Captain Picard
Commander
Wenn dem so wäre, könnte man nur sagen "die spinnen die Amis" ...stieglitz schrieb:
Das wäre so absurd, dass man es kaum glauben könnte, aber bekanntlich ist Amerika ja das
"Land der unbegrenzten Möglichkeiten" ....
PHISHING: Der Kampf gegen die Passwort-Fischer
- Ersteller webwatcher
- Erstellt am
Das wäre so absurd, dass man es kaum glauben könnte, aber bekanntlich ist Amerika ja das
"Land der unbegrenzten Möglichkeiten" ....
Dieser Beitrag ist einigermassen erhellend:
http://www.heise.de/security/news/foren/go.shtml?read=1&msg_id=8541711&forum_id=82604
http://www.heise.de/security/news/foren/go.shtml?read=1&msg_id=8541711&forum_id=82604
heise-posting schrieb:
Captain Picard
Commander
versteh ich immer noch nicht, Abheben ohne PIN ? Hab ich in Holland nicht gesehen...
cp
cp
Captain Picard
Commander
Die PIN wird doch auch geprüft, wenn der Automat offline ist, wozu soll ich sie denn sonst eingeben?
Der Algorithmus der Ermittlung und Überprüfung der PIN ist im System der Karte und auch im Off-Line
Automaten verankert soweit mir
bekannt. Wenn es anders wäre, wäre das Ganze eine Farce. Dann wäre die EC-Karte wertlos
bzw ein Selbstbedienungsladen.
Der Algorithmus der Ermittlung und Überprüfung der PIN ist im System der Karte und auch im Off-Line
Automaten verankert soweit mir
bekannt. Wenn es anders wäre, wäre das Ganze eine Farce. Dann wäre die EC-Karte wertlos
bzw ein Selbstbedienungsladen.
Also, ich bin da auch mit meinen Erklärungen am Ende, weil ich nicht genau weiss was wie geprüft wird.
Gibts denn hier keinen Banker, der sich damit auskennt?
Hier ist ein Link zu Wikipedia, der die Karten erklärt, aber auch nicht die genauen Prüfmethoden aufzeigt.
http://lexikon.freenet.de/Kreditkarte
Gibts denn hier keinen Banker, der sich damit auskennt?
Hier ist ein Link zu Wikipedia, der die Karten erklärt, aber auch nicht die genauen Prüfmethoden aufzeigt.
http://lexikon.freenet.de/Kreditkarte
Captain Picard
Commander
aus dem Heiseartikel geht bisher nicht hervor, um welchen Kartentyp es sich handelt.
Es gibt grundsätzlich mindestens zwei grundverschiedene Kartentypen:
Kreditkarten und EC-Karten.
Die haben trotz ihre äußeren Ähnlichkeit überhaupt nichts miteinander zu tun.
Mit Kreditkarten läßt sich zwar auch Bargeld abheben, aber zu horrenden Gebühren.
Auch dort gibt es eine PIN. Da ich das wegen der abartigen Gebühren noch nie gemacht hab
kenn ich auch nicht die Autentifizierung.
Mit EC-Karte dürfte außerhalb des EU kaum etwas zu machen sein (afaik)
aus dem Orginallink
http://www.gartner.com/AnalystBiography?authorId=12030
Es gibt grundsätzlich mindestens zwei grundverschiedene Kartentypen:
Kreditkarten und EC-Karten.
Die haben trotz ihre äußeren Ähnlichkeit überhaupt nichts miteinander zu tun.
Mit Kreditkarten läßt sich zwar auch Bargeld abheben, aber zu horrenden Gebühren.
Auch dort gibt es eine PIN. Da ich das wegen der abartigen Gebühren noch nie gemacht hab
kenn ich auch nicht die Autentifizierung.
Mit EC-Karte dürfte außerhalb des EU kaum etwas zu machen sein (afaik)
aus dem Orginallink
http://www.gartner.com/AnalystBiography?authorId=12030
cp
EC Karten Sicherheit
Hallo,
zum Thema EC Karten habe ich hier zwei hilfreiche Links gefunden:
https://www.kartensicherheit.de/ww/de/pub/praevention/sicherheitsprodukte/mm_merkmal.php
Dabei geht es um das MM-Merkmal auf allen deutschen Debitkarten. "MM" steht für "moduliertes Merkmal"
Und hier:
http://www.ccc.de/updates/2004/eckarten?language=en
Es geht um: "Sicherheitsrisiko ec-Karte"
Wenn du das liest Captain, dann weißt du warum das in Holland, Dänemark und Spanien geht.
Übrigens: ich lebe seit 3 Jahren auf den Philippines und es kommt vor das ich mit meiner Postbank SparCard oder Sparkassen S-Card hier Geld holen muß. Das geht an allen ATM mit Maestro oder VisaPlus Zeichen. z.B. HSCB, Citi Bank, Metro Bank usw...
Also schaut mal rein.
Gruß Asterix
Hallo,
zum Thema EC Karten habe ich hier zwei hilfreiche Links gefunden:
https://www.kartensicherheit.de/ww/de/pub/praevention/sicherheitsprodukte/mm_merkmal.php
Dabei geht es um das MM-Merkmal auf allen deutschen Debitkarten. "MM" steht für "moduliertes Merkmal"
Und hier:
http://www.ccc.de/updates/2004/eckarten?language=en
Es geht um: "Sicherheitsrisiko ec-Karte"
Wenn du das liest Captain, dann weißt du warum das in Holland, Dänemark und Spanien geht.
Übrigens: ich lebe seit 3 Jahren auf den Philippines und es kommt vor das ich mit meiner Postbank SparCard oder Sparkassen S-Card hier Geld holen muß. Das geht an allen ATM mit Maestro oder VisaPlus Zeichen. z.B. HSCB, Citi Bank, Metro Bank usw...
Also schaut mal rein.
Gruß Asterix
@asterix
Danke für diese aufschlussreichen Infos. Da wird einiges klarer.
Un das beim ersten Posting!
Als ich verwende seit vielen Jahren auch Kreditkarten ohne Probleme.
Geld hab ich schon in der halben Welt abgehoben, selbst in China ohne Problem. In den USA kommt man ohne Karte garnicht aus. Selbst Parkgebühren kann man dort fast nur mit Karte zahlen.
Besch....... bin ich bisher, toi toi toi, auch noch nicht geworden.
Danke für diese aufschlussreichen Infos. Da wird einiges klarer.
Un das beim ersten Posting!
Als ich verwende seit vielen Jahren auch Kreditkarten ohne Probleme.
Geld hab ich schon in der halben Welt abgehoben, selbst in China ohne Problem. In den USA kommt man ohne Karte garnicht aus. Selbst Parkgebühren kann man dort fast nur mit Karte zahlen.
Besch....... bin ich bisher, toi toi toi, auch noch nicht geworden.
Captain Picard
Commander
http://www.heise.de/newsticker/meldung/62369
zurückgeben und auf Bargeld zurückgehen. Dann kann er höchstens noch auf falsche "Fuffziger" reinfallen...
cp
wer so behämmert ist diese Daten rauszurücken, dem ist nicht zu helfen, der sollte seine KartenHeise schrieb:
zurückgeben und auf Bargeld zurückgehen. Dann kann er höchstens noch auf falsche "Fuffziger" reinfallen...
cp
Captain Picard
Commander
Reducal
Forenveteran
Nun wäre es doch eine feine Sache, wenn mal ein Interessent die Gelder einnimmt und nicht weiter leitet. Unter behördlicher Aufsicht wären die Folgeerscheinungen von so einer patriotischen Handlung evtl. bedeutsam für die Ergreifung der Täter. Allerdings sollte sich so ein "Lockvogel" zum einen über die Gefahren bewusst sein und andererseits einem bestimmten Anforderungsprofil entsprechen. Blitzbewerbungen richte man bitte telefonisch an die 110, besser aber persönlich an die örtlich zuständige Polizeidienststelle.Captain Picard schrieb:
(Dieses Posting enthält ein kleines bisschen Ironie!)
Tonguru
Mitglied
=======================================
Der Domain-Newsletter | Ausgabe #273 | ISSN 1616-0908 |
http://www.domain-recht.de | 11. August 2005 |
=======================================
In Zusammenarbeit mit sedo.de | http://www.sedo.de |
=======================================
--------------------------------------------------------------
02) Phishing - Betrueger werden immer dreister
--------------------------------------------------------------
"In der letzten Zeit wurden die Betruegereiversuche, die Geldmittel von den Bankkonten zu stehlen, haeufiger geworden." In der Tat. Unaufhaltsam gehen die Versuche weiter, mit gefaelschten und teils in katastrophalem Deutsch formulierten eMails an die Bankdaten von Internetnutzern heranzukommen. In der vergangenen Woche waren die Deutsche Bank, die Volksbanken Raiffeisenbanken und die Commerzbank die vermeintlichen Absender von eMails, ueber die "nur zur Sicherheit der Interessen unserer Kunden" "notgedrungen nachtraeglich eine zusaetzliche Autorisation von den Kontobesitzern" durchgefuehrt werden muss.
Mit diesen eMails versuchen die Betrueger, an die Kontodaten und TAN-Nummern heranzukommen, um dann die Konten gutglaeubiger eMail-Empfaenger pluendern zu koennen. Dass hier Welle auf Welle solcher Phishing-Mails durch das Internet schwappt, ist ein deutliches Zeichen fuer den Erfolg der Methode. Aber an dieser Stelle bleiben die Kriminellen nicht stehen. Die Wiener Zeitung meldet, dass es nun auch eine von als eBay-Nutzer getarnte Mitleidstour gibt.
In der eMail heisst es, eine 87-jaehrige habe auf einen Rollstuhl geboten und koenne nun die eBay-Seite nicht mehr finden. Der Angeschriebene moechte sich doch bitte erklaeren, ob er der Anbieter des - abgebildeten - Stuhls sei. Eine Abbildung existiert freilich nicht, aber ein Link unter einem mit "Respond Now" beschrifteten Knopf, welcher einen unverzueglich auf eine rumaenische Seite fuehre, auf der die eBay-Daten abgefragt werden.
Aber auch die Phishing-Abwehr formiert sich, berichtet heise.de.
Mittlerweile gibt es zwei Tools zur Abwehr von Phishing-"Angriffen", die zwei Professoren der Stanford University entwickelt haben. SpoofGuard ist ein Browser-Plugin fuer den Internet Explorer, der die Daten von Internetseiten mit denen aus der Historie vergleicht und vor aehnlichen Schreibweisen warnt. Darueber hinaus wertet er Links, Bilder und Eingabefelder aus, um Phishingseiten zu erkennen. Das Programm PwdHash erzeugt seitenspezifische Passwoerter, so dass auf einer Phishingseite nie das wirkliche Passwort ankaeme, sondern ein individuell fuer die Seite berechnetes, mit dem der Phisher nichts anfangen kann.
Wer auf Nummer Sicher gehen will, sollte bei sicherheitssensiblen Daten im Internet wie Online-Banking nicht per Link, sondern direkt per Eingabe der Domain oder selbst gesetztem Bookmark auf ein Angebot zugreifen. Auf das bequeme Anklicken eines womoeglich per eMail zugesandten Links sollte man dagegen verzichten. Wer dennoch Zweifel hat, sollte sich in jedem Fall vor Eingabe persoenlicher Daten bei dem jeweiligen Anbieter wie zum Beispiel der eigenen Hausbank telefonisch rueckversichern, ob alles mit rechten Dingen zugeht.
SpoofGuard und PwdHash finden Sie unter:
> http://crypto.stanford.edu/SpoofGuard/
> http://crypto.stanford.edu/PwdHash/
Quelle: heise.de, wienerzeitung.at, eigene Recherche
Der Domain-Newsletter | Ausgabe #273 | ISSN 1616-0908 |
http://www.domain-recht.de | 11. August 2005 |
=======================================
In Zusammenarbeit mit sedo.de | http://www.sedo.de |
=======================================
--------------------------------------------------------------
02) Phishing - Betrueger werden immer dreister
--------------------------------------------------------------
"In der letzten Zeit wurden die Betruegereiversuche, die Geldmittel von den Bankkonten zu stehlen, haeufiger geworden." In der Tat. Unaufhaltsam gehen die Versuche weiter, mit gefaelschten und teils in katastrophalem Deutsch formulierten eMails an die Bankdaten von Internetnutzern heranzukommen. In der vergangenen Woche waren die Deutsche Bank, die Volksbanken Raiffeisenbanken und die Commerzbank die vermeintlichen Absender von eMails, ueber die "nur zur Sicherheit der Interessen unserer Kunden" "notgedrungen nachtraeglich eine zusaetzliche Autorisation von den Kontobesitzern" durchgefuehrt werden muss.
Mit diesen eMails versuchen die Betrueger, an die Kontodaten und TAN-Nummern heranzukommen, um dann die Konten gutglaeubiger eMail-Empfaenger pluendern zu koennen. Dass hier Welle auf Welle solcher Phishing-Mails durch das Internet schwappt, ist ein deutliches Zeichen fuer den Erfolg der Methode. Aber an dieser Stelle bleiben die Kriminellen nicht stehen. Die Wiener Zeitung meldet, dass es nun auch eine von als eBay-Nutzer getarnte Mitleidstour gibt.
In der eMail heisst es, eine 87-jaehrige habe auf einen Rollstuhl geboten und koenne nun die eBay-Seite nicht mehr finden. Der Angeschriebene moechte sich doch bitte erklaeren, ob er der Anbieter des - abgebildeten - Stuhls sei. Eine Abbildung existiert freilich nicht, aber ein Link unter einem mit "Respond Now" beschrifteten Knopf, welcher einen unverzueglich auf eine rumaenische Seite fuehre, auf der die eBay-Daten abgefragt werden.
Aber auch die Phishing-Abwehr formiert sich, berichtet heise.de.
Mittlerweile gibt es zwei Tools zur Abwehr von Phishing-"Angriffen", die zwei Professoren der Stanford University entwickelt haben. SpoofGuard ist ein Browser-Plugin fuer den Internet Explorer, der die Daten von Internetseiten mit denen aus der Historie vergleicht und vor aehnlichen Schreibweisen warnt. Darueber hinaus wertet er Links, Bilder und Eingabefelder aus, um Phishingseiten zu erkennen. Das Programm PwdHash erzeugt seitenspezifische Passwoerter, so dass auf einer Phishingseite nie das wirkliche Passwort ankaeme, sondern ein individuell fuer die Seite berechnetes, mit dem der Phisher nichts anfangen kann.
Wer auf Nummer Sicher gehen will, sollte bei sicherheitssensiblen Daten im Internet wie Online-Banking nicht per Link, sondern direkt per Eingabe der Domain oder selbst gesetztem Bookmark auf ein Angebot zugreifen. Auf das bequeme Anklicken eines womoeglich per eMail zugesandten Links sollte man dagegen verzichten. Wer dennoch Zweifel hat, sollte sich in jedem Fall vor Eingabe persoenlicher Daten bei dem jeweiligen Anbieter wie zum Beispiel der eigenen Hausbank telefonisch rueckversichern, ob alles mit rechten Dingen zugeht.
SpoofGuard und PwdHash finden Sie unter:
> http://crypto.stanford.edu/SpoofGuard/
> http://crypto.stanford.edu/PwdHash/
Quelle: heise.de, wienerzeitung.at, eigene Recherche
Captain Picard
Commander
Und jetzt wird auch noch per Fax gephisht (astreines Denglisch 
). Unglaublich, aber es scheinen immer wieder welche darauf reinzufallen.
http://www.pcwelt.de/news/sicherheit/117825/index.html
). Unglaublich, aber es scheinen immer wieder welche darauf reinzufallen.http://www.pcwelt.de/news/sicherheit/117825/index.html
Tonguru
Mitglied
Habe die angebliche Mail der Deutschen Bank heute auch bekommen, allerdings mit etwas abgewandeltem Text, als GIF mit unterlegter Verlinkung.
Hier komme ich ins Grüblen, denn der Link geht - auch laut Quelltext - auf eine Subdomain der Deutschen Bank (https: // meine.deutsche-bank.de).
Wie ist so etwas möglich? Wäre ich Kunde des Konzerns, und diese Phishing-Mails nicht momentan bekannt, hätte ich wohl keine Zweifel an der Echtheit gehabt
Anlage: Die Mail als GIF
Hier komme ich ins Grüblen, denn der Link geht - auch laut Quelltext - auf eine Subdomain der Deutschen Bank (https: // meine.deutsche-bank.de).
Wie ist so etwas möglich? Wäre ich Kunde des Konzerns, und diese Phishing-Mails nicht momentan bekannt, hätte ich wohl keine Zweifel an der Echtheit gehabt
Anlage: Die Mail als GIF
Anhänge
Captain Picard
Commander
Ist seltsam. Auf der Sicherheitshinweisseite der Deutschen Bank steht:
direkt auf eine Seite geführt zu werden zur Eingabe von PIN und TAn ohne sich vorher eingeloggt zu haben
Ob da ein Sicherheitsloch existiert?
cp
Leider weiß ich nicht ob diese Eingabeseite echt ist, aber es erscheint mir schon sehr seltsam
direkt auf eine Seite geführt zu werden zur Eingabe von PIN und TAn ohne sich vorher eingeloggt zu haben
Ob da ein Sicherheitsloch existiert?
cp