privacy service   a-cert e-rating.at
e-commerce News | Bewertungsmethoden | Shop anmelden | Benutzer registrieren | Mitglied werden | Hilfe
2006/01/31 Jetzt auch BA-CA. Phishing-Attacke gegen Bank
Nach BAWAG, ErsteBank, RAIKA und Sparkassen ist jetzt auch die BankAustria-Creditanstalt im Visier einer Phishing-Attacke - Erste Schäden in Österreich - Banken sind zu raschem Handeln verpflichtet

Phisher nutzen bestehende Sicherheitshysterie

Per Mails wie "Sofortige ReActivation ihres Bank Austria Creditanstalt Online Kontos!" werden BA-CA-Bankkunden von einem angeblichen Hackerangriff informiert und aufgefordert auf einer Website ihr angegriffenes Konto wieder zu aktivieren:

"Wir haben die Information bekommen das, am 28 Januar 2006 unser Server der Server der Bank Austria Creditanstalt, von Hackern aus dem Ausland angegrifen wurde. Die Tater werden derzeit ermittelt. Die Angreifer hatten langeren zugriff auf die Daten unserer Kunden. Wir vermuten das ihr Konto auch von den Angriff betrofen sein konnte und die Tater Geldbetrage von ihren Konto entwenden konnten."

Wer die angegebene URL aufruft kommt auf eine der Original-Telebanking-Seite täuschend ähnlich nachgemachten Login-Seite. Alle Links dieser Fake-Seite führen zu "echten" BA-CA-Seiten, selbst die Warnhinweise vor Phishern wurden mit übernommen.

Erleichtert wurde die Attacke, einerseits durch den komplizierten Frame-Aufbau der BA-CA-Telebanking-Seite, die gefälschten Links lassen sich viel leichter verstecken. Auch die Tatsache, dass die Original-Login-URL https://online.ba-ca.com mit der com-Endung für österreichische Kunden ungewöhnlich ist, erleichtert die Angriffe.


Online-Login nutzt verfälschten Domainnamen

Neben den psychologisch geschickten Sicherheitshinweisen nutzt der Angreifer einen verfälschten URL-Namen, der sich nur durch ein "q" statt einem "a" unterscheidet. Gerade bei Outlook-Nutzern, die es gewohnt sind Websiten direkt mittels eines Maillinks aufzurufen, wird dadurch die Irreführung erleichtert.


Banken sind zum raschen Handeln verpflichtet

Die gefälschte Bank-Website (http://online.ba-cq.com) kommt aus einem israelischen Netzwerk, wobei dies nicht automatisch heißt, dass die Betrüger Israelis sind, sondern nur deren Infrastruktur legal oder illegal genutzt wird.

Den Banken kommt bei den Phishing-Attacken zunehmend eine Warn- und Reaktionsverpflichtung zu. So ist einerseits alles zu unternehmen, dass die gefälschte Website so rasch als möglich vom Netz genommen wird, andererseits sind die Kunden über das erhöhte Risiko zu informieren und ihnen gegebenenfalls die Möglichkeit einzuräumen, ihr Konto für einige Zeit vom Telebanking zu sperren oder auch die Transaktionshöhen zu limitieren.

Erfolgt keine Reaktion der Bank, dann kann bei Schäden auch eine Bankhaftung gegeben sein.


Erste Schäden in Österreich

Während in der Vergangenheit Phishing-Attacken eher glimpflich verliefen, scheint es in Kärtnen vor einigen Tagen den ersten größeren Schadensfall gegeben zu haben. Ein Kärntner Ehepaar beziffert seinen durch Phishing verursachten Schaden mit etwa 7.000,- EURO.


Wichtige Vorkehrungsmaßnahmen des Konsumenten gegen Phishing

Telebanking sollte nur über eine gesicherte, verschlüsselte Datenverbindung erfolgen. Das dazu verwendete Zertifikat sollte regelmäßig überprüft werden. Mehr zu den Sicherheitshinweisen unter http://www.e-rating.at/php/cms_monitor.php?q=PUB-TEXT-E-RATIN...

Kunden mit minimalen Deutschkenntnissen sollten die Mails von Beginn an alarmieren, der zitierte Absatz enthält geschlagene 13 Schreibfehler, das gesamte Mail weit über 20. Oder spekuliert der Angreifer auf die dank PISA weltweit bekannte Bildungsschwäche der Österreicher?


Welche Vorkehrungen Banken treffen können

Vorausgeschickt wird, dass die hier vorgeschlagenen Maßnahmen nur mit äußerst geringen Zusatzaufwendungen der Banken möglich wären. Es sind dies Maßnahmen die auch aus konsumentenpolitischer Sicht zumutbar sind.

- Sequenzierung der TAN-Codes
Die TAN-Codes sollten geordnet ausgegeben und genutzt werden. Wird ein nachgeordneter TAN-Code verwendet, dann verlieren alle davor liegenden TANs ihre Gültigkeit. Damit wird verhindert, dass ein Angreifer eine TAN-Eingabe verlangt, zurückmeldet "der TAN ist nicht gültig" und der Benutzer zum nächsten TAN greift. Der angeblich nicht gültige TAN wird vom Angreifer gesammelt und für illegale Überweisungen verwendet.

- Bereitstellung eines Benutzerprofils
Der Benutzer hat die Möglichkeit Telebankingüberweisungen in der Höhe, aber auch vom Standort (Computeradresse), von dem aus er Telebanking machen kann, einzuschränken.

- Anzeige der letzten 10 Login-Versuche
Bei jedem Telebanking-Login werden die letzten 10 Versuche inkl. IP-Adresse, Datum und Uhrzeit angezeigt. Damit können oft schon im Vorfeld Manipulationsversuche an einem Konto erkannt werden.

- Information über das Banken-Sicherheits-Zertifikat
Für die verschlüsselte Datenübertragung ist ein sogenanntes SSL-Zertifikat notwendig. Dieses lässt sich zwar auch fälschen, nicht fälschbar ist jedoch der sogenannte Fingerprint, der in jedem Zertifikat mitgeliefert wird. Dieser Fingerprint, die eindeutige Zertifikatskennung sollte daher von den Banken auf jedem Telebanking-Schreiben, etwa bei der TAN-Code-Liste vermerkt werden und den Kunden sollte erklärt werden, wie sie diesen Fingerprint prüfen können.

- Login-Information
Im Zuge des Loginvorgangs kann der Bankenrechner feststellen, ob etwa veraltete oder unsichere Browsersoftware verwendet wird. Dies könnte den Konsumenten mitgeteilt werden (inkl. Update-Empfehlung).

- Remote Sicherheitsprüfung
Auch erweiterte Remote-Sicherheitsprüfungen des Konsumenten-Computers könnten die Banken anbieten und durchführen. Damit könnten frühzeitig Sicherheitslücken bei den Konsumentengeräten entdeckt werden. Diese Geräte sind - zumindest für die Zeit des Telebankings - auf jeden Fall als ausgelagerte Einrichtungen der Banken anzusehen.

- Zweistufiges Transaktionsverfahren
Ab einer gewissen Betragshöhe sollten Transaktionen nur in zwei Stufen erfolgen. Der Kunde gibt eine Überweisung in Auftrag und erhält von der Bank eine Bestätigung, die er etwa durch eine besondere, in der Bestätigung bezeichnete Transaktionsnummer freigeben muss.


Alternative Signaturkarte?

In der jüngsten Vergangenheit wurde immer wieder behauptet, eine Signaturkarte, wie die zuletzt abgestürzte Bankomat-Signaturkarte, wäre der ultimative Schutz vor Phishing-Attacken. Dem muss jedoch entschieden widersprochen werden. Derartige Signaturkarten wären derartig kompliziert zu bedienen, dass sie eine große Zahl von Telebanking-Kunden ausschließen würden. Weiters würde die Fehleranfälligkeit der Installation bloß neue Schlupflöcher für Angreifer ermöglichen.

Besonders aus konsumentenpolitischer Sicht ist jedoch diese Lösung abzulehnen. Damit würde die Verantwortung für Fehlfunktionen noch stärker als bisher auf den Konsumenten abgewälzt, der jedoch die geringsten Einflussmöglichkeiten auf den Telebanking-Betrieb oder die gelieferte Software hat.

mehr --> Phishing - Haftung und Informationspflichten unzureichend gere...
mehr --> Information zur Zertifikatsprüfung
mehr --> Die BA-CA-Phishing-Attacke
andere --> https://online.ba-ca.com/bach/de/login/index.html


Die angezeigten Informationen sind nur zur persönlichen Nutzung bestimmt. Jede Weitergabe an Dritte ist unzulässig und ausdrücklich untersagt. Alle Angaben und Informationen ohne Gewähr. Trotz sorgfältiger Recherche besteht die Möglichkeit, daß einzelne Informationen veraltet, unklar oder unvollständig sind. Sollten Sie Kenntnis von derartigen Informationen erhalten, ersuchen wir Sie um Rückmeldung, damit wir die Daten raschest korrigieren können. e-commerce Ratingwerte geben die Einschätzung des e-rating-Teams zu der genannten Organisationen und Webshops wider. Diese Einschätzung muss nicht mit Einschätzungen anderer Rating-Organisationen oder mit der Selbsteinschätzung der bewerteten Organisation übereinstimmen. Es liegt in der Verantwortung jedes Benutzers des Informationssystems die Ratingwerte in geeigneter Weise zu interpretieren.

Bei Nutzungsproblemen wenden Sie sich bitte an unseren Support! per fax +43(0)1/5320974 oder per e-mail Online Hilfe
Content Management System developed & powered by e-commerce monitoring gmbh

© e-commerce monitoring GmbH 2002-2020 webmaster
Datenschutz, Privatsphäre, Privacy, Informationsrecht, Datensicherheit, Inhouse-Schulung, Datenschutzbeauftragter, DSB, Österreich, Austria, Wien, Internet, Telekommunikation, Personendaten, Auftraggeber, Dienstleister, datenschutz-seminar.at, privacy-day.at, privacyday.at, Cloud Computing, datenschutz-seminare@at, Vorratsdatenspeicherung, Vorratsspeicherung, datenschutz tag, hacking, hacker, Whistleblowing, RFID, social media, Web 2.0, Web2.0, informationelle Selbstbestimmung, datenschutz tagung, e-government, e-commerce, Identität, phishingdata protection, privacy, data security, data safety, Inhouse, data protection officer, Austria, Vienna, internet, telecommunication, personal data, data retention, privacy protection, privacy protect, Video Surveillance, CCTV