Home      Themenübersicht / Sitemap      Notizen      Webmaster      

Dieser Artikel ist Teil der Serie

Wie bin ich im Internet sicher unterwegs?

Diese Box hier enthält Tipps für sicheres Internetbanking.

Ein anderer Artikel behandelt Sicher in Social Networks.
Und dann ist da noch ein Artikel Wie erkenne ich Phishing Mails?

 

30 Sekunden Tipps für sicheres Internet-Banking

  1. Grundvoraussetzung für sicheres Internet-Banking sind sichere Geräte. Dies erfordert eine gewisse Grundhygiene der verwendeten Geräte (PC, Mac, Smartphone)
  2. .
  3. Für Internetbanking und andere Finanzwebsites sollten sie immer einen separaten Browser verwenden, der NUR für solche Websites genutzt wird (ich verwende dafür Chrome). In der Liste der Favoriten sind NUR die Banken drin und diesen Browser dürfen sie NIE für das restliche Internet verwenden. Dieser Browser bekommt KEINE Plugins, Extensions oder irgendwelche anderen fremden Komponenten
  4. Große Skepsis bei allem was anders ist als sonst, lieber einmal zu oft beim Call-Center anrufen und nachfragen. Folgen Sie auf keinen Fall irgendwelchen Aufforderungen, (am Smartphone) irgendeine Software zu installieren ohne vorher nachgefragt zu haben. Und noch eine Warnung: falls jemand anruft und behauptet, er oder sie sei vom Callcenter ihrer Bank oder von Microsoft, extrem große Vorsicht bitte. Dies ist ein seit 2014 häufig erfolgreicher Angriff, angebliche Callcenter-Mitarbeiter helfen den Opfern, ihr gesammtes Geld an die Angreifer zu transferieren.
  5. Verwenden Sie für die TANs auf jeden Fall ein zweites Gerät, d.h. keine TANs auf das Smartphone übermitteln falls Sie vom Smartphone ihre Überweisungen machen. Und lesen Sie sich die Überweisungsdaten durch, die mit der TAN übermittelt werden.

Hier geht es zurück zur Gesamtserie Sicher im Internet.

 

 

Die Phishing-Misere - Tipps für Phishing-Schutz, speziell bei Internet-Banking

 

Letzte Aktualisierungen Okt. 2016.

Seit 2012 laufen kombinierte Angriffe gegen PC und Smartphone mit denen auch die mTANs (oder TAC-SMS) ausgehebelt werden können. Durch eine "Infektion" der Smartphone können die SMS mit den TAN-Ziffern abgefangen werden und stehen den Angreifern zur Verfügung. Ein Artikel dazu aus Juli 2014: Bankentrojaner Retefe ändert den DNS-Eintrag der Bank auf dem PC des Opfers und leitet dadurch ganz ohne weitere Spuren auf dem PC das Opfer auf die Angreifer-Website. Dort wird der Benutzer aufgefordert, eine Smartphone App der Angreifer zu installieren.

Dez. 2013:
Jetzt werden auch verstärkt Bankkunden betrogen, indem sie einen Anruf von Betrügern bekommen (angeblich von der Bank) und sie werden aufgefordert, den Angreifern (die vorher bereits über eine Phishing Website Benutzer und Passwort bekommen haben) die TAN vorzulesen, die während der Überweisung durch die Betrüger von der Bank auf das Handy gesendet wurde. Mehr dazu weiter unten.

Seit 2014 und immer noch erfolgreich in 2016:
Wieder ein neuer Schmäh: Anrufe von angeblichen Microsoft-Mitarbeitern. Die angeblichen Microsoft Mitarbeiter fordern den Kunden auf, gewisse Kommandos am Rechner einzugeben die dann zu Fehlermeldungen führen. "Oh je", sagt der falsche Mikrosoft Mann, "der Rechner muss repariert werden, gehen sie mal auf folgenden Link". Und dann ist der Rechner wirklich infiziert. Weitere neue Tricks im Artikel. Und in 2016 funktioniert das immer noch: Weitere Opfer von vermeintlichem Windows-Telefon-Support.

Dez. 2015:
Die Presse berichtet über das neue Push-TAN Verfahren das eine ganze Reihe von deutschen Banken einsetzen. Dabei sind 2 Apps auf dem Smartphone, die eine macht wie bisher die Überweisung, die andere empfängt die TAN und reicht sie an den Überweisungs-App weiter. Dass das keine gute Idee ist berichtet die Presse und zeigt ein junger Forscher auf dem 32. Chaos Computer Club Event: (Un)Sicherheit von App-basierten TAN-Verfahren im Onlinebanking. Auch wenn es etwas unbequem sein sollte: Nur bei der Nutzung von 2 getrennten Geräten ist die Überweisung sicher (z.B. PC und Smartphone oder Handy, PC oder Smartphone und separater TAN-Generator). Auch die Finanzaufsicht (bis zum Europäischen Zentralbank) schreiben getrennte Geräte vor.

Link-Konventionen:
Fette Links öffnen ein fremde Seite in einem neuen Fenster
Blau hinterlegte Links bleiben auf der sicherheitskultur.at

 

CEO-Fraud, Chef-Masche

Ein neues (2016) Schlagwort für einen nicht so neuen Betrug: "Business Email Compromise" (BEC) (im Deutschen meist CEO-Fraud genannt). Ganz oft beruhen diese Betrugsmaschinen auf zwei unterschiedlichen Schemen.

Schema 1: Mitarbeiter (meist in Finanzabteilungen) bekommen an ihr Firmenemail eine Nachricht die angeblich von einem höheren Chef kommt der gerade auf Reisen ist und ganz schnell und heimlich eine größere Überweisung auf ein spezielles Konto braucht (Firmenübernahme steht an). Ganz oft ist der Chef wirklich auf Reisen, denn die Angreifer haben sich in aller Regel gut vorbereitet und kennen viele Interna der zukünftigen Opfer (Firmenwebsite und Presseerklärungen sind ein Grund für diese Kenntnisse, manchmal sind die Angreifer auch über infizierte PCs bereits im internen Netz). Und oft ist auch die Absenderadresse gut gefälscht, so dass der falsche Absender nicht auf einen schnellen Blick erkennbar ist. Vor allen Dingen wird im Mail betont, dass der Mitarbeiter mit keinem Kollegen darüber reden darf. Oft wird sogar eine Email-Adresse oder Telefonnummer angeboten, bei der der Mitarbeiter mit dem angeblichen Rechtsanwaltsbüro reden kann, das die Firmenübernahme koordiniert.

Schema 2: Mitarbeiter in der Buchhaltung bekommen die (angebliche) Nachricht eines bestehenden Lieferanten dass ab jetzt alle Rechnungszahlungen nicht mehr auf das bisher gespeicherte Konto gehen sollen, sondern ein neues Konto. Auch hier sind die Angriffe oft sehr gut gemacht. Es beginnt oft mit einer Nachricht eines wirklichen Kunden oder Lieferanten (beide Seiten können Opfer sein) dass sie jetzt eine neue Email-Adresse hätten (die Internet-Domäne dafür wird oft gut gewählt). Dann kommt von dieser Adresse eine Rechnung die sich oft auf ein wirkliches Geschäft bezieht und zum Teil extrem gut gefälscht ist. Gefälscht ist die Kontonummer auf die übewiesen werden soll, das ist nämlich das Konto der Betrüger. Der Betrug fliegt meist erst nach einiger Zeit auf, wenn nämlich die richtige Buchhaltung des Lieferanten den fehlenden Zahlungseingang moniert.

Woher kommen die Betrüger an die Vorlagen für die Rechnung und die internen Details über die Lieferungen? Ganz oft beginnen diese Angriffe damit, dass irgendein Mitarbeiter in einer der beiden Firmen auf ein Phishing-Mail hereinfällt. Er geht entweder auf eine "böse" Website oder er öffnet einen Anhang mit Angriffssoftware. Dann sind die Angreifer in einer der Firmen und dann finden sie in den internen Netzen auch gute interne Details. Das heißt Phishing-Schutz ist der erste Schutz gegen solche Angriffe. (Hier findet sich, wie man Phishing-Mails erkennt.

Hier das Beispiel von FACC in Österreich, Schaden 50 Mio. Gerüchten zu Folge ist dies aber nur der drittgrößte Fall in Österreich. Firmen vermeiden das Veröffentlichen von solchen Vorfällen, Aktiengesellschaft können sich aber bei solchen Verlusten in der Regel nicht gut verstecken.

Und gleich noch 2 Fälle aus 2016: Internetbetrüger nehmen 2 oberösterreichische Firmen aus. Und aus Deutschland: Betrüger kamen mit Chef-Masche in Deutschland bereits zu 110 Mio. Euro.

Möglich sind solche speziellen Social Engineering Angriffe in der Regel weil die Angreifer gut recherchiert und oft sogar Firmenemails (z.B. des Lieferanten) abgefangen haben. Gegenmaßnahmen werden ganz gut in diesem Bericht aus dem USA erklärt: FBI: Email Scams Take $3.1 Billion Toll on Businesses. Hier die Punkte:

  • Vorsicht beim Veröffentlichen von Firmeninterna auf der Website oder in Social Networks
  • Wenn ein Mitarbeiter ein Mail erhält, das ihn zur Verschwiegenheit verpflichtet ist große Vorsicht angebracht
  • Grundlegender Schutz gegen Malware und vor allem aktuelle Software, wie an anderer Stelle der Website beschrieben
  • Gute Buchhaltungsprozesse: Keine Zahlung und keine Änderung von Zahlungskonten ohne 4-Augen-Prinzip, sicherstellen, dass es keine Zahlungen geben kann, die so geheim sind, dass man diese Regeln verletzen muss
  • Sicherheitsbewusstsein bei den Mitarbeitern durch geeigenete Awareness-Maßnahmen

Der folgende Artikel aus 2016 gibt einen guten Überblick über die verschiedenen Techniken und nennt auch Zahlen und Statistiken: Billion-Dollar Scams: The Numbers Behind Business Email Compromise

Der Rest des Artikels konzentriert sich auf den speziellen Aspekt der Sicherheit im Internet-Banking.

 

Eine Klarstellung: der Titel könnte missverstanden werden, dass Zwei-Faktor Authentisierung keine gute Idee ist. Das stimmt natürlich nicht, das ist eine extrem gute Idee und sollte viel mehr genutzt werden, z.B.

  • bei Zugriff von Mitarbeitern zum internen Firmennetz - hier ist es ein absolutes MUSS
  • bei Zugriffen zu Cloudspeichern, Webmail-Diensten, Social Networks, auch bei privater Nutzung. Alle diese Zugangsdaten sind extrem begehrt und werden im Netz gehandelt, sie lassen sich leicht zu Geld machen

Simple Zwei-Faktor-Authentisierungssysteme (z.B. iTAN, SecurID-Token, usw.) bieten allein keinen sicheren Schutz mehr beim Internet-Banking

Die Schweizer Melde- und Analysestelle Informationssicherung (Melani) berichtete bereits 2009:

    "klassische“ Phishing-Angriffe per E-Mail mit der Aufforderung Passwörter einzugeben, haben in der Schweiz stark abgenommen. Zudem waren alle erfolglos. Dafür haben erfolgreiche Angriffe mit Malware zugenommen. Zwei-Faktor-Authentisierungssysteme (z.B. Streichlisten, SecurID, usw) bieten keinen Schutz gegen solche Angriffe und müssen als unsicher betrachtet werden, sobald der PC des Kunden mit Malware verseucht worden ist".

Sie berichten von Vorfällen, in denen sich ein solches Schadprogramm im Browser einnistet und dort vor der verschlüsselten Übertragung der Überweisungsdaten Namen und Kontonummer des Empfängers und auch den Betrag manipuliert. Selbst die Bestätigung der Bank wird abgefangen und falsch angezeigt. Sie berichten, dass die Infektion sehr einfach ist:

    "Als Infektionsweg stark zugenommen haben Webseiten, bei deren Besuch Malware ohne Dazutun des Benutzers auf dem Rechner installiert wird (Drive-by-Infektion). Dabei werden Sicherheitslücken im Betriebssystem, im Browser oder in einer anderen Applikation ausgenützt. Längst geschieht dies nicht mehr nur auf dubiosen, sondern auch auf (kompromittierten) seriösen und bekannten Seiten. Die Erkennungsrate der Malware durch Antiviren-Software bleibt tief."

 

Traurige Aktualisierung 2009:
Es gibt Berichte vom aktiven Einsatz von "Man-in-the-Browser"-Attacken gegen die Postbank in Deutschland, die auch die Einmal-Passworte und die iTANs aushebeln und recht clever programmiert sind: sie prüfen wieviel auf dem Konto ist und wie hoch der Überziehungsrahmen ist (siehe postbank screenshots im Finjan Report dazu). Sie addieren diese beiden Werte und heben dann fast alles ab was der Überziehungsrahmen hergibt, während der Kunde glaubt, seine eigene Überweisungen auszuführen. Sie gaukeln ab dann dem Kunden den Kontostand vor, der auf Grund seiner eigenen Überweisungen entstanden wäre, d.h. sein Konto ist im Minus, aber er sieht weiterhin das Plus. D.h. der Kunde sieht den Betrug gar nicht, außer er druckt sich den Kontoauszug bei der Bank selbst aus oder nutzt einen anderen PC. Angeblich ist der Schaden ca. 300 000 Euro in 22 Tagen.

Ein ähnlicher Angriff in den USA hat immerhin $447,000 eingebracht. Dieser Angriff benutzt die gleiche Technologie.

Hier eine Studie aus 2009: Your Botnet is My Botnet: Analysis of a Botnet Takeover. Eine sehr detaillierte Analyse des Banken-Trojaners Torpig, analysiert nach einer Übernahme des gesamten Botnets durch die Autoren der University of California. Enthält auch eine ausführliche Erklärung von modernen Botnetz-Techniken wie Domain Flux.

 

Weitere Aktualisierung 2011:
Lange erwartet worden, jetzt im ein Einsatz: Bankentrojaner für Smartphones, die die mobilen TAN (mTAN) für die Autorisierung der Überweisungen abfangen und an den Angreifer weiterleiten, der dann die Überweisung vornehmen und bestätigen kann.

Zunächst wird jedoch Schadsoftware auf den Rechner des Nutzers geschleust. Besucht dieser dann die Webseite seiner Bank, blendet die Malware dort zusätzliche Felder ein. In diese sollen Handynummer und Smartphone-Modell eingetragen werden werden. Geschieht dies, erhält der Nutzer daraufhin eine SMS, in der er aufgefordert wird, unter dem angegebenen Link ein Zertifikats-Update herunterzuladen. Dabei handelt es sich jedoch um ein Trojanisches Pferd. Dieses leitet empfangene SMS an eine britische Handynummer weiter. Anwender sollten den Antivirenschutz auf PC und Handy stets aktuell halten und Software - egal ob für Rechner oder Smartphone - grundsätzlich nur über Original-Herstellerseiten beziehen.

An anderer Stellle gibt es mehr Details die SMS-TANs aushebeln können, z.B. Man-in-the-Mobile Angriffe und Angriffe mit menschlicher Zuarbeit. Aber auch gegen diese Angriffe sind die Bankkunden NICHT hilflos, wichtigster Punkt ist, sich den Text der SMS sehr gut durchzulesen.

 

Juli 2012:
Aktuelle kombinierte Angriffe 2012 gegen PCs und Android Smartphones: Android Trojan attacks SMS smartphone bank security, mit vielen Screenshots und Details von den Angriffen. Die Angriffe laufen in Deutschland, Niederlande, Portugal und Spanien.

Juni 2013:
Phishing kann nicht nur für finanziellen Betrug eingesetzt werden, der Iran nutzt Phishing um an die Mail-Accounts seiner Bürger zu kommen. Der Beitrag weist sehr knapp und gut darauf hin, wie man sich grundsätzlich gegen solche Angriffe schützen kann.

Juli 2014:
Der sehr "schlichte" Bankentrojaner Retefe ändert den DNS-Eintrag der Bank auf dem PC des Opfers und leitet dann ganz ohne weitere Spuren auf dem PC des Opfers auf die Angreifer-Website. Dort wird der Benutzer nach Preisgabe von Benutzername und Passwort aufgefordert, eine Smartphone App der Angreifer zu installieren. Für diese Opfer bieten SMS-basierte TANs keine Sicherheit mehr. Dagegen helfen nur neuere Methoden wie separate Geräte ("Flickercode") die auf diese Weise nicht angegriffen werden können.

 

 

 

Es wird immer gefährlicher und immer schwerer zu durchschauen :-(

2005: Meldungen über neue Angriffe: Kriminelle stellen Websites ins Internet, auf denen Flüge gebucht werden können, billiger als auf den gängigen Reiseportalen. Die Buchungen finden gar nicht wirklich statt, aber der Kunde gibt die Kreditkarte und weitere vertrauliche Informationen ein.

(Klick auf das Bild für Großversion)
Quelle: Jeffrey Friedberg - Internet Fraud Battlefield

Das ist ein Angriff, der sehr schwer zu entdecken ist, denn die falsche Website kann ja durchaus die korrekten Flüge zurückmelden und die üblichen Verbindungen wie erwartet anzeigen. Dafür braucht der Programmierer der falschen Website nur jede Anfrage der Kunden auf eine wirkliche Reisebüro-Website weiterzuleiten und deren Ergebnisse anzuzeigen. Das ist zwar vielleicht 2 Wochen Arbeit, aber wenn die organisierte Kriminalität gut zahlt, wird es daran nicht scheitern. D.h. für den Kunden funktioniert diese Website ganz so, wie er das von einem Reiseportal erwartet, sie zeigt die erwarteten Flüge der Fluggesellschaften an.

Der Vorteil für die Phisher ist, dass sie nicht mal E-Mails verschicken müssen, Google und andere Suchmaschinen schicken die Kunden zu ihnen, wenn diese nach Website für billige Flüge suchen. Die Domainen sind ganz normal angemeldet und müssen nicht mal den bekannten Reiseportalen ähnlich sein. Aber auch das ist kein Problem. Wenn die korrekte Website www.billig-flug.com heißt, so melden die Betrüger einfach www.billigflug.com oder www.billig_flug.com an. Welcher Kunde würde sich daran stören?

Diese neueren Angriffe machen es für den Kunden extrem schwer, einen Phishing-Angriff zu erkennen. Wir kommen dahin, dass es letztendlich bei diesen Angriffen um Variationen einer traditionell eher theoretischen Angriffsmethode geht, des Man_in_the-Middle-Angriffs.

Was kann der Kunde tun? Seien Sie vorsichtig, wenn eine Ihnen bisher unbekannte Websites ganz billige Flüge anbietet (falls etwas zu gut ist, um wahr zu sein, dann ist es vermutlich auch nicht wahr). Wenn Sie zum ersten mit auf einer Website ein Geschäft abschließen, so rufen Sie lieber erst mal bei dem Unternehmen an und stellen sicher, dass die Firma wirklich existiert und die Website korrekt ist. Speichern Sie dann die verifizierte Adresse unter den Favoriten, so dass Sie diese später nicht wieder über eine Suchmaschine finden müssen. Versuchen Sie, ob sie auch gegen Rechnung buchen können? Oder informieren Sie sich nur im Internet und buchen dann doch lieber telefonisch.

Aber auch Unternehmen mit einer eigenen kommerziellen Website könnten eine größere Verantwortung übernehmen. Denn wenn z.B. eine betrügerische Website (mit jeweils der gleichen IP-Adresse) sich ständig aktuelle Fluginformationen von einem anderen Portal abruft, so ist das in den Logs des legitimen Portals deutlich zu sehen (falls jemand diesen Log auswertet). Wenn ganz viele Anfragen von der gleichen Adresse kommen, dann kann etwas nicht stimmen. D.h. Website-Betreiber haben eine recht gute Möglichkeit, solche Betrüger zu entdecken. Ich hoffe, sie nehmen dann ihre Verantwortung als "Bürger des Internets" war und versuchen, diesen Betrügern das Handwerk zu legen (und denken sich nicht "das ist doch nicht mein Problem").

 

 

 

Sicheres E-Banking

Sept. 2009: Solange Ihre Bank keine wirklich sichere Methode für Internetbanking anbietet [nämlich die Versendung der TANs über Handy (sog. mTAN), verbunden mit einer Rückmeldung der Zielkontonummer im SMS], so können Sie immer zumindest festzustellen, ob sie wirklich direkt (d.h. ohne Mittelsmann) mit der E-Banking Website ihrer Bank verbunden sind (falls jedoch ihr Rechner infiziert ist, so sind sie trotzdem gefährdet, mehr dazu unter Man-in-th-Browser). Diese Prüfung machen Sie durch Überprüfung des sog. Fingerprints des digitalen Zertifikats ihrer Bank. Auf der Website von e-rating gibt es für die Banken in Österreich eine Auflisting dieser Fingerprints. Gleich zu Beginn weisen sie auf eine weitere Website, wo erklärt wird, wie und wo man das Zertifikat finden kann (PDF).

An anderer behandele ich die grundsätzlichen Herausforderungen, die wir derzeit im HTTPS-Ökosystem haben. Dazu gehören vor allem:

  • Falsche und unsichere Implementierung von HTTPS bei sehr vielen Websites
  • Grundsätzliche konzeptionelle Probleme der Certification Authorities (CAs)
  • An anderer Stelle werden die zahlreichen Sicherheitsprobleme die bei Certification Authorities seit 2011 behandelt.
  • Ein sicheres Arbeiten mit Zertifikaten sollte folgendermaßen aussehen: Sie löschen alle bereits gespeicherten Zertifikate in ihrem Webbrowser (die werden zum Teil über automatische Software-Updates installiert). Das Löschen geschieht z.B. beim Internet Explorer über Extras / Internetoptionen / Inhalte / Zertifikate / alle löschen. Dann gehen Sie auf die Website ihrer Bank. Der Browser fordert sie auf, das nun von der Bank übertragene Zertifikat zu bestätigen. Sie rufen bei der Bank an und lassen sich den Fingerprint des korrekten Zertifikats vorlesen. Dann speichern sie das so bestätigte Zertifikat ab. Wenn sie ab jetzt in Zukunft mit der Bank verbunden sind und keine Meldung zum Zertifikat erhalten, so können sie sicher sein, dass sie mit der korrekten, von ihnen selbst überprüften und verifizierten Website verbunden sind, und dass niemand sich in ihren Datenverkehr hineingehängt hat - eine Technik, die man Man_in_the-Middle-Angriff nennt und gegen die auch eine SSL Verschlüsselung nicht schützt, wenn sie nicht sicherstellen, dass sie mit der korrekten Website verbunden sind.

    Es ist nämlich absolut nicht so, dass die Existenz eines Web-SSL-Zertifikat Sicherheit garantiert. Es gibt Services, wie z.B. GeoTrust oder GoDaddy in den USA, die gegen eine sehr geringe Gebühr für jeden ein SSL-Zertifikat ausstellen, der eine Internet-Domaine und eine E-Mail-Adresse hat. Hier 2 Artikel zu einem Phishing Angriff mit gültigem SSL-Zertifikat und mit ausführlicher Diskussion und Hintergründen zum Thema SSL-Zertifikate. (Dazu muss ich ergänzen, dass die Funktion eines SSL-Zertifikat sehr wohl die Authentifizierung der Gegenseite meiner Kommunikation beinhalten sollte - denn eine Verschlüsselung meines Datenverkehrs ist uninteressant, wenn ich nicht garantieren kann, dass ich mit der korrekten Endstelle verbunden bin. Und schlampige Certifikation Agencies (CA) wie GeoTrust und GoDaddy sollte man sehr wohl aus der Liste der vertrauenswürdigen Zertifizierer in seinem Webbrowser entfernen, wie einige der Teilnehmer an der Diskussion vorschlagen.) (Weitere Artikel zu Phishing mit SSL und noch mal Phishing mit SSL.) An anderer Stelle schreibe zu den grundsätzlichen Herausforderungen, die wir derzeit im HTTPS-Ökosystem haben und an wieder anderer Stelle beschreibe ich, wie Man-in-the-Middle Angriffe trotz HTTPS durchgeführt werden können.

    Um aber bei der Nutzung von unsicheren normalen TANs oder iTANs wirklich sicher zu sein, müssten sie auch 100-prozentig wissen, dass ihr Rechner nicht infiziert ist. Das ist aber leider selbst für einen Profi nicht wirklich 100-prozentig festzustellen. Denn wenn ein Trojaner auf meinem Rechner installiert ist, so kann dieses Programm alles was ich auf dem Bildschirm sehe, verändern, d.h. ich habe keine Möglichkeit, eine vollkommene Sicherheit zu erreichen. Aber trotzdem könnte sicheres E-Banking implementiert werden: die Bank müsste einen zweiten Kommunikationskanal nutzen, z.B. die Handys. Eine SMS mit den Daten des Empfängerkontos stellt sicher, dass ich wirklich sehen kann, wohin meine Überweisung gehen wird. Zum Glück gibt es jetzt (Mai 2006) erste Banken in D. und in Ö., die diese Funktionalität anbieten.

    Sept. 2009:
    Offenbar haben die Bemühungen in Richtung iTAN und mTAN die Kriminellen genug behindert, dass sie sich jetzt auf das Infizieren von Kundenrechnern konzentrieren, das ist ja auch einfach genug.

    Hier die Statistiken zum Rückgang des traditionellen Phishings (bereits aus 2009): Traditionelles Phishing kommt aus der Mode und Trendreport von xForce/IBM.

    Social Engineering Angriffe gegen Internet-Banking

    Dez. 2013: Bei aller technischen Absicherung sind immer Social Engineering Angriffe möglich. In 2013 gibt es vermehrt Fälle, bei denen die Angreifer, um an die TAN zu kommen, bei den Opfern der Phishing-Angriffe anrufen und verlangen, dass die SMS-TAN oder die iTAN vorgelesen wird. Sie geben sich dann entweder als Kundenbetreuer, das Call-Center oder sogar als die Sicherheitsabteilung aus. Natürlich gibt es immer wieder Menschen, die dann die TAN weitergeben. Da die Angreifer nachdem das Konto leer ist üblicherweise noch 3x ein falsches Passwort eingeben, kommen die Opfer nicht mehr auf ihr Konto und sehen den Schaden oft erst, nachdem sie sich ein neues Passwort haben geben lassen.

    Und Und hier geht's weiter mit dem Thema, nämlich auf meiner separaten, eher techischen Seite:

    Technisches zu Man-in-the-Middle Angriffen

    Schutzmöglichkeiten (technisch)

    Was die Banken (und eBay, amazon, .....) anbieten sollten, aktualisiert Mai 2006

     

     

     

    Wie können Banken und andere Firmen mit kommerziellen Websites mithelfen, dass die Kunden sich besser gegen Phishing schützen können

    Die Graphik zeigt in hellgrau den Prozentsatz der nicht aktuellen und damit verwundbaren Browser.
    Quelle: Understanding the Web browser threat

    • Unterstützung einer breiten Palette von Webbrowsers, so dass die Kunden z.B. einen Browser nur für ihre Bankgeschäfte reservieren können - das erhöht die Sicherheit sehr
    • Unterstützung anderer Betriebssysteme als nur MS Windows oder Apple, wie z.B. Linux
    • Automatisierte Warnung an Benutzer, die veraltete Browser benutzen. Browser kommunizieren im USER-AGENT Feld die Version des Browsers und dann kann die Bank (oder jeder andere Service-Anbieter) zurückmelden, seit wie vielen Tagen diese Version als unsicher gilt
    • Wenn die kommerzielle Webanwendung ein separates Fenster öffnet, so sollte dieses Fenster eine volle Menü-Leiste und Adress-Leiste haben, damit der Kunde das SSL-Zertifikat (siehe unten) und die URL überprüfen kann
    • Unterstützung von PGP als Mail-Verschlüsselung (wird in Deutschland zum Teil von Banken eingesetzt)
    • Das Angebot spezieller Banking-Client Programme statt Nutzung des Webbrowsers
    • für alle SSL-Websites: Vermeiden von abgelaufenen Zertifikaten, Zertifikaten die auf andere Namen als den Namen der Firma/Bank lauten und vermeiden von Fehlermeldungen wie "revocation information for the security certificate for this site is not available. Do you want to proceed?"
    • Schulung des Helpdesks, so dass er mit Kunden den "Fingerprint" des SSL-Zertifikats vergleichen kann
    • Absolutes Vermeiden von Frames in der Web-Programmierung, da sonst der Angreifer einzelne Teile der Webseite austauschen kann, ohne die Gültigkeit des SSL-Zertifikats zu verlieren (siehe Angriff in Österreich Juli 2006)
    • Information des Helpdesks, wenn die Login-Prozedur geändert wurde. Nachricht an die Bankkunden über die geänderte Login-Prozedur. Aktualisierung der Hilfe-Seiten zur neuen Prozedur (das alles ist leider nicht selbstverständlich)
    • Schulung des Helpdesks, wie er korrekt reagiert, wenn ein Kunde anruft und den Verdacht hat, ein Phishing Mail erhalten zu haben (siehe schlechtes Beispiel von eBay)
    • Für alle Firmen mit gefährdeter Web-Präsenz: Nutzung von Services, die täglich prüfen, ob irgendwo in der Welt eine Domaine angemeldet wird, die ihrem eigenen Domain-Name sehr ähnlich ist
    • Nutzung automatischer Tools, die sofort bemerken, wenn sehr viele Anfragen oder sog. "referrals" von einer bestimmten Adresse kommen (nämlich der Phishing Website). Solche Anomalien scheinen im Log des Webservers deutlich auf, falls dieser Log ausgewertet wird (was er sollte, da findet man nämlich auch Hinweise auf andere Angriffe)
    • Automatische Weiterleitung von Kunden, die über eine solche eigenartige Website einsteigen (erkenntlich im Referrer-Feld der Daten vom Webbrowser) (das sind Kunden, die evtl. gerade ihr Passwort verraten haben) auf eine spezielle Seite, wo sie über diese Tatsache aufgeklärt werden und wo ihnen erklärt wird, wo sie anrufen können, um sofort ihr Konto zu sperren
    • Nutzung automatischer Tools, die erkennen, wenn viele "bounced emails" für die eine Adresse kommen, die der Phisher als gefälschte "From-Adresse" in seinem E-Mail angegeben hat
    • Bei den Banken: Nutzung automatischer Tools, die sofort bemerken, wenn sich auf dem Webserver irgend etwas verändert, z.B. weil ein Angreifer in den Server eingedrungen ist und Veränderungen vorgenommen hat (z.B. Tripwire). Hier die Statistiken, wie lange es dauert, bis Unternehmen entdecken, dass bei ihnen Daten abgezogen wurden.
    • Bei den Banken: Nutzung automatischer Tools, die sofort bemerken, wenn sehr viele Überweisungen von unterschiedlichen Kundenkonten auf eine kleine Zahl von Empfängerkonten erfolgen
    • Angebot eines Services, dass der Kunde sich ein SMS zusenden lassen kann, wann immer auf sein Konto zugegriffen wird. Ist er es nicht selbst, kann er sofort anrufen und den Vorgang stoppen
    • Unterstützung von Authentifizierungscodes per Handy (wird in Asien von Banken bereits seit einiger Zeit eingesetzt, jetzt gibt es auch diese Möglichkeit bei einzelnen Banken in Österreich) - dies stellt eine Verbesserung der Sicherheit dar und ist gegen die heute meistens genutzten Angriffe mittels gefälschter Websites ein wirksamer Schutz, sie schützen jedoch nicht gegen die in Zukunft erwarteten Angriffe nach der Technik "Man-in-the-Middle"

    Wie schlecht solche Ratschläge leider von vielen Banken [und anderen Unternehmen mit großer Internetpräsenz) auch 2007 immer noch befolgt werden, zeigt u.a. die Studie von ARGE Daten in Österreich und andere Tests (und leidvolle praktische Erfahrung :-( ].

    Aktualisierung Mai 2008:
    Es hat sich leider nicht viel fortschrittliches getan, wenn auch einzelne Banken die eine oder andere Verbesserung eingeführt haben. Ein gutes Buch zu vielen dieser Fragen ist: das Buch von Ross Anderson, Security Engineering - The Book (weitgehend als pdf verfügbar), in Chapter 10: Banking and Bookkeeping ab Seite 360 beschreibt er, wie wichtig es für die Sicherheit ihrer Kunden ist, dass die Banken in der Lage sind, Phishing-Angriffe und ähnliches sehr schnell zu erkennen und innerhalb kürzester Zeit Überweisungen zu blockieren, bzw. juristisch hart gegen die Angreifer vorzugehen. Er zitiert das Beispiel aus Großbritanien 2006: Dort müssen die Banken ihre Verluste durch Angriffe berichten. Landesweit gab es Verluste von 35 Mio.Pfund, davon 33 Mio für eine einzelne Bank. Die Erklärung, die hierfür gegeben wird ist, die anderen Banken in der Unterwelt den Ruf haben, schnell zu sein und hart gegen Angreifer vorzugehen. Also nehmen sich die Angreifer die langsamste Bank als bevorzugtes Opfer.

    Selbst solche Warnungen schrecken nur ca. die Hälfte der Benutzer vor der Eingabe ihrer Passworte ab. - Andererseits gibt es die Meinung, dass auf einer betrügerischen Website solche Schlampereien wie abgelaufene SSL-Zertifikate nicht vorkommen, die Betrüger verwenden einfach kein https, dann kann das nicht passieren und die Benutzer sehen den Unterschied eh nicht, siehe Text links

    Aktualisierung Jan 2010:
    Eine Studie untersucht, ob Sicherheitsfeatures und Sicherheitswarnungen auf Banken-Websites geeignet sind die Sicherheit beim eBanking zu erhöhen. Traurige Antwort aus diesen Tests, leider kaum.

      We asked 67 customers of a single bank to conduct common online banking tasks. As they logged in, we presented them with increasingly conspicuous visual clues that indicate a site-forgery attack.

    Auch auf modifizierten Websites ohne HTTPS gaben alle und ohne ein in den USA oft genutztes "site-authentication image" gaben über 90% ihre Passworte ein, nach einer Zertifikatswarnung (siehe Bild rechts) immerhin noch über 60%.

    Diese "site-authentication images" sind übrigens nicht hilfreich, speziell wenn sie mit Hinweisen wie "When you see your image, you can be confident that you're on ......" gekoppelt sind. Ein mit Spyware infizierter PC wird diese Bilder natürlich immer noch einzigen, obwohl nichts dabei sicher ist. In diesem Test hat sogar ein Benutzer das Ignorieren der Zertifikatswarnung mit dem Vorhanden-sein des "site-authentication image" begründet.

     

    Hier der Link zu einer Veröffentlichung des US "Federal Financial Institutions Examination Council" Authentication in an Internet Banking Environment.

      The agencies consider single-factor authentication, as the only control mechanism, to be inadequate for high-risk transactions involving access to customer information or the movement of funds to other parties.

    Zu kritisieren an diesem Text ist, dass "out-of-band authentication" nur als eine, anderen Methoden der Authentifizierung gleichberechtigte Maßnahme dargestellt wird, obwohl die anderen Methoden bei infizierten PCs ALLE unsicher sind. Sie weisen auch nicht darauf hin, dass diese "site-authentication images" bei infiziertem PC nicht für eine sichere gegenseitige Authentifizierung geeignet sind. D.h. diese Empfehlung des US Verbands sind für das Jahr 2009 deutlich veraltet und werden modernen Angriffen nicht gerecht.

     

     

    Ein anderer Artikel geht detaillierter und technischer auf Man in the Middle Angriffe ein, sowohl bei PCs wie auch bei Smartphones. Solche Techniken werden manchmal auch für Phishing genutzt.

     

    Weitere Informationen

    Hier gibt es mehr über die Internetkriminalität hinter den Phishing Angriffen. Ebenfalls sehr relevant sind die Überlegungen zu Haftungsfragen.

    Behavioral Response to Phishing Risk ein sehr schönes Beispiel für einen Test der Benutzer im Umgang mit Phishing, der aber auch sehr gute Hinweise darauf enthält, wie ein Anti-Phishing Training gestaltet werden könnte/sollte. Es zeigt sich, dass es viel wichtiger ist, ein technisches Verständnis zu vermitteln, als die Risiken zu erklären.

    The Anti-Phishing Working Group (APWG) is the global pan-industrial and law enforcement association focused on eliminating the fraud and identity theft that result from phishing, pharming and email spoofing of all types. Zahlreiche Reports, Übersichten, etc. zu Phishing

     



    Philipp Schaumann, http://sicherheitskultur.at/

    Home

    Copyright-Hinweis:
    Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
    Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.