|
|
Hotel ONLINE English / Italiano / Deutsch Español / Français 日本語 / 中文 |
| ||||||||||||
|
Phishing - Bankraub via ComputerMit gefälschten E-Mails versuchen Online-Kriminelle via Internet Konten zu plündern Der Begriff Phishing kommt von Fishing (engl. das Fischen), wobei das P entweder für Password, nach dem ja gefischt werden soll, steht oder von der Wortschöpfung Phreaking herrührt. Unter Phreaking verstand man das Nutzen von Schwächen des analogen Telefonsystems in den USA durch Freaks für gebührenfreies Telefonieren. Aus Phoning und Freak entstand Phreaking. Raiffeisen und Bank Austria sind nur die bekanntesten Fälle von sogenannten "Social Hacking"-Attacken. Social Hacking zielt auf die Gewohnheiten der Internet-Nutzer ab. In offiziell scheinenden E-Mails mit gefälschtem Absender, eben einer Großbank, fordern Betrüger den Empfänger auf, zur Sicherheitsüberprüfung Bankdaten auf einer Internetseite einzugeben, da sonst das Konto gesperrt wird. Das mitgesendete Formular ist auszufüllen oder ein Link lotst den ahnungslosen Empfänger auf eine gefälschte Internetseite. Dort sind neben persönlicher Daten wie Name und Adresse auch Kontonummer samt Paßwort bzw. persönliche Identifikationsnummer (PIN) sowie eine Transaktionsnummer (TAN) einzugeben. Selbstverständlich sind diese Internetseiten den echten Seiten der Bankinstitute zum Verwechseln ähnlich und nur bei genauerem Hinsehen als Fälschung zu entlarven. So funktionieren zum Beispiel die üblichen Links zu den Seiten der Geldinstitute. Selbst Warnhinweise auf Phishing-Aktionen werden übernommen. Eine andere Methode ist das Ausspionieren mittels "Trojanischem Pferd". Ein Programm wird über E-Mail versendet. Öffnet der ahnungslose Empfänger das angehängte Programm und wird dies nicht durch einen aktuellen Virenscanner blockiert, nistet sich dieses Programm am PC ein und registriert alle Eingaben des Benutzers. In der Folge kommt immer wieder es zu Mißverständnissen beim Online-Banking: Der Benutzer erhält die Nachricht, daß der eingegebene TAN bereits verwendet wurde und ein neuer TAN einzugeben ist. Dies ist natürlich nur vorgetäuscht, das trojanische Programm sendet via Internet klammheimlich und vom Benutzer unbemerkt Konto-Daten und TAN an eine E-Mail-Adresse eines Online-Betrügers. Hat der Betrüger erst einmal Kontonummer, PIN und TAN, kann er in die Identität des Opfers schlüpfen ("Identity Theft")) eine Zahlungsanweisung mittels Online-Banking durchführen und so das Konto abräumen. Die Bank hat technisch keine Möglichkeit einer Verhinderung dieser Transaktion und haftet in diesem Fall nicht. Die ARGE Daten forderte daher im Dezember 2005, daß Banken ihre Kunden nicht per E-Mail kontaktieren. Dies soll Mißbrauch verhindern. Phishing in der PraxisSpektakulär sind die Online-Banking-Attacken, Ziel von Angriffen sind jedoch auch Websites von Versandhäusern, Auktionsbetreibern oder Kontaktportale (Singlebörsen). Immer geht es darum, die (digitale) Identität des Opfers zu übernehmen. Gerald Hesztera / Bundeskriminalamt spricht von 200.000 Euro Schaden bis jetzt in Österreich. Es zeigen sich Spuren Richtung Osteuropa. Beispiel: In einer E-Mail wurden die User auf eine Website mit der URL WWW.ba-cq.com geleitet. Diese Adresse ist sehr ähnlich der offiziellen Internetdresse der Bank Austria www.ba-ca.com, unterscheidet sich jedoch mit einem Buchstaben. Registriert ist diese Adresse bei einem Domainservice in den USA, dahinter steckt eine Freemailer-E-Mail-Adresse - und die ist anonym. Auch bei Umlauten ist Vorsicht geboten. Die "www.oesterreichbank.at" (frei erfunden) kann mit "www.österreichbank.at" gefälscht werden. Gewitzter sind da schon URLs, in denen der Domainname ein Zyrillisches "a" statt einem lateinischen "a" enthält. Hier ist die URL im Internetbrowser augenscheinlich von der richtigen Adresse nicht zu unterscheiden. Abhilfe: Nicht auf URL klicken, sondern die URL der Bank manuell eingeben. Was tun die Banken?Bank Austria und Erste setzen auf indizierte TANs. Die Bank führt Buch über bereits verwendeter TANs und verhindert so "Missverständnisse". Raiffeisen und BAWAG/PSK setzen auf sequenzielle TANs. Dabei werden nach Eingabe eines TAN sämtliche vorhergehenden TANs ungültig. Was kann man tun?Paßwort nicht erratbarWählen Sie ein Paßwort, das aus einer Kombination von Buchstaben und Alpha-Zeichen und wenn möglich Sonderzeichen besteht. Vornamen, Geburtsdatum, kurze Wörter wie "ABC" oder einfach zu erratende Kombinationen wie "ABCDEF" sollte man vermeiden. Updates installierenUpdates und Service Packs des Betriebssystems und Browsers sollten installiert werden. Das soll sicherstellen, daß vom Hersteller erkannte Sicherheitslücken geschlossen sind. ActiveX und JAVABeides am besten in den Browser-Einstellungen auf "Eingabeaufforderung" setzen. Sie können dann entscheiden, ob PlugIns ausgeführt werden, bei vertrauenswürdigen Internetseiten kann man zustimmen. Ist meiner Erfahrung nach leider sehr mühsam, denn ActiveX wird gerne auf Websites für Werbeeinschaltungen verwendet. Firewall und VireschutzprogrammEine Firewall selbst am privaten Heim-PC ist unerlässlich. Neben dem standardmäßig im Windows eingebauten Firewall gibt es noch gute für Privatanwender gratis zu benutzende Programme wie etwa ZoneAlarm. Für einen brauchbaren Virenschutz muß das Virenschutzprogramm regelmäßig mit den neuesten Virensignaturen aktualisiert werden. Verschlüsselte VerbindungSensible Daten wie PIN sollten immer mit einer verschlüsselten Verbindung übertragen werden. Dies kann man daran erkennen, dass die URL mit https:// beginnt. SSL-Zertifikat überprüfenDurch Doppelklick auf das Sicherheitssymbol in der Statuszeile am unteren Rand des Browserfensters erscheint ein Fenster mit Informationen über das Sicherheitszertifikat. Unter "ausgestellt für" und im Reiter "Details" finden Sie Informationen über den Antragsteller und Gültigkeit. Direktanwahl der Online-Bank-AdresseEin seriöse Bank wird niemals vertrauliche Daten via E-Mail von Ihnen fordern. Um Probleme mit Umleitungen zu umgehen, sollten Sie niemals auf einen per E-Mail empfangenen Link klicken. Für Online-Banking geben Sie die URL in der Adresszeile des Browsers ein. E-Mail-AttachmentsE-Mails können wahre Malware-Schleudern sein. Attachments aus nicht bekannter Quelle sollten ignoriert werden. Auch wenn der Inhalt noch so verlockend wie harmlos scheint, hinter einem als JPG getarnten Attachment verbirgt sich vielleicht eine ausführbare Datei, ein Spionageprogramm, ein Wurm oder Trojaner. Sensible Daten nicht speichernPasswörter, PINs, TANs sollten nicht auf der Festplatte gespeichert werden. Natürlich sollten diese Daten auch nicht an Dritte weitergegeben werden. Filesharing und Desktop-Tools sind ein großes Risiko, da Daten außer Haus gegeben werden und so in fremde Hände gelangen könnten, wenn auch unbeabsichtigt, so Gartner im Februar 2006 zu Google's Desktop-Suche. Linkhttp://www.euroconsumer.org.uk/de/index/your_rights/scams_home.htm
|
