plonk
Goto Top

Phishing - Methoden, Tricks und Gefahren

Hallo,

nachdem mein Beitrag "Was ist ein sicheres Passwort" eifrig diskutiert wird, habe ich mir gedacht, vielleicht sollten wir mal auf das Thema Phishing eingehen. Dach dem ich hier im Forum zu diesem Thema fast nichts gefunden habe, erstelle ich also nun diesen Beitrag hier.

Vielleicht kurz zur Erklärung:
Phishing ist eine spezielle Form der Internetkriminalität.
Es geht darum sich vertrauliche Daten von Internet-Nutzern zu erschleichen.
Die Nutzer werden meist durch Phishing-eMails überlistet, vertrauliche Daten, z.B. ihre Zugangsdaten zu Online-Diensten oder Kontonummer, PIN und TAN für ihren Onlinebanking-Zugang, preiszugeben. Ist der Betrüger im Besitz dieser Daten, kann er im Namen seines Opfers Aktionen ausführen und so z.B. von dessen Bankkonto Überweisungen tätigen.

Und nun zum Thema:
- Was kennt Ihr für Phising Methoden
- wie kann man sich davor schützen
- welche Tools gibt es
- welchen Schutz bieten Browser

Ich bin auf Eure Antworten gespannt !

mfg
PLONK

Content-ID: 25568

Url: https://administrator.de/forum/phishing-methoden-tricks-und-gefahren-25568.html

Ausgedruckt am: 22.12.2024 um 17:12 Uhr

n.o.b.o.d.y
n.o.b.o.d.y 09.02.2006 um 11:41:50 Uhr
Goto Top
- wie kann man sich davor schützen

Gehirn einschalten!! Ich denke das ist das einzige was dagegen helfen kann. Und die Leute dafür sensibilisieren.... Denn wenn ich eine Postkarte im Briefkasten finde, wo draufsteht, dass ich meine Autoschlüssel mal an die und die Adresse schicken soll, dann tut das auch keine Schwein!

- welche Tools gibt es
Und irgendwelche Tool oder sonstiges installiern wiegt die Leute in falscher Sicherheit. " Ich hab das ja installiert, dann kann die Mail nicht "falsch" sein!" Irgendeiner wird die Programe immer austricksen!

Ralf
PLONK
PLONK 09.02.2006 um 12:04:56 Uhr
Goto Top
@nobody
tja, was soll ich sagen, damit hast du natürlich grundsätzlich Recht.

Da aber jeder unbedarfte Anwender, meist nur einen Klick von der Katastrophe entfernt ist, ist es schon gut das es Tools git die den User dabei unterstützen Phishing Mails o der Seiten zu erkennen.

Das jedes Tool irgendwann einmal ausgetrickst wird und sich die Leute in falscher Sicherheit wiegen könnten, kann ich so aber nicht untersteichen, denn dann könntest Du es beispielsweise auch unterlassen einen Virenscanner zu installieren, denn der bringt auch nix. Es wird immer einen Virus geben den der Scanner nicht entdeckt.

Nein, Nein so blauäugig darf man nicht sein. Gute Phising Tools sind meiner Meinung nach genauso wichtig wie gute Viren- oder Spywarescanner.

Was nichts damit zutun hat das man deswegen sorglos alles glauben soll was man vorgesetzt bekommt. Eine gute Portion Misstrauen ist immer gesund.


mfg
PLONK
Manuel86
Manuel86 09.02.2006 um 14:56:29 Uhr
Goto Top
Ich weiß zwar, was Phishing ist, kenne mich aber - was Detailfragen angeht - nicht wirklich gut damit aus. Das liegt daran, dass ich selbst noch nie Geschäfte online abgewickelt habe^^.

Es gibt eine deutschsprachige Seite, bei dem sich jeder vor Pishing-Mails testen kann. Bei diesem Test gibt man eine Vermutung an, ob die Mail nun echt oder gefälscht ist. Für Nicht-EMail-Profis durchaus schwer, wer aber ein wenig Ahnung hat, dürfte mit dem Test nicht viel Probleme haben face-smile . (btw, bei mir waren 3 von 10 Antworten verkehrt, ich wär also schon drauf reingefallen o.o )

http://german.mailfrontier.com/survey/phishing_de.jsp

EDIT: Das Schöne an der Seite ist: Nach dem Resultat erfährt man auch gleich die Gründe, warum jene Mail eine Phishing-Mail war. face-wink
PLONK
PLONK 09.02.2006 um 15:06:30 Uhr
Goto Top
Hallo,
ein ganz netter Test, ich hatte tasächlich nur 7 von 10 richtig, obwohl ich dachte ich erkenne alle.


mfg
PLONK
n.o.b.o.d.y
n.o.b.o.d.y 09.02.2006 um 15:24:33 Uhr
Goto Top
Hab den Test auch gemacht..... auch nur 7 von 10 richtig......hmm, aber ich war zu misttrauisch...hab ein paar echte aussortiert face-smile aber auf die von T-Com bin ich auch reingefallen.

@PLONK
Tools: Klar, das ein "unvollkommenes" Tool immernoch besser ist als gar keine, so ristriktiv hatte ich das auch nicht gemeint, aber es sollte halt immer _ganz groß_ drangeschrieben werden, dass es keinen 100%igen Schutz gibt.

Ab noch mal zu Thema "wie kann man sich schützen":
- Niemals die URL in der Mail von der Bank zum öffnen des Zugang nehmen, sondern immer den Link den man in den Favoriten hat, das "hält" schon mal eine Menge ab.
- Wenn man sich nicht sicher ist, bei der Bank (oder wo auch immer) per Telefon nachfragen
- Solche Mails wie "Wir haben die Sicherheit erhöht, melden Sie sich an" wird glaube ich keine deutsche Bank nur per Mail verschicken, sondern auch per Post.
- Und: wenn mir die Postbank eine Mail schickt, dann kann die nur falsch sein. Die haben meine Adresse nämlich gar nicht!! (Da sind wir wieder beim Hirn)

Ralf
cykes
cykes 09.02.2006 um 17:56:44 Uhr
Goto Top
Hi,

Man kann das eigentlich noch viel allgemeiner formulieren,
man sagt einfach den unbedarften Usern, die eine eMail nicht
wirklich "anaylsieren" können, dass NIEMAND wirklich KEINER
per eMail nach Benutzernamen, Passwörtern, PINs, TANs und anderen
sicherheitsrelevanten Daten fragt.

Auch die Geschichte mit dem "immer die Bookmarks für das Online-Banking
benutzen" kann manipuliert werden, also am allerbesten die URL der Bank
vom TAN Zettel abtippen, auch wenn's keiner macht face-wink

Gruss

cykes
17243
17243 09.02.2006 um 18:36:05 Uhr
Goto Top
@cykes
dass NIEMAND wirklich KEINER per eMail
nach Benutzernamen, Passwörtern, PINs, TANs und anderen
sicherheitsrelevanten Daten fragt.
Glaube mir: da sprichst du gegen eine Wand! Das wird höchstens bei 20% "klick" machen.

Dann gibt es noch dies: Bei jeder Bank und bei jedem ISP steht im Vertrag, dass du am Telefon oder per Brief/eMail niemals nach dem Passwort gefragt wirst.
Vor ein paar Monaten wollte ich bei meinem ISP zwei Konten zusammenlegen lassen. Also habe ich der Hotline angerufen. Nachdem ich meinen Wunsch geäussert habe kommt die Frage: "Könnte ich bitte ihr Passwort haben?"
Ich habe der Dame gesagt: "Ich denke nicht, dass ich Ihnen mein Passwort sage...und übrigens, dürfen Sie das gar nicht fragen!" Sie meinte dann nur: "Bis jetzt habe ihr noch jeder das Passwort genannt...so wäre es für Sie viel einfacher, die Accounts zusammenzuführen".

gretz drop
PLONK
PLONK 10.02.2006 um 09:27:21 Uhr
Goto Top
Hallo,
also wenn ich mir manche Beiträge so durchlese, wird mir echt bewusst wie sorglos maanche Nutzer mit Ihren Passwörtern oder persönlichen Daten umgehen.

Ich bin der Meinung, das gerade Banken viel zuwenig für die Aufklärung tun und Hinweise geben wie und wann Sie Kunden anschreiben, das Sie niemals Passwörter per Email verlangen würden oder das ein Mitarbeiter am Telefon eigentlich nie den Kunden nach seinem Passwort frägt.

Ein einfacher Hinweis, beim Abschluss des Kontos auf diese Thematik ist offensichtlich zu wenig.
Ich finde es sollte auch den Banken daran gelegen sein Ihre Kunden zu schützen und für meine Begriffe passiert da zu wenig.

Auch wenn die nichts für die Dummheit des Kunden können.
Ein System muss so sicher sein, das auch dem Dümsten kein Schaden entstehen kann, was aber wahrscheinlich in der Praxis nicht machbar ist.


mfg
PLONK
basti-forever
basti-forever 15.02.2006 um 23:07:37 Uhr
Goto Top
ich habe:
You got 7 out of 10 correct, or 70 % !

voll stolz der Test war aber teilweise sehr offensichtlich


PS:In den meisten Copmuterbild ist ein Anti-Phising Programm.
Dieses erkennt die gängisten Phising-Emails xD
mfg
cykes
cykes 16.02.2006 um 07:11:34 Uhr
Goto Top
Das ist noch son anderes Thema, unbedarfte Leute und (Computerbild) Heft CDs face-wink
Da könnte ich Bücher von schreiben.... Ging jetzt nicht gegen Dich basti ... *g*
basti-forever
basti-forever 16.02.2006 um 21:28:37 Uhr
Goto Top
joa ich weiß aber ich lese auch CT xD
nur ich bin erst 15, da kann ich ja noch net so viel wissen, wie Leute die IT oder so studieren xD
mfg basti
cykes
cykes 16.02.2006 um 21:38:44 Uhr
Goto Top
War überhaupt nicht auf Dich bezogen, ich kenn das nur aus Erfahrung mit Kunden,
die einfach mal alles ausprobieren, ohne zu wissen bzw. zu verstehen, was es tut und
ob sie das überhaupt brauchen...

Gruss

cykes
cykes
cykes 17.02.2006 um 11:23:58 Uhr
Goto Top
Aus aktuellem Anlass hier noch eine kleine Ergänzung:
(Quelle: Onlinekosten.de):

Datendiebstahl mit fiesen Tricks - Phishing-Betrüger im Internet werden immer raffinierter und gefährlicher. In den USA gab es aktuell einen besonders problematischen Fall: Phishing mit einem gültigen SSL-Zertifikat. Das Internet Storm Center (ISC) berichtet, dass Betrüger Kunden der Bank Mountain America in die Phishing-Falle gelockt hätten.

Kompletter Bericht siehe: http://www.onlinekosten.de/news/artikel/20106

Gruss

cykes
PLONK
PLONK 17.02.2006 um 11:58:48 Uhr
Goto Top
Hallo,
was mir auf gefallen ist, das in diesem Beitrag kein Mensch was von Pharming (Domain-Spoofing) erwähnt hat.
Diese Technik steht meist in direktem Zusammenhang mit Phishing. Ein gute Beschreibung, bzw. ein guter Artikel dazu ist hier zu finden:

http://www.heise.de/security/news/meldung/57159


mfg
PLONK
PLONK
PLONK 17.02.2006 um 12:03:45 Uhr
Goto Top
...und noch was, nur weil ich grade drüber stolpere:

Beratung für Phishing-Opfer

Wer von Phishing oder anderen Formen des Identitätsmissbrauchs betroffen ist, dem steht ab Montag den 23. Januar eine telefonische Beratungsstelle zur Verfügung.

Die hotline richtet sich nicht nur an Opfer von Phishing-Angriffen, sondern auch an Anwender, die zum Beispiel ein verdächtiges Jobangebot bekommen haben, bei dem es sich um die Anwerbung eines Geldkuriers für gestohlene Gelder handeln könnte.

Betroffene und Interessierte können sich montags und donnerstags in der Zeit von 14 bis 17 Uhr unter der Telefonnummer 02 34/32-280 58 Rat und Hilfe holen. Bereitgestellt wird die Beratung von der Bochumer Arbeitsgruppe Identitätsschutz im Internet (a-i3). Sie wurde unter anderem gegründet von dem Juristen Prof. Dr. Georg Borges und dem IT-Sicherheitsexperten Prof. Dr. Jörg Schwenk, die an der Ruhr-Universität Bochum forschen und lehren.


Quelle: ct
http://www.heise.de/newsticker/meldung/68624
cykes
cykes 25.02.2006 um 10:57:49 Uhr
Goto Top
Und noch ein aktuelles Update, diesmla zum Thema Phishing Baukästen,
was (leider) die Einfachheit der ganzen Sache aufzeigt:

http://www.heise.de/newsticker/meldung/70061


Gruss

cykes
PLONK
PLONK 27.02.2006 um 16:12:56 Uhr
Goto Top
Hallo,
noch ein Nachtrag zum Thema.

Bitte lesen:
Phishing-Seiten aus dem Baukasten


mfg
PLONK
cykes
cykes 27.02.2006 um 16:31:46 Uhr
Goto Top
Das war wohl doppelt face-wink
PLONK
PLONK 27.02.2006 um 16:36:49 Uhr
Goto Top
oh mei oh mei.... wie wir Bayern sagen...tststs wo hab ich da wieder hingeguggt.

mfg
PLONK
PLONK
PLONK 28.02.2006 um 13:46:35 Uhr
Goto Top
Hallo,
hier noch zwei interresante Phishing Techniken, beschrieben im ct Browser Check:

Demo: Phishing mit Frames
und:
Demo: Phishing mit Fenstern

Den kompletten BrowserCheck gibts hier:

http://www.heise.de/security/dienste/browsercheck/


mfg
PLONK
n.o.b.o.d.y
n.o.b.o.d.y 02.03.2006 um 09:24:47 Uhr
Goto Top
Aber es gibt ja doch Licht am Ende des Tunnels!

Ich habe gestern eine Email von ebay zu dem Thema bekommen, wo explizit auf dieses Thema eingangen wurde. Ich habe die nur überflogen, aber da gab es auch einigens an Erklärungen und Links.

Es gibt also doch Unternehmen, die das Thema Ernst nehmen...

Ralf