Die herrschende Meinung

Sehr geehrte PayLife Mitglied,

Jemand hat versucht, eine Transaktion mit Ihrer persönlichen Kreditkarte machen und 3 mal falsch eingegeben das Passwort ein. Aus diesem Grund haben wir Ihre Kreditkarte gesperrt ist. Um die Begrenzung zu entfernen und komplett sichern Ihre Kreditkarte laden Sie bitte das beigefügte Formular aus und füllen Sie alle Schritte.

Schon der Titel der Phishingmail macht mich Stolz: Meine Kreditkarte wird zur Gefahrenabwehr verwendet! Demnächst vielleicht auch zur Terrorismusbekämpfung!?

In meinen Vorlesungen über das Böse, das im Internet an jeder Ecke lauert, stoße ich oft auf Gesichter, die mir die Geschichten über Phishing und Scam nicht glauben wollen. Das aber wirklich jeden Tag ein neuer DAU aufsteht, habe ich gerade bei der Durchsicht der Blogkommentare gesehen. Im März letzten Jahres habe ich mich über die semantischen Unterschiede zwischen "Identifikationsmerkmal" und "Personenkennzeichen" aufgeregt. Dieser Beitrag ist bei Google recht gut gerankt, was zur Folge hat, dass einige Surfer auf die entsprechende Seite kommen.

Schön und gut. Seit wenigen Wochen fangen die Besucher aber an, hier im Blog mittels der Kommentarfunktion ihre Steuer-Identifikationsnummer zu beantragen...

Sehr geehrte Damen und Herren,

mir fehlt noch meine Identifikationssnummer.
Ich heiße Mxxxxxx Bxxxxx, wohne in der Fxxxxxxxxxxxxxxxxx in 00000 xxxxx, geb. am xx.x.xx.

Da meine Gehaltsstelle hier an der xxxxxxxxxxxxxxxxxx mich aufgefordert hat, die fehlende Nummer nachzutragen, wende ich mich an Sie, damit sie mir umgehend auf diesem Wege mitgeteilt wird.

Vielen Dank!

Schönen Gruß
Mxxxxxx Bxxxxx

Sehr schön auch:

ich benötige die Identifikationsnummer von meiner oma Kxxxx Mxxxxx Geb ,xx.xx.xxxx in Bxxxxxxxxxx Txxxxx (Fxxxxxxx )

... kopfschüttel ...

Eine Sache, an die im Rahmen der aktuellen Zensurdiskussion noch niemand gedacht hat, ist die Folge, die ein Einstaz zensierter Nameserver auf das Phishing haben wird. So bieten diverse renommierte Einrichtungen wie Foebud oder CCC unzensierte Nameserver an. Allerdings werden die irgendwann in die Knie gehen, wenn tatsächlich 20% der deutschen Surfer sie verwenden - wie die Familienministerin annimmt. Dann hat die Stunde der schwarzen Schafe geschlagen: Diese können aus angeblichen Altruismus auch weitere freie und unzensierte Nameserver anbieten. Dahinter könnte allerdings ein wahrer Phishing-Honigtopf stecken. Denn unter Zuhilfenahme des manipulierten Nameservers kann ein Computer gezielt auf gefälschte Websites geleitet werden, obwohl der URL korrekt eingegeben wurde.

Mit diesen Hönigtöpfen lässt sich auf einfachste Weise das Online-Banking des Verwenders abfangen oder beliebige Seiten vorgaukeln, deren Inhalte nicht vom eigentlichen sondern von einem manipulierten Server kommen. Dieses sogenannte Pharming ist eine Weiterentwicklung des klassischen Phishings.

Für den konkreten Fall des Online-Bankings kann man von einem verständigen, technisch durchschnittlich begabten Anwender fordern, dass er eine aktuelle Virenschutzsoftware und eine Firewall verwendet und regelmäßig Sicherheitsupdates für sein Betriebssystem und die verwendete Software einspielt. Dies hat das Landgericht Köln festgestellt.

Unbekannte Täter haben sich die Kontodaten des Opfers nebst PIN und TAN beschafft, indem sie diese Daten entweder auf seinem Heimcomputer oder dem Zentralrechner seiner Bank ausspioniert haben, und diese unbefugt benutzt, um die streitgegenständliche Überweisung zu veranlassen.

Das Landgericht Köln ist der Auffassung, dass das Opfer im vorliegenden Fall kein Mitverschulden trifft, da die Beschaffung von PIN und TAN nicht auf Phishing bzw. Vishing eingegrenzt werden kann. Für den konkreten Fall des Online-Bankings könne man von einem verständigen, technisch durchschnittlich begabten Anwender fordern, dass er eine aktuelle Virenschutzsoftware und eine Firewall verwendet und regelmäßig Sicherheitsupdates für sein Betriebssystem und die verwendete Software einspielt. Ebenso müsse ein Kontoinhaber die Warnungen der Banken beachten, PIN und TAN niemals auf telefonische Anforderung oder Anforderung per E-Mail herauszugeben. Außerdem werde man von ihm erwarten können, dass er deutliche Hinweise auf gefälschte E-Mails und Internetseiten seiner Bank erkennt (sprachliche Mängel, deutlich falsche Internet-Adresse, Adresse ohne https://, kein Schlüsselsymbol in der Statusleiste). Weitergehende Sicherheitsmaßnahmen wie etwa die Verwendung bestimmter, besonders leistungsfähiger Virenschutzprogramme oder spezialisierter Programme zum Schutz gegen bestimmte Schadsoftware, die Veränderung der Standard-Sicherheitseinstellungen von Betriebssystem und Programmen, das Arbeiten ohne Administratorrechte, die ständige Überprüfung der Zertifikate oder auch das Erkennen subtiler Abweichungen in der Internetadresse, würden die Sorgfaltsanforderungen dagegen überspannen. Während ein Mitverschulden zu bejahen bzw. jedenfalls zu vermuten sein dürfte, wenn der Kontoinhaber PIN und TAN aufgrund von Phishing oder Vishing herausgibt, können Täter andere Angriffsmethoden wie Malware und Pharming auch dann mit Erfolg einsetzen, wenn der Kontoinhaber sich unter Berücksichtigung der oben aufgezeigten Maßstäbe hinreichend schützt und hinreichend aufmerksam ist, so die Kölner Richter. Auch aktuelle Virenschutzsoftware könne nicht immer die neuesten Schadprogramme erkennen. Trotz aller Sicherheitsupdates tauchen auch immer wieder neue Sicherheitslücken in Betriebssystemen und Programmen auf. Gerade die Sicherheitseinstellungen des immer noch überwiegend von Internet-Nutzern verwandten Internet Explorers der Firma Microsoft seien zudem im Auslieferungszustand alles andere als sicher. Ebenso gebe es gefälschte Internetseiten von Banken, die auch dem aufmerksamen Betrachter täuschen können.

05.12.2007 - 9 S 195/07 Landgericht Köln - erhältlich in der Rechtsprechungsdatenbank des Landes NRW: http://www.nrwe.de

Die Zahl der Internet-Nutzer, deren Konten mit geklauten Passwörtern geplündert werden, stieg im vergangenen Jahr um 23 Prozent. Das zeigt eine Erhebung des Bundesverbandes Informationswirtschaft, Telekommunikation und neue Medien (BITKOM) bei den Landeskriminalämtern.

Dem Bundesverband zufolge hoben bundesweit Betrüger in mehr als 3.250 Fällen rund 13 Millionen Euro von den Konten ihrer Opfer ab. Der durchschnittliche Schaden liege bei 4.000 Euro. Auch hier zeichne sich eine Steigerung ab. Im ersten Halbjahr 2007 soll der Wert auf 4.700 Euro pro Fall geklettert sein.

Ein Grund für die steigende Zahl der Phishing-Opfer sind raffiniertere Betrugsmethoden, so BITKOM. Nur noch rund zehn Prozent der Schäden sollen durch E-Mail-Links zu gefälschten Bank-Seiten entstehen, auf denen die Opfer eigenhändig ihre Kontodaten eingeben. In den meisten Fällen würden Kriminelle per E-Mail ein so genanntes Trojanisches Pferd schicken ­ ein Schadprogramm, das die Daten heimlich ausspäht und weitergibt. Andere Schadprogramme leiten die Nutzer beim Online-Banking im Hintergrund auf gefälschte Seiten weiter.

BITKOM fordert den Gesetzgeber auf, tätig zu werden. Zwar würden viele Banken einen Phishing-Schaden erstatten, wenn der Nutzer nicht grob fahrlässig gehandelt hat. Einen Rechtsanspruch sei den Kunden in der Regel aber verwehrt.

29.08.2007 - Bundesverband Informationswirtschaft, Telekommunikation und neue Medien: http://www.bitkom.de

Mit einem neuen Trick wird versucht Domaininhabern Ihre Kreditkartennummern zu entlocken. Da in den Whois-Datenbanken der Registrare einiger Top-Level-Domains (z.B. .info) neben den administrativen Ansprechpartnern auch ein "expiration date" mitgeführt wird, kann dem Domaineigentümer eine sehr glaubhafte Mail über den Verfall seiner Domain zugesandt werden:

Es wird Zeit für die Erneuerung Ihres Domain-Namens www.xyz.tld

Ihr Domain-Name www.xyz.tld verfällt in 90 Tagen. [...]

Klicken Sie hiher, wenn Sie Ihre Domain erneuern möchten

---------> http://www.domainrenewalonline.com/[...]

Hinter der deutschen Domain für diesen Service - die zwischenzeitlich deaktiviert wurde - steht eine in Brüssel ansässige "domain renewal s.a.", die mit einer recht professionell gestalteten Internetseite aufwartet. Die Kreditkartendaten sollen allerdings unverschlüsselt übertragen werden, was das vermeintliche Opfer stutzig machen sollte.

Ob es sich dabei um einen Phishing-Angriff handelt oder ob die Firma versucht auf diese Weise an Kunden zu kommen, ist nicht klar. Allerdings ist es ein Beispiel dafür wie Daten, die ein Registrar unnötigerweise preisgibt, missbraucht werden können.

Rigo Wenning berichtete auf dem EDV-Gerichtstag 2006 in seinem Vortrag über Internetsicherheit: Phishing, Pharming und Skimming, dass das Vertrauen in das "gesicherte Schloss" als Zeichen des WWW-Browsers zum Bestehen einer gesicherten Verbindung zwischen Server und Client sehr leicht mißbraucht werden kann. Nun ist mir in einer Spammail eine neue Möglichkeit aufgefallen wie man "Hein Blöd" eine SSL-Verbindung vortäuschen kann:

Man nehme einfach das favicon.ico - das von fast jedem Browser geladen wird - und hinterlege dort das Bild eines gesicherten Schlosses. Schon sieht es auf den ersten Blick so aus als würde man "sicher" surfen.

Der neue Release 2.0 des Browsers Firefox bietet eine lang erwartete Warnfunktion vor Phishingseiten. Um diesen Schutz zu realisieren haben die Programmierer zwei Methoden der Webseitenüberprüfung in den Browser eingebaut. Zum einen können die Seiten anhand eines lokalen Profils überprüft werden. Da dieses Profil schnell veraltet besteht auch die Möglichkeit die angesurften Seiten vorher von Google überprüfen zu lassen. Dazu muss man folgende Lizenzvereinbarung akzeptieren:

Wenn Sie sich dazu entschließen, mit Google alle Websites zu überprüfen, die Sie besuchen, erhält Google die URLs aller Seiten, die Sie besuchen zur Überprüfung. Wenn Sie eine Warnmeldung akzeptieren, ablehnen oder schließen, die Ihnen der Phishing-Schutz im Zusammenhang mit einer verdächtigen Seite sendet, protokolliert Google Ihre Aktion sowie die URL der Seite. Google erhält als Teil dieses Prozesses die standardmäßigen Protokolldaten, einschließlich eines Cookies. Google verknüpft die Informationen, die der Phishing-Schutz protokolliert, nicht mit anderen persönlichen Informationen zu Ihrer Person. Es ist jedoch möglich, dass eine URL, die an Google gesendet wird, selbst persönliche Informationen enthält. Weitere Informationen hierzu erhalten Sie in den Google Datenschutzbestimmungen.

So schön diese Überprüfung auch ist, so erhält Google doch ein ausgezeichnetes Nutzerprofil. Bleibt zu hoffen, dass die Datenkrake Google noch lange auf der "guten Seite" bleibt.