12.11.2007
12.11.2007
Phishingmails: - ein Klick auf den Link und du wirst auf eine nachgestellte Seite entführt - Postbank, Volksbank, Deutsche Bank waren auch schon dran .... absolut notwendig: ein aktueller Virenscanschutz!! - niemals solchen fremden Links folgen - immer das Ziel (webadresse) selbst bestimmen!
demnächst vielleicht bei : Banken starten neues Bezahlverfahren für den Internet-Einkauf
SPIEGEL ONLINE - 28. Juni 2006, 12:24
URL: http://www.spiegel.de/netzwelt/technologie/0,1518,424043,00.html
Verhaftungen
In einer international koordinierten Aktion ist es der britischen Polizei gelungen, eine Gruppe krimineller Virenschreiber zu fassen. Der Fall wirft ein Schlaglicht auf die Umtriebe internationaler Banden, die mittels Trojanern Wirtschaftsspionage betreiben - und virtuelle Attacken organisieren.
"Bot" kommt von "Robot", und in der Welt des Internets bezeichnet man damit (oder mit dem Begriff Zombie) einen Rechner, der ohne das Wissen seines Besitzers ferngesteuert wird. Zu so genannten Botnetzen, verbunden lässt sich so eine Menge Schaden anrichten: Die Rechner werden genutzt, um sensible Finanz- und Firmendaten abzufischen, Spam-Wellen auf den Weg zu schicken, aber auch, um andere Unternehmen über das Web anzugreifen.
Vor wenigen Jahren noch waren es vor allem jugendliche Cyber-Vandalen, die sich solche Späßchen erlaubten. Inzwischen ist das alles kein Spaß mehr, wie die Verhaftung dreier Virenschreiber in England, Schottland und Finnland Anfang der Woche zeigt. Zwei der drei Verhafteten gehören zur so genannten m00p-Gruppe, die unter anderem Industriespionage und Spam-Versand betreibt. Der dritte, ein 63-jähriger Engländer, gehörte wahrscheinlich zum Kundenkreis und hatte wohl Dienstleistungen des m00p-Botnetzes gemietet, um Spams zu versenden und persönliche Daten von Virenopfern zu kaufen.
Per Spam attackierte m00p Firmennetzwerke und verband erfolgreich infizierte Rechner zu Botnetzen. Der Zugriff auf die über etliche Länder verteilt operierende Gruppe gelang in einer zwischen finnischen und britischen Fahndern koordinierten Aktion.
Der Fall erlaubt einmal mehr einen Einblick in die seltsame Welt so genannter Cyberkrimineller. m00p gilt als seit Jahren aktive Gruppe, die eine ganze Abfolge erfolgreicher Trojaner-Viren auf den Weg schickte. Ihre Trojaner kontrollierten die befallenen Bot-Rechner via IRC-Befehlen, ihre Viren neueren Datums - eine pikante Fußnote - nutzten dabei jenes Sicherheitsleck, welches durch das Sony-BMG-Rootkit erzeugt worden war, das die Plattenfirma als Kopierschutz von Audio-CDs genutzt hatte.
Das Geschäft von Gruppen wie m00p ist nach Auskunft der beteiligten Fahnder einerseits Spionage, andererseits aber auch Erpressung: Solche Gruppen attackieren gezielt Firmen und fordern Schutzgelder als Preis für die Einstellung der Attacken. Besonders bizarr ist dabei der Konkurrenzkampf der Virengruppen, von dem das offenbar lukrative Geschäft begleitet ist.
So soll m00p gezielt die Viren und Botnetze anderer Gruppen übernommen haben. Einer der von m00p in die Welt gesetzten Trojaner soll so Rechner, die von den Viren Zobot und Rbot befallen waren, übernommen haben: Diese Viren stammten von der konkurrierenden Virenschreiber-Gang OX90.
pat
19.07.2005
10:20
Verbraucherschützer schlagen wegen Betrugs bei Online-Banking Alarm "Bei den Sicherheitsproblemen müssen wir uns fragen, ob man den Zahlungsverkehr via Internet überhaupt noch empfehlen kann."
In immer kürzeren Intervallen schwappen E-Mails aus neuen Phishing-Wellen in die Mailboxen von Internet-Nutzern. Die aktuelle Welle an gefälschten E-Mails, die leichtgläubigen Anwendern PINs und TANs abnehmen will, gibt vor, von der Stadtsparkasse München zu stammen. Aber auch Kunden anderer Banken sollen getäuscht werden. Inzwischen scheinen die Betrüger mehrere Banken parallel anzugehen. So sind derzeitig E-Mails vorgeblich von der Sparkasse, Postbank und auch wieder der Deutschen Bank unterwegs.
Des weiteren spült es auch wieder eine neue Variante des Rechnungs-Trojaners[1] in die Postfächer. Eine vorgeblich von der Telekom stammende Mail präsentiert die aktuelle Telekom-Rechnung. Ein voreiliger Klick auf den Dateianhang rechnung.pdf.exe startet ein Trojanisches Pferd, das zunächst Schutz-Software außer Gefecht setzt und dann diversen Unrat aus dem Netz nachlädt. Nach Tests von AV-Test[2] erkennen die meisten Scanner die aktuelle Variante noch nicht.
Auffällig ist, dass die Texte der gefälschten Mails nahezu unverändert bleiben. Vor allem die Phishing-Versuche lenken noch durch sprachliche Grausamkeiten die Aufmerksamkeit auf sich. Wer also unerschrocken trotz der extrem fehlerbehafteten Mail-Inhalte sowie der nicht minder verworrenen Texte der Zielseiten an ein ehrliches Begehren der Bank glaubt, sollte sich noch einmal folgende allgemeingültige Tipps zu Gemüte führen:
URL dieses Artikels:
http://www.heise.de/newsticker/meldung/61826
Links in diesem Artikel:
[1] http://www.heise.de/security/news/meldung/59415
[2] http://av-test.de
[3] http://www.heise.de/security/news/meldung/60345
[4] http://www.heise.de/security/news/meldung/57159
[5] mailto:dmk@ct.heise.de
iTAN-Verfahren unsicherer als von Banken behauptet
Phishing-Welle
Phishing-Betrügereien kommen in Wellen: Mit Spam-Mechanismen verschicken die Bauernfänger Millionen von E-Mails, um zumeist Bankkunden aufs Glatteis zu führen. Meistens erkennt man die Lockbriefe an ihrer hirnlos krummen Grammatik.
Das Rezept ist einfach: Man nehme das Logo einer großen Bank, pappe es an den
Kopf einer E-Mail und fabuliere darunter irgendeine wilde Geschichte über Betrug
und Sicherheitsmechanismen und dass es nun höchste Zeit wäre für den Kunden,
schnellstens auf das angefügte Link zu klicken, um dort persönliche Angaben,
PIN- und TAN-Nummern zu hinterlassen. Mitunter hat die Masche sogar Erfolg, was
dafür sorgt, dass die Phishing-Welle so schnell nicht abebbt: Weil der Versand
von E-Mail-Spam sehr wenig kostet, rechnet sich der Aufwand schon bei sehr
geringen Erfolgsquoten.
Also dürfen wir alle uns darauf einrichten, weiterhin regelmäßig Mails zu
bekommen, die angeblich von der Postbank, der Dresdner Bank, der Deutschen,
Commerz oder sonstwas-Bank stammen: Aktuell ist es die Citibank, die angeblich
ihre Kunden mit solchen Mails beglückt.
Das tut sie natürlich so wenig wie jede andere Bank. Kein Unternehmen in
Deutschland fragt sicherheitsrelevante Daten per E-Mail, Link und Webseite ab.
Und keine Bank, die etwas auf sich hält, belustigt ihre Kunden mit Sätzen wie
"Da zur Zeit die Betrügereien mit den Bankkonten von unseren Kundschaften öfters
geworden sind, sind wir gezwungen, eine zusätzliche Autorisation von den Konten
unserer Bankkunden vorzunehmen".
Zum Glück also klingen die meisten Phishing-Mails noch immer reichlich dämlich,
doch das allein reicht nicht, um Spreu (Betrugsmails) von Weizen (echten Briefen
an den Kunden) zu scheiden.
Grundsätzlich gilt: Wirklich wichtige Dinge meldet kein Unternehmen allein per
E-Mail-Rundbrief. Wer sicher gehen will, sieht auf der Webseite des Unternehmens
nach, folgt aber nie einem per E-Mail zugesandten Link.
Das ist noch nicht einmal "aus Neugier" ratsam: Der Klick auf das Link kann dem
Spammer bestätigen, dass die von ihm verwendete E-Mailadresse echt und aktiv
ist. Der neugierige Blick auf die Betrugsseite kann also dazu führen, dass man
künftig noch mehr E-Mail-Müll zugeschickt bekommt.
So also geht man mit Phishing-Mails um: Lesen, lachen, löschen.
http://a-i3.org/index.php?option=com_frontpage&Itemid=1
http://de.wikipedia.org/wiki/Phishing
siehe dort weitere Infos
Phishing ist eine Form des Trickbetruges mit Methoden des Social Engineerings. Es ist der Oberbegriff für illegale Versuche, weitgestreut Anwendern Zugangsdaten (Loginnamen plus Passwörter) für sicherheitsrelevante Bereiche zu entlocken. Phishing ist eine Variante des Identitätsdiebstahls. Rechtlich gesehen bewegen sich die Täter außerhalb der Legalität und sind oft der organisierten Kriminalität zuzuordnen.
Die Bezeichnung Phishing leitet sich vom Fischen (engl.: fishing) nach persönlichen Daten ab. Die Ersetzung von F durch Ph ist dabei eine im Insider-Jargon (Leetspeak) häufig verwendete Verfremdung. Es könnte unter Umständen sein, dass der Ausdruck auch auf password harvesting fishing zurückführbar ist.
Gängige Ziele von Phishing-Attacken sind Zugangsdaten für Banken (Onlinebanking), Versandhäuser, Internet-Auktionshäuser, webbasierende Onlineberatungen oder Kontaktportale. Durch anschließenden Mißbrauch der gestohlenen Zugangsdaten (Diebstahl von Geld, Verkauf gestohlener Waren unter falschem Namen, Mißbrauch persönlicher Daten u.v.a.) kann den Opfern viel Schaden zugefügt werden.
Eine weiterentwickelte Form des klassischen Phishing ist das Pharming .
Gängige Methoden
Die folgenden Beschreibung bezieht sich auf den gängigen Ablauf einer Phishing Attacke. Die Phishing-Methoden werden ständig variiert. Auch andere Szenarien sind grundsätzlich denkbar.
Im Allgemeinen ist eine Phishing-Attacke mit einer gezielten personenbezogenen E-Mail oder einen Massenversand von E-Mail verbunden. Im Text der E-Mail wird der Empfänger aufgefordert eine Website zu besuchen welche zur Eingabe seiner Zugangsdaten auffordert. Folgt er dieser Aufforderung gelangen seine Zugangsdaten in die Hände der Urheber der Phishing-Attacke.
Der Absender einer Phishing-E-Mail ist immer gefälscht. In der E-Mail wird versucht dem Empfänger glaubhaft zu machen es wäre eine Nachricht zum Beispiel der Bank. Aus einem wichtigen Grunde sei es dringend erforderlich, daß der Kunde sich auf der Website der Bank einloggt. Dazu stellt die E-Mail einen Link zur Verfügung welche den Anwender zur Login-Seite der Bank führt. Allerdings führt der Link nicht zur Bank sondern zu einer gefälschten Website, welche der Bank täuschend echt nachempfunden ist. Gibt der Anwender seine Zugangsdaten ein werden diese im nächsten Moment an die Urheber weitergeleitet. Was dann folgt dient nur noch dazu nachträgliches Mißtrauen seitens des Anwenders zu zerstreuen. Eine kurze Bestätigung oder eine falsche Fehlermeldung. Analog wird verfahren, um an persönliche Daten ausgewählter Nutzer zu kommen z.B. bei Versandhäusern, Internet-Auktionshäusern, Onlineberatungen und Kontaktportalen.
Eine andere Variante besteht darin ein Formular direkt innerhalb einer HTML-E-Mail einzubinden, welches zur Eingabe der genannten Daten auffordert und diese an die Urheber sendet. Auf eine gefälschte Website wird hierbei verzichtet.
Methoden der Verschleierung
Die Mails erwecken den Eindruck, dass sie von einer vertrauenswürdigen Stelle stammen und sind meist seriös aufgemacht. Der Empfänger wird in dieser E-Mail beispielsweise gebeten seine Bankzugangsdaten zu überprüfen – und soll diese zu diesem Zweck noch einmal in einem Webformular eintippen. Dazu wird zum einen versucht das wahre Linkziel in der E-Mail (gefälsche Website) zu verbergen, zum anderen wird versucht zu verbergen, daß sich der Anwender auf einer gefälschten Website befindet.
Die folgenden Beispiele beschreiben nur gängige Methoden und haben keinen Anspruch auf Vollständigkeit. Jederzeit können neue Tricks und Methoden auftauchen. Auch werden Sicherheitslücken von E-Mail-Programmen und Web-Browsern genutzt.
1. E-Mail: Die E-Mail wird als HTML-E-Mail (Eine E-Mail mit den grafischen Möglichkeiten von Web-Seiten) verfasst. Der Linktext zeigt die Originaladresse an während das unsichtbare Linkziel auf die Adresse der gefälschten Website verweist.
Mit der Einbindung von HTML kann der in der Mail angezeigt Link http://www.roemerbank.de/ * tatsächlich auf eine ganz andere Webseite verweisen. Zwar lässt sich, wenn man die Maus über dem Link positioniert, in der Statuszeile des Browsers/E-Mail-Clients ersehen, dass der eigentlich Link auf eine andere Webseite verweist. Allerdings können auch diese Angaben über bestimmte Techniken manipuliert werden.
Oder der Link wird als Grafik dargestellt. Auf dem Bildschirm des Anwenders erscheint zwar Text, dieser ist allerdings eine Grafik.
2. Website: Die gefälschten Ziel-Seiten haben meistens gefälschte Namen oder Bezeichnungen, die ähnlich klingen wie die offiziellen Seiten oder Firmen, auf die Bezug genommen wird. Die Zielseiten mit dem Webformular haben das gleiche Aussehen wie die Originalseiten – sie sind also nur sehr schwer als Fälschungen identifizierbar. Im allgemeinen kennt der Anwender die original URLs (Internet Seitenadressen, z.B. seiner Bank). Die Adresszeile des Web-Browsers verrät wenn er sich nicht auf der Original-Website befindet.
Eine Adresszeile der Form z.B.: http://217.257.123.67/security/ * verrät eindeutig, daß man sich nicht auf den Seiten einer Bank befindet. Deshalb werden oft Domainnamen (Internet Adressnamen) benutzt die den Bankadressen ähneln. Z.B. http://www.security-beispielbank.de/ *
Seit jüngerer Zeit gibt es die Möglichkeit Umlaute in URLs zu verwenden. Daraus resultierend auch neue Möglichkeiten der Adress-Namensverfälschung. Beispielsweise könnte eine Originaladresse lauten http://www.roemerbank.de (Bank frei erfunden) und als Fälschung http://www.römerbank.de * Die zwei Namen sind technisch unterschiedlich und können zu völlig unterschiedlichen Websites führen.
Noch schwerer zu erkennen ist die Verwendung von kyrillischen Buchstaben anstelle von Umlauten. Das kyrillische 'a' unterscheidet sich optisch in keiner Weise vom lateinischen 'a'. http://www.beispielbank.de/ * Wenn das 'a' in "bank" kyrillisch dargestellt wird, ist die Adresse unterschiedlich, und somit falsch. Allerdings die Adresszeile des Browsers zeigt keinen (!) Unterschied zur Original Bankadresse. Diese Methode ist selbst für Experten erst bei genauerem Hinsehen zu durchschauen.
Es wurden schon Trojaner entdeckt welche gezielt Manipulationen an der "hosts"-Datei des Betriebssystems vornahmen. Mit der Konsequenz, daß die Original Website der Bank (z.B.) von einem derart manipulierten System nicht mehr erreichbar ist. Es kann nur noch die gefälschte Website aufgerufen werden, selbst wenn die Adresse korrekt eingegeben wurde.
* Beispiele frei erfunden
Erkennung und Schutz
Ganz allgemein gilt: Banken und Versicherungen versenden keine Aufforderungen per E-Mail, Zugangsdaten einzugeben -- auch nicht telefonisch. Am allerwenigsten fragen sie nach TANs (Transaktionsnummer, Transaktionspasswörter zur einmaligen Verwendung beim Onlinebanking). Finanzdienstleister senden Ihnen bei sicherheitsrelevanten Fragen Briefe und Einschreiben via gelber Post bzw. man bittet Sie persönlich in der Filiale vorbeizukommen.
URLs und E-Mail-Absenderadressen können gefälscht werden und sind nicht vertrauenswürdig. Rufen Sie niemals die Websites sicherheitsrelevanter Dienste über einen Link aus einer unaufgefordert zugesandten E-Mail auf.
Geben Sie die URL zum Onlinebanking immer von Hand in die Adresszeile des Browsers ein oder benutzen Sie im Browser gespeicherte Favoriten bzw. Lesezeichen, die Sie zuvor sorgfältig angelegt haben. Noch sicherer ist es vorher ein neues Browserfenster zu öffnen.
Seien Sie mißtrauisch wenn Sie unaufgefordert auf sicherheitsrelevante Bereiche angesprochen werden. Fragen sie bei den Diensten nach wenn Sie unsicher sind. Derartige Rückfragen liefern den Betreibern der betroffenen Dienste meist erst den Hinweis, daß eine Phishing-Attacke gegen ihre Kunden läuft.
Meist lassen sich Phishing E-Mails schon an folgenden Merkmalen erkennen.
Dringlichkeit. Es wird aufgefordert schnellstmöglich etwas
durchzuführen. Oft eine 'Sicherheitsüberprüfung', 'Verifikation',
'Freischaltung'. Alles mögliche was wichtig klingt.
Ein Link
Eine Drohung. Es wird angedroht, bei Nichtbeachtung würde ein Zugang gesperrt
oder gelöscht. Irgend etwas schlimmes oder lästiges.
Keine persönliche Anrede. Nur eine allgemeine Anrede wie "Sehr geehrter
Kunde,.." oder "Sehr geehrters soundso-Mitglied".
Rechtschreib- und Grammatikfehler im Text. Beipielsweise ae anstatt ä oder
falsche Synonyme, welche nicht gebräuchlich sind (beipielsweise Eintasten
anstatt eingeben), etc..
E-Mails welche diese Merkmale aufweisen können getrost ignoriert und gelöscht
werden.
Ist man Opfer einer Phishingmail geworden sollte unverzüglich das betreffende Dienstleistungsunternehmen (i.A. Bank, Sparkasse, Versandhaus, Onlineberatung , Kontaktportal) informiert und die örtliche Kriminalpolizei eingeschaltet werden. Die gefälschte E-Mail sollte ebenfalls gespeichert und weitergeleitet werden. Sofern noch selbständig möglich, sollte man seine Passworte (PINs) unverzüglich ändern, wodurch die gestohlenen Originalpassworte für die Diebe unbrauchbar werden.
so sehen Phishingmails aus - ein Klick auf den Link und du wirst auf eine nachgestellte Seite entführt - Postbank, Volksbank, Deutsche Bank waren auch schon dran .... absolut notwendig: ein aktueller Virenscanschutz!! - niemals solchen fremden Links folgen - immer das Ziel (webadresse) selbst bestimmen!
Beispiele
oder
Schnüffel-Software
An Hunderte von neugierigen Internetnutzern hat ein Mann Schnüffelsoftware verkauft, mit der andere Rechner ausspioniert werden konnten. Die schickten Vertrauliches an einen Zentralcomputer, etwa E-Mails und Seitenaufrufe. Dem Mann droht jetzt eine lange Haftstrafe.
Der Spion kam, wie es bei Spionen so üblich ist, in Verkleidung: Als
elektronische Grußkarte war "Loverspy" aufgemacht, geschmückt mit Bildern von
süßen Hündchen und Blumen. Wurde der elektronische Gruß geöffnet, begann er
sogleich E-Mails und besuchte Webseiten zu speichern - und an den Hersteller des
Programms, eine in San Diego ansässige Firma, weiterzuleiten. Die stellte sie
dann wiederum den zahlungsbereiten Kunden zu verfügung. Für 89 Dollar kamen die
so an privateste Informationen.
"Es wurde als Methode verkauft, untreue Liebhaber zu erwischen", erklärte ein
Staatsanwalt, der jetzt an der Anklage gegen den Schöpfer der Software
"Loverspy" beteiligt war. Jetzt wird der 25 Jahre alte Carlos Enrique P.-M.
beschuldigt, ein geheimes Überwachungsprogramm hergestellt, verschickt und
beworben zu haben, und damit unberechtigt in Computer eingedrungen zu sein. 35
Einzelfälle umfasst die Anklage, für jede einzelne Anklage könnten P.-M. bis zu
fünf Jahre Haft oder Geldstrafen bis hin zu 250.000 Dollar drohen.
Auch von P.-M.'s Kunden wurden mindestens vier angeklagt, sich illegal Zugang zu
Computern verschafft zu haben. Einige weitere Verfahren sollen in anderen
US-Staaten angestrengt worden sein. Die meisten Käufer von "Loverspy" kamen
somit glimpflich davon - denn insgesamt wurde die Software nach Informationen
des FBI weltweit über 1000 mal verkauft, bevor P.-M.'s Firma im Oktober 2003 von
der Bundespolizei geschlossen wurde.
Die Zeitung "Union-Tribune" aus San Diego zitiert ein anonyme Internetnutzerin,
die Opfer von "Loverspy" wurde: "Ich wusste nicht, dass das auf meinem Computer
ist, bis das FBI Kontakt mit mir aufnahm". Sie wurde offenbar von einer Frau
ausgespäht, die sie eines Verhältnisses mit ihrem Gatten verdächtigte. Zu
unrecht, wie die Geschädigte betont: "Ich bin ihm nie begegnet. Ich wusste gar
nicht, wer er war." Weil sie aber Verständnis für die Eifersüchtige gehabt habe,
als sie Kontakt mit ihr aufnahm, habe sich eine lose E-Mail-Freundschaft
entwickelt. Bis die neue Freundin ihr "Loverspy" auf den Hals hetzte: "Sie
schickte mir die Grußkarte im Netz über E-Mail und so kam sie in meinen
Computer. Sie hatte Zugriff auf alles."
Ralf Grötker 06.09.2005
Post von der Postbank! Schon wieder Betrügereien mit den Bankkonten. Deshalb bitte schnell: den Spezial-Link aufsuchen, zusätzliche Online-Registrierungsformulare ausfüllen, PIN- und TAN-Nummern eingeben... Wie viele ahnungslose Bankkunden wohl wirklich auf diesen dummdreisten Trick hereinfallen? Seit Sommer vergangenen Jahres machen die so genannten "Phishing-Mails" (für: Passwort Harvesting Fishing) in Deutschland die Runde (vgl. Aufrüstung der Cyber-Kriminellen (1)). In den USA tauchten erste Phishing-Mails bereits 1996 auf. Insgesamt, so schätzt (2) Christoper Abad vom Spam-Filter Betreiber Cloudmark (3), sind jede größere Bank und ihre Kunden heute täglich mehr als 250.000 Phishing-Versuchen ausgesetzt.
Wer hinter dieser Betrugsmaschinerie steckt? "Organisierte Kriminalität", vermuten sowohl die Polizei (4) wie auch Postbank-Pressesprecher Joachim Strunk. Von "Zahlungen nach Osteuropa" und "Hintermännern in Russland" ist in Polizeiberichten(vgl. (5)) die Rede.
... der schüttelt die Pflaumen, der hebt sie auf, ....
Christoper Abads soeben im Internet-Magazin "First Monday" erschiene Studie (6) "The economy of phishing. A survey of the operations of the phishings market" zeigt, dass dies ein Irrtum ist. Nicht mafiöse Verbindungen und Bandenstrukturen stehen hinter dem Phänomen Phishing Mails, sondern Netzwerke, die durch nicht mehr als das Gesetz von Angebot und Nachfrage zusammengehalten werden.
Der eine hat die Listen mit den Emailadressen, andere sammeln die Daten ein und wieder andere schaffen den Zugang zu den Konten der geprellten Bankkunden: Für jeden einzelnen Schritt einer Phishing-Attacke finden sich im Netz Experten. Spezielle Dienstleistungen, erbeutete persönliche Daten und Passwörter und natürlich Geld sind die Währungen, die in diesem Kreislauf ausgetauscht werden.
Biete/Suche
Emails und Webseiten, auf welche die Phishing-Opfer durch Links in der Email geleitet werden, müssen oft nicht einmal neu gebaut werden. Existierendes Material wird immer weiter verwendet. Informationen über mit Trojanern infizierte Computer, die für Phishing-Attacken empfänglich sind, gibt es günstig bei Hackern zu kaufen. Nur für ausgefeiltere Lösungen werden eigens Experten angeheuert.
Bestimmt aber wird das Marktgeschehen von denjenigen, die am Ende die Daten zu Geld machen: den Cashern. Meist auf Kommissionsbasis (sie streichen 70 Prozent des Gewinnes ein), bieten sie ihre Dienste in Chaträumen an – so wie in dieser Anzeige von jemandem mit dem Namen "Supercash" in dem Chat-Kanal "cctradez":
I can cashoutWashington Mutual , Key bank , Money access , HouselHold, CitizensBank, Mellon Bank, Sky Bank, BankNorth , Zip Network , Commerce Bank, PNC bank (443071) , Regions Bank , Banknorth , Bank One (478200), Capital One (517805 , 529149, 493422, 412174) PEOPLE'S BANK , Bank Of America (440893 , 549105, 550535), The Hungtington National Bank , JAPAN , MBNA (549035, 426429, 549198), Republic Bank
In Chaträumen, so Christopher Abad, werden auch alle anderen Geschäfte geschlossen. Mittels einer Software (7) zur Visualisierung von sozialen Netzwerken hat er die Chaträume mehrer größerer IRC-Server untersucht. Bereits die Spitznamen der Teilnehmer und die Titel der Chats brachten ihn auf die richtige Spur, um Phishing-relevante Beziehungen zwischen einzelnen Chaträumen und Verbindungsdaten zwischen involvierten Teilnehmern herauszuarbeiten. Foren mit Namen wie "cctradez", "cccards", "creditcard" oder "check-card" bilden die Haupt-Knotenpunkte im Netzwerk. Das Resultat der Bemühungen ist eine Analyse von 3.900.000 Phishing Emails, 220.000 Mitteilungen aus dreizehn verschiedenen in Phishing involvierten Chäträumen, 48.000 Chattern und 4.400 mit Trojanern infizierten Rechnern – dargestellt als Grafik (8).
In den Chaträumen werden Kreditkartendaten mit allem drum und dran – inklusive der PIN-Nummer für den Bankautomaten - mit bis zu 100 US-Dollar gehandelt. Die Casherum wieder beauftragen diejenigen, die am Ende das Geld vom Konto räumen. Ein in den USA übliches (wenn auch nicht immer ganz einfaches) Verfahren ist es, die Daten auf Bankautomatkarten zu überspielen und direkt Bares zu erbeuten. Ein anderes Geschäftsmodell basiert auf Identitätsdiebstahl. So werden die erbeuteten Daten zum Beispiel verwendet, um bei unter falschem Namen betrügerische Ebay-Auktionen anzubieten.
"Finanzverwalter"
In Deutschland ist ein weiteres Verfahren beobachtet worden. So wurden kürzlich über die Internetseite Anica24 (9) Mitarbeiter gesucht, welche als "Finanzverwalter" über ihre privaten Konten Geld annehmen und, gegen Provision, weiterleiten (10) sollten. Bei den Geldern handelte es sich jedoch um Phishing-Gelder direkt von den Konten der Opfer (vgl. Knast für Dich! (11)).
Wer sich bei einem solchen Geschäft erwischen lässt, kann leicht Pech haben. Banken setzen nämlich alles daran , den Schaden aus dem Phishing-Betrug nicht aus eigener Tasche begleichen zu müssen. In diesem Fall haben sie es einfach. Die "Finanzverwalter" müssen die Beutesumme zurückerstatten – selbst wenn sie diese, abzüglich der Provision, längst wie vereinbart weiter überwiesen haben. Noch einfacher können Banken sich ihr Geld zurückholen, wenn es ins Ausland überwiesen wird. Dann nämlich, so Postbank-Pressesprecher, hat die Bank die Möglichkeit, den Auftrag einfach zurückzuhalten.
Wie viele Kunden bereits Opfer eines Phishing-Betrugs geworden sind, darüber kann weder das BSI (12) Auskunft geben, noch die Postbank, die als Marktführer im Bereich des Online-Banking mehr als andere von den als Kundenanschreiben getarnten Emails betroffen ist. Lediglich auf die geringe Anzahl der bei der Bonner Staatsanwaltschaft in Sachen Phishing laufenden Verfahren weist der Postbank-Sprecher gerne hin: fünf sollen es sein. Der Markt für Phishing-Betrug scheint in Deutschland noch ausbaufähig zu sein.
(1) http://www.telepolis.de/r4/artikel/18/18805/1.html
(2) http://www.firstmonday.org/issues/issue10_9/abad/
(3) http://www.cloudmark.com
(4)
http://www.polizei-beratung.de/vorbeugung/gefahren_im_internet/phishing/erscheinungsformen/
(5) http://www.telepolis.de/r4/artikel/61/61671/1.html
(6) http://www.firstmonday.org/issues/issue10_9/abad/
(7) http://www.jibble.org/piespy
(8) http://www.firstmonday.org/issues/issue10_9/abad/#a2
(9) http://www.anica24.com
(10) http://www.heise.de/newsticker/meldung/61671
(11) http://www.telepolis.de/r4/artikel/20/20310/1.html
(12) http://www.bsi-fuer-buerger.de/abzocker/05_08.htm
Telepolis Artikel-URL: http://www.telepolis.de/r4/artikel/20/20871/1.html
SPIEGEL ONLINE - 14. Oktober 2005, 09:29
URL: http://www.spiegel.de/wirtschaft/0,1518,379533,00.html
Abzocke im Internet
Von Anne Seith
Über 3000 Euro Monatsgehalt für eine selbständige Tätigkeit am heimischen PC - hinter solchen Job-Offerten im Internet stecken häufig sogenannte Phisher. Sie haben gerade ein paar Onlinekunden ausgeplündert und suchen jetzt jemanden, der das Geld für sie ins Ausland schafft.
Hamburg - Das Stellenangebot klang wie Stellenanzeigen eben so klingen: Man
suche einen Speditionskaufmann schrieb die Yun-Yang-Group auf ihrer
Internetseite. "Flexibilität, ein überdurchschnittliches Engagement und eine
hohe Belastbarkeit" seien Grundvoraussetzungen. Hubert Dittmann, seit einigen
Monaten arbeitslos und in Geldnöten, klickte sich durch den durchaus
ansehnlichen Internetauftritt des vermeintlichen Hongkonger Im- und
Export-Unternehmens, bewarb sich online und wurde ausgewählt "aus einem sehr
großen Bewerberkreis", wie es in der Zusage hieß.
Der 46-Jährige ist jetzt wieder ohne Job - und um 5700 Euro ärmer. Als ersten
und letzten Auftrag hatte Herr Yun Yang persönlich Dittmann um eine
Schnell-Überweisung gebeten: Aufgrund eines Notfalls möge er doch bitte über
sein privates Onlinekonto bei der Postbank Geld von Kunden nach Estland weiter
überweisen. Tatsächlich transferierte Dittmann Geld, das sogenannte Phisher von
fremden Online-Konten abgezweigt hatten.
Dittmann gehört als Arbeitsloser zur neuen Zielgruppe der Online-Gauner. Die
Idee ist schlicht aber clever: Über das Internet werden Jobs als Vertreter für
Putzmittelhersteller, russische Partnervermittlungen oder Im- und
Export-Unternehmen gesucht. Tatsächlich werden die Geworbenen als Geldwäscher
benutzt.
Dabei gehen die Betrüger offenbar immer professioneller vor. Hubert Dittmann
wurde ein Arbeitsvertrag zugemailt, den sogar ein Hamburger Anwalt als
akzeptabel durchgehen ließ. Dazu bekam der frisch gebackene
"Deutschland-Repräsentant" - der ein Monatsgehalt von über 3000 Euro beziehen
sollte - die Kopie eines bereits abgeschlossenen Beispiel-Import-Vertrags für
sibirisches Lärchenholz.
"Das schien mir alles so weit in Ordnung", sagt Dittmann immer wieder als er
seine Geschichte erzählt. Er hat den inzwischen verschwunden Internetauftritt
der Yun-Yang-Group Seite für Seite ausgedruckt, und blättert kopfschüttelnd
durch den Stapel. Produktreichweite, Märkte und die Geschäftssparten der
vermeintlichen Firma werden dort beschrieben.
Auch die E-Mails, in denen sein neuer Arbeitgeber ihn um die Schnellüberweisung
nach Estland bat, hat er dabei: "Unser Vertreter in Estland hatte heute einen
Autounfall und liegt bewusstlos in einem Krankenhaus. (...) Seine Mitarbeiter
haben leider keine Vollmacht über das Firmenkonto, müssen aber an die Beamten in
Estland 'bestimmte' Gebühren entrichten."
Ohne pünktliche Schmiergeldzahlungen gehe in Estland nichts - die deutschen
Kunden seien deshalb bereits informiert und würden ihr Geld an Dittmann
transferieren. "Natürlich habe ich da Fracksausen gekriegt", sagt Dittmann. Aber
als dann tatsächlich von verschiedenen Konten Geld eintrudelte, sei er beruhigt
gewesen. Inzwischen wurde das Geld von der Postbank zurückgebucht, weil die
vermeintlichen Yun-Yang-Kunden Opfer von Phishing-Attacken waren und Anzeige
erstattet hatten. In Estland sind die 5700 Euro natürlich längst abgeholt und
die Postbank wird Dittmann nichts ersetzen.
Tan-Liste aufs Faxgerät gelegt
"Da gibt es auch keine Gnade vor Recht", erklärt Jürgen Ebert, Pressesprecher
der Postbank. "Wenn mich jemand auf der Straße anspricht und mich bittet, ein
dickes Geldbündel für ihn zu transportieren - das würde auch niemand machen." Im
Internet ließen manche Kunden grundlegende Sicherheitsmaßnahmen außer Acht. So
erkläre sich auch, dass trotz zahlreicher Informationskampagnen Phisher immer
noch Erfolg hätten.
Die Menschen müssten misstrauischer werden, findet auch der Berliner
Kriminalkommissar Jochen Kunisch. "Phishing-Mails werden leider immer noch oft
beantwortet." Dabei fordere keine Bank ihre Kunden auf, ihre Pin- und
Tan-Nummern - also die für das Internet-Banking nötige persönliche
Identifikations- und die Transaktionsnummer - per E-Mail preiszugeben. Einige
Opfer hätten ihre Tan-Liste, aus der sie für jedes Online-Geschäft eine
auswählen, nach dem Anruf eines vermeintlichen Bankmitarbeiters sogar per Fax
verschickt.
Doch auch wer seine Bankdaten für sich behält, ist vor Phishern nicht sicher.
Über sogenannte
Trojaner, die auf der Festplatte des Bankkunden installiert werden, schicken
Online-Räuber den Kunden auf eine falsche Bankseite und fischen so bei einer
fingierten Transaktion die wertvollen Zahlenkombinationen ab.
Häufig schickten die Betrüger dafür gefälschte Telekom- oder Ebay-Rechnungen,
die horrende Summen anzeigten, warnt Kripo-Mann Kunisch. Erschreckt klickten
viele Empfänger auf die angehängten Dateien - und machten den Gangstern so den
Weg zu ihrer Festplatte frei. So ist es nicht verwunderlich, dass Berliner
Kriminalbeamte von einer Welle neuer Phishing-Attacken sprechen. Im Juni wurden
in der Hauptstadt 40 Fälle bearbeitet, mittlerweile sind es schon 250. Auch in
Frankfurt berichtet die Polizei von immer neuen Anzeigen.
Als Reaktion auf die Phishing-Feldzüge warten Banken derzeit mit neuen
Tan-Variationen auf. Die Postbank führt seit kurzem den indizierten Tan ein,
viele andere Institute wollen nachziehen. Das Prinzip: Der Kunde wählt die
Transaktionsnummer nicht mehr frei aus einer Liste, sondern die Bank fordert
eine bestimmte Nummer der Serie. Alternativ können Kunden auch Tans für jedes
Bankgeschäft zugeschickt bekommen - je nach Institut werden sie per SMS
geschickt oder sie erscheinen auf einem kleinen Extra-Gerät.
"Vielleicht lieber verzichten"
Computerexperten überzeugen auch solche mobilen Tans nicht. Phisher könnten sich
einfach zwischen das Kreditinstitut und den Kunden zwischenschalten, sagt etwa
Andreas Rieke, Geschäftsführer der ISL Internet Sicherheitslösungen GmbH. "Dann
brauchen sie die Tan gar nicht. Stattdessen ändern sie einfach die
Zielkontonummer für die Überweisung." Auch eine gesicherte SSL-Verbindung zur
Bank brechen, sei "kinderleicht". Entsprechende Software gebe es im Netz.
"Wenn ich als Kunde nicht ganz sicher bin, dass mein Computer sauber ist, sollte
ich vielleicht lieber auf Online-Banking verzichten", erklärt auch Andreas Lamm,
Geschäftsführer der Sicherheitsfirma Kaspersky Lab in Deutschland. Lediglich das
Homebanking über HBCI (Homebanking Computer Interface) mit Chipkarte biete
halbwegs Sicherheit, glauben beide Experten. Dabei werden die Bankdaten über ein
Lesegerät verschlüsselt, und erst dann an die Bank geschickt. "Außerdem wird
nicht nur der Kunde authentifiziert, sondern auch die Bank", erklärt Rieke.
Das Verfahren wird bereits von manchen Banken angeboten - aber die Kunden zeigen
wenig Begeisterung. Viele wollten nicht auf den Computer zu Hause, wo das
Lesegerät steht, beschränkt sein, erklärt Postbank-Sprecher Ebert. "Statistiken
zeigen, dass die meisten Leute um 9 und um 17 Uhr auf ihr Konto zugreifen - also
wenn sie im Büro sind." Viele scheuten auch die Zusatzkosten für das Lesegerät -
das rund 40 Euro kostet. Wenn im nächsten Jahr verschiedene Signaturkarten wie
die Gesundheitskarte eingeführt werden, könnte sich das vielleicht ändern,
glaubt Ebert.
"Aber auch das Pin/Tan-Verfahren ist sicher", beharrt der Pressesprecher. Dabei
gehe er freilich davon aus, dass die Kunden einen aktualisierten Browser
benutzten und ihr Virenschutzprogramm täglich aktualisierten.
Zum Thema:
| Zum Thema im Internet: |
|
Unendliche Geschichte
Und ewig kassiert der Dialer
Von Marc Störing
Seit sich Dialer-Anbieter zertifizieren lassen müssen, scheint das Problem unmäßiger Abzocke per Internetverbindung gelöst. Ein Trugschluss, denn kassiert wird weiterhin: entweder in noch immer gierigen Maßen - oder per Trickserei. Mit "IP-Payment" könnte die nächste Betrugswelle anrollen.
Es war einmal ... das Internet. Endlose Weiten und die Frage, wie man den Kunden für kleinere Dienstleistungen zur Kasse bitten könnte.
 |
|
Dialerfenster: Wer "Ja" tippt, stellt die
Internet-Verbindung auf eine teurere Leitung um
|
Zum Thema:
| Zum Thema im Internet: |
|
da wundert es mich nicht das täglich leute auf phising mails
reinfallen.
Bis zu einem drittel aller threads hier werden von
verhaltensauffälligen
wirrköpfen gemacht, auch da wundert mich der überproportionale erfolg
der phisher
in DE nicht. Seit PISA weiss es jeder wir sind dümmer als die anderen
europäer und der nachwuchs ist zu dumm einen eimer wasser umzutreten.
Wenn auf zwei leute mit IQ > 130 acht kommen die den typischen IQ
eines BILdungsbürgers haben liegt der schnitte eben unter 100. Und
100 ist schon ziemlich arm.
sorry
fridolin
http://www.heise.de/newsticker/foren/go.shtml?read=1&msg_id=9647987&forum_id=90693
13. Januar 2006 19:36
Eigentlich ist es recht einfach, Phising-Mails zu erkennen, zumindest
bisher.
Wie bei Falschgeld gibt es spezifische Merkmale:
1) Plenken
"Ihre Bank ! Dringend !"
"Sie freundlichst überweisen wollen ."
2) Deppen-Apostroph
"Sparkassen's Meldung"
"City'Bank"
3) Klempen
"Ist dringend!Und wichtig,wirklich .!"
4) Deppenleerzeichen
"Stadt Spar Kasse"
"Sicherheits Feature"
5) Multiple Satzzeichen
"Sie dringen überweisen müssen!!!"
6) Rechtschreibung
"Unser Sicherheits-Standart"
"Deutscher Bank 24"
7) Anti-Germanismen
"Sie müssen einsetzen die TAN here:"
Mit anderen Worten: Auffälliges Deppendeutsch.
Hierauf sollten doch wirklich nur Deppen hereinfallen.
PS: Auch im heise-Forum erkennt man Deppenbeiträge an diesen
untrüglichen Kennzeichen! :-)
http://www.heise.de/newsticker/foren/go.shtml?read=1&msg_id=9647675&forum_id=90693
13. Januar 2006 18:51
> Verbraucher, die sich durch E-Mails von Betrügern auf
> gefälschte Internet-Seiten lotsen lassen und dort ihre
> Daten eingeben, könnte Fahrlässigkeit vorgeworfen werden.
Das ist vollkommener Quark.
Die Fahrlässigkeit liegt auf Seiten der Banken. Der Anwender ist ja
offensichtlich überfordert, die Richigkeit des Online-Banking zu
erfassen, also kann man ihm hier keine Fahrlässigkeit vorwerfen. Vor
allem dann nicht, wenn die Zahl der Betrugsfälle derart steigt wie
momentan sollte eigentlich jedem klar sein, dass hier die Banken
fahrlässig ihren Kunden eine Technik zur Verfügung gestellt haben,
die aus reiner Geldgier(!) nicht korrekt umgesetzt wurde.
Die Banken können sich auch nicht herausreden, das ganze käme
überraschend. OK, Phishing habe ich nicht vorausgesehen, aber
konkret habe ich eine Bank um 1998 herum gewarnt, dass einfachste
Taschenspielertricks jedes Online-Banking aushebeln kann, das nicht
durch entsprechende Zusatzhardware gesichert ist.
Diese Hardware muss autark vom Rechner sein und autark den Vorgang
beschreiben.
Ja, selbst mTAN-Verfahren sind nicht sicher. Hier ein Beispiel:
"Hurrah, Sie haben Gewonnen! Wir überweisen Ihnen jetzt und sofort
100 EUR auf Ihr Konto wenn Sie ein Konto bei einer deutschen Bank
haben!"
In der weiteren Erklärung steht da: "Sie müssen sich nur auf ihre
Bank einloggen, und die Funktion 'Gewinnabruf' verwenden."
Nett, denkt der Kunde, ruft sein Online-Banking via Bookmark auf,
prüft das Schloss, alles OK, geht mit der PIN hinein, und siehe da,
tatsächlich taucht ein solcher Link auf. Der Kunde klickt auf den
Link, ja, Schloss immer noch OK, sieht einen Überweisungsträger, auf
dem er als Empfänger steht, gibt unten seine mTAN ein, und schickt
die Überweisung ab.
Der Kunde guckt auf seinen Kontostand, ah, da ist die Überweisung ja,
super, 100 EUR reicher.
Mitnichten. Das Browser-Plugin, das sich gerade in den Browser
geschummelt hat, und das das "Gewonnen" beim Gewinnspiel auslöste,
hat lediglich ein paar Seiten-Tags umgestellt.
Aus einer Überweisung auf das Konto wurde so eine Überweisung vom
Konto, einfach indem Absender und Empfänger umgedreht wurden.
Aus dem Minus auf dem Konto wurde so durch geringe Veränderungen ein
Plus gemacht, so dass es ihm nicht sofort auffällt. Das Plugin ist
auch weiter aktiv, nur wenn er dann irgendwann die Kontoauszüge
prüft, dann wird es ihm auffallen.
Bis dahin können Millionen auf diese Weise erbeutet werden.
Ja, kritische Menschen können erkennen, dass man für eine Überweisung
zu sich selber eigentlich keine TAN braucht. Dass ein Gewinnspiel
derart Quatsch ist.
Aber die meisten Menschen sind nicht kritisch. Sie können lernen,
aber sobald sie etwas neues sehen, gibt es keinerlei
Transferleistung. Somit ist das für sie neu, unbekannt, und die
erlernten Verhalten *erleichtern* den Betrügern sogar, Dumme zu
finden, da diese Vorgehensweisen ein total falsches Gefühl der
Sicherheit bei den Opfern erzeugen.
Aus sicherheitstechnischer Sicht ist das, was bei den Banken gerade
abläuft, nämlich den Kunden auf Offensichtlichkeiten zu trimmen die
überhaupt keine Relevanz haben nur um ihm ggf. Fahrlässigkeit
vorwerfen zu können, kontraproduktiv bis betrügerisch zu bezeichnen.
Ein externer Kartenleser aber, der ein Display hat, kann überhaupt
sicher sein.
Der Vorgang sollte in Farbe angezeigt werden, am besten bei
Überweisungen rot hinterlegt, bei Gutschriften/Lastschriften grün,
und bei sonstigen Dingen weiß. Die Bestätigung wird durch eine TAN
auslöst, die alle Teile der Transaktion erfasst. Und das Gerät darf
nicht ohne Schraubenziehereinsatz (der ein Siegel bricht) flashbar
sein.
Die Technik ist da. Sie ist nicht einmal teuer. Die Banken setzen
sie aus reiner Geldgier aber nicht ein. (Die Kunden würden den
Banken etwas husten, wenn sie für den Kartenleser Geld berappen
müssten!)
Das ist schlichtweg grobe Fahrlässigkeit der Banken, nicht die der
Kunden.
Nochmals, all das ist mindestens seit 1998 bekannt, denn damals
sprach ich mit einer Bank, und sie bestätigte mir, dass das mit der
Manipulationsunsicherheit des Online-Bankings im Bankenverband
bereits längst bekannt sei!
-Tino
http://www.heise.de/newsticker/foren/go.shtml?read=1&msg_id=9647327&forum_id=90693
Erfolg mit Honeypot
Spammer, die das Internet mit millionenfach verbreiteten Werbemüll-Mails verschmutzen, gelten als die Schmeißfliegen des eCommerce. In San Diego steht nun ein besonders fettes Exemplar vor Gericht - auch dank eines deutschen Web-Unternehmens, das weiß, wie man Schmeißfliegen fängt.
Spammer sind immer auf der Suche nach günstigen Möglichkeiten zur massenhaften anonymen Verbreitung ihrer Werbepest. So hat sich wohl auch ein Spammer aus West Bloomfield bei Detroit gefreut, als er im Netz einen "Open Proxy" fand - einen Server, über den man anonyme Mails mit gefälschten Absendern verbreiten kann. Da ahnte er aber noch nicht, dass es sich um eine Falle handelte, ausgelegt vom deutschen Internet-Unternehmen Schlund + Partner.
"Wir haben in Karlsruhe einen Server-Cluster eingerichtet, der als eine Art
Fliegenfalle für Spammer funktioniert", erklärt Firmensprecher Michael Frenzel.
Nach außen erscheint dieser Internet-Rechner wie ein offener Proxy: Solche
speziellen Computer für die Zwischenspeicherung von Internet-Daten teilen den
Empfängern nur die eigene IP-Adresse mit, nicht aber die Adresse des Computers,
von dem sie die Daten erhalten haben.
Im Internet finden sich oft solche Proxy-Server, die nachlässig konfiguriert
wurden und deswegen als offene Proxys von Spammern für den Transport ihrer Mails
missbraucht werden. Der Schlund-Entwickler Anders Henke programmierte eine
Anwendung, die einen solchen fehlerhaft eingerichteten Proxy-Server simuliert,
die Mails aber nicht weiterbefördert.
"Die dort eingetroffenen Mails werden nicht ausgeliefert, sondern gespeichert
und geerdet", sagt Frenzel. Das Internet-Unternehmen hat die "Fliegenfalle" für
Spammer schon Anfang 2003 eingerichtet - bis Anfang dieser Woche gingen dort in
drei Jahren mehr als 4,125 Milliarden E-Mails ein. "An einem Tag waren das
zuletzt mehr als zehn Millionen E-Mails", sagt Frenzel. "Am Freitag war ein
Absender aus China besonders aktiv, der 1,3 Gigabyte an Spam-Mail eingeworfen
hat."
Erster "Can-Spam"-Prozess"
Schlund nutzt diesen Spezial-Server für Forschungszwecke, um etwa die eigenen
Spam-Filter zu verbessern. In besonders heftigen Einzelfällen werden die Daten
aber auch an die Behörden weitergegeben. Dazu gehörte auch der Fall, der in
dieser Woche in Detroit vor Gericht steht - dabei kommt zum ersten Mal das seit
Anfang 2004 geltende CAN-Spam-Gesetz (Controlling the Assault of Non-Solicited
Pornography and Marketing Act) zum Einsatz.
Nachdem ein deutsches Gericht die Weitergabe der Daten genehmigt hatte, wurde
den Ermittlern bei der US-Postbehörde (U.S. Postal Inspection Service) eine
Fülle von Informationen übergeben. Von Ende 2003 bis Anfang 2004 schickte der
Absender aus West Bloomfield nach Angaben Frenzels mehr als fünf Millionen
Spam-Mails an den Karlsruher Server. Darin ging es meist um "die Vergrößerung
von Extremitäten und zweifelhafte Diät-Pillen". Obwohl der Spammer
unterschiedliche Absenderadressen verwendete, konnten die Mail-Eingänge aufgrund
der IP-Adressen eindeutig dem Angeklagten zugeordnet werden.
Während die über Karlsruhe geschickten Mails dort abgeblockt wurden, fand der
Spammer andere Proxy-Rechner, die die Massenwerbung wie gewünscht zu ihren
Empfängern brachten. Bei der für die Wirtschaftsaufsicht in den USA zuständigen
Federal Trade Commission (FTC) gingen von Januar bis April 2004 mehr als 490.000
Hinweise von Verbrauchern ein, die sich über die aufdringlichen Mails des
Spammers aus Detroit beschwerten.
Offenbar unter dem Druck der Beweislast schloss der Angeklagte einen Deal mit
den Staatsanwälten und kündigte nach Angaben seines Anwalts Juan Mateo an, dass
er sich für schuldig bekennen werde. Zusammen mit anderen Anklagepunkten wie dem
Besitz einer nicht gemeldeten Schusswaffe muss er jetzt mit einer Haftstrafe von
zwei bis vier Jahren und neun Monaten rechnen.
Auf Spam entfallen nach einem FTC-Bericht vom Dezember 2005 zwar immer noch rund
zwei Drittel aller E-Mails. Es gibt aber Hinweise, dass die Menge an
unverlangten Werbe-Mails im vergangenen Jahr zumindest nicht weiter gestiegen
ist. Auf Dauer wird sich das zeit- und damit auch kostenspielige Ärgernis aber
nur dann abschaffen lassen, wenn das offene Mail-Protokoll SMTP so erneuert
wird, dass eine Identitätskontrolle des Absenders eingebaut wird.
Peter Zschunke, AP
Online-Kriminalität
Der britische Student, der eine Million Dollar verdiente, indem er einzelne Pixel auf seiner Webseite als Werbefläche verkaufte, ist Opfer eines Verbrechens geworden. Erpresser legten seine Seite mit einer verteilten Attacke lahm, weil er kein Lösegeld zahlen wollte.
Alex Tew ist im Netz eine kleine Berühmtheit - und zwar wegen seiner Dreistigkeit. Der britische Student war der Erste, der die Idee hatte, einzelne Pixel auf seiner Webseite als Werbefläche zu verkaufen. Er nannte die Seite "Million Dollar Homepage" und konnte Anfang 2006 tatsächlich verkünden, er habe die Millionengrenze geknackt - innerhalb von vier Monaten.
So viel Erfolg mit so wenig Aufwand lockt nicht nur
Nachahmer an, sondern auch Neider. Am 7. Januar habe Tew eine E-Mail mit der
wenig höflichen Aufforderung bekommen, schleunigst 5000 US-Dollar auf ein
bestimmtes Konto einzuzahlen, wie die BBC berichtet. Andernfalls werde seine
Webseite aus dem Netz gekegelt, mit Hilfe einer massiven verteilten
Denial-Of-Service-Attacke (DDOS). Dabei wird eine Seite von sehr vielen Rechnern
gleichzeitig immer wieder aufgerufen, bis der Server unter der Last
zusammenbricht.
Tew beantwortete die E-Mail nicht, weil er "denen nicht die Befriedigung
verschaffen wollte, und auch definitiv nicht vorhatte, denen Geld zu zahlen",
wie er der BBC sagte. Sowohl das FBI als auch die britische Polizei wurde von
dem Erpressungsversuch in Kenntnis gesetzt.
Eine erste Frist, die die Erpresser Tew gesetzt hatten, verstrich, ohne dass
etwas geschah. Dann bekam er weitere Mails, in denen die geforderte Summe erhöht
wurde, bis die Erpresser schließlich 50.000 Dollar von ihm verlangten.
Das Webhosting-Unternehmen, bei dem Tew seine Seite betreibt, versuchte sich an
einer vorsorglichen Abwehrmaßnahme - aber ohne Erfolg. Mit einer massiven
DDOS-Attacke zwangen die Erpresser Tews Seite schließlich in die Knie. Die
britische Polizei vermute die Täter in Russland, sagte der inzwischen reiche
Student.
Mittlerweile ist die Seite wieder online, dank der Hilfe einer von mehreren
US-Firmen, die auf die Abwehr solcher Attacken spezialisiert sind, und die
böswilligen Seitenanfragen aus dem Traffic herausfiltern.
Der Fall ist nur einer von vielen, in denen Kriminelle mit solchen Drohungen
Geld von Seitenbetreibern erpressen. Besonders bei Unternehmen, die mit
E-Business ihr Geld verdienen, ist die Bereitschaft zu zahlen oft groß. Denn der
Verlust, der ihnen einige Stunden Offline-Zeit einbringt, ist im Zweifelsfall
größer als die Summen, die die Erpresser verlangen.
Die Attacken werden mit oft Tausenden von Computern geführt, ohne dass deren
Besitzer etwas davon ahnen. Mit Würmern oder auf anderem Wege öffnen Böswillige
Hintertüren auf ungeschützten Computern und erlangen so die Kontrolle über sie.
Die so in "Zombies" verwandelten Rechner starten dann auf das Kommando des
Angreifers zu einem bestimmten Zeitpunkt die Attacke, indem sie immer wieder mit
einer Seite Kontakt aufnehmen. Auch große Unternehmen wie Microsoft wurden in
der Vergangenheit schon Opfer solcher DDOS-Attacken.
Zum Thema:
| Zum Thema in SPIEGEL ONLINE: |
|
|||
| Zum Thema im Internet: |
|
StopBadware.org
Der Kampf gegen "Badware" - Programme, die als Ad- oder Spyware Daten der Nutzer erschnüffeln - hat begonnen: Dem US-Handelsministerium liegt eine Petition vor, eine prominente Badware-Firma zu verbieten. Derweil formiert sich im Web eine Gruppe, die Badware-Entwickler outen will - und Microsoft versucht es mit Klagen.
Als sich Ende der Neunziger Jahre abzeichnete, dass Spam, unangefordert zugestellte Werbe-E-Mails, zu einem echten Problem werden würden, dauerte es eine ganze Weile, bis auch Gesetzgeber und Justiz darauf reagierten. Als die Postfächer langsam zugemüllt wurden und der Unmut der Verbraucher wuchs, schaffte es die Lobby der so genannten "Direktwerber" zunächst noch fast überall, Modelle der "Selbstkontrolle" durchzusetzen.
Geschädigte sollten sich lieber bei einer Selbstkontrollinstanz beschweren,
bevor sie gleich Anzeige erstatteten. Dazu wurden in den meisten
Industrienationen Verhaltensregeln definiert, an die sich Direktmailer halten
sollten. Das Ziel: "Gute" von "bösen" Direktwerbern zu scheiden. Am Ausmaß der
Spamflut änderte das herzlich wenig.
Bald schon folgten darum Anti-Spam-Gesetze, die zumindest eine Bestrafung der
Missetäter ermöglichen sollen ("Can-Spam" in den USA, die
"Double-Opt-In"-Direktive in der EU). Die Spam-Welle rollt weiter.
Vielleicht ist es diese Erfahrung, die Netz-Gruppen und Intiativen in ihrem
Kampf gegen Adware gleich stärkere Geschütze auffahren lässt. Am Montag reichte
das renommierte Center for Democracy and Technology CDT beim
US-Handelsministerium eine Petition ein, die darauf drängt, einen der größten
Spyware-Vertreiber zu schließen. Für die CDT ist dies Teil einer Kampagne,
unlautere Adware komplett zu verbieten.
Denn bisher gibt es kein bundesweit geltendes Gesetz gegen die Umtriebe der Spy-
und Adware-Macher. In einzelnen US-Bundesstaaten sieht das anders aus und wird
auch genutzt: Am Mittwoch etwa reichten die Softwarefirma Microsoft und der
US-Staat Washington getrennt voneinander Klagen gegen den Spyware-Produzenten
Secure Computer LLC ein. Die Klage ist die erste, die das 2005 erlassene
Computer-Spyware-Gesetz des Bundesstaates nutzt.
Unter "Badware" versteht man die als Adware oder Spyware bekannten Programme,
die findige Firmen an nützliche andere, kostenlos verteilte Programme koppeln,
um mit ihnen auf Kosten des Nutzers Geld zu machen. Im einfachsten (und oft
legitimen) Fall geht das, indem die dann "Adware" genannte Software dem Nutzer
Werbeangebote unterbreitet als Gegenleistung für die Nutzung eines kostenlosen
Programmes.
Im schlimmsten Fall spioniert Spyware den Nutzer aus, lässt Datenströme
unbekannten Inhaltes über dessen Rechner laufen oder speichert sie dort oder
missbraucht den Rechner beispielsweise für den Versand von Spam oder den Aufbau
von so genannten Bot-Netzen, die vom Eigner der Badware ferngesteurt werden
können. Prinzipiell könnte man einem PC-Nutzer so ziemlich alles nehmen oder
unterschieben: Das reicht vom Abgreifen von Konto- und Kreditkartendaten über
die "Zwischenspeicherung" von möglicherweise illegalen Datenbeständen.
Solche Badware ist oftmals an populäre Programme gekoppelt, und nicht immer ist
heraus zu finden, wofür sie wirklich genutzt wird. Das vielleicht prominenteste
Beispiel der letzten Jahre war die KaZaA-P2P-Software, deren Originalversion mit
Adware gekoppelt war.
Pranger für Schnüffler und Datendiebe
Doch so etwas ist nur so lange erfolgreich, wie man es geheim halten kann -
dachten sich drei prominente Web-Organisationen und launchten am Mittwoch
publikumswirksam die Aktion
"StopBadWare" nebst passender Webseite. Über diese vom Berkman Center, der
Verbraucherschutzorganisation Consumers Union WebWatch und dem Oxford Internet
Institute gegründete Initiative sollen künftig Badware-Macher und -Programme
geoutet werden. Finanziert wird das Ganze von Google, Lenovo und Sun
Microsystems.
Noch hat dieser virtuelle Pranger weniger Informationen zu bieten als andere
Verzeichnisse im Web (siehe Linkverzeichnis). Das könnte sich aber schnell
ändern: StopBadWare.org ruft PC-Nutzer dazu auf, ihre persönlichen
Horrogeschichten zu übermitteln und will so nicht nur Programme namentlich
erfassen und outen, sondern auch Beschreibungen erarbeiten, anhand derer Badware
zu identifizieren ist, die hinter einem nicht geklärten Fehlverhalten des
Rechners steht.
So oder so dürfte die Initiative für Aufmerksamkeit für das Thema sorgen, und
darauf kommt es mehr an, als auf bloße gesetzliche Vorgaben: Anders als in den
USA verfügt Deutschland mit den Paragraphen 202a und 303b des Strafgesetzbuches
bereits über Gesetze, mit denen sich Badware effektiv bekämpfen lässt. Das
Badware-Problem ist darum in Deutschland nicht kleiner als in anderen Ländern:
laut Virenschutz.info finden sich auf nahezu einem Drittel aller Rechner in
Unternehmen Badware-Programme. Irgendein Schnüffelprogramm findet sich auch in
mehr als 90 Prozent der Scans von Privatrechnern.
Darum ist so ein Scan auch für Privatanwender oft ein Schock: Mit kostenlosen
Programmen wie Ad-Aware oder Spybot lassen sich die meisten (zumindest aber die
kommerziell eingesetzten) Badware-Programme aufspüren und isolieren.
Badware-Erkennung gehört dagegen bei vielen Virenschutzprogrammen noch immer
nicht zum Leistungsspektrum.
Zum Thema:
| Zum Thema im Internet: |
|
Handys und Konsolen
PC-Viren gibt es immer mehr, doch sie verursachen immer weniger Schäden. Die Viren-produzierenden Chaoten orientieren sich um: Handys und Spielekonsolen, berichten IT-Sicherheitsunternehmen, werden immer öfter Ziel von Attacken.
Die Zeit weltweiter Computerviren-Epidemien geht zu Ende, könnte man meinen. Der Antiviren-Spezialist F-Secure hat im zweiten Halbjahr 2005 nur zwei größere Virenausbrüche festgestellt und erkennt einen abnehmenden Trend von Massenangriffen durch so genannte Netzwerkwürmer, also Schadprogramme, sie sich selbst verbreiten.
Die Aussicht auf eine virenfreie Welt haben wir gleichwohl nicht. Vieles
deutet darauf hin, dass sich Virenprogrammierer bereits neue Angriffsziele
suchen. Dazu gehören vor allem moderne Handys, so genannte Smartphones, die
neben den Telefonfunktionen auch abgespeckte Büroanwendungen bieten. Darüber
hinaus könnten Spielkonsolen zum Ziel von Virenattacken werden.
Der Antiviren-Softwarehersteller Kaspersky hat für das vierte Quartal 2005 eine
allmählich steigende Zahl neuer Trojaner für Mobiltelefone festgestellt.
Darunter sei auch das erste Programm zum Diebstahl der Anwenderdaten. Der
Trojaner "Pbstealer" verschafft sich Zugang zum Adressbuch des infizierten
Telefons und verschickt sich über den Kurzstreckenfunk Bluetooth an das erste
zugängliche Gerät.
Außerdem nimmt nach Kaspersky-Einschätzung die Verbreitung von Trojanern mit
doppelter Bestimmung beachtlich zu. Dabei handelt es sich um Schadprogramme, die
gleichzeitig auf die Infizierung eines Telefons und des Computers abzielen, an
den das Telefon angeschlossen wird. Die Mehrheit der Schadprogramme seien
allerdings so genannte Trojaner-Vandalen, berichtet Kaspersky weiter.
Sie zerstörten System-Dateien oder löschten sie schlicht. Neueste Varianten
könnten darüber hinaus Daten blockieren. Die Trojaner-Familie "Cardblock"
installiere ein Passwort für den Zugang zur Wechselspeicherkarte des Telefons.
Werde der Virus auf dem Telefon gelöscht, könne der Anwender nicht mehr auf die
Daten zugreifen.
Auch nach Einschätzung von Symantec-Virenforscher Candid Wüest handelt es sich
bei den mehr als 100 Viren und Würmern für Mobiltelefone nicht mehr allein um so
genannte "Proof of Concept"-Schädlinge, also solche Schädlinge, mit denen die
Autoren nur nachweisen wollen, dass ein System verletzlich ist. Virenschreiber
wollen also inzwischen Daten beschädigen und möglicherweise stehlen. Betroffen
seien vor allem Mobiltelefone mit Symbian-Betriebssystem.
Im vierten Quartal des vergangenen Jahres hat Kaspersky darüber hinaus erste
Viren für Spielkonsolen gefunden. Zum ersten Opfer wurde die Play Station
Portable von Sony. Der auf einigen Webseiten als Spiel getarnte Trojaner löscht
Systemdateien auf dem Gerät und setzt es somit außer Betrieb. Ein zweiter
Trojaner greift den Nintendo DS an. Betroffen waren allerdings keine
Standardgeräte. Es handelte sich nach Angaben des Antiviren-Spezialisten um
geknackte Konsolen, auf denen auch Raubkopien von Spielen laufen.
|
Internet-Betrug
Im bundesweit größten Fall von Internet-Betrug ist Anklage gegen vier Männer erhoben worden. Sie sollen 100.000 Nutzer geschädigt und einen Gesamtschaden von zwölf Millionen Euro angerichtet haben.
Bielefeld - Wie das Bielefelder "Westfalen-Blatt" berichtet, wirft die
Anklage den vier Beschuldigten aus Paderborn, Essen, Mettmann und Riga
(Lettland) bandenmäßigen gewerbsmäßigen Computerbetrug sowie Datenveränderung
vor. Internetnutzern, die unverfänglich wirkende Seiten angeklickt hatten, war
unbemerkt ein Einwählprogramm, ein so genannter Dialer, auf den PC geladen
worden. Laut Staatsanwaltschaft wurden mehr als 100.000 Nutzer geschädigt. Den
Gesamtschaden bezifferte er auf zwölf Millionen Euro.
Das Dialer-Programm veränderte zunächst die Sicherheitseinstellungen des
Computers, stellte dann unbemerkt eine kostenpflichtige 0190-Verbindung her und
löschte sich schließlich selbst. Computerbesitzer schöpften erst Verdacht, als
die Telefonrechnung kam und pro Minute 1,89 Euro fällig wurden. In Einzelfällen
summierten sich die Kosten auf 3000 Euro. Die Osnabrücker Staatsanwaltschaft
geht davon aus, dass etwa 6,5 Millionen Euro auf Auslandskonten der Bande
geflossen sind. "Das Geld ist weg2, sagte der Staatsanwalt.
Gegen zwei lettische Programmierer und einen lettischen Anwalt, der der Bande
geholfen haben soll, laufen derzeit Auslieferungsverfahren. Auch den
Finanzmanager der Bande, der in den USA lebt, will der Staatsanwalt nach
Deutschland holen. Die vier Männer sollen in einem zweiten Prozess vor Gericht
gestellt werden.
har/afp
Sehr geehrter zukünftiger Mitarbeiter!
StepManagement N.V. - ist eine führende Firma auf internationales Gesetz und Geschaftsverfahren. Sie sucht nach den verantwortungsvollen Personen im Bereich der Zustellung, Bedienung, Kundenservice und Bankoperationen.
Zur Zeit haben wir folgende Arbeitsstellen frei: Manager für Transaktionen.
Sie werden die Überweisungen für unsere Gesellschaft bekommem. Sie müssen eine Bankstelle in der Nähe haben, damit Sie jederzeit die Möglichkeit hätten im Laufe von einigen Stunden, die Gelder vom Konto abzuheben. Sie müssen ein Privat-, Arbeitstelefon oder Handy haben, damit wir mit Ihnen unverzüglich den Kontakt aufnehmen können.
Anforderungen:
* Die Möglichkeit haben, Ihr E-mail mehrmals am Tage zu kontrollieren.
* Die Möglichkeit haben, unverzüglich die Briefe zu beantworten.
* Die Möglichkeit haben, bei der Gelegenheit die Überstunden zu machen.
* Verantwortlich und arbeitsam sein.
Wenn Sie für das Amt eignen, so bitten wir Sie hier zu registrieren: Unsere Freien Stellen
Die Registrierung ist gratis!
msg-id: 901190spammail vom 17.01.2006 23:29
14.03.2006
21:09Nach Erkenntnissen der Arbeitsgruppe Identitätsschutz im Internet (A-I3[1]) suchen Phisher derzeit massiv nach Geldwäsche-Helfern, weil sie sich mit betrügerischen E-Mails mehr Geheimnummern "erarbeiten", als sie für Überweisungen von fremden Konten nutzen können. Kontoinhaber sollten keinesfalls Aufträge annehmen, die darin bestehen, Überweisungen anzunehmen und das Geld (meist abzüglich einer verlockenden Provision) weiterzuleiten.
Obacht gilt es daher nicht nur beim Umgang mit Kontoauszügen walten zu lassen, sondern etwa auch bei eBay-Verkäufen: Phisher können sich auf einfache Weise Bankdaten beschaffen, indem sie dort Waren ersteigern. Wenn beim Verkäufer eine extrem überhöhte Bezahlung eingeht, gefolgt von der Bitte, die "versehentliche" Überbezahlung per Western Union oder auf andere Weise in bar zurückzuzahlen, besteht dringender Geldwäsche-Verdacht.
In ihrem Vortrag auf dem Heise-CeBIT-Forum [2] berichteten Christoph Wegener und Dennis Werner von der A-I3 auch von ihren Erfahrungen mit Strafverfolgern und Banken. Ein Besuch durch ermittelnde Beamte stehe einem Geldwäschehelfer bereits wenige Tage nach der betrügerischen Transaktion ins Haus, da die Banken sehr schnell auf Beschwerden Phishing-Geschädigter reagieren. Bisher bevorzugen die Kreditinstitute den Ersatz des Geldes auf dem Wege der Kulanz vor einem möglicherweise riskanten Gerichtsverfahren, das der leichtgläubige und um sein Geld erleichterte Kunde anderenfalls anstrengen könnte.
Auf Leichtgläubigkeit setzen die Phisher auch mit Spam-Mails, die hohe Nebeneinkünfte mit leichter Arbeit versprechen. Dem A-I3 liegen komplette, seriös erscheinende Arbeitsverträge inklusive Urlaubsregelung vor, die lediglich zum Ziel haben, dass der geworbene "Mitarbeiter" Geld überwiesen bekommt und weiterreicht. Derzeit eingehende E-Mails zur Anwerbung von Geldwäschern tragen Betreffzeilen wie "Transaction Manager position.", "Regional Manager", "Sind Sie fertig Ihr Einkommen zu erhöhen?", "Mitarbeiter gesucht! TheTraidingBay 2006" oder einfach nur "hi". Die Absender solcher "Stellenangebote" legen in der Regel insbesondere Wert darauf, dass das Opfer schnell im Internet kommunizieren kann und über ein eigenes Bankkonto verfügt.
(un[3]/iX) (un/iX)URL dieses Artikels:
http://www.heise.de/newsticker/meldung/70836
Links in diesem Artikel:
[1] http://www.phishing-info.de/
[2] http://www.heise.de/veranstaltungen/2006/ho_cebit/programm_15.shtml
[3] mailto:un@ix.heise.de
Online-Banking
Phishing ist eigentlich eine sehr primitive Methode, Online-Banking zu knacken: Ohne die "Mithilfe" des unzureichend informierten Nutzers läuft da gar nichts. Doch der Nutzer ist zunehmend besser informiert. Die Phishing-Mafia hält mit neuen, perfiden Methoden dagegen.
Ein neues Computervirus könnte für die Nutzer von Online-Bankgeschäften gefährlich werden. Das Internetsicherheitsunternehmen Websense Security Labs warnt vor einem sogenannten Trojaner, der PIN- und TAN-Nummern knacken kann.
Sobald eine von mehr als hundert gespeicherten Bank-Websites aufgerufen wird, schaltet sich der Trojaner ein. Daraufhin ruft er jeweils eine andere Phishing-Seite auf, wobei aber in der Adresszeile des Browsers weiterhin die Webadresse der Bank erscheint. Dem Kunden wird so vorgegaukelt, auf der korrekten Seite der Bank zu sein. Werden nun Daten wie PIN- und TAN-Nummern eingegeben, hat der Trojaner seine Aufgabe erfüllt.
Von Nutzen sind solche Daten allerdings nur, wenn sie nicht "verbraucht" werden. Misstrauisch sollten Online-Banking-Kunden darum immer dann werden, wenn während einer Banking-Session die Eingabe mehrerer TAN-Nummern in Folge nicht zu einer Transaktion führt, sondern zu einer Fehlermeldung ("Versuchen Sie es später noch einmal"). Diese Methode wird für viele Hacks genutzt, bei denen Passwörter und Zugangscodes abgefischt werden.
Besonders perfide ist an dem aktuellen Fall, dass das PC-Virus keine Adressen bestimmter Phishing-Seiten gespeichert vorhält, sondern jedes Mal aktuelle Adressen abfragt. Diese erhält es von einem Server in Russland. Das wiederum hat zur Folge, dass neue Adressen auch dann aufgerufen werden können, wenn ein Phishing-Server bereits vom Netz genommen wurde.
Die Sicherheitsfirma rät Bankkunden, ihr Virus-Programm auf den aktuellsten Stand zu bringen. Ein einfaches Erkennungsmerkmal für echte Webseiten ohne "Seitenwechsel" stellt der Web-Browser zur Verfügung: Eine echte, ununterbrochene verschlüsselte Übertragung lässt sich an einem entsprechenden Verschlüsselungssymbol in der Adressezeile erkennen.
Twister (Bettina Winsemann) 07.08.2006
Neue Geschäftsmodelle und alte Fallstricke
Für wenig Arbeit Geld zu bekommen ist verführerisch. Dies haben auch Zeitungen und Firmen erkannt und locken mit Prämien oder einfachen Geschäftsmodellen. Die rechtlichen Fallstricke sind dabei den wenigsten bekannt, die auf solche Angebote eingehen.
Die Wahrscheinlichkeit, dass in dem Päckchen, das man für den "freundlichen Fremden" über die Grenze bringen soll (was er ggf. mit Geld honoriert), sich etwas befindet, was, sollte es entdeckt werden, dem Boten handfeste Probleme beschert, ist hoch. Ein Ansinnen dieser Art würde von den meisten Menschen zurückgewiesen werden, so ihnen nicht die Gefahr egal ist. Es bedarf einer großen Portion Naivität, hier nicht auf die Idee zu kommen, es könne sich um (Drogen-)Schmuggel handeln. Durch etliche in den Nachrichten erschienenen Fälle sowie Kinofilme, welches das Problem mehr oder minder reißerisch behandeln, hat die Aufklärung hier gefruchtet.
Geht es um Geldwäsche, so sieht dies anders aus. Zwar sollten normalerweise die Alarmglocken läuten, wenn der gute Nebenverdienst von Zuhause aus darin besteht, Gelder von unbekannten Empfängern anzunehmen und diese dann, abzüglich eines Eigenanteils für die Dienstleistung, an Western Union zu transferieren, doch dem ist nicht immer so (1).
Neben der sicherlich vorhandenen Gier vieler ist hier die Naivität hoch, wie ein kleines Experiment im Freundeskreis bewies. Von zwanzig angeschriebenen Bekannten wurde die per Mail beworbene Jobchance als "Finanzagent" mit der oben beschriebenen Tätigkeitsbeschreibung zu 75% als "gut", "sehr gut" oder "verlockend" bezeichnet. Lediglich 5 der kontaktierten Bekannten sahen darin etwas Anrüchiges oder erkannten den Zusammenhang mit Phishingmails. Zu erwähnen ist hier, dass es sich bei den Bekannten keineswegs um Neulinge im Internet handelte.
Doch abgesehen von diesem nicht repräsentativen Beispiel ist bei den vorgenannten Fällen mit etwas Überlegung schon der voraussichtlich nicht ganz legale Charakter der Tätigkeit zu erkennen. Anders sieht dies zum Beispiel bei den selbständig tätigen Callcenteragents aus, die von vielen Arbeitgebern gerne eingestellt werden.
Schneller Verdienst mit Handy und Telefonbuch
Durch günstige Telefonflatrates ist es möglich, auch von Zuhause aus den ganzen Tag zu telefonieren ohne sich dafür finanziell zu ruinieren. Dies legt natürlich die Idee nahe, das Callcenter in die eigenen vier Wände zu verlagern.
Eine Idee, die vermehrt auch von Arbeitgebern aufgegriffen wird, so dass der Arbeitssuchende sich schnell in der (Schein)selbständigkeit wiederfindet, so er das Angebot annimmt. "Eine Telefon- oder Handyflatrate und ein Telefonbuch, mehr brauchen Sie nicht", heißt es lapidar, wenn nach der Ausstattung gefragt wird, denn oft werden nicht einmal die beliebten Adressenlisten mitgeliefert.
Der frisch Selbständige macht sich also nichtsahnend an die Arbeit und kann von Glück sagen, wenn er nicht bald eine teure Abmahnung oder eine Klage erhält (vgl. Der Telefon-Agent, der aus der Kälte kommt... (2)). Die Firma, welche meist lediglich ein Subunternehmen eines Subunternehmens ist, wäscht ihre Hände genauso wie derjenige in Unschuld, dessen Produkt angepriesen wird. Leidtragende ist der ahnungslose Neuselbständige, der vom Gesetz gegen Unlauteren Wettbewerb noch nie etwas hörte und lediglich die oftmals zitierte Meinung "wer nicht angerufen werden will, soll sich kein Telefon anschaffen" verinnerlicht hat.
Die Ahnungslosigkeit hinsichtlich der Kaltaquiseproblematik wird durch gut gemeinte Ratschläge wie "Holen Sie sich eine Handyflatrate, dann wird das Telefonieren supergünstig", noch verstärkt, denn in diesem Ratschlag liegt bereits ein Fehler. Wer nämlich die Allgemeinen Geschäftsbedingungen zur oftmals angepriesenen Handyflatrate "Base" des Anbieters E-Plus studiert, dem fällt auf, dass eine gewerbliche Nutzung der Handyflatrate von E-Plus genauso verboten wird wie die Übersendung von unverlangten Werbesendungen und sonstigen belästigenden Nachrichten, wie man einen Cold Call durchaus interpretieren kann.
Weiterhin dürfen keine Rechte Dritter durch die Nutzung der Flatrate verletzt werden. Dennoch wird die Nutzung eben dieser Flatrate zum privaten Telemarketing von einigen Arbeitgebern direkt empfohlen - auch hier bleibt der Leidtragende derjenige, der leichtgläubig den Empfehlungen vertraut. Er wäre der Erste, der nicht nur für den Mobilfunkbetreiber sondern auch für die Angerufenen greifbar, was im Zuge einer Klage sogar zur Privatinsolvenz führen kann.
Zeigt her eure Fotos
Auch die BILD hat mit ihrer Foto-Aktion etliche Menschen dazu ermuntern können, sich auf Fotosafari zu bewegen. 500 Euro wurden als Belohnung für die Bilder geboten, welche BILD besonders geeignet für die Veröffentlichung fand. Obgleich die Nachwuchspaparazzis erfuhren, dass die eingesandten Bilder noch redaktionell überprüft würden, fand keinerlei Aufklärung in Bezug auf Privatsphäre oder das Recht am eigenen Bild statt, im Gegenteil, es wurde zu Bildern aufgerufen (3), welche schnell eben diese Rechte tangieren:
Blitzte für Sekunden der Busen eines prominenten Stars unter der Bluse hervor?
Wurden Sie Zeuge eines Großbrandes oder eines Unfalls?
Nicht verwunderlich ist es, dass bereits die ersten Unterlassungsklagen in Bezug auf die Fotoaktion gab. Der Fußballer David Odonkor fühlte sich angesichts der Menge der neu- und selbsternannten Paparazzi gar an "1984" erinnert und klagte gegen die Veröffentlichung der Bilder, auf denen er urinierend auf einem Parkplatz zu sehen war. Nicht klar ist den meisten der Fotografen, dass nicht nur die BILD hier zur Verantwortung gezogen werden kann, sondern auch derjenige, der das Bild geschossen hat. Die zu erwartenden Strafen dürften die von BILD gezahlten 500 Euro bei weitem übersteigen.
Blogger im Dienste der Zeitung
Ähnliches spielt sich momentan im Bereich des Bloggens ab. Vielversprechende Blogger werden hierbei von Zeitungen angeworben und erfahren so größere Bekanntheit - das Gehalt ist niedrig oder besteht lediglich aus einer Aufwandsentschädigung. Eine Aufklärung über die grundlegenden Aspekte des Bloggens, die es zu beachten gilt, findet nicht statt.
Bedenkt man die diversen Urteile zur Forenhaftung in den letzten Monaten stellt sich automatisch die Frage, inwiefern dann die Redaktionen für die Blogeinträge bzw. die von den Bloggern freigeschalteten Kommentare haftbar sind und was den Blogger erwartet, der ohne Vorkenntnisse Rechte Dritter verletzt. Da keinerlei schriftliche Verträge bestehen, die über Rechte und Pflichten aufklären, ist für den Blogger diese Tätigkeit eigentlich ein Vabanquespiel, ohne dass ihm dies klar ist.
Geiz ist geil/Jeder kann mitmachen
Neben der rechtlichen Problematik ergibt sich durch die zunehmende "Einbindung" privater Blogger, Fotografen, Callcenteragents etc. für diejenigen, die bisher dieser Tätigkeit für eine bessere Bezahlung nachkamen, automatisch nicht nur ein Leistungs-, sondern auch ein Gehaltsdruck. In den ohnehin schrumpfenden Redaktionen vieler Zeitungen ist die Idee, die Bevölkerung einzubinden, längst auf offene Ohren gestoßen.
So bedarf es keiner teuren Verträge um stets aktuell zu sein und diejenigen, deren Photos oder Texte veröffentlicht werden, haben neben einer Einmalzahlung noch den Stolz auf die "15 Minuten Ruhm" oder mehr. Neben den Gehältern wird aber letztlich auch die Qualität der journalistischen Beiträge sinken, wenn sie nach und nach von immer mehr Laien getätigt werden, welche lediglich den Ruhm und das Geld im Vordergrund sehen und sich nicht die Mühe der Recherche machen. Von gesellschaftlichen Folgen eines "Zuerst das Foto machen"-Denkens bei Unfällen etc. sei hier gar nicht erst gesprochen.
Die euphemistisch als "Lesernähe" und "Einbindung" bezeichnete Idee, Risiko und Arbeit zu kleinen Preisen auf Private auszulagern, ist somit nur ein weiteres Beispiel dafür, wie die "Geiz ist geil"-Mentalität in Unternehmen weiter gepflegt wird und letztendlich zu geringerer Qualität und weniger Arbeitsplätzen führt. Denn warum einen ständigen Berichterstatter einstellen, wenn doch der "nette Blogger von Nebenan" dies gerne für ein bisschen Bekanntheit übernimmt - oft auch darauf hoffend, diese Bekanntheit könne ihm beruflich hilfreich sein.
Eine trügerische Hoffnung, denn er ist in diesen Metier keineswegs allein und hilft tatkräftig mit, die Preise zu drücken. Dafür begibt er sich dann auch freiwillig in rechtliche Gefahr - oft genug ohne dies zu wissen. Für die Arbeitgeber somit durchaus eine praktische Entwicklung: freie Mitarbeiter, die das volle Risiko tragen und dafür nur ein schmales Gehalt bekommen.
(1) http://www.heise.de/security/news/meldung/75899
(2) http://www.telepolis.de/r4/artikel/22/22439/1.html
(3) http://www.bildblog.de/?p=1552
Telepolis Artikel-URL: http://www.telepolis.de/r4/artikel/23/23234/1.html
Wolf-Dieter Roth 14.08.2006
Mit "Phishing" wird der Versuch bezeichnet – meist über E-Mails mit gefälschten Absenderdaten und Links zu ebenso gefälschten Websites –, direkt an Bank- oder Kundenkonten des Opfers zu kommen. Da wird dann beispielsweise behauptet, es habe einen Wasserrohrbruch gegeben, dabei seien Datenbanken beschädigt worden und deshalb solle man nun seine Daten kontrollieren und gegebenenfalls ergänzen – wozu natürlich erst mal das eigene geheime Passwort einzugeben ist.
Mittlerweile erhält ein durchschnittlicher Internetbenutzer drei bis vier solche Betrugs-E-Mails am Tag, statt der spektakulären Wasserrohrbrüche der Anfangszeit wird heute meist nur mitgeteilt, das Sicherheitssystem der Bank solle verbessert werden oder der "Kunde" müsse sich neu identifizieren. Nur absolute Internetneulinge fallen noch auf die immer gleichen, radebrechenden E-Mails herein – doch dies sind bereits genug, dass sich die Betrügerei weiterhin lohnt.
Ist man also so blöd, geht der Betrüger mit den gesammelten Daten auf die echte Website der Bank oder des Online-Shops und räumt dort ab. Dies ist die Online-Variante des alten Tricks, vor der Bank einen gefälschten Geldautomaten aufzustellen, der nach Eingabe der PIN die EC-Karte einbehält. Der Betrüger nimmt dann gespeicherte PIN und EC-Karte und kassiert selbst ab.
Und in diesem Fall gibt es meist keine Möglichkeit, sein Geld wiederzubekommen – schließlich weiß ja jeder, dass er seine Passwörter nicht weitergeben darf, und die Bank trifft keine Schuld. Man sollte deshalb nie auf Links in Mails klicken und dort irgendwelche Daten eintippen, sondern die Site der Bank oder des Shops nur manuell aufrufen. Am besten per Bookmark.
Soweit die Theorie. Die Praxis sieht leider ganz anders aus. Schuld daran haben die juristischen Auseinandersetzungen der letzten Jahre und auch die Banken selbst.
Immer wieder unnötig verkrüppelt: Das DNS
Die ursprüngliche Konzeption des Domain-Name-Systems (1), so wie es die "dummen Techniker" erdacht hatten, gestand jedem Unternehmen ebenso wie jeder Universität oder jedem Internetprovider genau eine Domain zu: compuserve.com, citybank.com, stanford.edu und so weiter. Für verschiedene Firmenbereiche gab es dann ja die Möglichkeit unabhängiger Unterverzeichnisse oder Subdomains unter der Hauptdomain, beispielsweise in der Form www.citybank.com/homebanking/hbci oder besser als sogenannte Third Level Domain homebanking.citybank.com/hbci einzurichten. Damit war auch klar: Alles, was citybank.com enthält, gehört zur Citybank.
Doch dann kamen die Marketingtypen, die meinten, dieses System mit Unterverzeichnissen sei Technikergetüddel und alles müsse direkt im Root des Servers unter einer eigenen unabhängigen Internetadresse liegen – etwas anderes sei dem Besucher nicht zuzumuten. Also wurden nun auch Domains der Art citybankhomebanking.com registriert, damit der Kunde nur noch "www.citybankhomebanking.com" eintippen musste – und dabei teils auch noch www und com sowie die Punkte weglassen konnte. Und weil das immer noch etwas lang ist, schnappte man sich gleich homebanking.com – oder registermyaccount.com und accountonline.com (2).
So findet sich das (fiktive) Produkt "Muemmelchips" nun auch nicht mehr nur unter der absolut logischen, doch marketingtechnisch als unwürdig betrachteten Adresse www.firma.de/muemmelchips, sondern auch direkt unter www.muemmelchips.de, obwohl auch muemmelchips.kekse.firma.de oder muemmelchips.wdr.de möglich und marketingtechnisch sogar effektiver gewesen wären. Eine bekannte, doch verwirrende Verwendung einer Third Level Domain ist dagegen Focus online, das von www.focus.de (3) sofort auf focus.msn.de (4) weiterleitet und sich so nach den Regeln des Domain Name Systems als Produkt des Hauses Microsoft und nicht etwa Burda darstellt oder zumindest signalisiert, dass man bei Microsoft hosten lässt. Inzwischen hat man eine erklärende Zeile "Focus online in Kooperation mit MSN Homepage" eingefügt. Microsoft selbst macht es dagegen mit de.msn.com (5) für die deutsche MSN-Version richtig, ebenso wie die deutsche Wikipedia unter de.wikipedia.org (6) zu finden ist.
Dass hier dann jeweils noch die eigentlich überflüssigen www.msn.de (7) und www.wikipedia.de (8) als Weiterleitungen registriert sind, ist akzeptabel, da diese Schreibweise durchaus zu erwarten wäre. Mit einer eigenen Hauptdomain für jedes Produkt und jeden Dienst eines Hauses wird der Adressraum dagegen künstlich verknappt, die Verwechslungsfähigkeit und die Möglichkeit, andere Domains deshalb anzugreifen, erhöht – und auch die Möglichkeit des Phishing: Heute denkt sich niemand mehr etwas dabei, wenn er als Kunde der Citybank plötzlich eine E-Mail von accountmanagement@citybanksecurity.com bekommt und auf www.citybanksecurity.com geschickt wird, um dort seine PIN und TAN fürs Homebanking einzugeben, statt misstrauisch zu werden, wenn er nicht auf eine Unterseite von www.citybank.com gelangt. Tatsächlich geschehen ist dies als einer von Hunderten frühen Fällen mit value.net (9) und der von einem Betrüger registrierten Adresse valuehelp.net (10).
Kurze Adressen sind nicht sicher
Ein weiterer Grund, warum die Banken heute mehr als eine einheitliche Internetadresse belegen, liegt in der Gefahr des Reverse Domain Hijacking (11). Dem normalen Internetnutzer kaum bekannt, unter Bankern jedoch berüchtigt, ist dabei der Fall Warburg Dillon Read (12): Der Westdeutsche Rundfunk war auf Initiative von Mitarbeitern des WDR-Computerclubs wie Wolfgang Back (13) bereits früh im World Wide Web vertreten; 1995 gehörte www.wdr.com neben www.spiegel.de, www.compuserve.com und einigen wenigen anderen Adressen zum Repertoire erster online nach Nachrichten suchender Surfer. Wohlgemerkt: wdr.com, nicht wdr.de! .de-Domains waren zu jener Zeit nämlich noch relativ teurer, eine .com kam den Sender deutlich billiger. Doch dann wurden .de-Domains billiger, wdr.de wurde registriert und wdr.com freigegeben.
Das US-Schweizer Bankhaus Warburg Dillon Read, das bislang wdr.org benutzt hatte, registrierte nun die frei gewordene wdr.com, da eine .com-Adresse zu einer Bank natürlich wesentlich besser passte als eine .org, und baute dort seine Online-Präsenz – größtenteils in englischer Sprache – auf. Im Jahr 2000 profilierte sich der Intendant des Westdeutschen Rundfunks dann durch Einklagen jeder Menge fremder Domains. Dazu gehörte als Erstes natürlich die einst freigegebene wdr.com, denn der Sender wollte nun – ebenso wie kurz darauf die Deutsche Welle mit dw.com (14) – klarstellen, dass man nun keine öffentlich-rechtliche Anstalt mehr sei, sondern ein kommerzielles Unternehmen, das am Markt mit anderen im Wettbewerb steht.
Der Bank gefiel dies natürlich gar nicht, denn bei Banken laufen durchaus sensible Dinge auf und so ein plötzlicher Besitzerwechsel der Internetadresse hätte die Kunden extrem verunsichert, auch wenn in diesem Fall nicht zu befürchten war, dass auf wdr.com nun eine Phishing-Site eingerichtet würde. Doch schon fehhlaufende E-Mails sind ein ernstes Problem.
Nachdem Warburg Dillon Read Millionen für Anwälte ausgegeben hatte, ohne auch nur einen Millimeter voranzukommen, kapitulierte das Bankhaus jedoch: Mit einer vergleichsweise luxuriösen Übergangszeit von fast einem Jahr, in dem die alten E-Mail-Adressen noch abgerufen und die Kunden auf die neue Adresse und den neuen Namen "UBS Warburg" hingewiesen werden durften, bekam der Sender seine Domain von 1995 zurück, die mittlerweile jedoch deutlich bekannter geworden war und ihm so jede Menge Webtraffic von Leuten brachte, die in Google nach "UBS Warburg" suchten. Als dann der Traffic nachließ, wurde die Domain gelöscht und von einem koreanischen Domaingrabber registriert (15), wo sie bis heute ist.
Die Weiterleitung auf eine ganz andere Adresse wird mit der Unterdrückung der
Adresszeile des Browser in einem weiteren, hochpoppenden Browserfenster mittels
Javascript vor dem Bankkunden verborgen
Um derartige Pannen zu vermeiden und feindliche Übernahmeversuche auf dem Rechtsweg zu erschweren, haben deshalb praktisch alle Banken inzwischen ihre Webadressen künstlich verlängert: Aus www.seb.de (16) wurde www.seb-bank.de (17), aus www.dab.com (18) wurde www.dab-bank.com (19) und aus www.diba.de (20) wurde – in diesem Fall durch einen Aufkauf – www.ing-diba.de (21). Trotzdem geben die Kunden natürlich noch die alte, kurze Adresse ein und werden dann weitergeleitet – gewöhnen sich so jedoch an mehrere unterschiedliche Internetadressen und verlieren das gesunde Misstrauen, wenn dann plötzlich Adressen wie www.seb-privat-banking.de oder www.dipl-ing-diba.de auftauchen.
Kann man den Schlamassel bis hierher noch auf die durch das deutsche Rechtssystem hervorgerufenen Irritationen schieben, so setzen die Banken jedoch praktisch durchweg noch freiwillig einen drauf: Wer sich zum Homebanking einloggt, wird fast immer ein weiteres Mal auf eine ganz andere Second Level Domain weitergeleitet, wobei mittels Javascript die Adressanzeige des Browsers oft gezielt unterdrückt und teils sogar das Bookmarking über die rechte Maustaste explizit gesperrt wird. So wechselt die SEB von www.seb-bank.de (22) für die Kontoverwaltung ein weiteres Mal auf Unterverzeichnisse (23) von https://www.seb-banking.de (24) und die Raiffeisenbanken gar auf Bandwurmadressen der Art https://www.pilot1.vr-networld-ebanking.de/index.php?RZKZ=XC&RZBK=0150 (25).
Auch erfolgt die Weiterleitung teils extra über Javascript, um die Ziel-URL auch in der Statuszeile des Browser nicht erscheinen zu lassen. Die SEB kämpft denn auch prompt mit Software wie Norton Internet Security, die den Javascript-Adressverschleierungstrick beanstandet und deshalb zu Recht verweigert. Der Kunde wird also dazu gezwungen, über Links statt Bookmarks einzuloggen, was auch dadurch unterstützt wird, dass die Adressen des Homebankings regelmäßig verändert werden. Wer also durch Tricks oder einen Browser, der bestimmte Javascript-Befehle ignoriert, tatsächlich die echte URL des Homebankings ermittelt und gespeichert hat, steht nach einigen Wochen vor einer Fehlermeldung und kann seinen Bookmark nicht mehr verwenden.
Nun gibt es bei der SEB doch wieder richtige HTML-Links, weil Norton Internet
Security hinter der Javascript-Trickserei eine Gaunerei vermutete…
Natürlich mag man einwenden, dass es verwaltungstechnisch einfacher ist, die verschiedenen Server für Firmenpräsenz und Homebanking, die ja auch nicht am selben Standort untergebracht sind und unter der Obhut verschiedener Abteilungen stehen, auch mit unterschiedlichen Second Level Domains auszustatten. Doch zeigt dies nur von einem mangelnden Verständnis des Domain Name Systems: statt www.seb-banking.de wäre ebenso gut – und mit weniger Tipparbeit verbunden – banking.seb.de möglich, ein getrennter und getrennt zu verwaltender Server, aber ohne verwirrende andere Second Level Domain. Dass es geht, zeigt übrigens die Deutsche Bank, bei der zum Homebanking von www.deutsche-bank.de (26) auf https://meine.deutsche-bank.de (27) gewechselt wird und auch die DIBA wechselt mit https://banking.ing-diba.de (28) an dieser Stelle kein zweites Mal die Second Level Domain.
Doch selbst, wenn die URL der Bank stimmt, ist es Phishern über Crossscripting möglich (29), wieder eigene Eingabemasken für PIN und TAN einzublenden. Das im mittlerweile abgeschalteten proprietären BTX noch sichere PIN/TAN-Verfahren ist es im offenen Internet eben nicht mehr. Auch Personal Firewalls helfen nicht dabei, trojanische Programme bzw. ihre Aussendungen zu entdecken, da sie sich immer besser tarnen und die Daten mittlerweile in Kontrollpaketen verschlüsselt verstecken (30).
Um die bereits vor einem Jahrzehnt eingeführten Alternativen wie HBCI (31), bei dem sich der Kunde gegenüber der Bank mit einer Chipkarte identifiziert und weder PIN noch TAN erforderlich sind, was ja auch einen Komfortgewinn darstellt, ist es still geworden, obwohl HBCI auf den heutigen, leistungsfähigen Rechnern akzeptabel läuft, während es auf den ersten Pentium-PCs noch eine Geduldsprobe darstellte und dazu führte, lieber bei BTX zu bleiben. HBCI ist jedoch wesentlich weniger anfällig gegen Phishing oder das Abgreifen von PIN/TAN per Trojaner und Keylogger, da eben jene gar nicht übers Netz verschickt werden. Die PIN-Eingabe, die die HBCI-Karte freischaltet, kann nur von Keyloggern ausgelesen werden, wenn einfache Kartenleser ohne eigene Tastatur verwendet werden, und selbst dann ist es deutlich schwieriger, sich in den HBCI-Datenverkehr einzuklinken, als in das normale PIN-TAN-Geplänkel.
Tatsächlich ließ sich die von einer Bank 1998 erhaltene HBCI-Hardware und -Chipkarte problemlos mit neuer Software reaktivieren. Einzige Nachteile gegenüber dem bei praktisch allen Banken inzwischen eingestellten BTX-Dienst sind, dass lediglich bereits gebuchte Transaktionen angezeigt werden können - wird die Internet-Verbindung mitten in einer Transaktion gekappt, ist es nicht vor Ablauf von 24 Stunden möglich herauszufinden, ob die Überweisung nun durchgeführt wurde oder nicht. Da Chipkarte und Kartenleser Geld kosten, schlich sich das auf den ersten Blick (ohne die Kosten durch den Versand der TAN-Listen und den Ärger mit abgephishten Kunden zu berücksichtigen) billigere PIN/TAN-Verfahren jedoch vor etwa fünf Jahren auch bei HCBI wieder durch die Hintertür ein und wird sinnigerweise ausgerechnet HBCI+ genannt.
Der bei Konten bei mehreren Banken notwendige Chipkartenwechsel wäre eigentlich nicht notwendig - theoretisch kann eine HBCI-Chipkarte zur Identifikation bei mehreren Banken dienen, praktisch wäre hierzu eine Kooperation der Institute erforderlich. Immerhin: einfache Kartenleser sind inzwischen in manchen Komplett-PCs bereits eingebaut. Und auf ausdrückliche Nachfragee gibt es von gut der Hälfte der Banken auch HBCI-Chipkarten. Zumindest bei Konten, bei denen man über Homebanking nicht nur den Kontostand abfragt, sondern aktiv Überweisungen auslöst, sollte man im eigenen Interesse über HBCI nachdenken – auch wenn man sich sicher ist, auch im Vollrausch keine Links in E-Mails anzuklicken...
(1) http://domains.dantobias.com/structure/intro.html
(2) http://domains.dantobias.com/structure/subdomains.html
(3) http://www.focus.de
(4) http://focus.msn.de
(5) http://de.msn.com
(6) http://de.wikipedia.org
(7) http://www.msn.de
(8) http://www.wikipedia.de
(9) http://value.net
(10) http://domains.dantobias.com/structure/subdomains.html
(11) http://de.wikipedia.org/wiki/Reverse_Domain_Hijacking
(12) http://de.wikipedia.org/wiki/Warburg_Dillon_Read
(13) http://www.wolfgang-back.com/
(14) http://www.telepolis.de/r4/artikel/4/4727/1.html
(15) http://www.telepolis.de/r4/artikel/15/15721/1.html
(16) http://www.seb.de
(17) http://www.seb-bank.de
(18) http://www.dab.com
(19) http://www.dab-bank.com
(20) http://www.diba.de
(21) http://www.ing-diba.de
(22) http://www.seb-bank.de
(23) https://www.seb-banking.de/pt/
(24) https://www.seb-banking.de
(25) https://www.pilot1.vr-networld-ebanking.de/index.php?RZKZ=XC&RZBK=0150
(26) http://www.deutsche-bank.de
(27) https://meine.deutsche-bank.de
(28) https://banking.ing-diba.de
(29) http://www.heise.de/security/news/meldung/76258
(30) http://www.heise.de/security/news/meldung/76622
(31) http://de.wikipedia.org/wiki/Hbci
Telepolis Artikel-URL: http://www.telepolis.de/r4/artikel/23/23291/1.html
Wolf-Dieter Roth 16.11.2006
"Phishing" ist zum Massendelikt geworden – doch die Polizei schläft nicht
Jeder Internetnutzer hat mittlerweile täglich jede Menge E-Mails von Postbank, Sparkassen, Volksbanken und Ebay in seinem Postfach, auch wenn er dort gar nicht Kunde ist. Die Probleme dieser Firmen mit ihrer Sicherheitssoftware scheinen ja geradezu enorm zu sein. Doch dieser Art Betrugsmails, auf die angeblich ja nur noch Neulinge hereinfallen, in England jedoch bis zu 12% (1) und in Studien bis zu 14% (2), sind nur die Spitze des Eisbergs, so das Bundeskriminalamt.
Die mittlerweile bei weitem häufigste Art der Computer-Kriminalität greift immer weiter um sich. Phishing-Angriffe (3) erreichen Rekordzahlen. Die inzwischen unentbehrlichen Hilfskräfte für das kriminelle Geschäft rekrutieren die Phisher – ebenso wie ihre Opfer – mit Spam-E-Mails und versuchen sie mit scheinbar lukrativen Neben- oder gar Hauptjobs zu ködern, die aber nur Kost und Logis in St. Adelheim einbringen. Experten vermuten in Deutschland dennoch einige Zehntausend derartige Phishing-Helfer, die jährlich Schäden im Wert von mehr als 100 Millionen Euro anrichten. Die wahre Schadenshöhe liegt vermutlich noch weit höher.
Die Polizei bekleckert sich ebenso wie die Gerichte leider nicht immer mit Ruhm, wenn es um Internetangelegenheiten geht. Die ersten Ergebnisse einer einst in München eingerichteten Kripo-Spezialtruppe waren ziemlich peinlich und ärgerlich (4), und Staatsanwaltschaften sind nicht unbedingt besser (5).
Doch über die Jahre haben die "Streifen im Internet" deutlich dazugelernt und sind nun kleinen (6) und auch größeren Gaunern (7) durchaus gewachsen. Selbst die Helfer gewisser verschwörungstheoretischer Kreise (8), die schon nach eigener Aussage Hunderttausende unbescholtener Bürger mit eigener Homepage aus Internet-Cafés heimsuchten, dort volksverhetzende Gästebucheinträge hinterließen und so die Homepagebesitzer gefährdeten, da diese ja hierfür als Inhaber der Seite am Ende verantwortlich gemacht werden, wurden ermittelt und stellen sich deshalb nun als Justizopfer dar. Telepolis konnte sich bei zwei Kriminalhauptkommissaren der Abteilung für Informations- und Kommunikationskriminalität ("IuK") des Bundeskriminalamtes (9) über den heutigen Stand des sogenannten Phishings (10) informieren.
Mittlerweile gute, doch zu wenige Fahnder
Das größte Handikap, das die Fahnder im Netz haben, ist ihre geringe Anzahl: die Einheit SO43, die beim Bundeskriminalamt in Wiesbaden Computerverbrechen (internationaler Begriff: "Hightech Crime") bearbeitet, ist gerade einmal acht Mann stark und muss pro Jahr etwa 3000 Fälle bearbeiten. Unter diesen wächst sich Phishing mittlerweile zum ernsten Problem aus und stellt seit 2005 einen Anteil von 90% der Computerkriminalität, obwohl die meisten derartigen Fälle gar nicht der Polizei gemeldet werden. Dies deshalb, weil die Banken einen treuen Kunden nicht verärgern und ihren Ruf nicht ruinieren wollen und die Vorfälle deswegen oft auf dem Kulanzweg regeln und den Schaden selbst tragen, obwohl sie nach Gesetz derartige Vorfälle wegen Geldwäscheverdacht prinzipiell den Behörden melden müssten.
Wer von Phishing betroffen ist, sollte dies auf seiner lokalen Polizeidienststelle anzeigen, so der Tipp der die Spezialisten. Es kann allerdings sinnvoller sein, eine der in manchen Bundesländern bereits existierenden Online-Meldeseiten (11) zu verwenden, da der Vorfall dann zumindest sofort an Leute gerät, die mit der Thematik etwas anfangen können – der normale Beamte in der örtlichen Polizeirevier ist heute noch nicht immer technisch ausreichend bewandert, um den Vorfall korrekt aufnehmen zu können. Dies soll sich allerdings ändern, "jeder Polizist muss in fünf bis 10 Jahren zumindest mit Log-Dateien und IP-Adressen umgehen können", so Dirk Büchner vom Bundeskriminalamt.
Ein Problem bei der Meldung solcher Vorfälle ist, dass es den Begriff Phishing juristisch gar nicht gibt – die Vergehen fallen vielmehr unter anderem in die Rubriken Geldwäsche, Computerbetrug und Verändern von Daten und tauchen bei der statistischen Erfassung deshalb auch unter diesen Begriffen auf. Es wird gegenwärtig lediglich diskutiert (12), den § 202 des Strafgesetzbuchs zukünftig um den Tatbestand des Phishings zu ergänzen, doch die geplante Gesetzesänderung machte mehr durch die im gleichen Zug geplante fragwürdige Kriminalisierung von "Hacker-Tools" (13) von sich reden.
Organisierte Phishing: Ein eigener (Schatten-)Wirtschaftszweig
Die Phisher sind heute weit organisierter als in den Anfangstagen, es handelt sich nicht mehr um Einzeltäter, die mit ihrem Computer und einem Bulk-E-Mail-Programm Tag und Nacht selbst ihre Spam-E-Mails verschicken. Vielmehr wird – wie in der offiziellen Privatwirtschaft auch – sehr viel "outgesourced" und so beispielsweise zunächst ein Programmierer beauftragt, die Trojaner oder Nachbildungen der offiziellen Bank-Webseiten zu schreiben, dann ein Spammer, der seinerseits auf Bot-Netze (14) von Trojanern gekidnappter Zombie-PCs zugreifen kann, um die Spam-E-Mails mit Trojanern oder Links zu den Phishing-Sites zu versenden und schließlich die sogenannten "Finanzagenten", die das abgegriffene Geld außer Landes schaffen sollen.
Das Hauptproblem sind heute gar nicht einmal mehr geknackte Onlinebanking-Konten, da der durchschnittliche Bürger gar nicht so viel Geld auf seinem Girokonto liegen hat, sich auch sein Dispo-Kredit normalerweise in Grenzen hält und zudem üblicherweise die per Onlinebanking möglichen Überweisungssummen begrenzt sind. Nutzt der Bankkunde sein Konto regelmäßig übers Internet oder durch das Abholen der Kontoauszüge vor Ort, fallen ihm Unregelmäßigkeiten sehr schnell auf und das Einfallstor wird geschlossen. Allerdings gibt es auch besonders naive Kandidaten, die ihrer Bank eine empörte E-Mail schicken, sie bräuchten noch ein neues Eingabeformular, denn die E-Mail "zur Verifikation des neuen Sicherheitssystems" habe nur 30 TANs abgefragt, sie hätten aber noch über 60 zur Verfügung…
Ebenso haben die Banken inzwischen selbst eigene Überwachungsprogramme laufen, ähnlich wie Kreditkartenfirmen, die für einen Kunden untypische Verhaltensweisen entdecken und dann sofort die Überweisung stoppen und erstmal nachfragen – beispielsweise bei einer größeren Überweisung ins Ausland, wenn der Kunde sonst immer nur die Miete per Dauerauftrag überweist und ab und zu mal mit EC-Karte an der Tankstelle bezahlt oder den Geldautomaten besucht. Hier bemerkt die Bank den Kontoeinbruch oder auch eine laufende Phishing-Welle mittlerweile innerhalb von ein bis zwei Stunden.
Ungewöhnliches Überweisungsverhalten wird mittlerweile erkannt
Da Auslandsüberweisungen online inzwischen entweder ohnehin gesperrt sind oder zumindest sofortigen Alarm auslösen, wenn der betreffende Bankkunde sonst nie Geld nach Russland oder Polen schickt, überweisen die Phisher mit Hilfe der von ihnen eingesammelten Konto-Zugangsdaten mittlerweile nur noch ins Inland: Entweder geht das Geld auf ein ebenfalls von ihnen geknacktes anderes Girokonto, von dem dann alles gesammelte Geld auf einmal abgebucht wird, bevor dessen Inhaber vom unerwarteten Geldsegen überhaupt etwas bemerkt hat, oder aber eben zu einem "Finanzagenten".
Auch diese werden über Spam-E-Mails (15) und teils sogar reguläre Zeitungsinserate (16) wie zuletzt in der Frankfurter Allgemeinen Zeitung (17) angeworben und bekommen scheinbar seriös aussehende Arbeitsverträge (18) angeboten, doch ist ihre einzige Aufgabe, das bei ihnen eingehende, von anderen Konten gephishte Geld abzuheben und dann mit einem Bartransferdienst wie Western Union (19) oder Moneygram (20) ins Ausland zu schicken, so dass sein Verbleib nicht mehr zurückverfolgt werden kann. Dort sitzt dann ein weiterer "freier Mitarbeiter" der Phisher, der sogenannte "Money Mule" (Geldesel), der das Bargeld bei Western Union beziehungsweise Moneygram abholt und nun zu den eigentlichen Drahtziehern verbringt. Spätestens hier verliert sich die Spur des Geldes.
Bargeld lacht…beim schnellen Verschwinden…
Die auf den ersten Blick seriös erscheinenden Firmen, für die die "Finanzagenten" arbeiten sollen, mit eigener Website und eine Adresse, die in Wirklichkeit sehr häufig die private Wohnadresse einer Familie auf Sylt ist, die die Phisher vom gesetzlich vorgeschriebenen Impressum der privaten Homepage dieser Familie abgeschrieben haben, oder auch mal – etwas netter, weil es zumindest keine Unschuldigen in die Fälle hineinzieht – ein unbebautes Grundstück auf Sylt bezeichnet, wechseln dagegen alle zwei bis vier Wochen: der eine Firmenname verschwindet und unter einer neuen Webadresse entsteht ein neues "Finanzinstitut". Mitunter werden allerdings auch die Namen existierender Unternehmen missbraucht (21).
Entgegen mancher Befürchtungen werden übrigens die islamischen Geldtransfersysteme wie Hawala ( Das Banksystem der Armen (22)) hier nicht verwendet, da die Phisher bei diesen auf Vertrauen beruhenden Systemen zu wenig Kontrolle über das Geld haben und diese traditionellen Systeme derartige Verbrechen auch nicht unterstützen würden, während es kein Problem ist, einem lokalen Repräsentanten von Western Union oder Moneygram im Ostblock zu seinem Gehalt noch einmal dieselbe Summe monatlich anzubieten, wenn er dafür bei den Personen, die bestimmte Geldtransfers abholen, einmal nicht so genau in den Ausweis schaut. Allein in Moskau gibt es 400 Ausgabestellen von Western Union und das Geld ist ohne eine nachverfolgbare Bankstruktur so in wenigen Minuten verschwunden.
Durch die intensive Berichterstattung über diese faule Masche ( Knast für Dich! (23)) und fortgesetzte Hinweise der Behörden (24) kann ein Finanzagent sich mittlerweile nicht mehr auf Unwissen herausreden, er ist mindestens mit Fahrlässigkeit oder bedingtem Vorsatz dran – und natürlich mit Schadensersatz (25), denn da das Geld der Geschädigten nun einmal über sein Konto gelaufen ist, ist er für diese und die Behörden stets greifbar.
"Finanzagent": Job für Doofe, Kriminelle oder Reingelegte
Erste Urteile beginnen bei 1200 Euro Geldstrafe, doch auch schon über ein Jahr Haft wurden ausgesprochen (26), nach Berufung bleiben immer noch 30 bis 60 Tagessätze (27) – das kann sehr viel Geld sein und ab 90 Tagessätzen verbleibt eine Vorstrafe im Register. § 261 des StGB (28), der die Geldwäsche behandelt, gestattet Freiheitsstrafen bis zu zehn Jahren, wenn ein gewerbsmäßiges Handeln nachgewiesen werden kann, was bei einer nebenberuflichen Tätigkeit, mit der man Geld verdienen will, ja durchaus gegeben ist.
Ein Finanzagent kann deshalb auch nur zwei bis drei Geldtransfer durchführen, mitunter nicht einmal das (29), bevor die Polizei bei ihm im Haus steht. Nur besonders dumme oder dreiste Mitmenschen lassen sich heute deshalb noch hierfür anwerben und die Finanzagenten sind deshalb heute der Engpass, an dem das Phishing zu Fall gebracht werden kann, während gephishte Kontodaten mittlerweile im Überfluss zur Verfügung stehen (30). Die Finanzagenten werden praktisch immer erwischt – die einzigen bislang bekannten Ausnahmen waren Nigeria-Spammer ( Spam, Betrug und Drogen (31)), die sich ihrerseits bei den Phishern als Finanzagent bewarben und das Geld dann nicht nach Russland, sondern nach Nigeria transferierten.
Deshalb verwenden die Phisher nun auch neue Taktiken, auf die auch weniger leichtgläubige Menschen hereinfallen können, und die in ähnlicher Form mit ungedeckten Schecks bislang nur im Gebrauchtwagenhandel grassierten: Es werden zunächst Dienstleistungen bestellt (32), Waren gekauft, Ferienwohnungen angemietet oder ein Lotteriegewinn soll ausgezahlt werden (33).
Dann wird auch bezahlt, doch mit einer viel zu hohen Summe, und um Rücksendung des überzähligen Gelds gebeten (34) – per Western Union, versteht sich, oder auf ein anderes Konto, als das, von dem das Geld kam. Oder die Ware wird nicht abgenommen, doch dem Verkäufer etwas "Entschädigung" angeboten – den Rest möge er doch bitte per Western Union zurücksenden, damit es schneller geht. Dass die ursprüngliche Zahlung von einem kompromittierten Konto kam, erfährt der Geldwäscher wider Willen dann meist erst von den Polizeibeamten.
Geknackte Girokonten sind nicht mehr das Hauptproblem
Beim Angriff aufs Onlinebanking müssen die gefälschten Überweisungen stets innerhalb eines Bankinstituts laufen, weil nur hier die Laufzeiten kurz genug sind: der Finanzagent kann direkt nach Ablauf der gefälschten Überweisung das Geld von seinem Konto abheben. Überweisungen zwischen verschiedenen Banken benötigen dagegen mindestens einen Tag und können daher leicht zurückgerufen werden. Es ist also nicht nur notwendig, einen Blöden zu finden, der sich als Finanzagent zur Verfügung stellt – er muss auch noch sein Konto bei derselben Bank haben wie diejenigen, von denen abgebucht werden soll.
Gefährlicher als der Zugriff aufs Girokonto ist deshalb das Kapern von Shopping-Accounts – wird hier der reguläre Besitzer durch Passwortänderungen ausgesperrt, so merkt dieser gar nicht mehr, was nun in seinem Namen alles angestellt wird und es werden nun nicht nur einmalig 3000 Euro abgehoben, sondern in aller Seelenruhe beispielsweise teure, gut wiederverkaufbare Waren wie Laptops gekauft oder umgekehrt noch einfacher hunderte – nicht existente – Laptops in Auktionshäusern für Sonderpreise von 500 Euro angeboten, was dann einen Schaden im fünfstelligen Bereich erzeugt, bevor sich die ersten Käufer über die nicht auftauchenden Geräte beschweren oder ein Versandhaus bemerkt, dass ein bis dato zuverlässiger Kunde die große Computerbestellung auch nach Wochen nicht zahlt.
Neben dem Hacken der Shoppingaccounts selbst oder dem Abphishen des Passwortes ist es auch möglich, die hierzu meist benutzten Webmail-Accounts anzugreifen – in diesem Fall können sich die Phisher sogar über im gekaperten Webmail-Account hinterlegte Entwurfsmails verständigen, ohne dass der dadurch entstehende Datenverkehr bei Überwachungen offensichtlich wird. Ebay- und andere Shoppingaccounts fest an eine eigene Domain oder gar Firmen E-Mail anzubinden, was diese Gefahr verringern würde, ist ja noch weniger anzuraten. Hierbei verrät der "Ebayer" nicht nur Betrügern (35) vorzeitig seine Identität, es besteht auch die Gefahr, dass neugierige Kollegen in der Mittagspause oder selbsternannte Konkurrenten auf dem Rechtsweg Zugriff auf die E-Mail-Adresse bekommen ( Online-Accounts sind stets nur so sicher wie die zugehörige E-Mail (36)).
Problem: Jede Menge Proxys, auch auf gekaperten PCs
Ein ernsthaftes Problem für die Ermittler der Polizei sind übrigens Anonymisierungsdienste wie ANON und TOR, unzählige Proxys in Botnetzen sowie die teils nicht mehr stattfinde Speicherung von Verbindungsdaten ( Der erste legal anonyme Heise-Forenposter? (37)). Dies müssen nicht einmal die offiziellen Anonymisierungsdienste beispielsweise von deutschen Universitäten sein: Auch die von Trojanern gekaperten Zombie-PCs dienen in Botnetzen nicht nur als gnadenlose Spammaschinen, die innerhalb von 18 bis 20 Stunden 20 Millionen Spam-E-Mails verschicken, die dann bei manchen Empfängern gleich im Dutzend aufschlagen und den entsprechenden Provider für die nächsten Wochen auf alle Spam-Blacklists setzen, sodass die E-Mails dessen regulärer Kunden plötzlich nirgends mehr willkommen sind ( "Sie sind aus Old Europe? Dann benutzen Sie gefälligst das Telefon!" (38)). Ebenso können diese gekaperten PCs nämlich als Proxy verwendet werden, weshalb dann plötzlich die Polizei bei Hans Müller im Wohnzimmer steht und ihm erklärt, dass nachweislich von seinem Computer aus das Sparkassen-Konto seines Nachbarn ausgeräumt wurde. Zombie-PCs können auch zum Hosten der gefälschten Phishing-Website verwendet werden oder als sogenannte "Dropzones", Lagerplätze für die Daten der geknackten Girokonten und bringen so ebenfalls ihre nichtsahnenden Besitzer ins Fadenkreuz de Strafverfolgung.
Auf diese Art von Proxy zu Proxy, von Anonymisierungsdienst zu Anonymisierungsdienst die Spur der Täter zu verfolgen, ist zeitaufwendig, zumal es im Inland typischerweise bereits sechs bis acht Wochen dauert, bis bei einem Provider zu einer IP-Nummer der entsprechende Kunde ermittelt ist, im Ausland jedoch im Fall der USA beispielsweise gleich sechs bis acht Monate, so die Beamten des Bundeskriminalamts. Bis man dann über zwei bis drei Proxys endlich zum wirklichen Ursprung einer Attacke vorgedrungen ist, hat auch der geduldigste Provider keine Verbindungsdaten mehr gespeichert und lediglich die kompromittierten, als Proxy verwendeten PCs sind so aus dem Verkehr gezogen.
Im Jahr 2005 wurden etwa 2500 Phishing-Fälle gemeldet mit 2000 bis 3000 Euro typischem Schaden. Die Bandbreite reicht jedoch insgesamt von einigen 100 Euro bis zum Höchstwert von 102.000 Euro. Letzterer Phishzug geschah bei einem Unternehmen, das gerade eine neue Werkshalle einrichtete, weshalb die Bank bei einer derartig großen Überweisung keinen Verdacht schöpfte, wegen grober Leichtsinnigkeit den Schaden dem Kunden ersetzen musste und anschließend selbst in ernsthafte wirtschaftliche Schwierigkeiten geriet.
"Pharming": Kaperung der DNS
Nachbauten der Seiten von Auktionshäusern oder Bankinstituten auf anderen Adressen, die per Spam näher "beworben" werden, war noch die Taktik der Wahl im Jahr 2005 und Anfang 2006. Diese Seiten werden dabei dynamisch den echten Bankseiten nachgebaut, was inzwischen vom Internet Explorer 7 automatisch entdeckt werden soll, wenn noch mittlerweile allerdings altbekannte Tricks wie Cross-Site-Scripting (39) eingesetzt werden. Die entsprechenden Webadressen werden oft mit @ in der URL oder extra langen URLs so getarnt, dass nur bei sehr genauem Hingucken zu erkennen ist, dass die Adresse der echten Bankadresse nur ähnlich sieht.
Doch diese Technik ist inzwischen bereits veraltet. Stattdessen werden Trojaner auf die Rechner der Opfer geladen, was auch in mehreren einzelnen, unverdächtigen Teilen geschehen kann, die kein Virenscanner erkennt und beim Besuch unerkannt beispielsweise durch Einbruch in einen Webserver infizierter Websites im Hinterrund abläuft. Da die Trojaner inzwischen meist individuell neu erstellt werden, dauert es auch so stets einige Stunden bis zu drei bis fünf Tage, bis die Hersteller der Virenscanner die entsprechend ergänzten Signaturen versenden können. Bis dahin hat der Trojaner längst seinen Dienst getan oder zumindest das Virenscan-Programm abgeklemmt.
Hierzu überschreibt er entweder die "Host"-Datei des Betriebssystems mit eigenen Einträgen, sodass ein Zugriff auch auf vom Benutzer manuell eingetippte, bekannte Adressen seiner Bank oder seines Auktionshauses ebenso wie die des Updates des Virenscanners ganz woanders landen, oder der Trojaner lauscht in den Zahlungsverkehr mit der Bank und unterbricht die Verbindung beispielsweise nach der zweiten Überweisung, um den Bankkunden plötzlich eine Fehlermeldung zu präsentieren, die ihn bittet, es in ein paar Stunden wieder zu versuchen. Die dabei abgegriffenen Kontodaten werden dann sofort verwendet, um Geld beiseite zu schaffen, und der Trojaner hält den Bankkunden bis zum nächsten Tag von seinem Konto fern, damit dieser die Abbuchungen nicht entdecken kann. Mitunter werden auch externe DNS-Server auf die Phishing-Seiten umprogrammiert, was man dann Pharming (40) nennt.
Auch Domains werden mit gephishtem Geld registriert
Wenn Phisher tatsächlich bei einem Hoster eine eigene Domain und Webspace anmelden, so benutzen sie auch hier per Phishing gestohlenes Geld, um die Anmeldegebühren zu bezahlen und die Spur zu jemand anders zeigen zu lassen, nämlich dem bestohlenen Kontoinhaber. Wegen den paar Dollar oder Euro wird üblicherweise keine Strafverfolgung aufgenommen. In Asien werden jedoch sehr oft auch Webserver einfach gehackt, weil diese dort nach der Inbetriebnahme kaum je gewartet oder mit Sicherheits-Updates versehen werden.
Ein leeres Girokonto ohne Dispo-Kredit schützt übrigens nicht automatisch vor Phishing-Attacken: Wenn über den Online-Zugang beispielsweise auch noch auf Wertpapierdepots zugegriffen werden kann, verkaufen die Phisher diese kurzerhand und räumen dann nicht nur 5000, sondern gleich 20.000 Euro ab. RAM-Proxys sorgen wiederum dafür, dass auf den von Trojanern gekaperten Rechnern keinerlei Spuren zurückbleiben und wer denkt, dass er sich dadurch schützen kann, dass er kein Internet-Banking mehr betreibt, könnte feststellen, dass auch Telefon-Banking-PINs gephisht werden, zu deren Benutzung oftmals keine TANs notwendig ist und die deshalb beliebig oft missbraucht werden können.
Um die schädlichen Laufzeiten bei dem häufigen grenzüberschreitenden Vorgehen der Phisher in den Griff zu kriegen, gibt es mittlerweile internationale Polizeinetzwerke speziell zum Thema Computerkriminalität, unter anderem unter dem Dach von Interpol. Hier weiß dann ein Beamter, dass er auf der anderen Seite ebenfalls fachkundige Personen sitzen hat und dies auch am Freitagnachmittag erreichbar sind. Dann laufen nämlich die meisten Phishing-Attacken, weil viele Leute genau dann ihre Bankangelegenheiten erledigen, wenn sie nach der Arbeitswoche Zeit dazu haben – und da die Banken bereits geschlossen sind, tun sie es online. Ein Problem ist allerdings Großbritannien: Hier haben die Phishing-Fälle dermaßen zugenommen, dass die Behörden alle Vorfälle unter 7.500 Euro überhaupt nicht mehr bearbeiten – und dies sind nun einmal die Mehrzahl der Fälle an, denn bei den meisten Konten ist heute ein Online-Überweisungslimit von 5.000 Euro gesetzt.
Ein internationales "Internetrecht" ist deshalb das, was nach Ansicht der Fachleute vom Bundeskriminalamt in den nächsten Jahren dringend notwendig ist. Andernfalls könnte sich der Online-Gelddiebstahl zum "Fahrraddiebstahl des einundzwanzigsten Jahrhunderts" entwickeln.
(1) http://www.heise.de/tp/r4/artikel/21/21759/1.html
(2) https://www.a-i3.org/content/view/901/28/
(3) https://www.a-i3.org/content/view/13/57/
(4) http://ourworld.compuserve.com/homepages/w_d_r/mailraid.htm
(5) http://members.aol.com/jobfallen/bullen.html#handy
(6) http://www.heise.de/tp/r4/artikel/16/16836/1.html
(7) https://www.a-i3.org/content/view/919/28/
(8) http://www.heise.de/tp/r4/artikel/19/19383/1.html
(9) http://www.bka.de
(10) http://www.bsi-fuer-buerger.de/abzocker/05_08.htm
(11)
http://www1.polizei-nrw.de/koeln/start/Online-Anzeige/article/online_anzeige.html
(12) https://www.a-i3.org/content/view/931/28/
(13) http://www.heise.de/security/news/meldung/80494
(14) http://www.bsi-fuer-buerger.de/abzocker/bot_netze.htm
(15) http://gallery.besuch-von-nebenan.de/displayimage.php?album=4&pos=62
(16) https://www.a-i3.org/content/view/927/28/
(17) https://www.a-i3.org/images/stories/recht/faz_stellenangebot.pdf
(18) https://www.a-i3.org/content/view/573/158/
(19) http://www.westernunion.com
(20) http://www.moneygram.de
(21) http://www.porex.de/Distanzierung.htm
(22) http://www.heise.de/tp/r4/artikel/17/17372/1.html
(23) http://www.heise.de/tp/r4/artikel/20/20310/1.html
(24) http://www.bka.de/pressemitteilungen/hintergrund/hintergrund7.html
(25) http://www.heise.de/newsticker/meldung/77966
(26) http://www.heise.de/security/news/meldung/72109
(27) http://www.heise.de/security/news/meldung/75899
(28) http://www.gesetze-im-internet.de/stgb/__261.html
(29) http://www.heise.de/newsticker/meldung/78717
(30) http://www.heise.de/newsticker/meldung/70836
(31) http://www.heise.de/tp/r4/artikel/16/16665/1.html
(32) https://www.a-i3.org/content/view/141/108/
(33) https://www.a-i3.org/content/view/879/28/
(34) http://www.heise.de/security/news/meldung/79803
(35) http://www.heise.de/newsticker/meldung/79092
(36) http://www.heise.de/tp/r4/artikel/17/17723/1.html
(37) http://www.heise.de/tp/r4/artikel/23/23914/1.html
(38) http://www.heise.de/tp/r4/artikel/19/19225/1.html
(39) http://www.heise.de/newsticker/meldung/80204
(40) https://www.a-i3.org/content/view/22/62/
Telepolis Artikel-URL: http://www.heise.de/tp/r4/artikel/23/23964/1.html
SPIEGEL ONLINE - 24. Januar 2007, 12:18
URL: http://www.spiegel.de/netzwelt/tech/0,1518,461827,00.html
Vielleicht sollte man einen Design-Preis für die professionellsten Spam- und Virenmails ausloben: Was da in letzter Zeit ins Postfach flutet, sieht wirklich überzeugend aus. Zurzeit sind das vor allem angebliche Rechnungen des Internetproviders 1&1. Wer die öffnet, zahlt womöglich dafür.
Die Masche ist alt, der Verbreitungsweg überholt, und doch erleben Spam-Mails als Trägermedium für Viren und vor allem Trojaner gerade ein regelrechtes Comeback. Grund dafür ist vor allem die Professionalität, mit der die Dinger inzwischen produziert werden. Was da zurzeit ins Haus schneit, sieht schon ziemlich echt aus.
Jetzt haben die Profi-Abzocker eine etwas andere Masche entdeckt: Rechnungen. Die wirken (vor allem dann, wenn sie unverschämt überhöht daherkommen) bei vielen Empfängern direkt Adrenalin-ausschüttend und - das hoffen zumindest die Spammer - darum Hirn-deaktivierend: Der "Was? Wieviel Geld wollen die von mir?"-Effekt soll zum Klick im Affekt führen - und schon hat man sich was gefangen.
Im aktuellen Fall ist das ein Trojaner, den aktuelle Virenscanner als Trojan.Downloader oder Trojan.Schoeberl erkennen. Nicht aktuelle erkennen das Ding dagegen womöglich gar nicht - und spätestens nach der Infektion auch nichts anderes mehr: Die einzigen Schadfunktionen des Trojaners sind die Deaktivierung von Virenscannern und das Öffnen einer Hintertür ins System. Durch die lädt der Trojaner direkt ein Schnüffelprogramm nach, das darauf abzielt, Bankdaten auszuspionieren.
Das schafft das Programm zum Glück mit nur sehr geringem Erfolg, ein Gefährdungspotential ist aber dennoch gegeben. Prinzipiell erlaubt die virtuelle Hintertür das Nachladen diverser anderer Schadprogramme, und die Deaktivierung des Virenscanners sorgt ohnehin binnen kurzer Zeit für Probleme.
Hauptträger des Trojaners ist derzeit eine angebliche Rechnung des Internetproviders 1&1 (siehe Großversion des Bildes), er kursiert aber auch in anderen Mails. Gemeinsam ist ihnen ein Dateianhang, den der Nutzer öffnen muss, um ihn zu aktivieren. Genau das sollte man grundsätzlich nie: Dateianhänge aus ungeklärter Quelle sollte man meiden.
Der Trojaner maskiert sich als pdf-exe-Datei, was in sich schon fast ein Ausdruck schwarzen Humors ist: Wer ausführbare Dateien aus Mails öffnet, sollte umgehend zur Absolvierung des Europäischen Computerführerscheins verdonnert werden. Denn dass das ein absolutes No-No ist, lernt man schon im PC-Grundkurs.
Wie auch immer: Die Fake-Rechnung verbreitet sich seit Dienstag mit neuer Intensität. Die Virenschutz-Entwickler sind darauf vorbereitet, ihre aktuellen Virenschutz-Definitionen erkennen das Ding zuverlässig - Zeit für ein Update. Wer sich nicht sicher ist, ob er sich den Trojaner nicht schon gefangen hat (er kursiert seit Anfang des Monats, vereinzelt auch als Bank-Mail), dem stellt beispielsweise das IT-Sicherheitsunternehmen Symantec ein sogenanntes Removal-Tool zur Verfügung. Das kleine Programm gibt es kostenlos zum Download.
Botnet-Trojaner
Weiterhin äußerst aktiv ist auch der vor einigen Tagen als "Sturm-Wurm" thematisierte Trojaner TROJ_SMALL.EDW beziehungsweise Downloader-BAI!M711 oder Trojan.Peacomm. In den englischsprachigen Ländern scheint sich der recht rege zu verbreiten, weil er mit ständig wechselnden, entweder auf aktuelle Nachrichten abhebenden oder unter die Gürtellinie zielenden Lockzeilen arbeitet. Die Verbreitung gilt inzwischen als außergewöhnlich hoch, das Schadpotential ebenfalls. Der Trojaner wird zurzeit dafür benutzt, fünf weitere Schadprogramme auf den Rechner zu lasen.
Bemerkenswert ist der Sturm-Wurm aber vor allem, weil er als erster Trojaner versucht, die befallenen Rechner direkt zu einem Bot-Net zu verbinden. In Bot-Netzen werden befallene Rechner zu virtuellen Netzwerken zusammen geschlossen, um - ohne Wissen der eigentlichen Besitzer der Rechner - ferngesteuert verschiedene Aufgaben zu erfüllen. Die Möglichkeiten gehen hier von der massenhaften Verteilung von Werbe- oder Viren-Spam über konzertierte Attacken auf andere Rechner oder Netzwerke, den Vertrieb illegaler Inhalte bis hin zu Industriespionage.
Auch hier geschieht der Befall über eine angehängte exe-Datei, auch hier stehen bereits aktualisierte Virenfilter bereit.
An diesen Betreffzeilen erkennt man den Sturm-Wurm:
Auch die Dateianhänge tragen eine Vielzahl verschiedener Namen. Gemeinsam ist allen, dass es sich um exe-Dateien handelt.
Trotz dieses augenscheinlichen Revivals von Viren-Spammails gilt dieser Verbreitungsweg für Schadprogramme nicht als sehr zukunftsträchtig. Die digitalen Bedrohungen von heute und morgen verbreiten sich, ohne auf das Zutun der PC-Nutzer zu setzen.
Im Trend liegen zurzeit vor allem Infektionen verbreitende Webseiten, die auf die diversen, immer wieder auftretenden Sicherheitslücken in Browsern und Betriebssystemen bauen. Ob Microsofts neues Betriebssystem Vista, das vor allem in Hinsicht auf die System-Sicherheit optimiert sein soll, daran etwas ändert, muss sich erst noch erweisen. Bis dahin gilt weiterhin, dass weit über 90 Prozent aller IT-Sicherheitsprobleme nur Windows-Rechner betreffen. Apple- und Linux-Systeme sind auch in den aktuellen Fällen vor Infektionen gefeit.
pat
Zum Thema in SPIEGEL ONLINE:
Stündlich frisch: Die Top 10 der weltweit verbreiteten VirenZum Thema im Internet:
Symantec:Trojaner- Entfernungswerkzeug
gegen Schoeberl und Backdoor.HaxdoorSPIEGEL ONLINE - 22. Juni 2007, 17:47
URL: http://www.spiegel.de/wirtschaft/0,1518,490184,00.html
Von Hasnain Kazim
Es ist eine gigantische Spam-Aktion: Rund fünf Milliarden E-Mails mit einer Aktien-Kaufempfehlung sollen in den vergangenen zwei Tagen die Postfächer überflutet haben. Tatsächlich ist der Wert des Unternehmens kurzzeitig explodiert - verdient hat daran der Spam-Versender.
Hamburg - Irgendeinen Dummen gibt es immer. Einen, der einen Datenanhang öffnet, obwohl die E-Mail mit den Worten beginnt: "Er hat nie einen Stern angeschaut. Auch mit Kamala, und mit den Freuden der Liebe." Oder: "Lass uns ruhigen Herzens warten. Wandelt in Heiligkeit, allem Leid ein Ende zu bereiten." Es gibt noch mehrere Anfänge, denn es sind mehrere E-Mails mit immer demselben Datenanhang, aber immer verschiedenen Absendern im Postfach. 10 Stück, bei manchen sogar 20 oder 30.
Unter diesen Leuten gibt es dann sogar welche, die sich nicht wundern, dass die PDF-Datei aussieht wie ein Börsenbrief, wie eine professionelle Aktien-Kaufempfehlung, die überhaupt nicht zum Text der E-Mail passt. Denen egal ist, dass der Börsenbrief keinerlei Kontaktdaten oder Herausgeber nennt, sondern schlicht in englischer Sprache für die Aktie der Firma Talktech Telemedia wirbt, deren Wert in den fünf kommenden Handelstagen garantiert um 300 Prozent zulegen werde. "Lassen Sie sich diese Chance nicht entgehen!", endet das Pamphlet.
Darunter wiederum finden sich Leute, deren Gier über den Verstand hinauswächst: Sie kaufen das Papier.
So wenige dürften das in den vergangenen zwei Tagen nicht gewesen sein, denn der Aktienkurs des Unternehmens ist explodiert: von 0,25 auf 0,35 Euro innerhalb dieses Zeitraums, ein Plus von 40 Prozent - wenn auch weit entfernt von den in der E-Mail prognostizierten 300-Prozent-Steigerung.
Fünf Milliarden Mails in zwei Tagen
"Aktien-Spam" nennen Experten das und sprechen von einer "Pump-and-Dump-Kampagne". "Die anonymen Versender kaufen das Papier zu einem günstigen Kurs. Dann verschicken sie ihre E-Mails, die aussehen wie professionelle Investment-Newsletter. Anschließend, wenn Umsatz und Kurs aufgrund der künstlich erzeugten Nachfrage gestiegen sind, verkaufen sie ihre Aktienpakete mit großem Gewinn", erklärt ein Sprecher der Deutschen Bank die Masche. "So etwas gibt es schon seit längerem."
Allerdings nicht in solchem Umfang: Rund fünf Milliarden E-Mails seien in den vergangenen zwei Tagen verschickt worden, teilt das IT-Sicherheitsunternehmen Ironport Systems mit - Schätzungen zufolge sind das neun Prozent des weltweiten Spam-Aufkommens in dieser Zeit.
"Neu ist, dass der Inhalt nicht mehr als Bild im jpg-Format verschickt wird, sondern als PDF-Anhang", sagt Angelika Felsch von der Münchner Filiale der US-Firma. Der deutsche Anbieter von Sicherheitssoftware Avira erklärt, mit dem PDF-Format würden die Absender versuchen, Spam-Filter zu umgehen. Insgesamt habe das Verschicken von Aktien-Spams seit Jahresanfang um 120 Prozent zugenommen - eine Entwicklung, von der neben den Versendern auch die Produzenten von Sicherheitssoftware profitieren.
Unklar ist auch die Rolle, die das beworbene Unternehmen spielt: Selbst die Wertpapierhandelsbank Peter Koch, die die Aktie an die Frankfurter Börse gebracht hat, besitzt nur wenig Informationen über Talktech Telemedia. "Das Unternehmen hat seinen Sitz in den USA", sagt Peter Koch. Und: "Am 21. Mai wurde das Papier erstmals in Frankfurt notiert."
Womit die Firma Geld verdient, wer der Ansprechpartner in Deutschland ist - keine Angaben. Trotzdem stieg der Kurs nach Erstnotiz von 0,55 auf 0,81 Euro, sank dann allerdings auf 0,25 Euro. "Jetzt versucht jemand, den Wert wieder in die Höhe zu treiben und eine Menge Geld zu verdienen", sagt Koch. Wer das sein könnte? "Keine Ahnung."
Identität der Absender kaum zu ermitteln
Einen ähnlichen Fall habe er aber schon im März erlebt. Da habe die Aktie der Kronos AG bei 0,07 Euro notiert. "Dann ging eine Spam-Aktion los, der Kurs stieg um über 100 Prozent auf 0,16 Euro", erinnert sich Koch. "Innerhalb von acht Tagen wurden vier Millionen Aktien umgesetzt." Heute notiert das Papier wieder bei 0,07 Euro.
Der Verbraucherzentrale Bundesverband rät ausdrücklich dazu, Aktientipps, die per E-Mail eintrudeln, auf keinen Fall zu befolgen. Referentin Carola Elbrecht empfiehlt: "Wer wirklich Informationen über Aktien und Wertpapierhandel benötigt, der fragt am besten ausgewiesene Fachleute."
Ähnliches rät die Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin). Es sei nicht auszuschließen, dass die Verbreitung der Spams nur dazu dient, die Kurse der betroffenen Wertpapiere "ohne realistischen Hintergrund in manipulativer Weise nach oben zu treiben", teilte die Bafin nach dem Kronos-Fall mit.
Die Behörden ermitteln nun, ob gegen das Wertpapierhandelsgesetz oder gegen das Gesetz gegen den unlauteren Wettbewerb verstoßen wurde. Ob man aber überhaupt die Identität des Absenders feststellen könne, sagt Bafin-Sprecherin Anja Neukötter, daran habe sie ihre Zweifel.
SPIEGEL ONLINE - 27. Juni 2007, 16:04
URL: http://www.spiegel.de/netzwelt/web/0,1518,490827,00.html
Von Matthias Kremp
Das Web ist längst verwanzt. Mit teilweise erschreckend einfachen Mitteln beobachten und verfolgen Firmen jeden Klick im Netz - und sammeln dabei wertvolle Daten, um ihre Produkte noch besser verkaufen zu können.
Nicht nur der Staat wird immer neugieriger, auch Unternehmen versuchen, immer mehr über ihre Kunden und solche, die es werden sollen, zu erfahren. Gesetzesänderungen oder Abstimmungen müssen die professionellen Datenschnüffler freilich nicht abwarten. Sie sammeln einfach eifrig Material darüber, wann man sich welche Webseiten mit welchem Computer angesehen hat, woher man kam und woran man besonderes Interesse hatte.
Diese Daten sind nicht nur für Marktforscher und Marketing-Experten, sondern auch für E-Mail-Spammer Gold wert. Denn die können sie nutzen, um ihre Werbung - oder gezielte Spam-Aktionen - besser vorzubereiten und durchzuführen. Die Werkzeuge der Datenschnüffler sind dabei längst bekannt und weit verbreitet. Das Problem: Einfach abschalten geht nicht, denn häufig werden sie zum Nutzen der Anwender eingesetzt - aber eben nicht immer. Die am weitesten verbreiteten Schnüffel-Methoden basieren auf missbrauchten Standards des Webs.1. Überwiegend harmlos: Session-IDs
Mit Session-IDs können Webseiten-Betreiber einzelne Kunden während einer Online-Session markieren. Dazu wird beim ersten Aufruf der Seite eine Zufallszahl vom Server erzeugt und an den Browser des Anwenders geschickt. Der wiederum sendet nun mit jedem weiteren Seitenaufruf seine Session-ID zurück an den Server, so dass dieser den Besucher während seines gesamten Aufenthalts eindeutig identifizieren kann.
Die Begründung für dieses Vorgehen lautet in der Regel, dass man dem Kunden mehr Komfort bieten möchte. Beispielsweise, um noch während eines Online-Einkaufsbummels Einkaufstipps, die sich auf zuvor in den Warenkorb gelegte Produkte beziehen, geben zu können. Etwa: "Wer in der Camping-Abteilung Zelte betrachtet, interessiert sich auch für Mückenspray".
Vor allem aber dienen Session-IDs dazu, das Surfverhalten der Website-Besucher zu protokollieren und zu analysieren. Auf Basis dieser Daten optimieren geschickte Webmaster den Aufbau ihrer Seite und ihr Angebot. Abgesehen davon, dass diese Vorgehensweise dazu dient, den Absatz anzukurbeln, ist daran nichts Gefährliches zu finden. Und das Beste: sobald man das Browserfenster schließt, ist auch die Session-ID gelöscht. Nur selten werden Session-IDs dauerhaft in sogenannten Cookies (siehe unten) gespeichert.
2. Cookies sind keine Kekse
Vielen kommerziellen Anbietern genügt es nicht, ihre Besucher mit Session-ID temporär zu markieren, sie wollen sie bei jedem neuen Besuch sofort wiedererkennen und verwenden dazu die sogenannten Cookies. Die sind nicht etwa, wie man ob des englischen Begriffs denken könnte, leckeres Kleingebäck, sondern schlichte Textdateien.
Auch bei Cookies wird wieder der Komfortgewinn für den Kunden als Argument genannt. Schließlich ermöglichen sie personalisierte Webseiten, die sofort beim Aufruf ein auf den jeweiligen Nutzer zugeschnittenes Angebot präsentieren. Auch Grundfunktionen wie Warenkörbe, die es dem Kunden ersparen, jeden Artikel einzeln kaufen zu müssen und seine Einkäufe stattdessen sammeln zu können, kommen ohne solche Erfassungen nicht aus.
Aber natürlich dienen auch Cookies der Analyse des Surfverhaltens. Neben einer eindeutigen Benutzernummer enthalten sie oft Informationen darüber, wann man eine Webseite zuletzt aufgerufen hat und welche Inhalte man dabei abrief. Würde nur der Betreiber einer Webseite diese Informationen verwenden, wäre das gar nicht einmal verwerflich. Firmen wie Amazon nutzen solche Cookies beispielsweise, um dem potenziellen Einkäufer ein maßgeschneidertes Angebot auf Basis seiner letzten Einkäufe präsentieren zu können.
Allerdings werden Cookies auch genutzt, um Websurfer mit maßgeschneiderter Werbung zu bombardieren. Die Banner von Werbekunden beispielsweise können Internet-Nutzer mithilfe dieser Informationen sogar über mehrere unterschiedliche Web-Angebote hinweg eindeutig identifizieren. Da wundert man sich dann kaum noch, dass man stets Werbung für Segelzubehör zu sehen bekommt, ganz gleich auf welchen Websites man gerade unterwegs ist.
Vermeiden lässt sich das beispielsweise durch die Sicherheitseinstellungen des Browsers: Jede gute Surf-Software bietet die Möglichkeit, alle sensiblen Daten und Cookies bei jedem Schließen der Software zu löschen. Eine detaillierte Anleitung, wie man verschiedene Browser gegen eine Weiterleitung sensibler Daten abdichtet, lesen Sie morgen im dritten Teil unserer kleinen Internet-Sicherheits-Serie.
Auch bei den Cookies gilt, das es wohlschmeckende gibt, die dem User Möglichkeiten eröffnen, und verdorbene Kekse, die nichts Gutes für ihn tun. Ganz ohne Cookie-Einsatz kommt aber kein professionelles Internet-Angebot aus.
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
3. Der Browser wird verwanzt: Web-Bugs
Missbrauchsgefährdet ist auch eine andere Technologie, die - je nachdem, wofür sie eingesetzt wird - mal als Zählpixel bezeichnet wird, mal als Web-Bug. Auch Ihnen wurde vor wenigen Minuten ein solches Zählpixel überspielt, denn die Leserzählung durch die Auflagenkontrolle ivw funktioniert genau so - bei allen erfassten Publikationen deutscher Sprache. Auf der so erfassten Reichweite der Medien fußt deren Vermarktung - ohne Zählpixel könnten Webseiten von TV-Sender-Seiten über Fachpublikationen bis zu populären Angeboten wie Heise oder SPIEGEL ONLINE den Betrieb einstellen.
Das ist nicht weiter schlimm, denn Zählpixel sind soweit harmlos: Sie sind meist nur 1 x 1 Pixel groß und transparent, damit man sie nicht sieht. Tatsächlich handelt es sich dabei um winzige Grafiken, die in Webseiten eingebaut werden - allerdings nicht als Bits-und-Bytes-Objekt, sondern als "embedded" Link. Das ist ein Verweis auf eine Internetadresse, von der die eigentliche Grafik dann abgerufen wird. Jeder so entstandene Abruf wird beispielsweise bei der Reichweitenerfassung der ivw dann der "fordernden" Adresse zugeschrieben. Dabei werden also Daten über die Webseite erfasst, nicht aber über den Nutzer.
Doch die gleiche Technik lässt sich auch missbrauchen. In Html-E-Mails eingebunden nennt man solche Pixelverweise Web-Bugs, weil sie dort nichts anderes sind als Wanzen. Eingesetzt wird diese Technik vor allem von Spam-Versendern, um ihren Werbebriefchenversand zu optimieren.
Sie erfahren durch die Mini-Bildchen, ob und wann ihre elektronische Wurfpost gelesen wurde und ob die angeschriebene Mail-Adresse überhaupt existent und genutzt ist. Das ermöglicht es, E-Mail-Adressen nach Zufallskriterien automatisch zu kreieren, in Massen auszusenden und durch den Informations-Rückfluss durch Web-Bugs Spreu von Weizen zu trennen. Am Ende des Prozesses steht dann ein frischer Verteiler verifizierter E-Mail-Adressen - und schon der allein ist Geld wert und wird meist fleißig weiter verkauft, auf dass die Spam-Lawine rolle...
Darüber hinaus lässt sich per Web-Bug in Erfahrung bringen, mit welchem Mail-Programm und Browser jemand unterwegs ist, welches Betriebssystem er verwendet, mit welcher IP-Adresse sein PC aktuell online ist und über welchen Provider der Internet-Zugang erfolgt.
Diese Daten lassen sich von Spammern hervorragend ausnutzen, um ihren E-Mail-Versand auf bestimmte Zielgruppen zu optimieren oder gar, um ihnen mit Schadsoftware versehene Mails zuzusenden, die bekannte Sicherheitslücken auf ihrem System ausnutzen sollen.
4. Sie wissen, woher Du kommst: Referrer
In der Standardeinstellung sind Webbrowser außerordentlich geschwätzig. Beim Anklicken eines Links teilen sie dem angesurften Web-Server freimütig mit, von welcher Webseite aus man den Link angeklickt hat. Referrer, vom englischen "to refer", also "verweisen" nennt man diese Informationen. Normalerweise ist auch das keine schlimme Sache.
So dienen die Referrer beispielsweise Suchmaschinen dazu, die Relevanz einer Webseite einzuschätzen. Die Grundregel: Je häufiger von anderen Webseiten auf eine bestimmte Webseite verlinkt, also "referred" wird, desto wichtiger ist sie. Bestünde die Möglichkeit, so etwas zu erfassen, nicht, hätte das negative Rückwirkungen auf die Qualität der Suchergebnisse, die Suchmaschinen wie Google zu liefern imstande sind.
Doch auch diese Technik lässt sich missbrauchen. Spammer nutzen diese Eigenschaft, um die Suchmaschinen auszutricksen. Sie rufen automatisiert bestimmte Webseiten in kurzen Abständen auf, um ein und dieselbe Internet-Adresse zuhauf in den sogenannten Log-Dateien auftauchen zu lassen. Den Roboterprogrammen der Suchmaschinen sollen auf diese Weise zahllose Links vorgegaukelt werden, was zu einer ungerechtfertigt hohen Platzierung der so beworbenen Internet-Adresse in den Suchergebnissen führt.
Lesen Sie morgen in Teil 3: Wie sie sich gegen die Ausspähversuche der Unternehmen schützen können.
Zum Thema in SPIEGEL ONLINE:
Web- Überwachung: Der Weg zum Spanner-
Staat (26.06.2007)SPIEGEL ONLINE - 02. Juli 2007, 16:56
URL: http://www.spiegel.de/netzwelt/web/0,1518,491296,00.html
Von Matthias Kremp
An Cookies wird im Web nicht gespart. Während einige davon dem Komfort der Anwender dienen, werden die digitalen Schnüffelkekse von manchen Werbetreibenden und einigen Gaunern genutzt, um Persönlichkeitsprofile zu erstellen. SPIEGEL ONLINE erklärt, wie man sich gegen das Ausspähen schützen kann.
Wie SPIEGEL ONLINE im zweiten Teil dieser Serie aufgezeigt hat, missbrauchen Datensammler im Internet allgemein gebräuchliche Standards, um die Web-User auszuspähen. Das sie mit dieser Vorgehensweise überhaupt Erfolg haben, ist zu einem großen Teil den Browser-Herstellern zuzuschreiben. Die liefern ihre Software im Grundzustand so aus, dass sich damit vortrefflich das Internet durchforsten lässt. Derselbe Grundzustand definiert aber in der Regel auch derart lasche Einstellungen für die Privatsphäre, dass den Schnüfflern Tür und Tor offenstehen.
Dabei ist es so einfach, unerwünschten Lauschern die Ohren zu verkleben. Mit wenigen Mausklicks lassen sich die Browser-Einstellungen modifizieren. Allerdings gilt es dabei, maßvoll vorzugehen und die Einstellungen den persönlichen Ansprüchen an Privatsphäre und Surf-Komfort anzupassen.Lässt man beispielsweise automatisch alle Cookies blockieren, bleibt vom Surfspaß nicht viel übrig. Manche Webshops quittieren eine Cookie-Blockade mit einer Kauf-Blockade. So kann es passieren, dass man nach einem ausführlichen Online-Einkaufsbummel feststellt, dass der scheinbar prall gefüllte Warenkorb sich wie von Geisterhand wieder geleert hat. Andere Websites hingegen quäken herum, sie könnten ihre Inhalte nicht anzeigen, wenn man ihnen keine Cookies erlaube.
Um solchen Problemen vorzubeugen, gilt es, einen brauchbaren Kompromiss zu finden. Der besteht in der Regel darin, die Voreinstellungen des Browsers manuell anzupassen und dabei einen gangbaren Kompromiss zwischen Komfort und Sicherheit zu finden: die Teilzeitblockade für Cookies.
Statt einer der vom Internet Explorer, Firefox oder anderen Browsern vorgeschlagenen Standardeinstellungen zu vertrauen, legt man die Einstellungen selber fest.
Internet Explorer
Im Internet Explorer sind die für Cookies zuständigen Datenschutz-Parameter im Menü "Extras" und dort in den "Internetoptionen" auf dem Reiter "Datenschutz" zu finden. Klicken Sie dort auf die Schaltfläche "Erweitert" und setzen neben "Automatische Cookiebehandlung aufheben" ein Häkchen.
Das Häkchen neben "Sitzungscookies immer zulassen" kann man getrost aktivieren. Sitzungscookies werden nämlich - Nomen est Omen - nach dem Schließen des Browser-Programms automatisch gelöscht, taugen also nicht für eine Langzeitüberwachung.
Nun steht man vor der schweren Qual der Wahl. Wer sich nicht scheut, jedem Cookie persönlich Guten Tag zu sagen und ihm die Betriebserlaubnis zu geben oder eben zu verweigern, kann für Cookies von Erst- und Drittanbietern die "Eingabeaufforderung" aktivieren. Das wird aber erfahrungsgemäß schnell zur Tortur. Beim Versuch, die Webseite einer großen amerikanischen Tageszeitung auf diese Weise zu erreichen, ploppten auf dem Bildschirm nicht weniger als 28 solcher Eingabeaufforderungen auf.
Totalblockade mit Durchlassventil
Wer - von einem solchen Versuch genervt - lieber eine andere Methode ausprobieren will, wählt statt der Eingabeaufforderung "Sperren". Dann wird kein Cookie mehr durchgelassen.
Aus obengenannten Gründen verhagelt aber auch diese Methode das Surfvergnügen. Deswegen sollte man Webseiten, die man regelmäßig aufruft und die Cookies verwenden, auf dem Datenschutz-Reiter in den Internetoptionen freischalten.
Dazu klickt man auf "Sites", gibt im folgenden Fenster die Internet-Adresse der jeweiligen Webseite ein und klickt dann auf "Zulassen". Auf diese Weise füllt sich nach und nach eine Liste mit Adressen von Websites, denen das Anlegen von Cookies gestattet wird. Wichtig: Es genügt, die Hauptadresse der Webseite anzugeben, Unterseiten müssen nicht eingetragen werden (also etwa www.spiegel.de, nicht aber www.spiegel.de/netzwelt).
Firefox, Opera, Netscape
Bei Firefox ist das Vorgehen ganz ähnlich. Auch bei diesem Browser lassen sich die Cookies unter Extras/Einstellungen/Datenschutz abschalten. Unter dem Button "Ausnahmen" lassen sich wie beim Internet Explorer Webseiten eintragen, denen der Gebrauch von Cookies gestattet wird. Bei anderen Webbrowsern wie Opera und Netscape ist das Vorgehen ganz ähnlich.
Wer bereits längere Zeit ohne dedizierte Einstellungen für die Behandlung von Cookies im Web unterwegs war oder seinem Webbrowser die Annahme von Cookies generell nicht verbieten will, kann der Datensammlerei auch selbst ein Ende setzen. Dazu kann man Cookies und andere Daten, die im Verlauf einer Web-Session angesammelt werden, manuell oder automatisch löschen.
Wie das geht, ist von Browser zu Browser verschieden. So bietet der Internet Explorer 6 unter Internetoptionen/Allgemein/Temporäre Dateien die Möglichkeit, Cookies zu entfernen. Die Nachfolgeversion, der Internet Explorer 7, verfügt in diesem Bereich über weit ausgefeiltere Optionen. Bei ihm findet man unter Internetoptionen/Allgemein/Browserverlauf einen Lösch-Knopf, der zu einem weiteren Fenster führt, in dem man gezielt auswählen kann, welche Browserdaten gelöscht werden sollen.
Die beste Möglichkeit: Automatische Löschung
Eine ganz ähnliche Option ist auch in Firefox zu finden. Dort lassen sich im Menü Extras "Private Daten löschen". Allerdings gehören ausgerechnet die Cookies nicht automatisch zu jenen Daten, die bei Aufruf dieser Option gelöscht werden: Das muss man vorher so definieren.
Welche Daten gelöscht werden sollen (dann gegebenenfall inklusive der Cookies), lässt sich in Firefox unter Einstellungen/Private Daten/Einstellungen festlegen. Vor allem aber kann man unter Einstellungen/Private Daten auch festlegen, dass die zuvor definierten privaten Daten jedes Mal beim Beenden von Firefox automatisch gelöscht werden sollen. Und genau das ist vielleicht der sicherste Weg, die neugierigen Kekse loszuwerden.
Zum Thema in SPIEGEL ONLINE:
Internet- Sicherheit: Wie Unternehmen Sie
ausspähen (27.06.2007)
Web- Überwachung: Der Weg zum Spanner-
Staat (26.06.2007)SPIEGEL ONLINE - 12. November 2007, 16:15
URL: http://www.spiegel.de/netzwelt/web/0,1518,516838,00.html
Von Konrad Lischka
Neue Tricks: Computerkriminelle jubeln Surfern mit gerissenen Methoden Schnüffelprogramme unter. Sie bauen ihre Fallen auf beliebten harmlosen Seiten ein, tarnen und timen ihre Angriffe perfekt. Jüngstes Opfer: Die Soul-Sängerin Alicia Keys.
Der perfekte Zeitpunkt für einen Angriff: Das neue Album "As I am" der Soul-Sängerin Alicia Keys erscheint morgen in den Vereinigten Staaten, ist in Deutschland schon seit Freitag erhältlich. Während des Veröffentlichungsrummels haben Kriminelle das MySpace-Profil der Sängerin manipuliert. Bis zum Wochenende konnten Websurfer auf der extrem populären Seite (mehr als 12 Millionen Abrufe seit dem Start 2005) nicht nur kostenlos Stücke aus dem neuen Keys-Album hören, sondern sich auch Viren einfangen.
Die Angreifer gingen raffiniert vor: Sie hatten auf bisher noch nicht geklärtem Weg ein Hintergrundbild auf der MySpace-Seite von Keys eingebaut, das den größten Teil der Seite abdeckte. Die Homepage sah aus wie zuvor, funktionierte tadellos. Einziger Unterschied: Die Grafikdatei enthielt einen Verweis auf eine zwielichtige Web-Seite, die angeblich in China beheimatet ist. Perfide: Wer auf der Profilseite die Links anklickte, blieb unbeschadet. Wer aber irgendwo versehentlich auch nur ein paar Millimeter neben einem richtigen Link in das Hintergrundbild klickte, löste einen Angriff auf seinen Rechner aus.
Die Attacken haben mehrere Sicherheitsexperten unabhängig voneinander untersucht. Ergebnisse: Nach dem Klick auf den trickreich untergejubelten Link testet eine Programmroutine den Computer zuerst auf Sicherheitslücken, durch die unbemerkt Schadsoftware eingeschleust werden kann. Sind die Schotten offen, wird ein Schädling per Drive-By, also das simple Aufrufen der Seite, installiert.
Bei so nicht angreifbaren Rechnern öffnete sich ein Fenster mit dem Hinweis, doch bitte einen Video-Codec zu installieren, um Online-Filmchen betrachten zu können. Diese Aufforderung dürfte die Nutzer der mit Videos und Sound-Dateien überladenen MySpace-Seiten wenig überraschen.
Mehrere MySpace-Profile betroffen
Inzwischen hat MySpace die Linkfalle zumindest auf der Profilseite von Alicia Keys wieder entfernt. SPIEGEL ONLINE hat diese Hacks allerdings noch am Montagnachmittag auf drei anderen MySpace-Profilseiten beobachtet.
Der IT-Sicherheitsexperte Christopher Boyd, Schadsoftwareforscher beim Dienstleister Facetime Security, verfolgt die MySpace-Manipulationen schon seit Ende Oktober. Er berichtete SPIEGEL ONLINE von anderen Fällen: "Ich habe mehr als 20 gehackte Seiten entdeckt. Viele der Bands säubern ihre Profile ständig, stellen nach einiger Zeit fest, dass sie wieder gehackt wurden." Boyd sprach am Montagnachmittag von "mehreren noch aktiven gehackten Seiten."
Zum Umfang der Angriffe konnte MySpace wegen der laufenden Ermittlungen keine Angaben machen. Joel Berger, Geschäftsführer MySpace Deutschland sagte zu SPIEGEL ONLINE: "MySpace arbeitet zur Zeit mit allen Kräften daran, das Problem zu lösen und hat auch die Behörden dazu eingeschaltet."
Wie das Trojanische Pferd in der griechischen Mythologie verbergen Computer- Trojaner ihre eigentliche Aufgabe (und Schädlichkeit!) hinter einer Verkleidung. Meist treten sie als harmlose Software auf: Bildschirmschoner, Videodatei, Zugangsprogramm. Sie werden zum Beispiel als E- Mail- Anhang verbreitet. Wer das Programm startet, setzt damit immer eine verborgene Schadfunktion ein: Meist besteht diese aus der Öffnung einer so genannten Backdoor, einer Hintertür, die das Computersystem gegenüber dem Internet öffnet und durch die weitere Schadprogramme nachgeladen werden.
Virus
Computerviren befallen vorhandene Dateien auf den Computern ihrer Opfer. Die Wirtsdateien funktionieren – zumindest eine Zeit lang - weiterhin wie zuvor. Denn Viren sollen nicht entdeckt werden. Sie verbreiten sich nicht selbständig, sondern sind darauf angewiesen, dass Computer- Nutzer infizierte Dateien weitergeben, sie per E- Mail verschicken, auf USB- Sticks kopieren oder in Tauschbörsen einstellen. Von den andere Schad- und Spähprogrammen unterscheidet sich ein Virus allein durch die Verbreitungsmethode. Welche Schäden er anrichtet, hängt allein vom Willen seiner Schöpfer ab.
Rootkit
Das kleine Kompositum führt die Worte "Wurzel" und "Bausatz" zusammen: "Root" ist bei Unix- Systemen der Benutzer mit den Administratorenrechten, der auch in die Tiefen des Systems eingreifen darf. Ein "kit" ist eine Zusammenstellung von Werkzeugen. Ein Rootkit ist folglich ein Satz von Programmen, die mit vollem Zugriff auf das System eines Computers ausgestattet sind. Das ermöglicht dem Rootkit weitgehende Manipulationen, ohne dass diese beispielsweise von Virenscannern noch wahrgenommen werden können. Entweder, das Rootkit enthält Software, die beispielsweise Sicherheitsscanner deaktiviert, oder es baut eine sogenannte Shell auf, die als eine Art Mini- Betriebssystem im Betriebssystem alle verdächtigen Vorgänge vor dem Rechner verbirgt. Das Gros der im Umlauf befindlichen Rootkits wird genutzt, Trojaner, Viren und andere zusätzliche Schadsoftware über das Internet nachzuladen. Rootkits gehören zu den am schwersten aufspürbaren Kompromittierungen eines Rechners.
Wurm
Computerwürmer sind in der Praxis die getunte, tiefer gelegte Variante der Viren und Trojaner. Im strengen Sinn wird mit dem Begriff nur ein Programm beschrieben, das für seine eigene Verbreitung sorgt - und der Programme, die es transportiert. Würmer enthalten als Kern ein Schadprogramm, das beispielsweise durch Initiierung eines eigenen Mailprogramms für die Weiterverbreitung von einem befallenen Rechner aus sorgt. Ihr Hauptverbreitungsweg sind folglich die kommunikativen Wege des Webs: E- Mail, Chats, AIMs, P2P- Börsen und andere. In der Praxis werden sie oft als Vehikel für die Verbreitung verschiedener anderer Schadprogramme genutzt.
Drive- by
Unter einem Drive- by versteht man die Beeinflussung eines Rechners oder sogar die Infizierung des PC durch den bloßen Besuch einer verseuchten Webseite. Die Methode liegt seit einigen Jahren sehr im Trend: Unter Ausnutzung aktueller Sicherheitslücken in Browsern und unter Einsatz von Scripten nimmt ein auf einer Webseite hinterlegter Schadcode Einfluss auf einen Rechner. So werden zum Beispiel Viren verbreitet, Schnüffelprogramme installiert, das Browseranfragen zu Webseiten umgelenkt, die dafür bezahlen und anderes. Drive- bys sind besonders perfide, weil sie vom PC- Nutzer keine Aktivität (wie das Öffnen einer E- Mail) verlangen, sondern nur Unvorsichtigkeit. Opfer sind zumeist Nutzer, die ihre Software nicht durch regelmäßige Updates aktuell halten - also potenziell so gut wie jeder.
Risiko Nr. 1: Nutzer
Das größte Sicherheitsrisiko in der Welt der Computer sitzt vor dem Rechner. Nicht nur mangelnde Disziplin bei nötigen Software- Updates machen den Nutzer gefährlich: Er hat auch eine große Vorliebe für kostenlose Musik aus obskuren Quellen, lustige Datei- Anhänge in E- Mails und eine große Kommunikationsfreude im ach so informellen Plauderraum des Webs. Die meisten Schäden in der IT dürften von Nutzer- Fingern auf Maustasten verursacht werden.
MySpace geht davon aus, dass die Login-Daten der betroffenen Konten nicht über eine MySpace-Sicherheitslücke nach außen gedrungen sind. Geschäftsführer Berger: "Es handelt sich hierbei eindeutig um Phishing-Angriffe, eine Gruppe von Hackern hat sich illegal Zugriff auf verschiedene Profile verschafft."
MySpace-Hack oder Phishing?
Phishing bedeutet, dass Kriminelle die MySpace-Passwörter nicht aus der Datenbank des Portals, sondern bei den Besitzern selbst mittels Trojanern oder gefälschter Web-Seiten abgegriffen haben. Sicherheitsexperten zweifeln diese Theorie allerdings an.
Christopher Boyd kommentiert im Vitalsecurity- Blog, MySpace können angesichts der Menge Betroffener nicht behaupten, dass all diese Bands Opfer eines Phishing-Angriffs geworden sind, ihre Login-Daten also beispielsweise auf einer gefälschten MySpace-Seite eingegeben haben. Boyd: "Wie soll das gehen - unzählige Bands, Plattenfirmen, Musikmagazine und Produzenten wachen gestern auf und haben vergessen, wie die echte MySpace-Seite aussieht?"
Gerissene Gauner
Bemerkenswert an diesem Angriff ist, abgesehen von der MySpace-Manipulation, die intelligente Auswahl von Umfeld und Zeitpunkt: Die Gauner haben eine vertrauenswürdige Seite gekapert, statt mit der längst bekannten Masche eigener Porno- und Raubkopieportale zu arbeiten. Außerdem haben sie mit MySpace ein Umfeld gewählt, in dem Websurfer gerne bereit sind, Software nachzuinstallieren.
Der Fall entspricht einem Trend, den die Initiative StopBadware in ihrem im Oktober erschienen Jahresbericht 2007 beschreibt. Die US-Organisation wird von Google, Paypal, dem "Berkman Center for Internet & Society" an der Universität Harvard und vom "Oxford Internet Institute" getragen. Ihr Fazit aus der Analyse von Internet-Angriffen des ersten Halbjahrs: "Schadsoftware-Hersteller haben begonnen, einen subtileren Ansatz zu wählen, weil immer mehr Web-Nutzer wissen, wie sie sich schützen können."
StopBadware-Direktor Jonathan Zittrain sagte bei der Veröffentlichung des Berichts "Trends in Badware" Anfang Oktober: "Die Entwicklung ist besorgniserregend: Es wird alltäglich, dass bekannte Web-Seiten gehackt und dazu benutzt werden, die Rechner ihrer Besucher zu infizieren."
Legitime Web-Seiten sind leichte Beute
Das geht erstaunlich einfach. Einem Bericht der IT-Sicherheitsfirma WhiteHat Security vom Oktober zufolge weisen 90 Prozent der untersuchten Seiten Sicherheitslücken auf, die sich zum Einschleusen von Schadcode ausnutzen lassen ( PDF- Dokument des Berichts). Solche Angriffe funktionieren schlimmstenfalls nach der Alicia-Keys-Methode: Wer die Seite mit einem System ohne die neusten Sicherheitsupdates aufruft, hat womöglich sofort einen infizierten Rechner, wer ein aktuelles Betriebssystem nutzt, wird raffiniert zum Laden von Schadsoftware gedrängt.
Beim Timing solcher Angriffe waren die Gauner in diesem Jahr schon erstaunlich findig: Im Januar, während der Kartenverkaufs für das wichtigste Football-Spiel des Jahres, hackten sie die Web-Seite des Teams der "Miami Dolphins". In der Zeit als die Seite den größten Besucherandrang des Jahres verzeichnete, versorgte sie ungeschützte Rechner von Besuchern mit einem Trojaner, der die Nutzer aushorchte und die Daten an Kriminelle schickte.
Die Weihnachtszeit dürfte für Angreifer interessant werden: Im vorigen Jahr hatten Unbekannte die Seite des "wahren Weihnachtsmanns" manipuliert. Betrieben wird Santaslink.net von einem weißbärtigen US-Bürger, der sich in Santa Claus hat umbenennen lassen, auf Spendentouren durchs Land reist und Geld für Kinderhilfsprojekte einwirbt. Im vorigen Advent hatten Kriminelle einen Trojaner über seine Seite verbreitet. Wenn nicht einmal der Weihnachtmann sicher ist - wer dann?
Zum Thema in SPIEGEL ONLINE:
Fotostrecke: Diese MySpace- Profile wurden
gehacktZum Thema im Internet:
-Sicherheits- Experte Christopher Boyd über
manipulierte MySpace- Profile
Bericht von WhiteHat Security über anfällige Webseiten