Phishing: Attacken identifizieren

Sichere Zugangsdaten im Internet? Was ist Phishing?

phishing Das Wort Phishing kommt aus dem englischen „fishing“, Angeln, Abfischen. Abgefischt werden werden die Zugangsdaten vom Online-Banking, Versandhäusern, Internet-Auktionshäusern. Bankdatenklau im Internet.

Das Opfer wird z.B. auf eine gefälschte Webseite gelockt (Pharming), die von der echten Bankseite nicht zu unterscheiden ist.

 

Phishing und Geo-Blocking

Wie www.heise.de am 12.06.15 berichtete,lassen sich manche der Phishing-Seiten nur aus dem Land abrufen, auf das es die Cybertäter abgesehen haben. Wer mit einer ausländischen IP-Adresse ankommt, darf die Inhalte nicht nutzen.

Durch Computer-Kriminalität entsteht allein in Deutschland laut Symantec ein jährlicher finanzieller Schaden von insgesamt 16,4 Milliarden Euro.

Tatmittel Internet 2014, Grafik der Polizeiberatung, pdf-Datei.

Die Zahl der Straftaten, die mit dem Tatmittel Internet begangen wurden, ist im Jahr 2013 weiter angestiegen. Im Vergleich zum Vorjahr (229.408 Fälle) wurden 2013 257.486 Fälle erfasst. Dazu gehören Delikte wie Waren- und Warenkreditbetrug, Computerbetrug, Leistungs- und Leistungskreditbetrug, die Verbreitung pornografischer Schriften und Straftaten gegen die Urheberrechtsbestimmungen. Beim Waren- und Leistungsbetrug liefern die Betrüger trotz Bezahlung die versprochene Ware nicht bzw. erbringen die Leistung nicht. Beim Waren- und Leistungskreditbetrug versuchen sie, Waren oder Leistungen zu erlangen – ohne diese zu bezahlen. Beim Computerbetrug wird kein Mensch getäuscht, sondern ein Datenverarbeitungssystem manipuliert und dadurch ein Vermögensschaden verursacht.

Die Fälle von Computer- und Internetkriminalität nehmen weiter zu. ür 2013 wurden dem Bundeskriminalamt 4.096 Phishing-Sachverhalte gemeldet. Das entspricht einer Zunahme der Fallzahlen um rund 19 Prozent im Vergleich zum Vorjahr. Nach Einschätzung des BKA hat sich auch die digitale Erpressung weiter ausgebreitet, insbesondere in der Ausprägung von Forderungen nach „digitalem Lösegeld“. Allein für das Jahr 2013 registrierte das Bundeskriminalamt 6.754 Fälle von digitaler Erpressung unter Einsatz so genannter Ransomware, von der weltweit unterschiedlichste Versionen im Umlauf sind.

Interessante Einzelheiten finden Sie im Bundeslagebericht Cybercrime 2014 (PDF Datei) des BKA

Für das Jahr 2014 wurden dem Bundeskriminalamt 6.984 Sachverhalte Phishing beim Online-Banking im Phänomenbereich gemeldet (Vorjahr 2013 4.096)

Gesetzentwurf IT-Sicherheitsgesetz

Das Bundesministerium des Innern hat am 19.08.2014 einen Gesetzentwurf IT-Sicherheitsgesetz der Bundesregierung zur weiteren Abstimmung zugeleitet. Ziel des Gesetzes ist eine Verbesserung der IT-Sicherheit bei Unternehmen, ein verstärkter Schurtz der Bürgerinnen und Bürger, der Ausbau der IT-Sicherheit der Bundesverwaltung und in diesem Zusammenhang auch eine Stärkung des Bundeamtes für Sicherheit und Informationstechnik und des Bundeskriminalamtes.

Straftaten im Internet, EU plant Abwehrzentrum gegen Internet-Kriminalität

Die EU plant ein Zentrum zur Abwehr von Internet-Kriminalität. Das Zentrum soll bei der Polizei-Behörde Europol in Den Haag angesiedelt werden. Straftaten wie Onlinebetrug mit gestohlenen Kreditkarten oder Kontodaten sollen verhindert werden.

Bis zu 5 Jahren Haft für Hacker

Der EU-Rat den Richtlinienentwurf über Angriffe auf Informationssysteme gebilligt, nachdem dieser bereits im Juli das EU-Parlament in Straßburg passiert hatte. Bis zu fünf Jahre können Hacker demnach ins Gefängnis kommen, wenn Ihnen schwerwiegende Angriffe wie beispielsweise Botnetz-Attacken nachgewiesen werden. Die Mitgliedsstaaten müssen die Regelungen nun innerhalb von zwei Jahren in nationales Recht umsetzen.

Quelle: Newsletter SICHER INFORMIERT www.buerger-cert.de v. 01.08.13

Phishing mit Mietwagenangeboten

Betrüger haben sich neben den Banken nun auch auf den Bereich Autovermietung spezialisiert. Wer auf den gut nachgemachten Seiten dieser Autovermieter seine Kreditkartendaten eingibt, wird Opfer eines Phishing-Betrügern. Auf den Betrügerseiten wird mit besonders günstigen Angeboten gelockt.

Wer den Verdacht hat, dass seine Zahlungs- bzw. Kreditkartendaten ausgespäht wurden, sollte sich sofort mit seiner Bank oder dem Kreditkarteninstitut in Verbindung setzen und die betroffenen Karten sperren.

Soziale Netzwerke wie Facebook, Twitter oder YouTube werde immer häufiger zur Verbreitung von Schadsoftware genutzt.

Der eco Verband der deutschen Internetwirtschaft setzt beispielsweise mit Unterstützung des BSI eine Anti-Botnetz-Initiative um. Im Rahmen der Initiative werden künftig Kunden der teilnehmenden Internet Service Provider, deren PC ohne ihr Wissen Teil eines Bot-Netzes wurde, von ihrem Provider hierüber informiert und erhalten zugleich kompetente Unterstützung bei Beseitigung der Schadsoftware. Für Unternehmen bietet der IT-Grundschutz modellhafte und praxisorientierte Hilfestellung, um die Informationssicherheit zu erhöhen. (Quelle: news aktuell gmbh v. 12.05.10)

Online-Kriminelle gehen immer raffinierter vor

22 Millionen Virenopfer, 6 Millionen von Handelspartner betrogen

15 Millionen Euro erwarteter Schaden beim Online-Banking

Betrüger haben es auf Benutzernamen und Codes für Shops und Auktionshäuser, Communitys, Foren und E-Mail-Konten abgesehen.“ 5 Prozent der Internet-Nutzer – das sind 2,5 Millionen Menschen – haben BITKOM ufolge bisher einen finanziellen Schaden durch Datendiebstähle oder Schadprogramme erlitten. Sechs Millionen (11 Prozent der Nutzer) wurden von einem Geschäftspartner im Internet betrogen, etwa beim Shopping, einer Auktion oder einem privaten Verkauf.

Laut der Befragung von BITKOM und Forsa sind zwei Prozent der Internet-Nutzer schon einmal Opfer eines Betrugs beim Online-Banking geworden. Die Zahl der Betrugsfälle steigt derzeit erneut stark an.

Das BKA beobachtet konspirativ und arbeitsteilig vorgehende, international agierende Tätergruppen, denen es um möglichst hohe Profite geht.

Es gibt Schadsoftware, die gleichzeitig Online-Banking- und Kreditkartendaten ausspioniert. Zudem gibt es erste Anzeichen dafür, dass mit der steigenden Nutzung von Smartphones ein neuer Trend der IuK-Kriminalität einhergehen könnte. So wurden bereits Programme beobachtet, die sich als Spiele-Applikationen ausgaben, aber tatsächlich im Hintergrund teure Mehrwert-SMS verschickten.

Nach wie vor bedienen sich Täter, um nicht selbst in den Fokus der Ermittler zu geraten, gutgläubiger Gehilfen, die Waren oder Gelder gegen eine Provision in das Ausland weiterleiten.

Quelle: news aktuell gmbh v. 06.09.10

Phishing-Attacken melden

Phishing-Attacken können über das Internetportal www.verbraucherfinanzwissen.de gemeldet werden. Das Phishing-Forum wurde vom Bundesverbraucherministerium und der Verbraucherzentrale Nordrhein-Westfalen geschaffen. Mitarbeiter der Verbraucherzentrale NRW überwachen das Forum und warnen vor betrügerischen E-Mails. Auch betroffene Banken werden informiert.

Kreditkartennummern-Phishing per Brief

Ein Briefkuvert mit Schreiben vom 20.07.2012 gelangte bei einem geschädigten Kreditkartenprozessor mit deren eigener Absenderangabe in den Posteingang. Auf dem Brief befand sich der Vermerk „Empfänger unbekannt / verzogen“

Beim Öffnen des Kuverts fiel deren Mitarbeitern ein täuschend echt gefälschtes Anschreiben der Firma auf. Sowohl von der Orthographie als auch von der Grammatik konnten keine Auffälligkeiten festgestellt werden. Es waren Logos der bekannten Kreditkartenfirma stimmig eingearbeitet. Auch das angegebene Impressum und der Zeichnungsberechtigte entsprachen dem ersten Anschein nach der Richtigkeit.

In dem Schreiben, das wie ein gängiger Serienbrief wirkte, wurde der Empfänger aufgefordert, aufgrund zunehmenden Betrugs mittels rechtswidrig erlangter Daten von Zahlungskarten im Internet online auf „www.initiative-online-passwort.com“ ein Sicherheitspasswort zu vergeben. Ansonsten würde innerhalb von 14 Tagen die Kreditkarte des Angeschriebenen gesperrt und es wären keine weiteren Transaktionen mit dieser Karte mehr möglich.

Die geschädigte Firma befüllte daraufhin am 26.07.2012 die Eingabemaske der inkriminierten Internetseite mit Dummy-Kreditkartendaten. Daraufhin wurde zeitnah, mit den eingegebenen Daten durch unbekannte Täter rechtswidrig im Internet über 24,95 Euro verfügt.

Erste Ermittlungen ergaben, dass es sich bei der tangierten Domain um einen russischen Dienstanbieter handelt.

Nachdem davon auszugehen ist, dass es sich um einen Serienbrief handelt, hat bereits ein unbestimmter Personenkreis ein Schreiben dieser Art erhalten. Es ist mit einem weiteren Auftreten in dieser oder abgewandelter Form zu rechnen.

Aufgrund der bisherigen Sensibilisierung der Kreditkartenkunden bzw. der Bürger im Allgemeinen, dass Anfragen via E-Mail Betrugsversuche darstellen und wichtige Mitteilungen ausschließlich per Post versendet werden, ist von einer neuen Qualität und Gefährdungslage im Bereich Phishing auszugehen.

Wegen des Zustellweges und insbesondere der Gestaltung des Schreibens wird bei einem Großteil der Empfänger kein Misstrauen geweckt, so dass diese den Anweisungen im Schreiben vermutlich zeitnah folgen werden.

Die Kriminalpolizei warnt davor, auf der beschriebenen Seite seine Daten und ein Sicherheitspasswort einzugeben. Vergewissern Sie sich bei ihrer Hausbank auf alle Fälle, ob von dieser ein entsprechendes Schreiben versandt wurde.

Quelle: Polizeipresse Bayern v. 03.08.12

Fehlbuchung zurücküberweisen

Die Polizei Oberfranken warnt:

Den Bankkunden wird mit einem Trojaner auf ihrem Rechner vorgegaukelt, dass zu Gunsten ihres Kontos fälschlicherweise eine „GUTSCHRIFT“ erfolgt sei. Diese Fehlbuchung solle nun rücküberwiesen werden. Dazu müsse man lediglich den Link „RÜCKZAHLUNG“ betätigen und in die Maske mit der vorausgefüllten Überweisung eine Transaktionsnummer (TAN) eingeben.

Eine Überprüfung des eigenen Kontostandes am mit dem Trojaner infizierten Rechner täuscht den Online-Kunden vor, dass auf ihrem Konto tatsächlich eine „GUTSCHRIFT“ erfolgt sei.

Erst bei der Durchsicht der Kontodaten an einem unverseuchten Rechner oder in Papierform kommt das böse Erwachen. Mit der preisgegebenen TAN ist tatsächlich eine „RÜCKZAHLUNG“ zu Gunsten eines von den Tätern extra eingerichteten Kontos erfolgt. Eine vorhergehende Gutschrift für die gutgläubigen Online-Kunden gab es jedoch nie.

Die Polizei Bayern warnt vor dem Retourentrojaner: Die praktische gleiche Masche: Während des Online-Bankings am PC öffnet sich ein Mitteilungsfenster mit dem Logo der Bank, das auf eine fehlerhafte Gutschrift hinweist. Der Kunde wird gebeten, das angezeigte „Retour“ Feld zu bestätigen und eine TAN einzugeben. Beim Überprüfen der Kontoumsätze wird tatsächlich eine Fehlbuchung in der angezeigten Höhe angezeigt. Am nächsten Tag stellt der nun Geschädigte auf seinen Kontoauszügen fest, dass die Fehlüberweisung fingiert war und es tatsächlich gar keine gab. Die „Rückbuchung“ wurde aber sehr wohl von seinem Konto abgebucht.

Testüberweisung, Sicherheitsüberweisung, „Muster Überweisungsformular“, Demo-Musterüberweisung

Immer öfter treibt eine Schadsoftware ihr Unwesen, die das Online-Banking im Browser manipuliert. Das hat die Polizei [http://www.polizei-praevention.de/aktuelles/vorsicht-bei-musterueberweisung-oder-demoueberweisung.html] in Niedersachsen mitgeteilt. Sobald sich Kunden mit einem von der Schadsoftware befallenen Rechner auf ihrer Bankseite einloggen, erhalten sie eine Mitteilung über ein angeblich neues Sicherheitssystem. Danach werden die Bankkunden in einem gefälschten Online-Banking-Fenster aufgefordert, zum Test des Sicherheitssystems eine Demo-Musterüberweisung zu tätigen, die jedoch mit einer echten TAN abgeschlossen werden muss. Die echte TAN wird von den Cyber-Kriminellen genutzt, um eine echte Überweisung vorzunehmen. Der Kunde merkt davon zunächst einmal nichts. Wenn eine solche Aufforderung auf Ihrem Bildschirm erscheint, sollten Sie umgehend Ihren Browser schließen. Danach empfiehlt es sich, den Rechner mit einer Antivirensoftware mit aktueller Virensignatur zu scannen. Beim Online-Banking [https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/OnlineBanking/onlinebanking_node.html] ist es wichtig, dass Ihr Betriebssystem und die verwendete Software immer aktuell sind.

Quelle: Newsletter www.buerger-cert.de v. 07.01.16

Gefälschte Webseiten (Pharming)

Die gefälschten Webseiten haben meistens gefälschte Namen oder Bezeichnungen, die ähnlich klingen wie die offiziellen Seiten oder Firmen. Die Zielseiten mit dem Webformular haben das gleiche Aussehen wie die Originalseiten. Sie sind also nur sehr schwer als Fälschungen identifizierbar.

Gibt der Kunde dort seine Zugangsdaten ein, greift sie der Betrüger ab und überweist Geld auf sein Konto.

Laut Mitteilung des Bundesamtes für Sicherheit und Informationstechnik werden jede Woche 57.000 neue gefälschte Webseiten ins Netz gestellt. 65 Prozent der gefälschten URLs imitieren dabei die Webseiten großer Banken, rund 25 Prozent die Seiten von Online-Shops und Auktionshäusern. Eine beliebte Vorgehensweise der Kriminellen: Die Betrüger manipulieren die Ergebnisse von Suchmaschinen und platzieren Links zu den gefälschten Webseiten unter den Suchergebnissen. Die Seiten dienen vornehmlich dazu, Schadcode zu verbreiten oder private Daten zu stehlen.

Die einhundert gefährlichsten Webseiten im Netz

Das IT-Sicherheitsunternehmen Symantec [http://safeweb.norton.com/dirtysites] hat die „Top 100 der schmutzigsten Webseiten“ veröffentlicht. Bei den genannten Webseiten genügt bereits der Besuch von einem verwundbaren Rechner, um sich mit Schadcode zu infizieren.

Bei 52 Prozent der Webseiten handle es sich um eigentlich harmlose Webauftritte, die jedoch von Betrügern missbraucht würden, um Schadcode zu verbreiten. Darunter sind zum Beispiel Seiten, die sich mit Rechtsfragen, mit Themen zur Jagd oder zu Catering beschäftigen. Die restlichen 48 Prozent seien Webseiten, die Inhalte für Erwachsene enthielten. 40 der 100 Webseiten sollen nach Angabe der Experten jeweils mehr als 20.000 Bedrohungen enthalten.

Quelle: Newsletter des Bundesamts für Sicherheit in der Informationstechnik v. 03.09.09

Trotz manueller Eingabe der Bankadresse auf Phishing-Seite gelandet

Trojaner, die auf dem PC die hosts-Datei oder DNS-Einträge manipulieren, starten auf infizierten PCs einen DHCP-Server, um auch nicht-infizierte Systeme im gleichen LAN auf die Webseiten der Kriminellen umzuleiten. Anwender, die etwa im Browser die Adresse ihrer Bank manuell eingeben, landen trotzdem auf einer Phishing-Seite. Weitere Informationen über diese Gefahr finden Sie bei www.heise.de

Datenabgriff mit Vishing

Das Wort ist Vishing ist abgeleitet von „VoIP-Telefoni“. Betrüger rufen automatisiert über Internettelefon zahlreiche Telefonnummer an. Unter verschiedenen Vorwänden, z.B. im Auftrag Ihrer Bank, versuchen sie, persönliche Daten sowie Kontodaten zu bekommen.

Rufen Sie bei einer Bandansage ihrer Bank nicht auf der genannten Nummer zurück, sondern informieren Sie sich direkt und persönlich bei der nächst gelegenen Zweigstelle, ob das geschilderte Problem überhaupt vorhanden ist.

Vorsicht auch vor Mails z.B. angeblich von Ihrer Bank, die Sie auffordern, eine bestimmte Telefonnummer anzurufen. Auch hier wird per Bandansage versucht, an Ihre Kontodaten zu gelangen.

Drive-by Downloads

Schon das bloße Ansehen kann den Rechner infizieren, z.B. über manipulierte Werbebanner.

Statt Massen von Phishing-Mails zu versenden locken potenzielle Opfer zunächst auf eine harmlos erscheinende Website. Dort wird eines von mehreren Scripten aktiv, das eine Sicherheitslücke im benutzten Web-Browser ausnutzt, um Malware von einem weiteren Server einzuschleusen. Da dies ohne die Mitarbeit des Benutzers geschieht, spricht man auch von „Drive-by“ Downloads. Während der PC-Nutzer bereits zu einer anderen Website weiter gezogen ist, werkelt auf seinem PC im Hintergrund die eingeschleuste Malware.

Sie setzt zunächst das Windows Sicherheitscenter außer Gefecht, manipuliert Registry-Einträge und lädt ein weiteres Trojanisches Pferd. Dann löscht sich das Download-Programm selbst und gibt die Kontrolle an das Trojanische Pferd weiter. Dieses ermittelt mit Hilfe von Javascript anhand der IP-Adresse den Standort (Land und Stadt) des verseuchten Rechners und meldet diese Daten an einen Server der Täter. Dann lädt es zwei weitere Schädlinge herunter und verschwindet.

Diese installieren mehrere Key-Logger unterschiedlichen Typs. Während der eine Bildschirmfotos anfertigt, sobald eine Web-Seite die Eingabe von Zugangsdaten erfordert, ist ein anderer als Browser Helper Object (BHO) im Internet Explorer aktiv und fängt Eingaben ab. Neben dem Online-Bezahldienst eGold sind zum Beispiel die Banking-Seiten der Deutschen Bank und der Postbank Ziele dieses Programms. Ein dritter Key-Logger zeichnet alle Tastatureingaben sowie die besuchten URLs während einer Web-Sitzung auf.

Als ob das noch nicht genug wäre, wird auch noch ein Backdoor-Programm installiert, das den Tätern den Zugriff auf den verseuchten PC über das Internet ermöglicht. Es startet zudem noch einen lokalen Web-Server. (Quelle: PC-Welt online v. 29.05.07)

Finanzagenten gewinnen, die Masche mit der Fehlbuchung

Es gibt nicht genügend Personen, die ihr Konto anderen als Finanzagent zur Verfügung stellen. Da haben sich die Betrüge eine neue Masche ausgedacht. Hier nur ein Fall:

Die Täter veränderten die Daten einer Onlineüberweisung eines 30-jährigen Mannes aus Niederbayern so, dass der überwiesene Betrag in Höhe von ca. 3.000 Euro auf ein Konto einer dem Opfer völlig unbekannten Firma geleitet wurde. Der Inhaber der Firma erhielt einen Anruf von einem vermutlichen Finanzagenten, ihm wurde mitgeteilt, dass fälschlicherweise eine Überweisung auf sein Konto getätigt wurde. Er wurde gebeten, den Betrag per Western Union nach Tadschikistan weiter zu leiten, dieser Bitte kam er nach. (Quelle: Polizeipresse Bayern v. 18.06.09)

Phishing mit Flash-Animationen

Phisher nutzen neue Methode, um an die Daten ihrer Opfer zu kommen. Dabei werden Log-In-Daten nicht mehr über manipulierte HTML-Formulare abgefragt, sondern über Flash-Animationen. Der Vorteil für die Betrüger: die gängigen Anti-Phishing-Programme können die Flash-Seite nicht als Phishing-Formular identifizieren und warnen den Nutzer somit nicht vor dem Betrug.

Das BSI für Bürger rät dazu, beim Online-Banking die URL immer manuell einzutippen und keine Links anzuklicken. Zudem empfiehlt das Amt, die Darstellung von Aktiven Inhalten und damit auch von Flash-Animationen zu deaktivieren. Bis die Browser und Sicherheitslösungen sich an das neue Betrugsverfahren angepasst haben, sollten Anwender, um sich zu schützen, Module wie „FlashBlock“ für den Firefox installieren. Diese verhindern, dass Flash-Filme und Elemente ohne Zutun des Anwenders starten. Informationen zu Aktiven Inhalten finden Sie unter ww.bsi-fuer-buerger.de( Quelle: Newsletter www.buerger-cert.de v. 04.01.07).

Schreibe einen Kommentar