Phishing

Hallo Daforce,

wie auch schon an anderer Stelle in diesem Forum zu finden gibt es da keine direkte Möglichkeit. Die Versendung von Massen-Mails und der Aufbau von Seiten, die Bankenhomepages sehr ähnlich sehen und eine anscheinend plausible Adresse haben, ist nicht zu verhindern. Und die Möglichkeit, den Phishern rechtlich vors Knie zu treten greift erst im nachhinnein, wenn das Kind schon im Brunnen ist. Also zu spät.

Letztendlich ist Vorsicht bei allen Beteiligten der beste Schutz. Die Banken informieren ihre Kunden und warnen vor Phishing, die Provider passen auf, was für Seiten ins Netz gelangen und die Kunden werden (hoffentlich) durch die bisherigen News ausreichend sensibilisiert.

Das Thema Phishing ist ja auch nicht neu. Aber zu Zeiten, als "nur" eBay und Konsorten davon heimgesucht wurden, sind die Wellen nicht so hoch geschlagen wie jetzt bei den Banken.

Ich denke, nur im Gesamtpaket und mit Teamwork lässt sich das Thema Phishing in den Griff bekommen. Wenn die Erfolge für die Täter ausbleiben werden sich die Versuche reduzieren. Und dann werden sich findige Spezies wieder was Neues einfallen lassen... soviel ist wohl sicher.

Gruß
Stefan

Sind wir mal ehrlich, jeder kennt auf Mallorca die Nelkenfrauen, in Frankreich und auch sonst wo die netten Hütchenspieler. Und hier bei uns den Vorwerkverkäufer an der Tür.

Wer auf diese einfachen Maschen wie auch bei Phishing hereinfällt, ist selbst schuld. Ein gewisses Maß an Misstrauen sollte jeder an den Tag legen.
Und bevor ich im Internet auf ne Mail antworte oder da was drin anklicke, mach ich mir doch einige Gedanken dazu.

Sich URLs von Banken zu sichern ist eines, aber in ner HTML Mail kann drinstehen www.sparkasse.de oder www.volksbank.de aber in echt leitet er dann auf nen gehackten Server in irgendeinem Ugga Agga Staat um.

Mein Tip:
HBCI-Chipkarte einsetzen
Emails nur noch im Text-Format lesen
Nicht allen Scheiss glauben, der so im Netz veröffentlicht wird

Also das Phishing zu verhindern ist nicht möglich, allein durch neue Sicherheitsmedien und -verfahren könnte man es unterbinden.

Das Problem beim Phishing von PIN/TAN ist eigentlich ja, dass der Kunde der einzige Datengeber ist. Würde man das auf KI und Kunde verteilen würde Phishing so nicht mehr funktionieren...

Es gibt ja schon einige TAN-Generatoren, aber die sind eigentlich ja auch nur Datengeber... Würde das KI zum Beispiel einen Wert zur TAN-Erstellung dazugeben (ähnlich z.B. diesen Grafik-Sicherheitsabfragen), könnte man eine TAN aus diesem Wert, der EU und zum Beispiel Zeit errechnen. Wird die Seite mit der TAN-Eingabe neu aufgerufen, wird vom KI ein anderer Wert zur TAN-Berechnung ausgegeben. So haben ausgespähte TAN-Nummern ihren Sinn verloren...

Oder was meint ihr?

Hallo,


sehe ich eher nicht so:
1. Woher hat der Kunde eine EU?
2. Wie (und wo) wird diese gespeichert?
3. Was hindert den Phisher daran, statt der TAN jetzt die EU abzufragen?
4. Wie soll der Kunde das Verfahren noch verstehen?

Speziell 4. ist doch einer der Hauptgründe, warum sich PIN/TAN so hartnäckig halten und - das IMHO hochüberlegene - HBCI sich nicht durchsetzt.
Okay, mit PIN/TAN kann man theoretisch auch im Internet-Cafe tätig werden, aber _ich_ würde das sicher nicht tun... (Stichworte: Browser-Cache, SwapFile, nicht zu vergessen der Hauptspeicher selbst).
Es gibt viele Möglichkeiten, wie ein nachfolgender Nutzer an sensible Daten kommen kann...

CMIIW
Bratwurst

Der Hacker oder Cracker müsste ja dann den gesamten Auftrag und eine Software fälschen oder ggf. die richtige Software erraten und entsprechend patchen. Ich denke mal laut weiter: Hm, eigentlich keine schlechte Idee, dafür eignet sich ja unser Forum hervorragend.
Das ist allerdings recht viel Aufwand.

Aber daraus ergibt sich für mich eine Frage: Setzen die aktuellen Softwareprogramme eigentlich Prüfsummen ein, um vor solchen Manipulationen geschützt zu sein?

etwas nachdenklich:
Raimund

Das die Token verfallen ist ja kein Problem, der schweizer Token hat ne Lebensdauer von 3-5 Jahren, wenn ich mich recht erinner. Letztes Jahr auf der Cebit wurde der Token vorgestellt, aber leider wohl nicht für dt. Ki`s umgesetzt. Dort müßte ja eigentlich nur noch eine Eingabemöglichkeit für Daten vom KI geschaffen werden. Dieser Schlüssel des KI könnte z.B. 6stellig sein und sich aus der Session-Id und der Uhrzeit ergeben. So würde es auch jede Min eine neue TAN geben.

Den kartenbasierenden TAN-Generator sehe ich nur als kurzlebige Zwischenlösung, da das eigentliche Ziel doch die digitale Signatur ist.

Eine andere Möglichkeit wäre eventuell auch die "mobile TAN" als SMS, die vom KI verschickt wird und nur für meine aktuelle Session gültig ist.

Weiter würde ich es begrüßen, mich beim Browserbanking nicht mit meiner Kontonr einzuloggen, sondern einem Benutzernamen oder Kundennummer, damit andere einen nicht mit falschen PIN-Eingaben ärgern können.

Habs jetzt wieder gefunden... RSA SecurID nennen die das... Hier findet man mehr

Das "Ding" gibt jede Minute eine neue TAN aus die +/- 2 Minuten nach Erstellung gültig ist. Allerdings ist so eine TAN immer noch 5 Min gültig und ein schneller Phisher kann noch immer mit den Daten arbeiten...



Hm, da sollte sich bei entsprechender Abnahme doch was im 7 Cent bereich machen lassen oder? Wenn ich dann rechne 76 TANs * 0,07 € = 5,32 € und man bei einem normalen TAN-Verzeichnis von Kosten von knapp 5 € ausgeht, tut sich das ja nicht wirklich was.

Denke auch, dass ein TAN-Generator kein Allheilmittel gegen Phishing ist. Ausserdem sind die Dinger ziemlich teuer und beim Thema Kostenweitergabe sind ja unsere Onlinenutzer ziemlich dünnhäutig (siehe HBCI-Chipkarte).

Haben mal ausgerechnet, dass eine Papier-TAN-Liste, die jedes Jahr verschickt wird bei weitem billiger ist, als ein TAN-Generator, der drei bis fünf Jahr hält.

Wäre gut, wenn man lieber das Weiterentwicklungspotenzial in innovative Sicherheitsmedien (z.B. digitale Signaturkarte) steckt.

Gruß Mike

Hallo zusammen,

das mit dem TAN-Generator finde ich gar nicht mal so schlecht. Wenn ich mir eine TAN generiere, dann sind alle vorhergehenden TANs wertlos. Also wenn ich auf Nummer sicher gehen möchte, dann gebe ich halt eine TAN an, danach erstelle ich mir nochmals eine TAN. Wenn die TAN also an einen falschen geht, dann ist sie nicht mehr zu gebrauchen.

EBL-Man

Zusätzlich gibts aber ja noch eine zeitlich begrenzte Gültigkeit, zumindest bei dem "Schweizer System", so dass ein TAN spätestens nach 5 Min ungültig ist.

Eigentlich ist der TAN-Generator doch nur wie eine symmetrische Verschlüsselung bei dem es einen festen Schlüssel gibt, der zusammen mit der Zeit die aktuell gültige TAN ergibt.