PC-Ecke > # Security Center

Tipps zum Schutz vor Phishing-E-Mails

(1/2) > >>

SiLæncer:
Wer auf gewisse Onlineaktivitäten nicht verzichten mag sollte zumindest folgendes beachten :
-----------------------

Internetnutzer, die Bankgeschäfte und Einkäufe am PC tätigen, sehen sich immer gefährlicheren Angriffen ausgesetzt: Nach Viren und Würmern ist nun das so genannte Phishing, das Ausspähen von Passwörtern und anderen sensiblen Kundendaten durch gefälschte E-Mails und Internetseiten, auf dem Vormarsch.

Gefährdet sind nicht nur Nutzer des Online-Banking, sondern auch Kunden von Internet-Auktionshäusern wie Ebay oder E-Commerce-Anbietern wie dem Online-Buchversand Amazon. Der Bundesverband Digitale Wirtschaft (BVDW) und der Bundesverband Deutscher Banken (bdb) geben Tipps zum Schutz vor Online-Bankraub und anderen Netzbetrügereien.

TAN-Eingabe? Vorsicht!

Beim Phishing versenden Internet-Betrüger professionell aufgemachte E-Mails etwa an Bankkunden, worin diese zum Beispiel zu einem Sicherheitscheck aufgefordert werden. Die Mail erhält häufig einen Link zu einer gefälschten Internet-Seite, die der Orignial-Website des Geldinstituts zum Verwechseln ähnlich sieht. Dort werden die Kunden aufgefordert, ihre persönliche Geheimnummer (PIN) und die so genannte Transaktionsnummer (TAN) einzugeben. Auf diese Weise spähen die "Phisher" Kundendaten aus - und können einem gutgläubigen Bankkunden schlimmstenfalls das Konto leer räumen.

Genau hinschauen

Netznutzer sollten deshalb zunächst Absender und Urheber von E-Mails und Websites genau unter die Lupe nehmen. Schon kleine Abweichungen in der Adresszeile des Browsers können auf gefälschte Internetseiten hinweisen. In der Regel kommunizieren Banken und E-Commerce-Unternehmen über sichere Internetseiten, deren Adresse mit https//: beginnt.

Im Zweifel sollte zum direkten Vergleich ein zweites Browserfenster mit der Original-Website der Bank oder des Online-Shops geöffnet werden - die Bookmarks sollte jeder unbedingt unter den Favoriten abspeichern, um sie stets parat zu haben. Höchstes Misstrauen ist angebracht, sobald an unerwarteter Stelle zur Eingabe der PIN oder TAN aufgefordert wird. Im Verdachtsfall raten die Fachleute: Angegebene Links nicht anklicken und die betreffende E-Mail löschen.

Passwörter regelmäßig ändern

Persönliche Daten wie Passwörter, Geheimnummern oder auch Kreditkartennummern sollten zum Schutz von vor unerwünschtem Ausspähen und unbeabsichtigter Internet-Einwahl nie auf der heimischen Festplatte abgespeichert oder auf dem Schreibtisch abgelegt werden. Auch von der unverschlüsselten Versendung solcher Daten per E-Mail ist abzuraten. Zudem sollten regelmäßig neue, sichere Passwörter gewählt werden, also eine Kombination aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen.

Programme aus dem Internet sollten nur heruntergeladen werden, wenn sie nachprüfbar aus einer seriösen Quelle stammen - sonst könnten Viren oder so genannte Trojanische Pferde übertragen werden, die Passwörter und Geheimzahlen auslesen. Besondere Vorsicht gilt auch bei E-MAIL-Anhängen.

Regelmäßige Updates gewährleisten, dass die Sicherheitsvorkehrungen von Browser und Betriebssystem immer auf dem neuesten Stand sind. Dazu sollten auch die so genannten Patches oder Bug-Fixes, mit denen die Hersteller regelmäßig Sicherheitslücken schließen, unverzüglich installiert werden. Auch ein Virenscanner kann den Rechner vor Angriffen durch Hacker schützen. Eine persönliche Firewall überwacht den ein- und ausgehenden Netzverkehr und verhindert unbefugte Zugriffe von außen.

Vorsicht im Internet-cafe

Beim Besuch eines Internet-Cafes ist laut BVDW besondere Vorsicht angebracht, da die Betreiber bei der Vielzahl ihrer Kunden nicht für perfekten Schutz sorgen können. Unbedingt sollte nach der Nutzung der Cache des PC gelöscht werden, um alle persönlichen Daten zu entfernen. Dabei hilft das Personal des Internet-Cafés.

Quelle : www.onlinekosten.de

SiLæncer:
Phishing-Betrügereien kommen in Wellen: Mit Spam-Mechanismen verschicken die Bauernfänger Millionen von E-Mails, um zumeist Bankkunden aufs Glatteis zu führen. Meistens erkennt man die Lockbriefe an ihrer hirnlos krummen Grammatik.

Das Rezept ist einfach: Man nehme das Logo einer großen Bank, pappe es an den Kopf einer E-Mail und fabuliere darunter irgendeine wilde Geschichte über Betrug und Sicherheitsmechanismen und dass es nun höchste Zeit wäre für den Kunden, schnellstens auf das angefügte Link zu klicken, um dort persönliche Angaben, PIN- und TAN-Nummern zu hinterlassen. Mitunter hat die Masche sogar Erfolg, was dafür sorgt, dass die Phishing-Welle so schnell nicht abebbt: Weil der Versand von E-Mail-Spam sehr wenig kostet, rechnet sich der Aufwand schon bei sehr geringen Erfolgsquoten.

Also dürfen wir alle uns darauf einrichten, weiterhin regelmäßig Mails zu bekommen, die angeblich von der Postbank, der Dresdner Bank, der Deutschen, Commerz oder sonstwas-Bank stammen: Aktuell ist es die Citibank, die angeblich ihre Kunden mit solchen Mails beglückt.

Das tut sie natürlich so wenig wie jede andere Bank. Kein Unternehmen in Deutschland fragt sicherheitsrelevante Daten per E-Mail, Link und Webseite ab.

Und keine Bank, die etwas auf sich hält, belustigt ihre Kunden mit Sätzen wie "Da zur Zeit die Betrügereien mit den Bankkonten von unseren Kundschaften öfters geworden sind, sind wir gezwungen, eine zusätzliche Autorisation von den Konten unserer Bankkunden vorzunehmen".

Zum Glück also klingen die meisten Phishing-Mails noch immer reichlich dämlich, doch das allein reicht nicht, um Spreu (Betrugsmails) von Weizen (echten Briefen an den Kunden) zu scheiden.

Grundsätzlich gilt: Wirklich wichtige Dinge meldet kein Unternehmen allein per E-Mail-Rundbrief. Wer sicher gehen will, sieht auf der Webseite des Unternehmens nach, folgt aber nie einem per E-Mail zugesandten Link.

Das ist noch nicht einmal "aus Neugier" ratsam: Der Klick auf das Link kann dem Spammer bestätigen, dass die von ihm verwendete E-Mailadresse echt und aktiv ist. Der neugierige Blick auf die Betrugsseite kann also dazu führen, dass man künftig noch mehr E-Mail-Müll zugeschickt bekommt.

So also geht man mit Phishing-Mails um: Lesen, lachen, löschen.

Quelle : www.spiegel.de

Jürgen:
Folgendes ist hinzuzufügen:

Manche dämlichen Mailer (z.B. von dem komischen Typ mit der Kassenbrille) laden ungefragt extern verlinkte Bilder automatisch nach, in dem Augenblick weiss der Server, dass die angebeamte E-Mail-Adresse existiert und unter welcher IP und mit welchem HTML-Renderer der Nutzer momentan online und ggf. angreifbar ist.
Das Nachladen von Bildern ist also unbedingt abzustellen, auch wenn dazu ein Wechsel des Mailers (und dann auch gleich des Browsers) angesagt ist.

Ausserdem fällt die krude Grammatik bei weitem nicht jedem Nutzer von Online-Banking auf, viele sprechen ja selbst nicht besser. Nicht jeder Bankkunde ist Muttersprachler. Die Phisher bisher meist auch nicht, aber das kann sich ja gelegentlich ändern.

Die Gefahren sind insofern auch von offizieller Seite nach wie vor unterschätzt, zumal ständig neue Tricks und Varianten auftauchen.

Meine persönliche Konsequenz ist schon lange der völlige Verzicht auf Online-Banking. Meine Bank hat sowieso auch Samstags offen, ausserdem gehts da auch kostenlos per Briefkasten.

Was mich allerdings sehr wundert ist, dass ich zwar leider schon vielerlei Spam erhalten habe, auf zwei meiner E-Mail-Accounts, aber keine einzige Phishing-Mail jemals dabei war.
Das lässt mich befürchten, dass vielleicht doch hauptsächlich solche Bankkunden angemailt werden, die irgendein Online-Banking betreiben, oder deren E-Mail-Adresse 'mal im Zusammenhang mit Zahlungsverkehr / Banken verwendet wurde. Was immer man daraus schliessen könnte, lässt mich schaudern.
Wir alle wissen, dass es einige unehrlichen Mitarbeiter im Post- oder Paket-Dienst gibt, Thema verlorengegangene / geöffnete und beraubte Sendungen...
Warum sollte das eigentlich im Zusammenhang mit Geldinstituten vollkommen ausgeschlossen sein  :o

Jedenfalls ist die wichtigste Frage immer, wer wirklich das Risiko trägt. Ich könnte mir solche Pannen definitiv nicht leisten.

SiLæncer:
Mit gesammelten persönlichen Informationen versuchen Phisher ihre Glaubwürdigkeit zu erhöhen.

Auch wenn eine vermeintliche Mail Ihrer Bank persönliche Daten enthält, Sie also mit Namen anspricht und Ihre Adresse nennt, kann es sich um eine Phishing-Mail handeln. Phishing wird persönlicher, die Täter erhöhen ihren Aufwand und damit auch ihre Erfolgschancen. Das Internet Storm Center berichtet über Beispiele für derartige Fälle.

In einem vom ISC dokumentierten Fall erhielt das potenzielle Opfer eine Mail, die vorgeblich von der Geschäftskundenabteilung der Citibank kam. Das Opfer wurde mit seinem vollen Namen angesprochen und auch seine Postadresse war in der Mail enthalten. Die Verfasser der Mail gaben an, es habe unberechtigte Zugriffsversuche auf das Konto des Angeschriebenen gegeben. Er möge sich doch bitte auf der angegebenen Website einloggen und seine Daten bestätigen.

Der Link in der Mail verwies jedoch auf eine gefälschte Website in Russland, die der echten Citibank-Website sehr ähnelte. Die Zugangskennung sollte durch Anklicken von Zahlen eingegeben werden. Im weiteren Verlauf wurde wiederum die Postadresse des Opfers angezeigt, die es bestätigen oder korrigieren sollte. Ferner wurden weitere persönliche Informationen abgefragt, etwa das Geburtsdatum und die in den USA so wichtige Sozialversicherungsnummer.

Bislang ungeklärt ist, ob der in diesen Phishing-Mails enthaltene personalisierte Link bereits die Postadresse des Opfers in kodierter Form enthält. Die andere Möglichkeit wäre, dass die URL lediglich eine Identifikationsnummer überträgt, mit der die Adressdaten aus einer Datenbank ausgelesen werden, auf die der Web-Server der Betrüger zugreift.

Eine andere Frage ist, woher die Täter solche Daten haben. Das Internet bietet hier vielfältige Möglichkeiten, angefangen bei Online-Telefonverzeichnissen über die eigene Website eines potenziellen Opfers bis zu kommerziellen Datenbanken. Probieren Sie einfach einmal selbst aus, was Sie mit einer Suchmaschine über sich selbst herausfinden können. Eine weitere Quelle können Informationen sein, die eingeschleuste Trojanische Pferde ausspioniert haben.

Die Täter suchen sich allerdings nicht die Daten zu einem potenziellen Opfer, sondern dürften sich eher daran orientieren, über welche Personen sie Informationen wie Name sowie und Post- und Mail-Adresse haben oder finden. Wenn sie dazu auch noch die Bank heraus bekommen, bei der das Opfer ein Konto hat, wird die Täuschung nahezu perfekt. Es gilt also weiterhin misstrauisch gegenüber Mails zu bleiben, die scheinbar von einer Bank kommen, selbst wenn es diejenige Bank zu sein scheint, bei der Sie Kunde sind.

Quelle : www.pcwelt.de

Micke:

--- Zitat von: SiLæncer am 29 Juli, 2005, 11:09 ---So also geht man mit Phishing-Mails um: Lesen, lachen, löschen.
--- Ende Zitat ---


--- Zitat ---Hallo,

leider wurde das 4FreeBoard heute Opfer einer heimtückischen Intrige und es wurde ein illegaler und von uns
nicht authorisierter Newsletter über die Board-Software versandt.

Für einen illegalen Kartenshop, der nicht funktionierende Karten vertreibt wurde hier Werbung gemacht.

Finger weg von diesem Shop. Eine Liefer- geschweige denn Funktionsgarantie für diese Karten gibt es
nicht und die Fa. Irdeto Access B.V. ist hier auch stark hinter den Käufern dieser Karten her.  Eure Daten
sind bei diesem Laden definitiv nicht sicher! Und eine Verfolgung durch Irdeto Access B.V.somit schon so gut
wie garantiert. Einem Kauf bei diesem Laden kann also nur rundweg abgeraten werden.

Wir (das 4FreeBoardTeam) möchten uns ausdrücklich von dieser Art von Geschäft und Abzocke distanzieren.
Ebenso distanzieren wir uns von der Vertreibung jeglicher Art von Keys, oder Files, welche dazu dienen,
irgendwelche Sender freizuschalten.

So, wie wir diesen Kleingeist einschätzen, wird es wohl in naher Zukunft Probleme mit Hirnrissigen Postings
aufgrund von geistigen Aussetzern dieser Person geben.

Viele Grüße,
Euer 4FreeBoard-Team
--- Ende Zitat ---

Navigation

[0] Themen-Index

[#] Nächste Seite