e-rating.at - Österreichischs grösstes e-commerce-Portal

e-commerce News |

Bewertungsmethoden |

Shop anmelden |

Benutzer registrieren |

Mitglied werden |

Hilfe

2005/01/24 Phishing - Identitätsdiebstahl als neues Delikt einer anonymen Gesellschaft
Phishing ist, mangels Verbreitung von e-commerce und auch aufgrund der Kleinheit des Landes für österreichische Unternehmen derzeit noch kein großes Problem - Beunruhigende Steigerungsraten - Beispiele und Abwehrstrategien sollen helfen, der Gefahr frühzeitig zu begegnen - Nutzer von Finanz- und Auktionsplattformen bevorzugte Phishing-Opfer - alle e-Commerce-Anbieter gefährdet - Empfehlungen für Konsumenten

Phishing-Fälle im Alltag

Jemand erhält ein Mail mit der Aufforderung "aus Sicherheitsgründen" oder zur "Validierung" oder weil "intern die Accountdaten verloren gegangen seien", seine Account-, Login- oder Telebanking-Daten auf einer bestimmten Website und/oder per Mail bekannt zu geben.

Auch Telefonanrufe, die etwa eine Kontrolle der Kreditkartendaten oder der Telebankingdaten behaupten, kommen immer wieder vor. Meist versucht der Anrufer/Schreiber das Vertrauen des Betroffenen dadurch zu erschleichen, dass er schon bestimmte Informationen hat, etwa bei der Kreditkarte Nummer, Name und Ablaufdatum und "bloß" die Authorisierungsinformation auf der Rückseite der Karte benötigt.

Beunruhigende Steigerungsraten

Ein bekannter Filterdienstleister zählte 2004 bei etwa rund 12 Mrd geprüften Mails 18 Millionen Phishing-Mails. Zwar beträgt der Phishing-Anteil derzeit nur etwas mehr als 1 Promille aller Mails, beunruhigend ist jedoch der Anstieg. Seit Juli 2004 steigt des Phishing-Aufkommen monatlich um rund 30%.

Phishing meist leicht zu erkennen

Die meisten Phishing-Attacken sind dilettantisch gemacht und mit einem Minimum an Sorgfalt leicht zu erkennen.

Wesentlichste Regel für den Betroffenen ist, keinesfalls Informationen gegenüber einer unbekannten/ungesicherten Stelle preiszugeben.

D.h. vertrauliche Informationen nicht per Mail schicken, nicht auf ungesicherten Webseiten eingeben oder auf Telefonanrufe reagieren. Schon die Frage nach der Rückrufnummer stoppt die meisten telefonischen Phishing-Attacken.

Sicherheitsmaßnahmen im Online-Bereich

Persönliche Daten sollten grundsätzlich nur auf gesicherten Webseiten (https://-Seiten) bekannt gegeben werden. Neben der 128 Bit Verschlüsselung, die heute als sicher angesehen wird und die das Auspähen der Daten durch Fremde verhindert, kann an Hand des vorhandenen Zertifikats leicht die Identität des Webseitenbetreibers festgestellt werden.

Die österreichischen Banken verwenden durchgängig dieses Sicherungsverfahren, im e-commerce-Bereich leider erst knapp 25% der Online-Anbieter. Dies obwohl mit der EG-Richtlinie "Datenschutz in der Telekommunikation" der Einsatz dieser Verschlüsselungstechnologien verbindlich vorgeschrieben ist. Die ARGE DATEN hat daher mit A-CERT GLOBALTRUST® eine Initiative gestartet, die es Website-Betreibern ermöglicht unbürokratisch und äußerst kostengünstig diese Sicherheitsfunktion einzubauen.

Sicherheit mangelhaft kommuniziert

Nach unseren Recherchen gibt es heute etwa 12-15 verschiedene österreichische Internet-Banking-Angebote, die mittlerweile alle 128bit-SSL-Verschlüsselung betreiben. Zu kritisieren ist jedoch, dass bei manchen die Verschlüsselung für den Laien nicht erkennbar ist und er dadurch verunsichert wird.

Wir haben jedoch im Rahmen unserer e-rating-Recherchen gesehen, dass eine Reihe anderer Firmen, darunter auch eine renommierte deutsche Versicherung das Thema Onlineverschlüsselung nicht im Griff hat und etwa auf der Website Verschlüsselung ankündigt, jedoch nicht durchführt.

Generell ist den österreichischen Banken zwar ein hohes technisches Sicherheitsbewußtsein zuzugestehen, wenngleich die Endbenutzerunterstützung verbesserungswürdig wäre. Wir würden uns erwarten, dass auch beim Internetbanking die Banken verstärkt darauf achten, dass von sicheren Clients zugegriffen wird. Dies wäre technisch machbar, wird aber von den Banken bisher aus Haftungsgründen und Supportgründen abgelehnt. Darüber hinaus könnte auch den Kunden ein Loginprotokoll bereitgestellt werden, das etwa die letzten 5-10 Loginversuche anzeigt. Damit könnte ein Kunde frühzeitig erkennen, wenn jemand Fremder versuchen würde, auf sein Konto zuzugreifen. Auch diese Sache wäre für die Banken leicht realisierbar.

Wie können Phishing-Adressen erkannt werden?

Meist werden bei phishing-Attacken Web-Adressen nachgeahmt, sodass unter einer IP-Nummer die Bankenseite nachgebaut wird. Die Urls lauten dann etwa http://131.34.36.999/xxx-ban..., http://131.34.36.999/yz-sparkassse... (jeweils mit dem Namen der Bank versehen). Derartige Sites können technisch innerhalb einer halben Stunde gebaut werden. Wird dann der Kunde, etwa per Mail, aufgefodert ab sofort auf die neue Telebankingseite zu gehen, könnte man leicht unbemerkt seinen Zugangscode und sogar seine Transaktionsnummer ausspähen.

Dagegen helfen jedoch einige simple Maßnahmen:
- Banken sollten NIEMALS per e-mail von sich aus mit Kunden in Kontakt treten. Damit wird der Kunde erst gar nicht daran gewöhnt, auf Bankenmails zu reagieren.
- Das Zertifikat des Telebanking-Webservers sollte immer auf den Bankennamen ausgestellt sein.
- Banken sollten ihren Telebanking-Link niemals ändern und immer wieder, etwa in Prospekten usw. publizieren. Gleiches gilt für das Design des Telebanking-Zugangs. Kontinuität und Gewohnheit sind auch in Internetzeiten die wichtigsten Sicherheitsmerkmale, an die sich Laien halten können (klingt simpel und unspektakulär, ist aber so).
- Frames, Plugins und allzu komplexe Seiten sollten jedenfalls vermieden werden, da derartige Dinge das Nachahmen und Fälschen begünstigen bzw. die Zahl der potentiellen Sicherheitslücken drastisch erhöht wird.

Die bisherigen Berichte über erfolgreiche Phishingattacken in USA/Deutschland haben uns - offen gesagt - nicht überzeugt. Die Vorgangsweise war mit offensichtlich verfälschten Web-URLs so plump, dass auch völlige Internet-Laien die Fälschung hätten erkennen müssen, möglicherweise wurden aber Seitendesign und Loginurl der betroffenen Banken so oft geändert, dass die Benutzer jede erdenkliche Seite akzeptierten.

Fehlerhafte Webbrowser begünstigen Phishing-Attacken

In der Vergangenheit wurden auch immer wieder Browserfehler berichtet, mit denen es Angreifern gelang eine falsche URL vorzuspiegeln. Der Benutzer sollte daher regelmäßig seine Browserversion updaten.

Bekannte Phishing-Attacken in Österreich

Neben den massenhaft auftauchenden Phishingmails, die paybal-, ebay- und citibank-acccounts betreffen, waren 2004 auch heimische Unternehmen direkt betroffen, unter anderem eine bekannte österreichische Bank und ein Auktionshaus.

Grundsätzlich sind zwar Banken und Auktionshäuser die beliebtesten Ziele von Phishing-Attacken, aber auch alle anderen e-Commerce-Anbieter müssen früher oder später mit derartigen Attacken rechnen.

Hände weg von ausländischen Anbietern

Nicht nur auf Grund der hohen Phishing-Gefahr sollten Konsumenten Internet-Geschäfte über ausländische Plattformen meiden. Garantie- und Gewährleistungsansprüche, Reklamationen, die Einhaltung des Datenschutzes lassen sich bei einem internationalen Geschäftsabschluss meist nicht oder nur mit erheblichen Kosten durchsetzen. Fehlt eine österreichische Niederlassung, dann muss in der Regel im Lieferantenland geklagt werden und es gilt dann das lokale Recht. Bei Beträgen bis 500-1000 EUR, die für Konsumenten schon erheblich sein können, sind derartige Verfahren auf Grund der Nebenkosten und des immer bestehenden Prozessrisikos praktisch nicht zu führen. Das wissen auch viele unseriöse Anbieter.

Antiphishing-Empfehlung für Konsumenten

Läßt sich eine Geschäftsverbindung mit einem ausländischen Anbieter - aus welchen Gründen auch immer - nicht vermeiden, dann sollten zumindestens Anti-Phishing-Regeln beachtet werden:
- Keine Bekanntgabe von vertraulichen Daten (Login-Daten, Passwörtern) per Mail oder telefonisch.
- Kein Ausblenden der URL-Anzeige beim Browser (der Name der Login-URL sollte gut aufbewahrt werden und bei jedem Login geprüft werden).
- Überraschende Änderungen der vertrauten Login-Seiten sofort an den Betreiber melden.
- Vertrauliche Daten ausschließlich über SSL-verschlüsselte Seiten bekannt geben (erkennbar als https-Seite) Hier trägt der Aussteller des Zertifikats die Verantwortung über die Identität des Website-Betreibers.
- Sicherheitsupdates des verwendeten Browsers laufend durchführen.

mehr --> WURM- und SPAM-Jahr 2004 - Das Jahr 2005 wird noch schlimmer
Archiv --> Phishing erstmals im deutschsprachigen Raum
andere --> http://ecolog.twoday.net/stories/461213/
andere --> http://www.antiphishing.org

Die angezeigten Informationen sind nur zur persönlichen Nutzung bestimmt. Jede Weitergabe an Dritte ist unzulässig und ausdrücklich untersagt. Alle Angaben und Informationen ohne Gewähr. Trotz sorgfältiger Recherche besteht die Möglichkeit, daß einzelne Informationen veraltet, unklar oder unvollständig sind. Sollten Sie Kenntnis von derartigen Informationen erhalten, ersuchen wir Sie um Rückmeldung, damit wir die Daten raschest korrigieren können. e-commerce Ratingwerte geben die Einschätzung des e-rating-Teams zu der genannten Organisationen und Webshops wider. Diese Einschätzung muss nicht mit Einschätzungen anderer Rating-Organisationen oder mit der Selbsteinschätzung der bewerteten Organisation übereinstimmen. Es liegt in der Verantwortung jedes Benutzers des Informationssystems die Ratingwerte in geeigneter Weise zu interpretieren.

Bei Nutzungsproblemen wenden Sie sich bitte an unseren Support! per fax ++43(0)1/4803209 oder per e-mail Online Hilfe
Content Management System developed & powered by e-commerce monitoring gmbh

webmaster