neue Phishing Tricks: manipulierte Hosts.Sam-Datei

Raimund Sichmann

Benutzer

Geschlecht: keine Angabe
Beiträge: 8176
Dabei seit: 08 / 2002

Betreff:

neue Phishing Tricks: manipulierte Hosts.Sam-Datei

· Gepostet: 05.11.2004 - 14:27 Uhr · #1

Brisant:

Bisher wurde man immer über manipulierte Links in E-Mails auf gefälschte Bankseiten gelockt, jetzt werden die Adressen bereits auf dem eigenen Computer umgeleitet!

Die ersten Phishing Versuche sind bekannt geworden, die auf einer manipulierten Hosts.sam Datei beruhen. Diese Datei ist Bestandteil des Betriebssystems und hilft dem Computer, anhand der eingegebenen Internetadressen (www.xxx) die entsprechenden Zahlen aufzulösen, mit denen die Computer direkt im Netzwerk kommunizieren (IP-Nummern). Soweit meine sehr vereinfachte Erklärung. (Mehr lesenswerte zu diesem System hier http://de.wikipedia.org/wiki/Domain_Name_System )

Ist diese Datei manipuliert worden (Virus, Trojaner oder anders,), dann reicht es damit nicht mehr aus, sich sicher zu fühlen, weil man manuell die Bankadresse in die Browserzeile eingegeben hat!!

Wichtiger denn je:
Sicherheitszertifikate überprüfen!
Updates installieren, Antiviren-Software einsetzen, alternative Browser verwenden!
Homebanking-Software nutzen, vorzugsweise mit Chipkarte!

Quelle:
http://www.heise.de/newsticker/meldung/52935

externe Links mit mehr zum Thema Phishing und Tipps:
alles unter http://www.bsi-fuer-buerger.de/abzocker

-> VR-NetWorld
http://www.starmoney.de/index.php?id=582

Bemerkung: Ich habe erst gestern wieder eine Citibank-Phishing Mail erhalten. Wirklich gut gemacht.

windata

Benutzer

Geschlecht: keine Angabe
Herkunft: Wangen im Allgäu
Homepage: windata.de
Beiträge: 627
Dabei seit: 11 / 2003

Betreff:

Re: neue Phishing Tricks: manipulierte Hosts.Sam-Datei

· Gepostet: 05.11.2004 - 15:24 Uhr · #2

Ich sag dazu nur eins:

Banking-Software benutzen und Finger weg vom Browser-Banking mit dem IE

Stoney

Benutzer

Geschlecht: keine Angabe
Beiträge: 931
Dabei seit: 07 / 2004

Betreff:

Re: neue Phishing Tricks: manipulierte Hosts.Sam-Datei

· Gepostet: 05.11.2004 - 15:38 Uhr · #3

Ich sage zu der ganzen Sicherheitsgeschichte nur ein:

Hirn einschalten

Banking-Software ist kein Allheilmittel und ist meiner Meinung nach genauso angreifbar....

@windata: bist du auch als StarMoney Pro Team in einem anderen Forum unterwegs ?

Raimund Sichmann

Benutzer

Geschlecht: keine Angabe
Beiträge: 8176
Dabei seit: 08 / 2002

Betreff:

Re: neue Phishing Tricks: manipulierte Hosts.Sam-Datei

· Gepostet: 05.11.2004 - 18:08 Uhr · #4

Zitat geschrieben von Stoney

Banking-Software ist kein Allheilmittel und ist meiner Meinung nach genauso angreifbar....

Das hat niemand behauptet. Tatsache ist aber: Es ist per se wesentlich sicherer als Banking über den Browser - vor allem, wenn die Chipkarte dazu kommt. Ich behaupte einfach: 99,9% der User schauen sich nicht jedesmal das Zertifikat an.
Frage: Machst du das jedesmal? Also!

Stoney

Benutzer

Geschlecht: keine Angabe
Beiträge: 931
Dabei seit: 07 / 2004

Betreff:

Re: neue Phishing Tricks: manipulierte Hosts.Sam-Datei

· Gepostet: 05.11.2004 - 20:59 Uhr · #5

Es kommt ja immer drauf ein wie man Sicherheit und sicherer definiert...

Klar ist das Arbeiten mit einer Software bequemer, weil die Software die Überprüfungen übernimmt, auf der anderen Seite ist es unwahrscheinlicher, dass man dahinter kommt, wenn das Programm manipuliert wurde. Beim direkten Internetbanking habe ich selber alles in der Hand und habe vielleicht eher eine Chance bei entsprechender Nutzung dahinter zu kommen.

Das wichtigste ist nunmal gewissenhaft online zu banken...

Raimund Sichmann

Benutzer

Geschlecht: keine Angabe
Beiträge: 8176
Dabei seit: 08 / 2002

Betreff:

Re: neue Phishing Tricks: manipulierte Hosts.Sam-Datei

· Gepostet: 06.11.2004 - 21:58 Uhr · #6

Zitat geschrieben von Stoney

Beim direkten Internetbanking habe ich selber alles in der Hand und habe vielleicht eher eine Chance bei entsprechender Nutzung dahinter zu kommen.

genau das bezweifel ich bei einer manipulierten hosts Datei. Das ist immerhin nur eine simple Textdatei auf deinem Rechner. Kein Virenscanner würde aktiv, keine Firewall nützt da was.
So wie ich das verstehe, merkst du nichts davon wenn du die Browseradresse eintippst, auch nicht wenn du ein Bookmark benutzt, das erst recht manipuliert werden könnte.
Einzig die IP-Eingabe könnte noch eine gewisse Sicherheit bringen und das ständige Prüfen der Verschlüsselung. Letzteres musst du immer, also jedesmal durchführen!

Und eine komplette Homebanking-Software zu simulieren oder zu knacken ist (hoffentlich) schwieriger als eine Internetseite zu kopieren, vor allem, wo die sowieso ständig ihr Design ändern.

Nein, ich bleib dabei: Eine Homebanking-Software mit HBCI ist schwieriger auszuhebeln, erst recht mit Chipkarte. Oder es müssen cleverere TAN-Lösungen her oder andere Hardware-Ideen.

Zitat

Das wichtigste ist nunmal gewissenhaft online zu banken...

Ja - und die Risiken zu kennen. Und genau deshalb diskutieren wir hier öffentlich....

Gruß
Raimund

Stoney

Benutzer

Geschlecht: keine Angabe
Beiträge: 931
Dabei seit: 07 / 2004

Betreff:

Re: neue Phishing Tricks: manipulierte Hosts.Sam-Datei

· Gepostet: 08.11.2004 - 14:17 Uhr · #7

Hab gerade auch mal ein bißchen mit der hosts-Datei rumgespielt... Egal wie man eine URL aufruft, man landet bei manipulierter hosts-Datei auf der falschen Seite, allerdings gibts dann ja immernoch das Prob mit dem Faken der sicheren Verbindung und des Fingerprints.

Zitat

Und eine komplette Homebanking-Software zu simulieren oder zu knacken ist (hoffentlich) schwieriger als eine Internetseite zu kopieren, vor allem, wo die sowieso ständig ihr Design ändern.

Nein, ich bleib dabei: Eine Homebanking-Software mit HBCI ist schwieriger auszuhebeln, erst recht mit Chipkarte. Oder es müssen cleverere TAN-Lösungen her oder andere Hardware-Ideen.

Wenn ich davon ausgehe, das auf einem Rechner die hosts-Datei von außen manipuliert werden kann, ist es auch möglich HBCI-Chipkarte mit einer Homebankingsoftware auszuhebeln. Wo die besten Angriffspunkte sind können wir heute abend ja mal schauen

Aber um das Internetbanking komplett fälschungssicher zu machen, wie wäre es wenn die Bank einen eigenen Provider hätte, der nur den Aufbau zu den Bankseiten zulassen würde... faken unmöglich oder?

Raimund Sichmann

Benutzer

Geschlecht: keine Angabe
Beiträge: 8176
Dabei seit: 08 / 2002

Betreff:

Re: neue Phishing Tricks: manipulierte Hosts.Sam-Datei

· Gepostet: 08.11.2004 - 17:39 Uhr · #8

Zitat geschrieben von Stoney

hm, ich ruf mal bei vrweb an

Aber wäre das ganze dann nicht eigentlich FTAM?

ich halte davon weniger, ich bin mit meinem fli4l-router sowas von glücklich

Achja: Dialer gibt es ja auch. Das lässt sich mit Sicherheit auch einfach fälschen - imo keine Lösung also.

Gruß
Raimund

/edit: in Zonealarm habe ich einen Eintrag gefunden: Hosts Datei ignorieren. Das wäre evtl. ein Ansatz. Weiss jemand genaueres, was dort gemacht wird?

Stoney

Benutzer

Geschlecht: keine Angabe
Beiträge: 931
Dabei seit: 07 / 2004

Betreff:

Re: neue Phishing Tricks: manipulierte Hosts.Sam-Datei

· Gepostet: 08.11.2004 - 18:04 Uhr · #9

Zitat geschrieben von Raimund Sichmann

/edit: in Zonealarm habe ich einen Eintrag gefunden: Hosts Datei ignorieren. Das wäre evtl. ein Ansatz. Weiss jemand genaueres, was dort gemacht wird?

Teste es doch einfach mal

Einfach ein Eintrag in die hosts-Datei setzen und gucken was passiert. In der Datei ist auch schön beschrieben wie man es machen muß

Captain FRAG

Benutzer

Geschlecht: keine Angabe
Herkunft: Westfalen
Beiträge: 5096
Dabei seit: 05 / 2003

Betreff:

Re: neue Phishing Tricks: manipulierte Hosts.Sam-Datei

· Gepostet: 08.11.2004 - 19:58 Uhr · #10

Zitat geschrieben von Stoney

Das wäre dann ja wieder wie BTX ala 2001 (noch bevor es das ClassicGate gab). Ne Danke

pennellow

Benutzer

Geschlecht: keine Angabe
Herkunft: Bodensee
Beiträge: 153
Dabei seit: 10 / 2004

Betreff:

Re: neue Phishing Tricks: manipulierte Hosts.Sam-Datei

· Gepostet: 09.11.2004 - 09:06 Uhr · #11

so eine hosts.sam datei wollte ich gerade auch anschauen. doch so eine datei habe ich nicht auf meinem rechner....hmm wie und wo finde ich diese dateien ?

grüsse vom bodensee
Arne

MrNett

Benutzer

Geschlecht: keine Angabe
Herkunft: Zeven
Beiträge: 1224
Dabei seit: 06 / 2003

Betreff:

Re: neue Phishing Tricks: manipulierte Hosts.Sam-Datei

· Gepostet: 09.11.2004 - 09:06 Uhr · #12

Am einfachsten wäre es mit HBCI mit Klasse 3! Und zwar fragst der Kartenleser erstmal das Zertifikat des Bankrechners ab und vergleicht es zum Beispiel mit den PUB-key der Bank!

Das Problem ist nur: Wer soll das Bezahlen??!?!?!?

windata

Benutzer

Geschlecht: keine Angabe
Herkunft: Wangen im Allgäu
Homepage: windata.de
Beiträge: 627
Dabei seit: 11 / 2003

Betreff:

keine HOSTS.SAM

· Gepostet: 09.11.2004 - 09:13 Uhr · #13

Hallo pennellow,

wahrscheinlich arbeitest Du mit Windows 2000 oder höher. Unter Windows 2000/XP gibt es die HOSTS.SAM nicht. Dort befindet sich der "ganze Spaß" in einer Datei HOSTS (ohne Dateikennung!).

Normalerweise zu finden unter:

C:\Windows\System32\Drivers\etc\hosts

Viel Spaß beim Ausprobieren (es funktioniet wirklich!)

Stefan Balk

mafi

Benutzer

Geschlecht: keine Angabe
Beiträge: 233
Dabei seit: 10 / 2004

Betreff:

Re: neue Phishing Tricks: manipulierte Hosts.Sam-Datei

· Gepostet: 09.11.2004 - 09:24 Uhr · #14

Zitat geschrieben von Captain FRAG

Zitat geschrieben von Stoney

Das wäre dann ja wieder wie BTX ala 2001 (noch bevor es das ClassicGate gab). Ne Danke

Hallo,

ich denke der Verzicht auf Komfort/Bequemlichkeit ist ein Problem bei der Sache.
Was mir dazu einfällt:

- BTX Installation und Anwahl - umständlich, also Internetbanking.
- Providerkennwort - auch umständlich, also Speichern
- PIN/TAN-Eingabe - dito (Und für´s Internetbanking lässt sich das Geburtsdatum besser merken als eine zufällige Zahl).
- Kartenpineingabe über Pinpad - umständlich, also sichere PIN-Eingabe aus und über Tastatur eingeben

Also was auch immer man sich einfällen lässt, müsste am besten einfacher, bequemer und auch nicht teurer sein.

Bei so einer speziellen Providerlösung wäre mal abgesehen von den Kosten eine zusätzliche Software notwendig und es würden wahrscheinlich auch Kosten anfallen. Mal abgesehen davon, dass der "Feind" auch nicht schläft, sich also dann schätzungsweise darauf konzentrieren würde diese Software per Trojaner etc. anzugreifen.

Ergo: Gute Idee, aber wird sich wohl leider nicht realisieren lassen (Zumindest nicht so, dass es auch genutzt wird).

pennellow

Benutzer

Geschlecht: keine Angabe
Herkunft: Bodensee
Beiträge: 153
Dabei seit: 10 / 2004

Betreff:

Re: neue Phishing Tricks: manipulierte Hosts.Sam-Datei

· Gepostet: 09.11.2004 - 10:15 Uhr · #15

Zitat geschrieben von windata

wahrscheinlich arbeitest Du mit Windows 2000 oder höher. Unter Windows 2000/XP gibt es die HOSTS.SAM nicht. Dort befindet sich der "ganze Spaß" in einer Datei HOSTS (ohne Dateikennung!).
Normalerweise zu finden unter:
C:\Windows\System32\Drivers\etc\hosts
Stefan Balk

ich habe hier ein winxp rechner mit sp2, doch das hosts verzeichnis gibt es bei mir nicht. vorhanden ist das verzeichnis c:\windows\system32\drivers\etc - und das unterverzeichnis hosts ist nicht vorhanden. in dem etc verzeichnis gibt es zwar eine hosts datei, doch beim anschauen über einen editor, ist nur zu sehen, dass es sich um eine hosts beispieldatei handelt. hmmm....kann die datei durch eine firewall, virenprogramm oder sonst etwas versteckt werden ?

grüsse vom bodensee
Arne

mafi

Benutzer

Geschlecht: keine Angabe
Beiträge: 233
Dabei seit: 10 / 2004

Betreff:

Re: neue Phishing Tricks: manipulierte Hosts.Sam-Datei

· Gepostet: 09.11.2004 - 10:34 Uhr · #16

Hallo pennelow,

das ist die verwendete Hosts-Datei, die halt erstmal leer ist bis etwas eingetragen wird.
Das Beispiel darin ist ein Kommantar (wird also nicht vom System interpretiert).

Gruß
Marc

pennellow

Benutzer

Geschlecht: keine Angabe
Herkunft: Bodensee
Beiträge: 153
Dabei seit: 10 / 2004

Betreff:

Re: neue Phishing Tricks: manipulierte Hosts.Sam-Datei

· Gepostet: 09.11.2004 - 15:00 Uhr · #17

hmmm, das soll die verwendete hosts datei sein ?
die hat als änderungsdatum november 2003 ? und wenn ich da etwas verändere hat das keine auswirkungen auf den internet explorer. der ruft nach wie vor die richtigte internetseite auf.

windata

Benutzer

Geschlecht: keine Angabe
Herkunft: Wangen im Allgäu
Homepage: windata.de
Beiträge: 627
Dabei seit: 11 / 2003

Betreff:

Re: neue Phishing Tricks: manipulierte Hosts.Sam-Datei

· Gepostet: 09.11.2004 - 15:30 Uhr · #18

Hallo Arne,

das Verzeichnis HOSTS gibt es auch nicht. Es ist die Datei HOSTS (ohne Dateikennung). Die "Musterdatei" wird vom IE genutzt (somit ist es eigentlich keine Musterdatei

). Du fügst einfach am Ende einen Eintrag ein: erst die IP auf die umgeleitet werden soll gefolgt von mind. einem Leerzeichen und dann die Domain...

Beispiel: Zum Umleiten von www.google.de auf unsere (BBAG) Homepage trägst Du folgende Zeile am Ende der Datei HOSTS ein.

213.174.51.22 www.google.de

Zitat

#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost
213.174.51.22 www.google.de

Zwischen IP und Domain Leerzeichen nicht vergessen... und natürlich speichern

Wenn Du jetzt im IE www.google.de eintippst gelangst Du immer auf unsere Seite. Es kann natürlcih sein, dass die Google-Seiten noch in Deinem Browser-Cache liegen und deshalb trotzdem Google angezeigt wird. Wenn der Cache aber geleert wird, sollte es funktionieren.

Und genau so könnte es ein Script, ein Trojaner oder irgendein Programm mit Bank-Seiten auch machen, ohne dass es zunächst bemerkt wird....

_MaiThai_

Benutzer

Geschlecht: keine Angabe
Beiträge: 16
Dabei seit: 11 / 2004

Betreff:

Re: neue Phishing Tricks: manipulierte Hosts.Sam-Datei

· Gepostet: 23.11.2004 - 15:50 Uhr · #19

Mahlzeit!

Die HOSTS-Datei wird nicht nur vom IE benutzt, sondern von allem, was ins Netz geht. Tragt zum Spass einfach mal irgendeine IP-Adresse da ein und daneben die Adresse "www.microsoft.com". Danach speichern, ein wenig warten und dann einen PING (von der DOS-Oberfläche) an "www.microsoft.com" schicken. Tataa! Der Ping wird nicht ins Internet, sondern an die in der HOSTS-Datei eingetragene IP geschickt.

So kann man natürlich alle Internet-Adressen anwählen bzw. umgehen.

Aber mal ehrlich: Wer sein System so unsicher hält, daß er einem Trojaner Zugriff gewährt, der die HOSTS-Datei ändert, der sollte bitte seine Überweisungen per Beleg und seine Kontoauszüge am Auszugsdrucker abholen...