Hi,Erst einmal etwas zur Begrifflichkeit. Wikipedia schreibt zum Begriff Phishing:
Phishing ist eine Form des Trickbetruges mit Methoden des Social Engineerings. Es
ist der Oberbegriff für illegale Versuche (..) Anwendern Zugangsdaten (Loginnamen plus
Passworte) für sicherheitsrelevante Bereiche zu entlocken. (..)
Die Bezeichnung Phishing leitet sich vom Fischen (engl.: fishing) nach persönlichen
Daten ab.
Bedeutet unterm Strich folgendes:
- Internetbanking ist sicher!
- So sicher, dass es technisch kaum möglich ist, Geld unerlaubt zu transferieren!
- Deshalb setzen Betrüger eigentlich immer beim Anwender an, ihm die Daten zu entlocken - sei es durch simples fragen unter falscher Identität, ein Webformular fordert zum eintippen aus und sieht ganz ähnlich zur Originalseite aus oder (kompliziert und selten) indem man die Daten versucht mittels Virenbefall ferngesteuert abzufangen.
Normalerweise sollte man Spam und Virenmails - und die neue Plage der Phishingmails - nie anschauen - speziell Outlook greift da schnell mal für eine Grafik in der Mail auf das Internet zu und überträgt damit die Information, wer sich gerade die Mail anschaut. Dadurch wird das Aufkommen an Mailmüll sehr stark in Zukunft ansteigen im Vergleich zu jemandem, der nie bestätigt hat, dass er sich den Müll auch anschaut. Außerdem ist Outlook eine hervorragendes Einfallstor für allerlei Virenspielereien - abgesehen davon dass man sich den Virus durch starten einer Datei selber ins Haus holt.
Nachdem ich also ausdrücklich davor gewarnt habe, sich ohne technischen Verstand solche Mails aufzurufen, habe ich es selbst getan - aber nur in einen Texteditor - und mir die Postbank-Geschichte mal exemplarisch anzuschauen (in meinem Spamordner fand sich genug Material). Ein Screenshot davon:
Nachdem man in der Mail also schonmal darauf vorbereitet wurde, das man doch bitteschön 2 Tans eingeben solle, kommen auf einmal noch die Kontonummer und die Pin hinzu. Alles braucht der Betrüger, damit er eine Überweisung einreichen kann, die mit der Kombination Pin+Tan "unterschrieben" wird.
Einige Banken fangen übrigens an, nicht mehr unbedingt mit TAN-Listen zu arbeiten sondern stattdessen das Handy als Medium zu wählen. Man loggt sich mit Pin ein, schickt die Überweisung ab und erhält sofort eine SMS mit den Überweisungsdaten und einer Tan - die man gleich auch eingibt, damit die Überweisung losgeschickt wird. Keine Listen bedeuten in dem Falle auch keine Möglichkeit, dem Anwender im Voraus Daten abzuknöpfen. Vollständige Sicherheit bedeutet dies natürlich nicht - der Anwender muss sich einfach bewußt sein, das Pin und Tan zusammen eine Unterschrift ersetzt. Und die gibt man ja auch nicht blanko jedem der danach fragt oder sich für einen Bankangestellten ausgibt.
Wen die Phishing/Spam/Virenmails nerven, der sollte die Leute in seinem Bekanntenkreis darauf aufmerksam machen wenn sie potentiell Viren auf den Rechner lassen. Denn Virenprogrammierer sind mittlerweile durchprofessionalisiert: Die befallenen Rechner warten dann auf Kommandos und werden schlichtweg "vermietet", völlig egal ob für den Spamversand, Nazi-Parteiwerbung oder um die Webangebote geschäftlicher Konkurenz in die Knie zu zwingen. Daher nennt man die Rechner bildlich "Zombies".
Grüße,
Alex
Druckversion
, 05-Jun-05, 04:44 Uhr, (5)
, 05-Jun-05, 11:21 Uhr, (7)
