das BKA warnt: neue Phishing-Wellen richten sich gezielt an Bankkunden Das Bundeskriminalamt rät: Ihre Bank wird von Ihnen keine vertraulichen Daten (Kontonummer, PIN, TAN oder Telefonbanking PIN) per E-Mail abfragen oder Ihnen E-Mails zusenden, die einen Link zu ihrem Online-Banking-Login enthalten. Reagieren Sie deshalb nicht auf entsprechende E-Mails. Folgen Sie keinem "Link" zu ihrem Online-Banking-Login, sondern geben Sie die entsprechende Internetadresse immer direkt über die Tastatur ein. Verwenden Sie ein Virenschutzprogramm sowie eine Firewall und aktualisieren Sie diese Programme täglich. Halten Sie das von Ihnen verwendete Betriebssystem und die Internetzugangssoftware (z.B. Internet Explorer, Opera, etc.) stets auf aktuellem Stand, indem Sie immer die vom Hersteller empfohlenen aktuellen Sicherheitsupdates aufspielen. Überprüfen Sie ihren PC mittels entsprechender Programme (Virenscanner) regelmäßig auf Schadsoftware. Führen Sie keine Online-Transaktionen aus, wenn Sie vermuten, dass Ihr PC mit Schadsoftware infiziert ist.

das Bundeskriminalamt (BKA) informiert und warnt: Betrüger nutzen Sie als "Warenagenten" aus Mit einem verlockenden Angebot per E-Mail versuchen Betrüger Sie als Komplizen zu gewinnen. Allerdings ist das für Sie natürlich nicht ersichtlich. Das Bundeskriminalamt (BKA) warnt deshalb nun auf seiner Internetseite vor einem lukrativen Jobangebot. Sie sollen dabei Pakete für die Kriminellen entgegennehmen und an diese weiterleiten, damit sie anonym bleiben. Sie machen sich dadurch allerdings zum Mittäter, da Sie die Betrüger dabei unterstützen, ihre kriminellen Geschäfte zu tarnen. Antworten Sie daher nicht auf E-Mails, die Ihnen für eine solche Leistung als Nebenverdienst Geld anbieten. Die Jobbezeichnung in den aktuellen E-Mails lautet "Warenagent". Es ist allerdings davon auszugehen, dass die E-Mails nach der öffentlichen Warnung von den Betrügern verändert werden. Das Bundeskriminalamt (BKA) warnt eindringlich vor einer neuen Methode der Internetkriminalität, bei der die Täter „Warenagenten“ anwerben. Weiterhin warnt das Bundeskriminalamt vor neuen Phishing-Tricks, bei der Internetverkäufer, Firmen und Vermieter von Wohnungen zu Mittätern wider Willen werden. der vollständige Artikel als PDF-Datei: Informationen vom Bundeskriminalamt http://www.bundeskriminalamt.de/pressemitteilungen/2008/pm081124.html

Es ist kaum zu glauben: das unsägliche „Phishing“ feiert dieses Jahr sein zehnjähriges Jubiläum, wie die X-Force, das Forschungs- und Entwicklungsteam von Internet Security Systems (ISS) berichtet. Was 1996 zunächst mit einem „Böse-Jungen-Streich“ begann, avancierte im Laufe der Jahre zu einer hochorganisierten Form der internationalen Kriminalität. Dabei steht vor allem die finanzielle Bereicherung im Vordergrund und es ist kaum verwunderlich, dass inzwischen auch das Thema Geldwäsche im Zusammenhang mit Phishing einen neuen Stellenwert erfährt. Aber auch Unternehmen einen wirtschaftlichen Schaden oder einen Imageverlust zuzufügen, spielt bei den Aktivitäten der Internetkriminellen nach wie vor eine signifikante Rolle. Auch für 2006 befürchtet ISS eine starke Zunahme neuer Angriffsformen wie des „Spear Phishings“. Bei dieser gezielten Form des Betrugs, die sich so genannte Social-Engineering-Techniken zu Nutze macht, geht es vor allem darum, die Kontrolle über gesamte Netzwerke zu erlangen. Wie alles begann: Eine Zeitreise Der Begriff „Phishing“ wird erstmals geprägt, als Hacker 1996 die Zugangsdaten von „America Online“ (AOL) -Teilnehmern stehlen. Ein Jahr später greift ein Computermagazin den Terminus auf und sorgt dafür, dass dieser sich als gängige Bezeichnung für diese Angriffsform durchsetzt. In den folgenden Jahren versuchen Phisher vorwiegend vertrauliche Daten über spezielle Newsgroups oder Internet-Diskussionsforen zu ergaunern. Eine beliebte Methode stellen kurz darauf Keylogger-Programme dar, die in Form von „Trojanern“ Verbreitung finden. Diese ermöglichen Hackern, Tastatureingaben ahnungsloser Nutzer mitzuprotokollieren und damit Kenntnis über Kennwörter und PINs zu erlangen. Erst im neuen Jahrtausend beginnen Phisher mit dem Massenmail- oder URL-Versand, um Anwender auf imitierte Bankseiten zu lenken und dort ihre vertraulichen Daten „abzufischen“. Doch damit nicht genug. Die Täter verfeinern ihre Methoden permanent und setzen auf immer ausgeklügeltere Techniken, um an vertrauliche Daten zu gelangen und diese für den eigenen finanziellen Profit zu nutzen. So entwickelt sich bis zum Jahr 2005 das „Pharming“. Bei dieser auch unter der Bezeichnung „Domain-Spoofing“ bekannten weiterentwickelten Phishing-Variante kapert der Internetpirat eine Domain und verändert über vorhandene Sicherheitslöcher in Browsern die Originaladresse. Auch im Falle der manuellen Eingabe der richtigen Internetadresse landet der Anwender somit auf der gefälschten Internetseite. Im vergangenen Jahr tauchte mit dem „Spear Phishing“ eine weitere Betrugsvariante auf. Hierbei versenden die Täter gefälschte E-Mails gezielt an eine bestimmte Empfängergruppe - beispielsweise an sämtliche Beschäftigte eines Unternehmens - und fragen unter einem Vorwand Benutzernamen oder Kennwörter an. Erschreckend ist, dass sie dabei einen dem Opfer bekannten Absendernamen verwenden und so Vertrautheit vorgaukeln. Gehen die Angestellten ins Netz, indem sie beispielsweise auf die Nachricht antworten, beigefügte Anhänge öffnen oder auf einen angegebenen Link klicken, ist der Schaden für das Unternehmen groß. Auch vor Angriffen auf Voice-over-IP-Umgebungen schrecken Phisher inzwischen nicht mehr zurück. Denn Infrastrukturen, die das kostengünstige Telefonieren über IP ermöglichen, sind grundsätzlich den gleichen Risiken ausgesetzt wie Datennetze. Die Umwandlung von Sprachsignalen in über das Internet übermittelbare Datenpakete leistet dem Spoofing - der Fälschung oder Vortäuschung von Identitäten - Vorschub. Somit entsteht eine neue Spielwiese für die Datenfischer, dies belegen die ersten, Anfang des Jahres erfolgten Angriffe. Was bringt die Zukunft? Laut ISS liegt die Erfolgsquote bei Phishing-Angriffen in Spitzenzeiten bei 5 Prozent. Somit trifft jede zwanzigste Phishing-Mail ins Schwarze. Zudem werden die Techniken, um Anwender auszutricksen, immer raffinierter. Obwohl Massen-E-Mails auch künftig an der Tagesordnung sein werden, laufen nach Aussage des Sicherheitsspezialisten vor allem gezielte Angriffe auf Unternehmen diesen künftig den Rang ab. Dabei birgt vor allem der zunehmende Wechsel auf VoIP-Infrastrukturen besonderes Gefahrenpotenzial. Bei der Vermittlung von Sprachsignalen über IP-Netze kommen besondere Protokolle zum Einsatz, die spezielle Schwachstellen aufweisen. Hinzu kommt, dass jede auf dem Internet-Protokoll basierende Angriffsform auch sofort über VoIP übertragbar sein wird. Dem lässt sich nur mit Produkten begegnen, die mögliche Sicherheitslücken kennen und die Analyse gängiger VoIP-Protokolle unterstützen. Leider sind diese noch Mangelware, so dass die verhältnismäßig junge Kommunikationstechnologie vermutlich schneller, als uns lieb ist, in den Fokus von Internetkriminellen gerät. Vorsicht ist die Mutter der Porzellankiste Um die Gefahr zu umgehen, einem Phishing-Angriff anheim zu fallen, gibt es einige Verhaltensmaßregeln. So sollten E-Mails mit unbekanntem Absender in gar keinem Fall geöffnet werden. Zudem sollten niemals auf Grund einer E-Mail-Anfrage persönliche Daten preisgeben werden. Natürlich sind möglichst gute Filter- und Schutzprogramme nicht nur für Unternehmen wichtig, sondern sollten auch auf dem privaten PC installiert und eingesetzt werden. Dabei ist es aber auch wichtig, dass diese Schutzprogramme mit regelmäßigen Updates und Signaturen aktuell gehalten werden.

Der Datenklau übers Internet, das so genannte Phishing, ist mittlerweile sehr bekannt. Deshalb sind die meisten Internet-Nutzer erfreulicherweise sehr aufmerksam und vorsichtig geworden. Für Daten-Diebe ist hier kaum mehr etwas zu holen. Doch ab jetzt ist zusätzlich am Telefon Vorsicht geboten! Die neue Taktik der Internet-Betrüger nennt sich Vishing (Voice Phishing). Das Ziel ist, wie beim Phishing, das Erlangen von Passwörtern und Kontodaten und läuft folgendermaßen ab: Man erhält per Telefon oder dem Anrufbeantworter eine Nachricht, dass es z.B. Probleme mit dem Bankkonto gäbe und wird zum Zurückrufen aufgefordert. Dort werden dann persönliche Daten, Passwörter, Kontonummern u.ä. abgefragt. Paul Henry, Vizepräsident der US Beratungsfirma Secure Computing, rät sofort aufzulegen, wenn man am Telefon nach sensiblen Daten gefragt werde. Um wirklich sicher zu gehen, sollte man auch grundsätzlich nur die Nummern zurückrufen, die in Bankunterlagen oder auf Kreditkarten angegeben sind. Das Problem grassiert derzeit NOCH hauptsächlich in den USA. Da es für Daten-Diebe aber eine sehr einfache und lukrative Methode darstellt, kann es sich in kürzester Zeit weltweit ausbreiten.

Nahezu täglich finden sich Spam-Mails in den E-Mail-Postfächern. Ebenso stetig wächst der Anteil an so genannten Phishing-Mails, die Anwender zur Herausgabe sensibler Daten wie etwa Kreditkartennummern oder Online-Banking-TANs verleiten wollen. Wie sich Anwender gegen diese Bedrohung schützen können, zeigt tecCHANNEL, das deutsche Webzine für technikorientierte Computerprofis. Die Szene hat sich mittlerweile massiv entwickelt. Aus den Hackern, die nur zum Spaß in fremde Systeme eindrangen, wurden organisierte kriminelle Strukturen, die auf Gewinn aus sind. Wahllose Phishing-Angriffe sind mittlerweile überholt, die nächste Stufe ist so genanntes Spear-Phishing. Dabei konzentriert sich der Angriff auf eine gewisse Personengruppe, etwa die Kunden einer Bank, um diese dann gezielt ihrer persönlichen Daten zu berauben. Doch Anwender sind diesen Phishing-Angriffen keineswegs schutzlos ausgeliefert, so tecCHANNEL. Vor allem sollte das Betriebssystem und die Software ständig auf dem neuesten Stand sein. Ebenfalls unerlässlich auf jedem PC ist mittlerweile ein Virenscanner mit aktuellen Signaturen. Darüber hinaus kann ein gesundes Misstrauen die Gefahren minimieren. So fragen Banken und Sparkassen beispielsweise nie per Mail nach persönlichen Zugangsdaten. Ferner sollten Anwender keine Links nutzen, um auf die Webseite ihrer Bank zu gelangen, sondern die Adresse eintippen oder ein Bookmark verwenden, rät tecCHANNEL. Inzwischen bieten auch die beiden meist genutzten Browser Firefox und Internet Explorer mit so genannten Anti-Phishing-Browser-Toolbars zusätzlichen Schutz. Aber Vorsicht: Da immer häufiger auch verschlüsselte Phishing-Sites auftauchen, garantiert dies keine hundertprozentige Sicherheit, so techCHANNEL. Den ausführlichen Report zu diesem Thema sowie weitere Hintergrundinformationen finden Sie aktuell unter www.tecChannel.de.

Ein "Mule" ist im Computer-Jargon jemand, der Geld wäscht, das durch Phishing-Angriffe oder andere Online Betrugsmethoden erbeutet worden ist. Genau solche "Mules" werden momentan per Stellenangebot über E-Mails gesucht.

Ein nicht besonders raffinierter Spammer verbreitet seit Donnerstagmorgen (23.11.2006) Nachrichten, die angeblich auf eine Webseite mit politischem Hintergrund verlinken. Der Inhalt der Nachricht bezieht sich jedoch auf einen Phishing-Angriff, vor dem gewarnt wird. In der Mail findet der User einen Link, der augenscheinlich zu einer Seite mit Sicherheitsinformationen führt. Da sollen sich interessierte User über präventive Maßnahmen informieren können und Tipps zur Abwehr von Phishing-Attacken bekommen. Tatsächlich führt der Link natürlich nicht auf die angegebene Website, sondern auf eine Internet-Seite, auf der die politischen Umstände in den USA massiv kritisiert und die Kongresswahlen, bei denen die oppositionellen Demokraten nach 12 Jahren die Mehrheit im Repräsentantenhaus und im Senat zurück gewonnen haben, thematisiert werden.

Der 4. Deutsche Anti-Spam-Kongress des eco Verbandes der deutschen Internetwirtschaft hat wieder einige interessante Ergebnisse erbracht. Als wesentliche Veränderungen innerhalb der Spam-Problematik haben sich die immer niedrigere Hemmschwelle der Täter und neue Formen der Angriffe auf persönliche Daten im Netz herauskristallisiert. Damit erreichen Spam und andere Arten des Datendiebstahls eine völlig neue Dimension und bewegen sich weg vom Ärgernis hin zu strafrechtlich relevanten Sachverhalten. Eine wesentliche Erkenntnis des Kongresses in Köln ist die Tatsache, dass die Täter immer raffinierter und professioneller zu Werke gehen. Die Zeiten, in denen Phishing-Mails noch in schlechtem Deutsch verfasst und damit auf den ersten Blick erkennbar waren, sind vorbei. Daneben werden immer neue Varianten erdacht und entwickelt. So ist etwa Pharming für den Laien praktisch gar nicht mehr zu erkennen. Hier wird die Host-Datei eines Rechners manipuliert, so dass der eingegebenen Internetadresse die richtige IP-Nummer des Servers im Internet zugeordnet wird. Zu Nutze gemacht haben sich die Täter auch den Hinweis der Banken an Ihre Kunden, zur Angabe ihrer Daten niemals das Internet, sondern das Telefon zu benutzen. Ein automatisches Ansagesystem fordert den Anrufer auf, seine Daten anzugeben. Bekannt geworden ist diese Methode unter dem Begriff "Vishing" (einer Zusammensetzung aus Phishing und Voice). Dazu kommt die Zusammenarbeit der einzelnen Täter über Ländergrenzen hinweg, die sich mittlerweile in professionellen Organisationen zusammengefunden haben, was die Zugriffsmöglichkeiten der Behörden erheblich einschränkt. Alleine in Berlin wurden im ersten Halbjahr dieses Jahres 153 Fälle mit einem Gesamtschaden von rund 730.000 Euro registriert - das ist ein Anstieg um rund fünfzig Prozent im Vergleich zum Vorjahr. Eine bundeseinheitliche Erfassung gibt es bisher nicht, dennoch lässt sich der immens hohe Schaden für ganz Deutschland ermessen, zumal die nicht gemeldeten beziehungsweise nicht erfassten Fälle zahlreich sein dürften. eco liefert auch einen Beleg für die steigende kriminelle Energie der Täter: Die eigens für solche Fälle eingerichtete Internet-Beschwerdestelle verzeichnet einen deutlichen Zuwachs des gegenüber herkömmlichem Spam wesentlich subtileren und dadurch auch gefährlicheren Datendiebstahls: von den täglich über dreihundert Beschwerden betreffen mittlerweile 15 bis zwanzig Prozent Phishing-Attacken. Beschwerden über deutschen Spam können Sie per E-Mail (Bitte mit dem Orginal-Kopf) an die Adresse hotline@eco.de weiterleiten.

Egal ob Homebanking, persönliche Zugangsdaten oder Kreditkartennummern - im Internet zahlen Anwender meist mit Zahlenkombinationen und ihrem guten Namen. Allerdings stellen die eingegebenen Daten auch ein gefundenes Fressen für Betrüger dar. tecChannel, ein Webmagazin für technikorientierte Computerprofis, gibt Tipps, wie sich Computer-Nutzer ohne großen Aufwand schützen können. Eine besonders große Gefahr geht von so genannten Keyloggern aus, die sich unbemerkt auf dem Rechner einnisten. Keylogger zeichnen sämtliche Tastatureingaben auf und schicken diese an den Autor der Schad-Software. Auf diese Weise können Betrüger Kontodaten, Benutzernamen und Passwörter ausspionieren. Ein einfacher Weg, Keylogger auszutricksen, sind Bildschirmtastaturen. Dabei handelt es sich um eine virtuelle Tastatur, die mit Hilfe der Computermaus bedient wird. Windows enthält zwar eine solche Tastatur, allerdings ist diese nicht sicher, so tecChannel. Besser für die Eingabe sensibler Daten ist beispielsweise die kostenlose Software „Virtual Keyboard“ von Andrej Koch (http://www.andrej-koch.de/), die zudem nicht installiert werden muss. Eine weitere Methode, um sich vor Keyloggern zu schützen, sind so genannte KeyScrambler. Dies sind Programme, die Tastatureingaben automatisch verschlüsseln. Die mitlauschenden Keylogger zeichnen so lediglich sinnlose Kombinationen aus Buchstaben und Zahlen auf. Tipp: Hersteller QFX Software bietet unter www.qfxsoftware.com einen kostenlosen KeyScrambler an, der alle Eingaben, die einen Benutzernamen und ein Kennwort erfordern, innerhalb der Web-Browser Firefox und „Internet Explorer“ verschlüsselt. Das Programm eignet sich damit vor allem für den Schutz von E-Mail-Konten oder Login-Daten, wie etwa eBay-Accounts.

Internet-Kriminalität und insbesondere Phishing wird zukünftig die Hauptbedrohung im Internet sein. Phishing ist eine Form des Datenbetrugs. Dabei wird per E-Mail versucht, den Anwender zu täuschen und vertrauliche Zugangsdaten zu stehlen, um seine Identität einzunehmen und sein Konto leer zu räumen. Meistens bezieht sich das auf Online-Banking. Dabei erschleichen sich Phisher das Vertrauen der Anwender, indem sie sich als ein tatsächlich bestehendes Bankinstitut ausgeben. Um das zu verhindern, sollten User darauf achten, dass all ihre Transaktionen innerhalb einer sicheren Umgebung getätigt werden. PandaLabs, die Virenlabore von Panda Software, haben eine Reihe von einfachen Tipps zusammengestellt, die User dabei helfen sollen die Vertraulichkeit ihrer Daten und somit auch ihre Privatsphäre zu wahren: Eine seriöse Bank würde niemals einen Kunden per E-Mail kontaktieren, um Passwörter zu erfragen oder abzugleichen. Anwender sollten alle Nachrichten, in denen angeblich im Zuge eines Daten-Abgleichs oder einer Sicherheitsmaßnahme Zugangsdaten bestätigt werden sollen, ignorieren, bzw. löschen. Anhand von Abweichungen in der manipulierten Domain im Vergleich zur tatsächlichen Domain einer Website können Anwender erkennen, ob die Seite, auf die sie zugegriffen haben, auch die rechtmäßige Website ihrer Bank ist. Das lässt sich einfach über die Browser-Bar kontrollieren: Ein klares Anzeichen für eine sichere Verbindung ist ein kleines Schlosssymbol in der Browser-Bar, das ein Sicherheitszertifikat anzeigt, sobald es mit einem Doppelklick angeklickt wird. Ein weiterer Indikator dafür, dass die richtige Seite geöffnet wurde, ist der Beginn einer Web-Adresse mit https://. Phishing-Mails enthalten oftmals einen Link, der angeblich eine Verbindung mit dem Geldinstitut des entsprechenden Users aufbaut, jedoch auf eine gefälschte Seite führt, die der echten Website zum Täuschen ähnlich sieht. Panda rät Anwendern, diesen Link nicht anzuklicken, sondern die Adresse immer manuell in den Browser einzutippen. Besondere Aufmerksamkeit sollte auch dem Absender der E-Mail entgegengebracht werden. Auch daran kann der User erkennen, ob der Absender seriös ist oder nicht. Wenn bereits E-Mail Kontakt mit einer Bank besteht, dann nur auf die bekannten und vertrauten Adressen antworten. Abgesehen von den präventiven Maßnahmen, die zum Schutz der eigenen Daten ergriffen werden können, sollten Online-Banking-Anwender regelmäßig ihre Kontoauszüge nach irregulären Überweisungen, die von ihrem Konto aus getätigt wurden, überprüfen. Unerklärliche Vorgänge sollten sofort der entsprechenden Bank gemeldet und das Konto gesperrt werden.

Ein neuer 'Wurm' geistert durch das Internet: 'Service Luring' ist eine Art des Phishings, die besonders hinterhältig ist! Bei Fortinet hat man gerade einen Fall von Sluring in einem Instant-Messenger-Netz gefunden. Die Betrüger haben hierzu eine Website geschaffen, die es erlaubt, herauszufinden, was andere User mit dem eigenen Buddy-Profil machen. Man gibt Passwort und Login auf der Website ein und erhält als Antwort den Status bei seinen 'Freunden': Ob gesperrt, ignoriert oder in der aktiven Freundesliste, die Website zeigt es. Jeder wollte doch schon einmal wissen, was die Bekannten von einem halten, oder? Die Website kommt professionell daher und der Dienst funktioniert auch. Außerdem verspricht sie, die Logindaten nicht weiter zu verwenden oder zu speichern. Vertrauenswürdig sieht das auf alle Fälle aus! Sluring, das neue Phishing WebWizard Blitz-News   -   (c) www.webwizard.at . . . weitere Informationen dazu finden Sie über den nebenstehenden Link zur PDF-Datei . . .

Die nächste Stufe der Betrügereien rund um erspähte Kontodaten ist erreicht: Die Kriminellen starten mit Vishing eine neue Art des Phishing. Wo früher um Daten von Konten und Kreditkarten über Spam-Mails und optisch nachgebaute Bank-Websites ergaunert wurden, geben sich die neuen Spam-Mails der Betrüger 'seriös'. Sie warnen vor solchen eMails und bieten stattdessen eine Telefonnummer zur Bank an. Dort hebt zwar jemand ab, der sich als Bank ausgibt. Stattdessen werden die Daten zu Konten und Kreditkarten mitgeschrieben, die zur Authentifizierung gefordert werden. Das FBI nennt diese neue Masche Vishing, in den USA ist sie schon weit verbreitet. Nur eine Frage der Zeit also, bis sich auch hier die Phisher zu Vishern werden.

Inhaltsverzeichnis Startseite Kontakt / Impressum