Phishing-Mails

 
Stoney
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 931
Dabei seit: 07 / 2004
Betreff:

Re: Phishing-Mails

 ·  Gepostet: 15.08.2005 - 14:41 Uhr  ·  #21
Zitat geschrieben von maxxyit29
Zitat geschrieben von Stoney

Diese Intermediären Dienste sind erstmal mit Phishingseiten gleichzustellen, hat aber nichts mit der Sicherheit des Bankings zu tun, weil lt. mir aller bekannten Onlinebedingungen die Verpflichtung zur Überprüfung des Fingerprints besteht und den kann die Telekom nicht liefern, da die Verschlüsselung aufgebrochen wird...


Es sollte lediglich als Beispiel für einen vermeintlich "sicheren" Dienst / "sicheres" Verfahren dienen.


Nunja, aber es war ja jedem Kunden möglich, selber herauszubekommen, dass dieser Telekom-Dienst nicht sicher ist (Überprüfung Fingerprint). Würde dieses Telekomverfahren mit Usenext (oder so) vergleichen, die legale Downloads von aktuellster Software anbieten. Jedem sollte klar sein, dass es nicht legal ist, wer aber so "dumm" ist und den Service nutzt, hat selber schuld. Unwissenheit schützt vor Strafe nicht...

Zitat
Zitat

Was möchtest du denn genau damit bezwecken? Sobald die Bank direkt angegriffen wird, kann es dem Kunden doch auch wieder egal sein, denn dann kann er dadurch ja keinen Nachteil haben, da er selber nichts dazu beigetragen hat. Ansonsten geht das aber auch schon wieder über das Onlinebanking oder Sicherheitsverfahren hinaus, sondern betrifft die Sicherheit der Bank im Netz.


Bezwecken möchte ich damit gar nix. Ich wollte lediglich darauf hinweisen, dass die jeweilige Applikation durchaus angreifbar sein kann. Ergo: Beruht das "sichere" Verfahren auf dem Vertrauen zur Applikation. Aber ich stimme Dir zu, dem Kunden kann es egal sein. Solange wie solch ein Vorfall transparent wird. Im obengenannten Beispiel (Teleklemm AG) sollte es dem Kunden aber - aus politischen Interessen - nicht präsent werden. Wobei man fairerweise sagen muss: Es ist kein Schaden für Kunden entstanden.


Das "Bezwecken" war weniger auf die Aussage als auf die Tat bezogen - mit welchem Ziel greifst du eine Bankingapplikation? Ausspähen von Daten? Manipulation der Anwendung? Pseudo-Überweisungen? Glaub nicht, dass so etwas ansatzweise erfolgreich sein könnte, da würde dann im Extremfall eben einiges ganz schnell vom Netz gehen...

Allgemein sollte man Sicherheitsverfahren auch danach bewerten, wie deren Nutzung empfohlen/vorgeschrieben ist und nicht wie sie in der Praxis genutzt werden. Das sich der Großteil nicht an Empfehlungen und Vorschriften hält, wird sich nunmal nie ändern...
maxxy
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 46
Dabei seit: 04 / 2005
Betreff:

Re: Phishing-Mails

 ·  Gepostet: 15.08.2005 - 15:59 Uhr  ·  #22
Zitat geschrieben von Stoney

Nunja, aber es war ja jedem Kunden möglich, selber herauszubekommen, dass dieser Telekom-Dienst nicht sicher ist (Überprüfung Fingerprint). Würde dieses Telekomverfahren mit Usenext (oder so) vergleichen, die legale Downloads von aktuellster Software anbieten. Jedem sollte klar sein, dass es nicht legal ist, wer aber so "dumm" ist und den Service nutzt, hat selber schuld. Unwissenheit schützt vor Strafe nicht...


Halt - Stop. Wir reden hier vom Hacking des Dienstes T-Pay. (Datenschleuder - CCC - No more secrets) Und nicht von kryptographischen Signaturen, sowie von Phishing Versuchen. Das hat absolut nix mit der Sicherheit von Fingerprints zu tun, sondern mit der Sicherheit von Applikationen. Da kann man 10x auf die kryptographischen Verfahren vertrauen...

Zitat
Das "Bezwecken" war weniger auf die Aussage als auf die Tat bezogen - mit welchem Ziel greifst du eine Bankingapplikation? Ausspähen von Daten? Manipulation der Anwendung? Pseudo-Überweisungen? Glaub nicht, dass so etwas ansatzweise erfolgreich sein könnte, da würde dann im Extremfall eben einiges ganz schnell vom Netz gehen...


Um es zu betonen: Ich greife keine Bankingapplikationen an. Bevor hier Missverständnisse entstehen :oops: :)

Ich glaube aber - aus eigener Erfahrung - behaupten zu können, dass die Monitoringverfahren und auch die Applikationen selbst nur halb so gut sind, wie es immer behauptet wird. Da sitzen halt Menschen hinter und ob die immer alles so interpretieren, wie es sein sollte.... Nur weil es schwer ist, ist es eben nicht unmöglich. Das war meine Kernaussage. Beim Design von Applikationen im Bereich der Sicherheit sind soviele Sachen zu berücksichtigen, dass mal leicht etwas unter den Teppich fallen kann. Davon kann sich keiner freisprechen.

Zitat

Allgemein sollte man Sicherheitsverfahren auch danach bewerten, wie deren Nutzung empfohlen/vorgeschrieben ist und nicht wie sie in der Praxis genutzt werden. Das sich der Großteil nicht an Empfehlungen und Vorschriften hält, wird sich nunmal nie ändern...


Wenn ich eine Applikation mit einem unerkannten Fehler habe, kann ich 10x irgendwelche Nutzungsbedingungen etablieren. Die helfen im Erstfall auch nicht weiter. Wichtig ist dabei eine vernünftige Erkennung, bzw. ein Monitoring.
Stoney
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 931
Dabei seit: 07 / 2004
Betreff:

Re: Phishing-Mails

 ·  Gepostet: 15.08.2005 - 16:45 Uhr  ·  #23
Zitat geschrieben von maxxyit29
Zitat geschrieben von Stoney

Nunja, aber es war ja jedem Kunden möglich, selber herauszubekommen, dass dieser Telekom-Dienst nicht sicher ist (Überprüfung Fingerprint). Würde dieses Telekomverfahren mit Usenext (oder so) vergleichen, die legale Downloads von aktuellster Software anbieten. Jedem sollte klar sein, dass es nicht legal ist, wer aber so "dumm" ist und den Service nutzt, hat selber schuld. Unwissenheit schützt vor Strafe nicht...


Halt - Stop. Wir reden hier vom Hacking des Dienstes T-Pay. (Datenschleuder - CCC - No more secrets) Und nicht von kryptographischen Signaturen, sowie von Phishing Versuchen. Das hat absolut nix mit der Sicherheit von Fingerprints zu tun, sondern mit der Sicherheit von Applikationen. Da kann man 10x auf die kryptographischen Verfahren vertrauen...


Achso, ich meinte dieses hier: T-Online-Bezahlsystem verstößt gegen Bank-AGB
Raimund Sichmann
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8230
Dabei seit: 08 / 2002
Betreff:

Re: Phishing-Mails

 ·  Gepostet: 15.08.2005 - 17:59 Uhr  ·  #24
Ich hab inzwischen ein kleines Problem mit diesem Thread: Ich glaub, wir haben jetzt so > 99,04% der Zielgruppe abgehängt :lol: - mal wieder.

btw: Heute abend ist Chat (ungesichert, unverschlüsselt und zum größten Teil unzensiert :P

Cu,
Raimund
s-man
Benutzer
Avatar
Geschlecht: keine Angabe
Homepage: mc-forum.de
Beiträge: 367
Dabei seit: 06 / 2004
Betreff:

Re: Phishing-Mails

 ·  Gepostet: 15.08.2005 - 20:17 Uhr  ·  #25
ja, scheint mir auch so und ein wenig vom Thema abgekommen.

Aber und das muß ich noch loswerden:

ich habe heute zwischenzeitlich dieses Thema mit Kollegen diskutiert. Der Eine meinte: wenn jemand seine Tankquittungen an der der Tankstellen wegwirft und zwar in einen ungesicherten und nichtverschlüsselten (lol) Mülleimer, darauf hin ein "Unbefugter" (geiles Wort!) in den Besitz der Kreditkartennummer kommt, wird wohl kaum auf die Idee kommen die Tanke dafür eine Mitschuld zu geben, oder?

Aber noch besser war Kollege 2:

wenn du deinen Golf zum VW-Händler zum Check bringst und !vor! der Werkstatt steht jemand in einem Overall auf dem statt VW WW oder VV steht und er dem den Schlüssel inkl. Papiere gibt, wer hat die Schuld? Der VW Händler oder der der ihm die Schlüssel ausgehändigt hat und nur nicht lesen konnte?
Und wenn man sich jetzt noch vorstellt, dass der falsche Blaumann virtuell in China auf dem Bürgerseig gestanden hätte....na wer hat jetzt nicht den schwarzen Peter?
Klar ist natürlich, dass besagter VW - Händle aller menschenmögliche getan hätte, damit der falsche Overall nicht auftaucht. Aber welche Möglichkeiten hat der?

Obige Theorien dürfen natürlich gerne zerflückt werden...;-)

Ich geh jetzt Fußball gucken
maxxy
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 46
Dabei seit: 04 / 2005
Betreff:

Re: Phishing-Mails

 ·  Gepostet: 15.08.2005 - 21:55 Uhr  ·  #26
Zitat geschrieben von s-man

Aber und das muß ich noch loswerden:


Sozusagen der virtuelle Mülleimer :)

Zitat

ich habe heute zwischenzeitlich dieses Thema mit Kollegen diskutiert. Der Eine meinte: wenn jemand seine Tankquittungen an der der Tankstellen wegwirft und zwar in einen ungesicherten und nichtverschlüsselten (lol) Mülleimer, darauf hin ein "Unbefugter" (geiles Wort!) in den Besitz der Kreditkartennummer kommt, wird wohl kaum auf die Idee kommen die Tanke dafür eine Mitschuld zu geben, oder?


Keine Ahnung. Frag mal bei Juraforum.de. :D Nein. Spaß beiseite. Da Du auf das Beispiel mit dem Mülleimer so abfährst: Du hast offensichtlich die entsprechende Post nicht gründlich genug gelesen, um die Kerninformationen zu kanalisieren. Erst lesen, dann mit Spott begegnen. :D

Zitat

Obige Theorien dürfen natürlich gerne zerflückt werden...;-)


Theorie? e=mc²? Fragewort mit drei Buchstaben? Häh!?

:D


Ok. Ich denke Ihr habt Recht. Wir sind total vom Thema abgekommen. War aber trotzdem interessant 8)
s-man
Benutzer
Avatar
Geschlecht: keine Angabe
Homepage: mc-forum.de
Beiträge: 367
Dabei seit: 06 / 2004
Betreff:

Re: Phishing-Mails

 ·  Gepostet: 15.08.2005 - 21:58 Uhr  ·  #27
Ich bin dir nicht mit Spott begegnet, nur welche Kerninformationen meinst du die mit dem Original Thread zu tun haben?

Nachtrag: den Mülleimer hast du ins Spiel gebracht. Wenn ich mal an deinen ersten Link erinnern darf.
Raimund Sichmann
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8230
Dabei seit: 08 / 2002
Betreff:

Re: Phishing-Mails

 ·  Gepostet: 15.08.2005 - 22:12 Uhr  ·  #28
es geht um die Aufklärung.
Apropos Aufklärung: "Immer mehr Mädchen treiben ab." ( http://www.welt.de/data/2005/07/28/751847.html ) Dieses Problem hängt auch direkt mit Aufklärung zusammen. Nur das beim Wort "Sex" immer noch die ganze Gesellschaft aufhorcht, während "PC-Sicherheit" und bald auch "Phishing" kaum noch jemanden hinter seiner nicht vorhandenen Firewall hervorlockt.

Natürlich ist das provokativ. Das ist auch gewollt und ich denke im weitesten Sinne auch das, was maxxy hier bezweckt, nämlich das Nachdenken anzuregen. Genau dafür ist das Beispiel mit dem Mülleimer gut, ausserdem ist´s so herrlich grenzwertig. Also: Nur weiter so.

Gruß
Raimund
der jetzt mal in den chat schauen muss..


(ah, endlich konnte ich das Wort "sex" mal hier in einem sinnvollen Zusammenhang anbringen, google wird sich freuen, wenn mal endlich einer nach "homebanking" und "sex" sucht werden wir an erster Stelle stehen, jawoll)
Stoney
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 931
Dabei seit: 07 / 2004
Betreff:

Re: Phishing-Mails

 ·  Gepostet: 19.08.2005 - 09:57 Uhr  ·  #29
maxxy
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 46
Dabei seit: 04 / 2005
Betreff:

Re: Phishing-Mails

 ·  Gepostet: 19.08.2005 - 10:20 Uhr  ·  #30
Zitat geschrieben von Stoney
Schily präsentiert "Nationalen Plan zum Schutz der IT-Infrastrukturen"
http://www.heise.de/security/news/meldung/62945

Schauen wir mal, was da jetzt von Seiten der Politik rauskommt ;-)


Mit Sicherheit nicht viel. Schily geniest den Beinamen "Ankündigungsminister". Aber einiges geht durchaus in die richtige Richtung. Wobei man Hrn. Schily wirklich unterstellen kann, von IT genauso viel Ahnung zu haben, wie von Erbsensuppe.
Gewählte Zitate für Mehrfachzitierung:   0