zum Inhalt
 
 

- Archiv

10.03.2006

Phishing erreicht neue Qualität

Chipkartenleser Die Zahl der Phishing-Versuche ('Phishing'=Synonym für 'Fischen nach Passwörtern') nimmt weltweit zu. Die Anti-Phishing Working Group (APWG) hat im Dezember vergangenen Jahres weltweit 7197 Phishing-Sites gezählt und damit einen Anstieg um etwa 300% gegenüber dem Jahresanfang 2005. Inzwischen ist zwar die Zahl der Versuche rückläufig, neu ist jedoch die Qualität die dabei erreicht wird.
Waren es bisher plumpe Versuche, die allein schon durch Schreibfehler und Passwortaufforderung unglaubwürdig waren, so fallen aktuelle Phishing-Attacken durch gezielte Adressierung (Hausbank) und durchaus glaubhafte Szenarien auf.
So meldete der Online-Dienst www.heise.de am 8. März 2006, dass Hacker an der Universität Hannover Daten über Studenten gestohlen und dann gezielt per E-Mail die Studenten über den Datenklau informiert hätten und im Namen der Uni zu einer Überprüfung der Bankdaten aufgerufen hätten.

Noch weiter geht ein Fall, den Brian Krebs im Blog der 'Washington Post' veröffentlichte. Im beschriebenen Phishing-Fall waren HTML-E-Mails mit dem Logo und Auftreten des Kreditkartenunternehmens 'Mountain America' versandt wurden, die zu einer Aktivierung der Kreditkarte im Rahmen des Aktion 'verified by Visa' aufforderte. Es gibt diese Aktion von Visa tatsächlich, ebenso wie die Bank 'Mountain America'. Selbst die angegebene Kreditkartennummer stimmte mit von 'Mountain America' herausgegeben Kreditkarten überein, da es sich nur um die ersten fünf Stellen handelte.
Der in der Phishing-E-Mail enthaltene Link führte zu einer SSL-verschlüsselten Seite unter www.mountain-amerika.net (inzwischen offline), die im Design der des Kreditinstitutes (www.mtnamerica.org) täuschend ähnelte. Sogar das SSL-Zertifikat der Phishing-Seite war echt. Ausgestellt von Equifax/Geotrust auf die genannte Domain und auf die Bank 'Mountain America' ist solch eine Seite nur schwer als 'kriminell' zu erkennen.

Die deutschen Kreditinstitute sind sich zwar der Risiken bewusst, handeln aber nur halbherzig. So wird derzeit fast überall die sogenannte 'iTAN' eingeführt, die eine Nutzung abgefangener TANs durchaus erschwert. Allerdings ist dies nur ein begrenzter Schutz, der die Risikoschwelle anhebt. Unverständlich bleibt, warum hierzulande bestehende Standards nicht offener vermarktet werden. Zum Beispiel gibt es mit dem 'Home Banking Computer Interface' (HBCI) seit 1996 eine Alternative zum PIN/TAN-Verfahren, welche die Gefährdung durch einen kompromittierten PC minimiert. Allerdings ist dazu eine HBCI-Karte und Klasse-2-Lesegerät erforderlich und eine Finanz-Software, die den Standard unterstützt. Dafür berechnen die Banken einmalige Gebühren von mindestens 50 Euro. Offenbar ist, sowohl bei den Bankkunden, als auch bei den Banken der Bedarf an sicheren Lösungen noch nicht ins Bewusstsein gerückt, sonst wäre die Nachfrage nach HBCI größer und der Preis für die notwendige Ausrüstung geringer.
Der Zentrale Kreditkartenausschuss (ZKA), der bankübergreifend die Standards für Finanztransfer standardisiert, hat 2004 mit 'FinTS' eine Weiterentwicklung auf der Grundlage von HBCI begonnen, mit der aktuellen 'FinTS'-Version 4.0 stehen jedoch noch keine weitergehenden Sicherheitsfunktionen zur Verfügung.

« zurück

 



top|print