21
Phishing - Methoden, Tricks und Gefahren
Hallo,
nachdem mein Beitrag "Was ist ein sicheres Passwort" eifrig diskutiert wird, habe ich mir gedacht, vielleicht sollten wir mal auf das Thema Phishing eingehen. Dach dem ich hier im Forum zu diesem Thema fast nichts gefunden habe, erstelle ich also nun diesen Beitrag hier.
Vielleicht kurz zur Erklärung:
Phishing ist eine spezielle Form der Internetkriminalität.
Es geht darum sich vertrauliche Daten von Internet-Nutzern zu erschleichen.
Die Nutzer werden meist durch Phishing-eMails überlistet, vertrauliche Daten, z.B. ihre Zugangsdaten zu Online-Diensten oder Kontonummer, PIN und TAN für ihren Onlinebanking-Zugang, preiszugeben. Ist der Betrüger im Besitz dieser Daten, kann er im Namen seines Opfers Aktionen ausführen und so z.B. von dessen Bankkonto Überweisungen tätigen.
Und nun zum Thema:
- Was kennt Ihr für Phising Methoden
- wie kann man sich davor schützen
- welche Tools gibt es
- welchen Schutz bieten Browser
Ich bin auf Eure Antworten gespannt !
mfg
PLONK
nachdem mein Beitrag "Was ist ein sicheres Passwort" eifrig diskutiert wird, habe ich mir gedacht, vielleicht sollten wir mal auf das Thema Phishing eingehen. Dach dem ich hier im Forum zu diesem Thema fast nichts gefunden habe, erstelle ich also nun diesen Beitrag hier.
Vielleicht kurz zur Erklärung:
Phishing ist eine spezielle Form der Internetkriminalität.
Es geht darum sich vertrauliche Daten von Internet-Nutzern zu erschleichen.
Die Nutzer werden meist durch Phishing-eMails überlistet, vertrauliche Daten, z.B. ihre Zugangsdaten zu Online-Diensten oder Kontonummer, PIN und TAN für ihren Onlinebanking-Zugang, preiszugeben. Ist der Betrüger im Besitz dieser Daten, kann er im Namen seines Opfers Aktionen ausführen und so z.B. von dessen Bankkonto Überweisungen tätigen.
Und nun zum Thema:
- Was kennt Ihr für Phising Methoden
- wie kann man sich davor schützen
- welche Tools gibt es
- welchen Schutz bieten Browser
Ich bin auf Eure Antworten gespannt !
mfg
PLONK
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 25568
Url: https://administrator.de/contentid/25568
Ausgedruckt am: 21.11.2024 um 21:11 Uhr
21 Kommentare
Neuester Kommentar
- wie kann man sich davor schützen
Gehirn einschalten!! Ich denke das ist das einzige was dagegen helfen kann. Und die Leute dafür sensibilisieren.... Denn wenn ich eine Postkarte im Briefkasten finde, wo draufsteht, dass ich meine Autoschlüssel mal an die und die Adresse schicken soll, dann tut das auch keine Schwein!
- welche Tools gibt es
Und irgendwelche Tool oder sonstiges installiern wiegt die Leute in falscher Sicherheit. " Ich hab das ja installiert, dann kann die Mail nicht "falsch" sein!" Irgendeiner wird die Programe immer austricksen!Ralf
@nobody
tja, was soll ich sagen, damit hast du natürlich grundsätzlich Recht.
Da aber jeder unbedarfte Anwender, meist nur einen Klick von der Katastrophe entfernt ist, ist es schon gut das es Tools git die den User dabei unterstützen Phishing Mails o der Seiten zu erkennen.
Das jedes Tool irgendwann einmal ausgetrickst wird und sich die Leute in falscher Sicherheit wiegen könnten, kann ich so aber nicht untersteichen, denn dann könntest Du es beispielsweise auch unterlassen einen Virenscanner zu installieren, denn der bringt auch nix. Es wird immer einen Virus geben den der Scanner nicht entdeckt.
Nein, Nein so blauäugig darf man nicht sein. Gute Phising Tools sind meiner Meinung nach genauso wichtig wie gute Viren- oder Spywarescanner.
Was nichts damit zutun hat das man deswegen sorglos alles glauben soll was man vorgesetzt bekommt. Eine gute Portion Misstrauen ist immer gesund.
mfg
PLONK
tja, was soll ich sagen, damit hast du natürlich grundsätzlich Recht.
Da aber jeder unbedarfte Anwender, meist nur einen Klick von der Katastrophe entfernt ist, ist es schon gut das es Tools git die den User dabei unterstützen Phishing Mails o der Seiten zu erkennen.
Das jedes Tool irgendwann einmal ausgetrickst wird und sich die Leute in falscher Sicherheit wiegen könnten, kann ich so aber nicht untersteichen, denn dann könntest Du es beispielsweise auch unterlassen einen Virenscanner zu installieren, denn der bringt auch nix. Es wird immer einen Virus geben den der Scanner nicht entdeckt.
Nein, Nein so blauäugig darf man nicht sein. Gute Phising Tools sind meiner Meinung nach genauso wichtig wie gute Viren- oder Spywarescanner.
Was nichts damit zutun hat das man deswegen sorglos alles glauben soll was man vorgesetzt bekommt. Eine gute Portion Misstrauen ist immer gesund.
mfg
PLONK
Ich weiß zwar, was Phishing ist, kenne mich aber - was Detailfragen angeht - nicht wirklich gut damit aus. Das liegt daran, dass ich selbst noch nie Geschäfte online abgewickelt habe^^.
Es gibt eine deutschsprachige Seite, bei dem sich jeder vor Pishing-Mails testen kann. Bei diesem Test gibt man eine Vermutung an, ob die Mail nun echt oder gefälscht ist. Für Nicht-EMail-Profis durchaus schwer, wer aber ein wenig Ahnung hat, dürfte mit dem Test nicht viel Probleme haben
. (btw, bei mir waren 3 von 10 Antworten verkehrt, ich wär also schon drauf reingefallen o.o )
http://german.mailfrontier.com/survey/phishing_de.jsp
EDIT: Das Schöne an der Seite ist: Nach dem Resultat erfährt man auch gleich die Gründe, warum jene Mail eine Phishing-Mail war.
Es gibt eine deutschsprachige Seite, bei dem sich jeder vor Pishing-Mails testen kann. Bei diesem Test gibt man eine Vermutung an, ob die Mail nun echt oder gefälscht ist. Für Nicht-EMail-Profis durchaus schwer, wer aber ein wenig Ahnung hat, dürfte mit dem Test nicht viel Probleme haben
. (btw, bei mir waren 3 von 10 Antworten verkehrt, ich wär also schon drauf reingefallen o.o )http://german.mailfrontier.com/survey/phishing_de.jsp
EDIT: Das Schöne an der Seite ist: Nach dem Resultat erfährt man auch gleich die Gründe, warum jene Mail eine Phishing-Mail war.
Hallo,
ein ganz netter Test, ich hatte tasächlich nur 7 von 10 richtig, obwohl ich dachte ich erkenne alle.
mfg
PLONK
ein ganz netter Test, ich hatte tasächlich nur 7 von 10 richtig, obwohl ich dachte ich erkenne alle.
mfg
PLONK
Hab den Test auch gemacht..... auch nur 7 von 10 richtig......hmm, aber ich war zu misttrauisch...hab ein paar echte aussortiert aber auf die von T-Com bin ich auch reingefallen.
@PLONK
Tools: Klar, das ein "unvollkommenes" Tool immernoch besser ist als gar keine, so ristriktiv hatte ich das auch nicht gemeint, aber es sollte halt immer _ganz groß_ drangeschrieben werden, dass es keinen 100%igen Schutz gibt.
Ab noch mal zu Thema "wie kann man sich schützen":
- Niemals die URL in der Mail von der Bank zum öffnen des Zugang nehmen, sondern immer den Link den man in den Favoriten hat, das "hält" schon mal eine Menge ab.
- Wenn man sich nicht sicher ist, bei der Bank (oder wo auch immer) per Telefon nachfragen
- Solche Mails wie "Wir haben die Sicherheit erhöht, melden Sie sich an" wird glaube ich keine deutsche Bank nur per Mail verschicken, sondern auch per Post.
- Und: wenn mir die Postbank eine Mail schickt, dann kann die nur falsch sein. Die haben meine Adresse nämlich gar nicht!! (Da sind wir wieder beim Hirn)
Ralf
aber auf die von T-Com bin ich auch reingefallen.@PLONK
Tools: Klar, das ein "unvollkommenes" Tool immernoch besser ist als gar keine, so ristriktiv hatte ich das auch nicht gemeint, aber es sollte halt immer _ganz groß_ drangeschrieben werden, dass es keinen 100%igen Schutz gibt.
Ab noch mal zu Thema "wie kann man sich schützen":
- Niemals die URL in der Mail von der Bank zum öffnen des Zugang nehmen, sondern immer den Link den man in den Favoriten hat, das "hält" schon mal eine Menge ab.
- Wenn man sich nicht sicher ist, bei der Bank (oder wo auch immer) per Telefon nachfragen
- Solche Mails wie "Wir haben die Sicherheit erhöht, melden Sie sich an" wird glaube ich keine deutsche Bank nur per Mail verschicken, sondern auch per Post.
- Und: wenn mir die Postbank eine Mail schickt, dann kann die nur falsch sein. Die haben meine Adresse nämlich gar nicht!! (Da sind wir wieder beim Hirn)
Ralf
Hi,
Man kann das eigentlich noch viel allgemeiner formulieren,
man sagt einfach den unbedarften Usern, die eine eMail nicht
wirklich "anaylsieren" können, dass NIEMAND wirklich KEINER
per eMail nach Benutzernamen, Passwörtern, PINs, TANs und anderen
sicherheitsrelevanten Daten fragt.
Auch die Geschichte mit dem "immer die Bookmarks für das Online-Banking
benutzen" kann manipuliert werden, also am allerbesten die URL der Bank
vom TAN Zettel abtippen, auch wenn's keiner macht
Gruss
cykes
Man kann das eigentlich noch viel allgemeiner formulieren,
man sagt einfach den unbedarften Usern, die eine eMail nicht
wirklich "anaylsieren" können, dass NIEMAND wirklich KEINER
per eMail nach Benutzernamen, Passwörtern, PINs, TANs und anderen
sicherheitsrelevanten Daten fragt.
Auch die Geschichte mit dem "immer die Bookmarks für das Online-Banking
benutzen" kann manipuliert werden, also am allerbesten die URL der Bank
vom TAN Zettel abtippen, auch wenn's keiner macht
Gruss
cykes
@cykes
Dann gibt es noch dies: Bei jeder Bank und bei jedem ISP steht im Vertrag, dass du am Telefon oder per Brief/eMail niemals nach dem Passwort gefragt wirst.
Vor ein paar Monaten wollte ich bei meinem ISP zwei Konten zusammenlegen lassen. Also habe ich der Hotline angerufen. Nachdem ich meinen Wunsch geäussert habe kommt die Frage: "Könnte ich bitte ihr Passwort haben?"
Ich habe der Dame gesagt: "Ich denke nicht, dass ich Ihnen mein Passwort sage...und übrigens, dürfen Sie das gar nicht fragen!" Sie meinte dann nur: "Bis jetzt habe ihr noch jeder das Passwort genannt...so wäre es für Sie viel einfacher, die Accounts zusammenzuführen".
gretz drop
dass NIEMAND wirklich KEINER per eMail
nach Benutzernamen, Passwörtern, PINs, TANs und anderen
sicherheitsrelevanten Daten fragt.
Glaube mir: da sprichst du gegen eine Wand! Das wird höchstens bei 20% "klick" machen.nach Benutzernamen, Passwörtern, PINs, TANs und anderen
sicherheitsrelevanten Daten fragt.
Dann gibt es noch dies: Bei jeder Bank und bei jedem ISP steht im Vertrag, dass du am Telefon oder per Brief/eMail niemals nach dem Passwort gefragt wirst.
Vor ein paar Monaten wollte ich bei meinem ISP zwei Konten zusammenlegen lassen. Also habe ich der Hotline angerufen. Nachdem ich meinen Wunsch geäussert habe kommt die Frage: "Könnte ich bitte ihr Passwort haben?"
Ich habe der Dame gesagt: "Ich denke nicht, dass ich Ihnen mein Passwort sage...und übrigens, dürfen Sie das gar nicht fragen!" Sie meinte dann nur: "Bis jetzt habe ihr noch jeder das Passwort genannt...so wäre es für Sie viel einfacher, die Accounts zusammenzuführen".
gretz drop
Hallo,
also wenn ich mir manche Beiträge so durchlese, wird mir echt bewusst wie sorglos maanche Nutzer mit Ihren Passwörtern oder persönlichen Daten umgehen.
Ich bin der Meinung, das gerade Banken viel zuwenig für die Aufklärung tun und Hinweise geben wie und wann Sie Kunden anschreiben, das Sie niemals Passwörter per Email verlangen würden oder das ein Mitarbeiter am Telefon eigentlich nie den Kunden nach seinem Passwort frägt.
Ein einfacher Hinweis, beim Abschluss des Kontos auf diese Thematik ist offensichtlich zu wenig.
Ich finde es sollte auch den Banken daran gelegen sein Ihre Kunden zu schützen und für meine Begriffe passiert da zu wenig.
Auch wenn die nichts für die Dummheit des Kunden können.
Ein System muss so sicher sein, das auch dem Dümsten kein Schaden entstehen kann, was aber wahrscheinlich in der Praxis nicht machbar ist.
mfg
PLONK
also wenn ich mir manche Beiträge so durchlese, wird mir echt bewusst wie sorglos maanche Nutzer mit Ihren Passwörtern oder persönlichen Daten umgehen.
Ich bin der Meinung, das gerade Banken viel zuwenig für die Aufklärung tun und Hinweise geben wie und wann Sie Kunden anschreiben, das Sie niemals Passwörter per Email verlangen würden oder das ein Mitarbeiter am Telefon eigentlich nie den Kunden nach seinem Passwort frägt.
Ein einfacher Hinweis, beim Abschluss des Kontos auf diese Thematik ist offensichtlich zu wenig.
Ich finde es sollte auch den Banken daran gelegen sein Ihre Kunden zu schützen und für meine Begriffe passiert da zu wenig.
Auch wenn die nichts für die Dummheit des Kunden können.
Ein System muss so sicher sein, das auch dem Dümsten kein Schaden entstehen kann, was aber wahrscheinlich in der Praxis nicht machbar ist.
mfg
PLONK
ich habe:
You got 7 out of 10 correct, or 70 % !
voll stolz der Test war aber teilweise sehr offensichtlich
PS:In den meisten Copmuterbild ist ein Anti-Phising Programm.
Dieses erkennt die gängisten Phising-Emails xD
mfg
You got 7 out of 10 correct, or 70 % !
voll stolz der Test war aber teilweise sehr offensichtlich
PS:In den meisten Copmuterbild ist ein Anti-Phising Programm.
Dieses erkennt die gängisten Phising-Emails xD
mfg
Das ist noch son anderes Thema, unbedarfte Leute und (Computerbild) Heft CDs
Da könnte ich Bücher von schreiben.... Ging jetzt nicht gegen Dich basti ... *g*
Da könnte ich Bücher von schreiben.... Ging jetzt nicht gegen Dich basti ... *g*
joa ich weiß aber ich lese auch CT xD
nur ich bin erst 15, da kann ich ja noch net so viel wissen, wie Leute die IT oder so studieren xD
mfg basti
nur ich bin erst 15, da kann ich ja noch net so viel wissen, wie Leute die IT oder so studieren xD
mfg basti
War überhaupt nicht auf Dich bezogen, ich kenn das nur aus Erfahrung mit Kunden,
die einfach mal alles ausprobieren, ohne zu wissen bzw. zu verstehen, was es tut und
ob sie das überhaupt brauchen...
Gruss
cykes
die einfach mal alles ausprobieren, ohne zu wissen bzw. zu verstehen, was es tut und
ob sie das überhaupt brauchen...
Gruss
cykes
Aus aktuellem Anlass hier noch eine kleine Ergänzung:
(Quelle: Onlinekosten.de):
Datendiebstahl mit fiesen Tricks - Phishing-Betrüger im Internet werden immer raffinierter und gefährlicher. In den USA gab es aktuell einen besonders problematischen Fall: Phishing mit einem gültigen SSL-Zertifikat. Das Internet Storm Center (ISC) berichtet, dass Betrüger Kunden der Bank Mountain America in die Phishing-Falle gelockt hätten.
Kompletter Bericht siehe: http://www.onlinekosten.de/news/artikel/20106
Gruss
cykes
(Quelle: Onlinekosten.de):
Datendiebstahl mit fiesen Tricks - Phishing-Betrüger im Internet werden immer raffinierter und gefährlicher. In den USA gab es aktuell einen besonders problematischen Fall: Phishing mit einem gültigen SSL-Zertifikat. Das Internet Storm Center (ISC) berichtet, dass Betrüger Kunden der Bank Mountain America in die Phishing-Falle gelockt hätten.
Kompletter Bericht siehe: http://www.onlinekosten.de/news/artikel/20106
Gruss
cykes
Hallo,
was mir auf gefallen ist, das in diesem Beitrag kein Mensch was von Pharming (Domain-Spoofing) erwähnt hat.
Diese Technik steht meist in direktem Zusammenhang mit Phishing. Ein gute Beschreibung, bzw. ein guter Artikel dazu ist hier zu finden:
http://www.heise.de/security/news/meldung/57159
mfg
PLONK
was mir auf gefallen ist, das in diesem Beitrag kein Mensch was von Pharming (Domain-Spoofing) erwähnt hat.
Diese Technik steht meist in direktem Zusammenhang mit Phishing. Ein gute Beschreibung, bzw. ein guter Artikel dazu ist hier zu finden:
http://www.heise.de/security/news/meldung/57159
mfg
PLONK
...und noch was, nur weil ich grade drüber stolpere:
Beratung für Phishing-Opfer
Wer von Phishing oder anderen Formen des Identitätsmissbrauchs betroffen ist, dem steht ab Montag den 23. Januar eine telefonische Beratungsstelle zur Verfügung.
Die hotline richtet sich nicht nur an Opfer von Phishing-Angriffen, sondern auch an Anwender, die zum Beispiel ein verdächtiges Jobangebot bekommen haben, bei dem es sich um die Anwerbung eines Geldkuriers für gestohlene Gelder handeln könnte.
Betroffene und Interessierte können sich montags und donnerstags in der Zeit von 14 bis 17 Uhr unter der Telefonnummer 02 34/32-280 58 Rat und Hilfe holen. Bereitgestellt wird die Beratung von der Bochumer Arbeitsgruppe Identitätsschutz im Internet (a-i3). Sie wurde unter anderem gegründet von dem Juristen Prof. Dr. Georg Borges und dem IT-Sicherheitsexperten Prof. Dr. Jörg Schwenk, die an der Ruhr-Universität Bochum forschen und lehren.
Quelle: ct
http://www.heise.de/newsticker/meldung/68624
Beratung für Phishing-Opfer
Wer von Phishing oder anderen Formen des Identitätsmissbrauchs betroffen ist, dem steht ab Montag den 23. Januar eine telefonische Beratungsstelle zur Verfügung.
Die hotline richtet sich nicht nur an Opfer von Phishing-Angriffen, sondern auch an Anwender, die zum Beispiel ein verdächtiges Jobangebot bekommen haben, bei dem es sich um die Anwerbung eines Geldkuriers für gestohlene Gelder handeln könnte.
Betroffene und Interessierte können sich montags und donnerstags in der Zeit von 14 bis 17 Uhr unter der Telefonnummer 02 34/32-280 58 Rat und Hilfe holen. Bereitgestellt wird die Beratung von der Bochumer Arbeitsgruppe Identitätsschutz im Internet (a-i3). Sie wurde unter anderem gegründet von dem Juristen Prof. Dr. Georg Borges und dem IT-Sicherheitsexperten Prof. Dr. Jörg Schwenk, die an der Ruhr-Universität Bochum forschen und lehren.
Quelle: ct
http://www.heise.de/newsticker/meldung/68624
Und noch ein aktuelles Update, diesmla zum Thema Phishing Baukästen,
was (leider) die Einfachheit der ganzen Sache aufzeigt:
http://www.heise.de/newsticker/meldung/70061
Gruss
cykes
was (leider) die Einfachheit der ganzen Sache aufzeigt:
http://www.heise.de/newsticker/meldung/70061
Gruss
cykes
Das war wohl doppelt
oh mei oh mei.... wie wir Bayern sagen...tststs wo hab ich da wieder hingeguggt.
mfg
PLONK
mfg
PLONK
Hallo,
hier noch zwei interresante Phishing Techniken, beschrieben im ct Browser Check:
Demo: Phishing mit Frames
und:
Demo: Phishing mit Fenstern
Den kompletten BrowserCheck gibts hier:
http://www.heise.de/security/dienste/browsercheck/
mfg
PLONK
hier noch zwei interresante Phishing Techniken, beschrieben im ct Browser Check:
Demo: Phishing mit Frames
und:
Demo: Phishing mit Fenstern
Den kompletten BrowserCheck gibts hier:
http://www.heise.de/security/dienste/browsercheck/
mfg
PLONK
Aber es gibt ja doch Licht am Ende des Tunnels!
Ich habe gestern eine Email von ebay zu dem Thema bekommen, wo explizit auf dieses Thema eingangen wurde. Ich habe die nur überflogen, aber da gab es auch einigens an Erklärungen und Links.
Es gibt also doch Unternehmen, die das Thema Ernst nehmen...
Ralf
Ich habe gestern eine Email von ebay zu dem Thema bekommen, wo explizit auf dieses Thema eingangen wurde. Ich habe die nur überflogen, aber da gab es auch einigens an Erklärungen und Links.
Es gibt also doch Unternehmen, die das Thema Ernst nehmen...
Ralf
