die Banken im Kulanzverfahren.


und zur Rechtslage:
Phishing und Pharming erschüttern den Anscheinsbeweis im Zivilrecht

 

[Reducal]

Bankkunden im Netz der Paßwortfischer

Ihres Wissens sei noch kein deutscher Kunde zu Schaden gekommen. In aller Regel ließen sich die Überweisungen zurückverfolgen und die Konten der Betrüger rechtzeitig sperren.

Eine kleine Hoax zur rechten Zeit vertreibt den Trübsinn und bringt Heiterkeit! Das sieht mir ganz nach Verfälschung und Verharmlosung der Sache aus, es gibt Zahlen, die eine andere Sprache sprechen.

 

[Captain Picard]

http://www.heise.de/newsticker/meldung/59766

Commerzbank-Kunden Ziel von Phishern

Zur Abwechslung hat der neueste Phishing-Versuch, um Accountdaten und PIN sowie TANs fürs Online-Banking von arglosen Surfern abzugreifen, diesmal Kunden der Commerzbank zum Ziel. Die Mail gibt vor, vom Support der Bank zu stammen, mit der die Kontodaten auf ihre Richtigkeit überprüft werden sollen. Schon das schlechte Deutsch der Mail sollte bei den Empfängern aber alle Alarmglocken schrillen lassen:

Ihr Konto wurde von der Datensicherheitsdienst zufalligerweise zur Kontrolle gewaehlt. Um Ihre Kontoinformation durchzunehmen, bitten wir, damit Sie uns mit allen Angaben versorgen, die wir brauchen.Sonst koennen wir Sie identifizieren nicht und sollen Ihr Konto fuer seine Verteidigung blockieren. Fuellen Sie bitte das Formular aus, um alle Details Ihres Kontos zu pruefen.

Danken schoen.

cp

 

[stieglitz]

Und gleich noch eine Meldung zum Phishing, hört sich recht nett an:

http://www.silicon.de/cpo/news-itsecurity/detail.php?nr=21261

Phishing-Gegner greifen zur Selbstjustiz

Die Maßnahmen sind nicht unbedingt legal, aber effektiv

20.05.2005 16:02 | von silicon.de


Nachdem der lange Arm des Gesetzes mit dem Problem 'Phishing' ziemlich hilflos da steht, hat die britische Internetgemeinde ihr Schicksal in die eigene Hand genommen. Die Konsequenz: Wenn die Täter schon nicht ergriffen werden können, sollen zumindest Phishing-Sites aus dem Verkehr gezogen werden, bevor sie Schaden anrichten.

Unabhängige Gruppen haben es sich zur Aufgabe gemacht, Phishing-Sites kurz nach ihrem Auftauchen zu hacken und lahm zu legen. So geschehen beispielsweise mit einer Website, die sich vor kurzem als der Internet-Finanzdienstleister PayPal ausgegeben hatte und Nutzer zur Herausgabe ihrer Kreditkartendaten verleiten wollte. Kurz darauf war die Site durch eine Seite ersetzt worden, auf der stand: "Warnung - das ist eine Betrugsseite. Die Seite wurde durch Sickophish vernichtet." Wer sich genau hinter dem Namen 'Sickophish' verbirgt ist nicht bekannt. Auch nicht, wie er die Phisher austrickste und ihre Site hackte.

Eine weitere Gruppe mit denselben Zielen ist die 'Lad Wrecking Crew'. Sie knackte neulich eine Website, die vorgaukelte, die NatWest Bank zu sein. Nach dem Hack konnte man darauf lesen: "Suchen Sie die Bank, die hier sein sollte? Wir haben sie zerstört, weil sie nicht echt war."

Über die Existenz von Phishing-Sites werden Sickophish und Konsorten wahrscheinlich durch den britischen Internetdienst Netcraft aufmerksam gemacht. Der bietet seit einigen Monaten eine Toolbar, über die Phishing-Sites gemeldet und kommuniziert werden können.

 

[Telekomunikacja]

Wirksamere Methoden der Phisher

Wirksamere Methoden der Phisher
Betrüger finden gültige Adressen durch massenhafte E-Mail-Registrierungen

Das amerikanische IT-Sicherheitsunternehmen Blue Security warnt vor neuen Phishing-Methoden, mit denen persönliche Daten von unbedarften Internetnutzerna erschlichen werden können. Bei der ersten Variante der Angriffe, den so genannten "Registration Attacks", registrieren die Phisher über automatisierte Scripts Tausende von fingierten E-Mail-Adressen auf Websites von Banken oder Online-Händlern. Erhalten sie die Rückmeldung, dass die E-Mail-Adressen bereits registriert sind, haben sie die Bestätigung, dass die verwendete Adresse gültig ist. Auch mit Hilfe der zweiten Variante, den so genannten "Password Reminder Attacks", können die Betrüger gültige E-Mail-Adressen herausfinden, indem sie vorgeben, ihr Passwort für den Internetdienst-Zugang vergessen zu haben. Die Bestätigung liefert hier die Antwort "Wir haben Ihnen das Passwort erneut zugesandt".

Durch diese Tricks können die Phisher nach Angaben von Blue Security nicht nur E-Mail-Adressen und Passwörter von Internetnutzern sammeln, sondern durch die Art der Webseiten, bei denen sich ein User angemeldet hat, auch Benutzerprofile zu bestimmten E-Mail-Adressen erstellen. Blue Security spricht deshalb auch allgemein von "feindlichem Profil-Erstellen" ("Hostile Profiling"). Damit können die Betrüger ihre Phishing-E-Mails oder Spammer ihre unerwünschten Werbe-Mails gezielter und möglicherweise wirksamer absetzen. [...]

Quelle: teltarif.de, 25.05.2005

 

[Captain Picard]

The never ending story:
http://www.heise.de/newsticker/meldung/60027

Weitere Welle von gefälschten Telekom-Rechnungen und Phishing-Mails

Auf gefälschte Telekom-Rechnungen mit ausführbaren Dateien im Anhang sollte eigentlich
kaum ein Anwender mehr reinfallen. Bei der neuesten Welle setzen die Urheber aber
offenbar auf eine neue Taktik: Zwar ist der Text im Vergleich zu älteren derartigen
Mails fast identisch, allerdings ist die aufgeführte Rechnungssumme enorm hoch.
Anwender könnten bei Beträgen von 8030,53 bis 32.485,53 Euro aus Entsetzen
oder Verblüffung vielleicht doch die als PDF-Datei getarnte ausführbare Datei starten.

dazu passend
http://www.heise.de/newsticker/meldung/60011

Bank of America will besser vor Phishing und Account-Diebstahl schützen

Kurz nachdem der Bank of America Daten von rund 60.000 Kunden gestohlen wurden,
führt die Bank nunmehr ein neues Sicherheitssystem ein. Der SiteKey genannte
Service soll sicherstellen, dass geklaute Account-Daten nicht zur Anmeldung
genutzt werden können; ebenso will die Bank damit gewährleisten, dass Usern nicht
über Phishing-Mails ein falscher Server, der gar nicht zur Bank of America gehört,
für die Eingabe von Account-Daten untergejubelt werden kann. Für SiteKey
kooperiert die Bank of America mit der Firma Passmark Security, die bereits
seit längerem Sicherheitslösungen etwa für Zweiwege-Authentifizierung anbietet.

cp

 

[Telekomunikacja]

Britischer Gesetzentwurf

Britischer Gesetzentwurf sieht bis zu 10 Jahre Haft für Phishing vor

Das britische Innenministerium (Home Office) hat vergangene Woche ein neues Gesetz zur Bekämpfung von Betrug in das Oberhaus eingebracht (PDF-Datei). Es sieht unter anderem vor, dass das Verschicken von Phishing-Mails mit einer Gefängnisstrafe von bis zu zehn Jahren bestraft werden kann. Unter die neuen Strafvorschriften würden demnach Personen fallen, die eine E-Mail an eine große Menge von Adressaten verschicken, in der sie als Absender eine Bank vorgeben, um an persönliche Informationen zu kommen. [...]

Quelle: heise.de, 31.05.2005

 

[stieglitz]

Und so werden Strohmänner gesucht:
Man beachte die Kontakt-Mail ist .ru und das schlechte Deutsch.

Guten Tag,
wir sind eine Heiratsagentur " Best-Dating ".
Da wir die Tatigkeit unserer Agentur weiter ausbauen, suchen wir Mitarbeiter in Deutschland, die fur uns Bankgeschafte abwickeln konnten.
Was Sie dafur brauchen, ist ein Konto bei einer Bank in Deutschland.
Die Uberweisung soll umgehend erfolgen, fur jede Transaktion (Geldeingang und Geldtransfer) bekommen Sie 800-1500 Euro.
Falls unser Angebot fuer Sie interessant ist, melden Sie sich bitte per Email fuer mehr Information: infodating[a]km.ru Mit besten Grussen!

Microsoft Mail Internet Headers Version 2.0
Received: from 212.9.164.67 ([206.15.138.135]) by xxxxxxx.xxxxl.com with Microsoft SMTPSVC(6.0.3790.211);
Tue, 7 Jun 2005 23:24:41 +0200
Received: from 27.74.220.70 by 212.9.164.67; Wed, 08 Jun 2005 04:15:44 +0600
Message-ID: <YGWLKAROABBEMPYJVSWHTLLUR@atcall.net>
From: "Angie Mcgill" <alley-kat@onmacon.com>
Reply-To: "Angie Mcgill" <alley-kat@onmacon.com>
To: xxxx@xxxx.com
Subject: Arbeit
Date: Tue, 07 Jun 2005 16:22:44 -0600
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="--90031251703257410"
X-Priority: 3
X-CS-IP: 12.213.208.0
Return-Path: alley-kat@onmacon.com
X-OriginalArrivalTime: 07 Jun 2005 21:24:49.0849 (UTC) FILETIME=[561EB290:01C56BA7]

----90031251703257410
Content-Type: text/plain;
Content-Transfer-Encoding: quoted-printable


----90031251703257410--

 

[Telekomunikacja]

3.000 Phishing-Websites im Monat April

Gefahr durch Passwortdiebstahl steigt: Deutsche Phisher-Szene wird sich professionalisieren!

Die Wirtschaftsinitiative "no abuse in internet" (naiin) hat Internet-Nutzer vor Nachlässigkeit im Umgang mit sogenannten Phishing-Mails gewarnt. "Die Bedrohung durch Phishing ist permanent und nimmt stetig zu", erklärte der naiin-Vorstand und Sicherheitsexperte Marcus Ross am Freitag in Berlin. Er machte darauf aufmerksam, dass die Beschwerdestelle der Initiative derzeit mehrmals täglich mit den verschiedensten Attacken der Passwortdiebe beschäftigt sei.

3.000 Phishing-Websites kursierten allein im Monat April im weltweiten Datennetz, so die neuesten Zahlen der US-amerikanischen "Anti-Phishing Working Group" (APWG). 3 Prozent der Sites waren in der Bundesrepublik Deutschland beheimatet. Und bereits mehrfach befanden sich auch deutsche Nutzer und Banken im Visier der Phisher. "Die E-Mails der aktuellen Phishing-Attacken sind überwiegend noch in gebrochenem deutsch oder komplett in englisch gehalten, so dass diese gegenwärtig noch verhältnismäßig leicht zu durchschauen sind", weiß Ross, der zugleich Geschäftsführer des weltweit führenden IT-Sicherheitsspezialisten VeriSign ist, zu berichten.

Wer sich jedoch aufgrund dessen in falsche Sicherheit wiege, der wird, so der Experte, schon bald sein blaues Wunder erleben. "Wir gehen davon aus, dass sich auch die deutsche Phisher-Szene weiter professionalisieren und zumindest die sprachlichen Defizite aus dem Weg räumen wird", warnt Marcus Ross. Dann werde es richtig gefährlich. Denn laut internationalen Studien sind immerhin 3 Prozent aller Phishing-Mails erfolgreich. Demzufolge sind bereits mehrere Millionen Nutzer dem Passwortdiebstahl zum Opfer gefallen. [...]

Quelle: naiin.org, 10.06.2005

 

[KatzenHai]

Die "Gegenoffensive" läuft:

http://www.spiegel.de/netzwelt/netzkultur/0,1518,360150,00.html

NETZBETRÜGER

Hacker üben virtuelle Lynchjustiz

Legal ist das nicht, was ein Hacker namens "Sickophish" macht, aber es gibt wohl niemanden, der sich über ihn beschwert: Der Hacker greift die Web-Seiten von Online-Betrügern an und bewahrt so potentielle Opfer davor, ihre Bankdaten preiszugeben.

Die Masche der Betrüger: Sie verschicken E-Mails, die angeblich von der Deutschen Bank, der Postbank oder anderen Instituten stammen. Der Empfänger soll auf einen Link klicken und auf einer Web-Seite seine Daten eingeben. Diese Seite sieht der einer realen Online-Bank sehr ähnlich, wird aber von den Betrügern betrieben.

Sickophish und andere Hacker haben es nun auf die Server der falschen Banken abgesehen. Sie brechen in den Rechner ein und hinterlegen dort, wo der Kunde seine Geheimnummer eingeben sollte, eine Botschaft: "Diese Seite war eine Fälschung. Sie wurde von Sickophish zerstört."

Angst vor dem Gesetz brauchen die Hacker kaum zu haben: Die Rechner der Betrüger befinden sich meist in Staaten der Karibik, wo man es mit der Strafverfolgung nicht so genau nimmt.

:lol:

 

[Captain Picard]

auf ein Neues:
http://www.heise.de/newsticker/meldung/60540

Zur Abwechslung sind seit dem heutigen Montagmorgen Kunden der Sparkasse Ziel von Phishern. Wie mittlerweile bei Phishing-Mails üblich, versucht der Text den Leser mit Sicherheitshinweisen und vermeintlich gut gemeinten Ratschlägen einzulullen. In der Mail findet sich dann ein Link, der auf eine nachgemachte Sparkassenseite unter der Domain sparkasse-hilfe.de führt. Dort soll der Kunde dann seine PIN und zwei TANs zur Verifizierung hinterlassen, die allerdings nicht bei der Bank, sondern bei Betrügern landen.

cp

 

[stieglitz]

Der SpOn ist mal wieder etwas langsam gewesen, die Meldung erschien schon hier am 25.5.05:
http://forum.computerbetrug.de/viewtopic.php?p=105076#105076

 

[stieglitz]

Und wieder was neues:

24.06.2005 11:49

Neuer Phishing-Trick zielt auf Postbankkunden
Mit einer angeblichen neuen Sicherheitsvorkehrung wollen Phisher Postbankkunden hereinlegen und zur Eingabe ihrer Zugangsdaten einschließlich PIN und TAN bewegen. Auf der dazu erstellten Web-Seite mit dem unverfänglichen Namen www.post-security-update.com behaupten die Betrüger, man die Postbank wolle zukünftig bei "verdächtigen Transaktionen" eine zusätzliche Geheimfrage stellen, ohne deren korrekte Beantwortung das Konto vorsichtshalber vorläufig gesperrt werde. Die Frage und die dazugehörige Antwort darf der Kunde dann selbst festlegen. Um sie zu aktivieren muss er seine PIN und eine TAN eingeben
........
Zu Risiken und Nebenwirkungen der PIN und TAN-Eingabe im Internet beachten Sie die üblichen Sicherheitsmaßnahmen und fragen sie Ihren gesunden Menschenverstand oder einen Experten.

http://www.heise.de/newsticker/meldung/61003

 

[Heiko]

http://www.computerbetrug.de/news/050626_01.php
Dort auch.

 

[stieglitz]

http://www.handelsblatt.com/pshb?fn=tt&sfn=go&id=1058477

dpa FRANKFURT/KASSEL. Die Branche verschlafe das weit verbreitete Problem des „Phishing“, bei dem Kriminelle mit betrügerischen Mails Verbraucher auf fingierte Banken-Websites locken und Passwörter sowie Pin-Nummern ausspionieren.

„Die Banken haben kein Interesse daran, dass Schadensfälle an die Öffentlichkeit gelangen, weil das ihr Image gefährden würde“, sagte Lamprecht. Die Banken würden die derzeit 30 Mill. Online-Banking- Kunden nur aufklären, ohne wirksame Gegenmaßnahmen zu ergreifen. Der Fachmann schätzt, dass Hacker 2004 in Deutschland bei Internet- Anbietern und Bankkunden rund 70 Mill. Euro Schaden angerichtet haben.

„Die Hacker buchen kleine Beträge von beispielsweise 8,45 Euro ab, die vom Kunden oft gar nicht bemerkt werden. Wenn sie das hunderttausend Mal machen, kommt Einiges zusammen.“ Bei Beschwerden der Kunden reagierten die Banken bisher kulant und zahlten den abgebuchten Betrag zurück. Der Mathematiker und IT-Experte rechnet mit einem drastischen Anstieg der Betrugsfälle in den nächsten Jahren. Schon jetzt gebe es jeden Monat mehrere hundert Betrugs- Mails, die millionenfach an Kunden verschickt würden. Hacker bauten ganze Internet-Auftritte von Banken nach (Pharming), so dass sich der Kunde sicher fühle und auf den falschen Seiten sogar surfen könne.

Lamprecht fordert, dass Banken künftig biometrische Daten wie Iris und Fingerabdruck abfragen, um einen Bankkunden am heimischen PC genau zu identifizieren. Eine Lösung könnten auch Lesegeräte am Computer sein, die Banküberweisungen nur mit der Original-Karte erlaubten. „Solche Maßnahmen würden allerdings Mill. kosten, und die Technik ist teilweise noch nicht ausgereift.“ Lamprecht rät allen Online-Bankkunden, auf verdächtige Mails zu achten und niemals das Passwort weiterzugeben.

Das IT-Unternehmen ISS ist nach eigenen Angaben Marktführer beim Aufspüren von Schwachstellen in Unternehmensnetzwerken und erzielte 2004 rund 290 Mill. Dollar Umsatz. In Deutschland hat ISS Standorte in Kassel und Stuttgart und betreut 1 200 Firmenkunden.

Hervorhebungen durch mich.
Das ganze liest sich aber mehr wie eine PR Aktion des IT-Unternehmens ISS, das einfach von DPA übernommen wurde, und im Handelsblatt-Online veröffentlicht wurde.
Darin steht eigentlich nichts substantiell Neues.

 

[Reducal]

Warnhinweis der Münchener Kripo

Vermeintlich schnelles Geld mit Pferdefuss

In den letzten Wochen häuften sich Anzeigen beim Polizeipräsidium München von Bürgern, die aufgrund von zunächst vielversprechenden Emails Ihr Konto für Überweisungen ins Ausland, zumeist nach Russland, zur Verfügung gestellt hatten, und dafür eine „nette“ Provision versprochen bekamen, letztendlich aber auf einem meist vierstelligen Schaden sitzen blieben.

In einem Fall hatte ein 45-jähriger Münchner eine Mail eines angeblichen russischen Heiratsvermittlers erhalten, worin ihm ein kleiner Nebenverdienst angeboten worden ist. Er müsse lediglich sein Konto zur Verfügung stellen, auf das die Heiratsagentur Geld überweisen würde. Anschliessend solle er das Geld per Western Union weiterüberweisen an die russische Agentur, abzüglich 10% Provision, die er für sich selber behalten könne.

Kurze Zeit später kam es dann tatsächlich zu einer solchen Transaktion, es handelte sich um einen vierstelligen Betrag, der auf sein Konto überwiesen worden ist. Der Münchner hob kurzum den Betrag ab, und zahlte ihn absprachegemäss bei Western Union ein, und behielt 10% für sich selbst.

Erst später, als er sich im Bekanntenkreis näher erkundigte, schöpfte er Verdacht, dass das Geld aus einer Straftat stammen könne, und dies wurde dann letztendlich auch bestätigt.

Ein professioneller Computerbetrüger hatte zuvor die Onlinebanking-Daten eines Niederbayern ausgespäht, und von dessen Konto den Betrag auf das Konto des Münchners transferiert.

Letztendlich musste sich der Münchner, anstelle des „netten“ Nebenverdienstes, mit einer Anzeige wegen Beihilfe zum Computerbetrug auseinandersetzen, und wurde darüber hinaus für den kompletten Schaden, den der ursprüngliche Kontoinhaber davontrug, haftbar gemacht.

Deshalb: Finger WEG von solchen kriminellen Machenschaften

http://www.polizei.bayern.de/ppmuc/welcome.htm

 

[Aka-Aka]

wenn man so ein Angebot bekommen würde, wie könnte man sich verhalten, um eine Verfolgung der ursprünglichen Straftäter zu ermöglichen?
(ich habe kein Angebot, keine Sorge...)

 

[stieglitz]

wenn man so ein Angebot bekommen würde, wie könnte man sich verhalten, um eine Verfolgung der ursprünglichen Straftäter zu ermöglichen?
(ich habe kein Angebot, keine Sorge...)

Ich glaube das wird ganz schön schwierig werde. Die einzige Möglichkeit die ich sehe, ist die Rückverfolgbarkeit über den Header des Mailverkehrs.
Aber wie wir alle wissen, sind die wohl meist gefälscht.

Übrigens hier ist so eine Geschichte, von einem der sich vor den Karren spannen liess.

Genau so sehe ich das auch. Habe ein Problem.
Ich habe den Artikel von Planetopia gelesen. Leider war nicht ersichtlich, was mit dem passiert ist, der als Mittaeter in dem Fall fungierte. Bei mir war nur das Problem, es war in English und die Seite, die als Infoseite mir geboten war, war auch auf Englisch. Schlechtes deutsch haette ich sicherlich erannt.

Bis jetzt habe ich nur Post von der Bank bekommen, ich moege doch das Geld zurueck zahlen. ehr kam nicht. Die Polizei hatte sich nicht gemeldet und eine Stellungnahme verlangt. Ich muss wohl oder uebel doch die Spasstruppe aufsuchen und mich anzeigen. Nur was kommt bei raus. Bin 25 und bekomme in der Hinsicht bestimmt keine Bewaehrung oder sowas.

Da kann ich mir eigentlich gleich nen Strick nehmen. Kann nur versuchen, mich mit der Bank zu einigen und eine Ratenrueckzahlung erwirken. Sicherlich wird es dennoch nicht ohne Anzeige durch die Bank bleiben.

Keine Ahnung. Wenn ich wuesste, dass es eventuell keine Freiheitsstrafe nach sich zieht, waere mir wohler. Ist alles nicht so einfach. Scheisse, wie gerissen Betrueger geworden sind!

Aus Fehlern lernt man ja, nur wuerde ich auf einen solchen gern verzichten!!

Und hier der Thread:
http://210112.antispam.de/t506297f11795469-phishing-Sehr-geehrter-Postbankkunde-1.html

 

[Captain Picard]

Das ganze liest sich aber mehr wie eine PR Aktion des IT-Unternehmens ISS,
das einfach von DPA übernommen wurde, und im Handelsblatt-Online veröffentlicht wurde.
Darin steht eigentlich nichts substantiell Neues.

auch hier
http://www.manager-magazin.de/it/artikel/0,2828,362386,00.html
aber den besten Rat gibt´s kostenlos

Lamprecht rät allen Online-Bankkunden, auf verdächtige Mails zu achten und niemals das Passwort weiterzugeben.

cp

 

[stieglitz]

Und jetzt zur Abwechslung mal VR-Phishing:
http://www.heise.de/newsticker/meldung/61241

Auffällig im Vergleich zu früheren Phishing-Versuchen ist der deutlich verbesserte Stil: Der Text enthält keine Rechtschreibfehler und auch die Sprache kann als authentisch durchgehen -- obwohl Deutschlehrern natürlich sofort der falsch verwendete Dativ am Ende der Erklärung ins Auge sticht.