Neue gefährliche Phishing-Methode

Dieses Thema im Forum "Ihre Meinung zu Artikeln auf pcwelt.de" wurde erstellt von pixel, 25. November 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. pixel

    pixel Kbyte

    Registriert seit:
    7. November 2000
    Beiträge:
    403
    Das ist nicht ausgefeilt, sondern peinlich für die Leute, die das Onlinebanking-System geschrieben haben...
     
  2. Till Wollheim

    Till Wollheim Kbyte

    Registriert seit:
    2. Mai 2000
    Beiträge:
    497
    Guten Tag,

    wenn bei bisherigen Phishing Attacken noch der Kunde leichtsinnig, ja geradezu blöd gewesen sein muß, und daher die Haftung der Bank nicht gegeben ist, dürfte in diesen neuen Fällen, ganz klar sein, daß es sich um grob fahrlässige Sicherheitslücken seitens der Bank handelt und daher diese nicht aus der Haftung frei gestellt werden können.

    Till
     
  3. RaBerti1

    RaBerti1 Viertel Gigabyte

    Registriert seit:
    24. November 2000
    Beiträge:
    5.094
    Eh?

    Moment mal...

    Das strotzt ja nun geradezu von Selbstsicherheit, die gar keine ist:

    Erklär das bitte mal genauer. Warum "dürfte", warum "ganz", warum "klar"? Und warum "grob fahrlässig" und warum "Sicherheitslücke der Bank"?

    MfG Raberti
     
  4. Michi0815

    Michi0815 Guest

    Registriert seit:
    7. Januar 2004
    Beiträge:
    3.429
    könnte daran liegen :D
     
  5. kalweit

    kalweit Hüter der Glaskugel

    Registriert seit:
    18. April 2000
    Beiträge:
    31.487
    Ich weiss nach wie vor nicht, wo das Problem liegt. Wenn man sicherheitsrelevante Daten an seine Bank übertragen will, sorgt man zum einen dafür, dass sich keine Mitbewohner auf dem Rechner rumtreiben und zum anderen öffnet man schlicht den Browser komplett neu und gibt die Adresse der Bank per Hand (oder Lesezeichen) ein (ohne natürlich sich zwischenzeitlich auf anderen Seiten herum zu treiben).

    Gruss, Matthias
     
  6. MedicusArnulf

    MedicusArnulf Byte

    Registriert seit:
    3. Mai 2001
    Beiträge:
    42
    Hi !
    Ich stimme Kalweit zu; so mach´ ich´s übrigens auch, bisher o.k.
    - Und sollte dann doch noch was passieren, würde ich auf jeden Fall auch versuchen, die Bank mit ins Boot zu ziehen !
    Ciao,
    medicusarnulf
     
  7. piXL

    piXL Kbyte

    Registriert seit:
    17. April 2002
    Beiträge:
    225
    Kann mir bitte einer mal genauer erklären, wie das funktioniert (nein, ich will jetzt kein Script, um selbst eine Umleitung starten zu können :rolleyes: )
    Ich kann mir nur unter "Unter Ausnutzung eines Fehlers im Such-Script der Online-Banking-Seiten wird eine Javascript-Seite gestartet, die an Stelle der legitimen Site die Phishing-Site auf dem Bildschirm erscheinen lässt." nichts vorstellen. Was wird denn da für ein Such-Script gestartet? Das, welches meine Kontonummer sucht, nachdem ich meine Daten eingegeben habe, oder wie?
     
  8. Kleiner Murks

    Kleiner Murks Kbyte

    Registriert seit:
    28. Oktober 2001
    Beiträge:
    163
    Die Nachricht komplett lesen (nicht nur die Ueberschrift), Gehirn dabei einschalten und dann kommt die Antwort von ganz alleine :eek:
     
  9. SirAlec

    SirAlec Kbyte

    Registriert seit:
    28. Oktober 2002
    Beiträge:
    268
    Wie blöd muss man denn sein, wenn man per Mail dazu aufgefordert wird etwas zu Tun, von dem man wissen sollte das seine Bank einen eben zu solchen aktionen NIEMALS auffordern würde, was im Begleitmaterial zum Onlinebanking geschrieben steht. (Bei mir zB. schon 1999)
    Vielleicht sollte es in Zukunft Prüfungszwang für alles geben was man online machen kann, denn die die anderen Idioten werden ihr dummes Tun garantiert nicht aufgeben. :aua:
     
  10. GrEeNgHoSt

    GrEeNgHoSt Byte

    Registriert seit:
    31. Mai 2002
    Beiträge:
    51
    Wie wäre es mit einem JavaScript Popup:

    "Diese Seite ist garantiert von Ihrer Bank. Sie können ruhig darauf vertrauen und geben bitte auf der folgenden Seite Ihre Kontonummer, PIN und 5-6 TANs ein, damit wir Ihr Konto auf Fehlfunktionen untersuchen können.
    Mit freundlichen Grüßen
    Ihr Administrationsteam von der ...bank"

    Ich will nicht wissen, wieviele Leute da noch drauf 'reinfallen würden. *g*
    Naja, mir ist es egal. Die Dummen sterben halt nicht aus.

    Gruß Green
     
  11. piXL

    piXL Kbyte

    Registriert seit:
    17. April 2002
    Beiträge:
    225
    Das ist ja genau das, nach was ich gefragt habe. In dem Artikel stand nichts drin von wegen einer Antwort auf eine mail. Da heißt es nur, dass ein Fehler des Such-Scripts der Bank ausgenutzt wird - ergo muss ich also wohl zunächst sogar das "richtige" Script genutzt haben. Oder sehe ich das falsch?

    Desweiteren stellt sich mir in dem Zusammenhang die Frage, wie sicher denn die TANs sind. Bringen die überhaupt was? Ich brauche doch für sämtliche Kontobewegungen noch eine TAN, nachdem ich per PIN eingeloggt bin. Ansonsten kann man sich halt den Kontostand und die Umsätze anschauen - naja, wenn es interessiert :D Das wäre ja noch nicht weiter schlimm. Aber wie umgeht man dann die TAN?
     
  12. kalweit

    kalweit Hüter der Glaskugel

    Registriert seit:
    18. April 2000
    Beiträge:
    31.487
    Eine Methode: Trojaner mit Keylogger auf den Clientrechner einschleusen. Damit lassen sich alle Tastatureingaben protokollieren und eventuell gleich per Internet versenden. In dem Moment, wo im Webformular der Bank eine TAN eingegeben wurde, wird die TAN an den Dieb gesand und der Rechner zu Absturz gebracht bevor das Formular an die Bank gesendet wird. So erhält man zumindest eine gültige TAN.

    Gruss, Matthias
     
  13. Hawkeye_M.A.S.H

    Hawkeye_M.A.S.H Kbyte

    Registriert seit:
    22. August 2002
    Beiträge:
    232
    Ich denke nicht, dass man die Ganze Sache damit abtun kann, indem man sagt: 'Dumme Leute fallen da halt drauf rein!'
    Wenn sich über diese Sicherheitslücke direkt Code ausführen lässt, dann dürfte es nicht zwingend notwendig sein, das Ganze per E-Mail zu machen.

    Mich würde jedoch dabei interessieren, wie genau die zusätzlichen Code-Teile in das Originalscript eingefügt werden.
    Werden sie über einen Link auf dieses Script aktiviert?
    Ich gehe einfach mal davon aus, dass der zusätzliche (schädliche) Code ja auf irgendeinem externen Webspace liegen muß (also nicht auf der Seite der Bank).
    Solange man also weiterhin direkt die Seite des Onlinebankings aufruft, ohne irgendwo einen Umweg über Links etc. zu machen, worüber externer Webspace eine Verknüpfung herstellen könnte dürfte es also kein Problem sein!?! :confused:

    Wäre dann nur die Frage: Wann schafft es der erste Betrüger, den entsprechenden Code direkt auf den Webspace der Bank zu setzen? :p
     
  14. mroszewski

    mroszewski Viertel Gigabyte

    Registriert seit:
    18. Juni 2002
    Beiträge:
    4.208
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen