Neue gefährliche Phishing-Methode

Das ist nicht ausgefeilt, sondern peinlich für die Leute, die das Onlinebanking-System geschrieben haben...

 

Guten Tag,

wenn bei bisherigen Phishing Attacken noch der Kunde leichtsinnig, ja geradezu blöd gewesen sein muß, und daher die Haftung der Bank nicht gegeben ist, dürfte in diesen neuen Fällen, ganz klar sein, daß es sich um grob fahrlässige Sicherheitslücken seitens der Bank handelt und daher diese nicht aus der Haftung frei gestellt werden können.

Till

 

Eh?

Moment mal...

Das strotzt ja nun geradezu von Selbstsicherheit, die gar keine ist:

Erklär das bitte mal genauer. Warum "dürfte", warum "ganz", warum "klar"? Und warum "grob fahrlässig" und warum "Sicherheitslücke der Bank"?

MfG Raberti

 

könnte daran liegen

 

Ich weiss nach wie vor nicht, wo das Problem liegt. Wenn man sicherheitsrelevante Daten an seine Bank übertragen will, sorgt man zum einen dafür, dass sich keine Mitbewohner auf dem Rechner rumtreiben und zum anderen öffnet man schlicht den Browser komplett neu und gibt die Adresse der Bank per Hand (oder Lesezeichen) ein (ohne natürlich sich zwischenzeitlich auf anderen Seiten herum zu treiben).

Gruss, Matthias

 

Hi !
Ich stimme Kalweit zu; so mach´ ich´s übrigens auch, bisher o.k.
- Und sollte dann doch noch was passieren, würde ich auf jeden Fall auch versuchen, die Bank mit ins Boot zu ziehen !
Ciao,
medicusarnulf

 

Kann mir bitte einer mal genauer erklären, wie das funktioniert (nein, ich will jetzt kein Script, um selbst eine Umleitung starten zu können )
Ich kann mir nur unter "Unter Ausnutzung eines Fehlers im Such-Script der Online-Banking-Seiten wird eine Javascript-Seite gestartet, die an Stelle der legitimen Site die Phishing-Site auf dem Bildschirm erscheinen lässt." nichts vorstellen. Was wird denn da für ein Such-Script gestartet? Das, welches meine Kontonummer sucht, nachdem ich meine Daten eingegeben habe, oder wie?

 

Die Nachricht komplett lesen (nicht nur die Ueberschrift), Gehirn dabei einschalten und dann kommt die Antwort von ganz alleine

 

Wie blöd muss man denn sein, wenn man per Mail dazu aufgefordert wird etwas zu Tun, von dem man wissen sollte das seine Bank einen eben zu solchen aktionen NIEMALS auffordern würde, was im Begleitmaterial zum Onlinebanking geschrieben steht. (Bei mir zB. schon 1999)
Vielleicht sollte es in Zukunft Prüfungszwang für alles geben was man online machen kann, denn die die anderen Idioten werden ihr dummes Tun garantiert nicht aufgeben.

 

Wie wäre es mit einem JavaScript Popup:

"Diese Seite ist garantiert von Ihrer Bank. Sie können ruhig darauf vertrauen und geben bitte auf der folgenden Seite Ihre Kontonummer, PIN und 5-6 TANs ein, damit wir Ihr Konto auf Fehlfunktionen untersuchen können.
Mit freundlichen Grüßen
Ihr Administrationsteam von der ...bank"

Ich will nicht wissen, wieviele Leute da noch drauf 'reinfallen würden. *g*
Naja, mir ist es egal. Die Dummen sterben halt nicht aus.

Gruß Green

 

Das ist ja genau das, nach was ich gefragt habe. In dem Artikel stand nichts drin von wegen einer Antwort auf eine mail. Da heißt es nur, dass ein Fehler des Such-Scripts der Bank ausgenutzt wird - ergo muss ich also wohl zunächst sogar das "richtige" Script genutzt haben. Oder sehe ich das falsch?

Desweiteren stellt sich mir in dem Zusammenhang die Frage, wie sicher denn die TANs sind. Bringen die überhaupt was? Ich brauche doch für sämtliche Kontobewegungen noch eine TAN, nachdem ich per PIN eingeloggt bin. Ansonsten kann man sich halt den Kontostand und die Umsätze anschauen - naja, wenn es interessiert Das wäre ja noch nicht weiter schlimm. Aber wie umgeht man dann die TAN?

 

Eine Methode: Trojaner mit Keylogger auf den Clientrechner einschleusen. Damit lassen sich alle Tastatureingaben protokollieren und eventuell gleich per Internet versenden. In dem Moment, wo im Webformular der Bank eine TAN eingegeben wurde, wird die TAN an den Dieb gesand und der Rechner zu Absturz gebracht bevor das Formular an die Bank gesendet wird. So erhält man zumindest eine gültige TAN.

Gruss, Matthias

 

Ich denke nicht, dass man die Ganze Sache damit abtun kann, indem man sagt: 'Dumme Leute fallen da halt drauf rein!'
Wenn sich über diese Sicherheitslücke direkt Code ausführen lässt, dann dürfte es nicht zwingend notwendig sein, das Ganze per E-Mail zu machen.

Mich würde jedoch dabei interessieren, wie genau die zusätzlichen Code-Teile in das Originalscript eingefügt werden.
Werden sie über einen Link auf dieses Script aktiviert?
Ich gehe einfach mal davon aus, dass der zusätzliche (schädliche) Code ja auf irgendeinem externen Webspace liegen muß (also nicht auf der Seite der Bank).
Solange man also weiterhin direkt die Seite des Onlinebankings aufruft, ohne irgendwo einen Umweg über Links etc. zu machen, worüber externer Webspace eine Verknüpfung herstellen könnte dürfte es also kein Problem sein!?!

Wäre dann nur die Frage: Wann schafft es der erste Betrüger, den entsprechenden Code direkt auf den Webspace der Bank zu setzen? :p

 

das Phishing nimmt beängstigende Dimensionen an
http://www.e110.de/artikel/detail.cfm?pageid=234&id=63149