Kontoplünderung beim Online-Banking


Die Banken sind alarmiert, das Bundeskriminal-
amt und Verbraucherschützer warnen: Online-Banking wird immer gefährlicher, Betrugs-
versuche per E-Mail sind sprunghaft gestiegen. Waren es 2003 deutschlandweit erst 300 Betroffene, gibt es 2004 mittlerweile jeden Monat mehrere Hunderttausend Opfer. Dabei werden Betroffene durch sogenannte „Phishing-Mails“ dazu gebracht, sensible Daten preiszugeben. Ist das Geld dreist vom Konto abgebucht , hat man erst mal das Nachsehen.
Jeder ist gefährdet
Phishing ist ein Kunstwort für Password-Fishing, das Abfischen von Zugangsdaten. Es bezeichnet den Versuch, sich per E-Mail und gefälschter Website die Zugangsdaten von Internetnutzern zu erschleichen. Das Prinzip ist einfach. Als Köder werden wahllos E-Mails verschickt. In der Mail: Eine Aufforderung, zum eigenen Schutz auf einen mitgelieferten Link zu klicken. Oder beispielsweise die Bitte: „Um Ihr persönliches Bankkonto zu überprüfen, öffnen Sie die nachfolgend angegebene Website.“ Der Link führt zu einer täuschend echt nachgebauten Website, auf der das Opfer sensible Daten wie Kontonummer und PIN-Code eingeben soll. Hat er dies getan, nutzt der Phisher die so gewonnenen Daten, um das Konto leer zu räumen.
"Phishing" - Abfischen von Zugangsdaten
Im August waren in Deutschland kurz nacheinander bereits Tausende Kunden von Postbank und Deutscher Bank betroffen. Mehrere Kunden gaben tatsächlich ihre Bankdaten preis. Nur in letzter Minute konnten aufmerksame Bankangestellte die Überweisungen stoppen. Neu: Bis vor kurzem waren Phishing-Mails in Deutschland so schlecht gemacht und meist in sehr fehlerhaftem Deutsch geschrieben, dass potenzielle Opfer schnell Verdacht schöpften. Doch jetzt sind die Attacken höchst professionell und täuschend echt. Experten warnen: Bei uns sind solche Attacken wohl erst der Anfang einer großen Phishing-Welle.
Betroffen sind in Deutschland alle Institutsgruppen: Sparkassen, Volks- und Raiffeisenbanken sowie die Großbanken. Doch die Betrugsfälle werden hierzulande gern verschwiegen, um den Ruf des Online-Banking nicht zu gefährden. Handfeste Zahlen gibt es dagegen aus den USA: Dort hat diese Art von Computerkriminalität allein im Jahr 2003 einen Schaden von 1,2 Milliarden Dollar verursacht. 1,8 Millionen Menschen gaben sensible Daten unwissentlich an Unbekannte weiter.
Aber auch andere Formen von E-Commerce sind betroffen, etwa der Handel bei Internet-Auktionshäusern wie Ebay oder auch Onlinezahlungen per Kreditkarte. Schützen muss sich der Kunde selbst, denn die Online-Abzocke findet im heimischen Wohnzimmer statt und nicht im Rechner der Bank.
So kann man sich schützen
Auch die Verschlüsselung ver-
meintlich sicherer „Https“-Seiten sollte man prüfen
Rüsten Sie Ihren Computer technisch auf und achten Sie auf eine hohe Verschlüsselungsstärke. 40 Bit gelten als leicht zu knacken. 128 Bit gelten als sicher. Die Großrechner der Banken sind entsprechend verschlüsselt. Wie es um Ihren Computer bestellt ist, lässt sich ganz einfach prüfen: Öffnen Sie den Internet-Explorer, klicken Sie auf das Fragezeichen oben rechts in der Menüleiste, dann auf „Info“. Dort finden Sie die entsprechenden Angaben. Sehr wichtig: Installieren Sie ein Anti-Virus-Programm und für Netzwerke eine Firewall. Aktualisieren Sie die Programme regelmäßig, denn fast täglich greifen neue Viren und Würmer an. Vorsicht: Eine Firewall hilft nicht gegen gefälschte E-Mails, wie sie bei einer Phishing-Attacke auftreten. Hier hilft nur, die Mail zu ignorieren.
Prüfen Sie auch die Verschlüsselung von vermeintlich sicheren „Https“-Seiten. Wenn Sie mit dem Mauszeiger auf das Schloss-Symbol am Rand der Internet-Seite gehen, wird angezeigt, ob und wie hoch verschlüsselt ist. Damit Sie prüfen können, dass Seiten, die zum Beispiel nach Postbank aussehen, auch wirklich von der Postbank stammen, gibt es sogenannte Seitenzertifikate. Diese sind eine Art digitaler Personalausweis, der auf die Postbank ausgestellt ist. Kontrollieren können Sie die Seite, indem Sie mit der rechten Maustaste auf „Eigenschaften“ und dann auf „Zertifikate“ klicken. Hier lesen Sie dann, ob die Seite von der Postbank stammt oder nicht. Genauso funktioniert die Zertifikats-Prüfung natürlich bei allen anderen Webseiten auch.
Phisher versuchen auf dreiste Art an sensible Daten zu kommen.
Wenn Sie Online-Banking betreiben, sendet Ihr PC sensible Daten, zum Beispiel Überweisungen an bestimmte Kontonummern, an den Rechner der Bank. Dies geschieht verschlüsselt. Eine gute Verschlüsselung ist das A und O für eine sichere Verbindung. Dafür gibt es zwei verschiedene Systeme: Am weitesten verbreitet ist die SSL-Verschlüsselung mit PIN- und TAN-Nummern. Für jede Transaktion wird einmalig eine bestimmte TAN-Nummer verwendet. Für jede weitere Transaktion benötigt man wieder eine neue TAN-Nummer. Gut zu wissen: Banken fragen niemals PIN und TAN-Nummern per E-Mail ab!
Ein weiteres Verschlüsselungssystem ist das sogenannte HBCI-Verfahren mit Chipkarte und Kartenlesegerät. Dafür verlangen fast alle Banken einmalig eine Gebühr zwischen 20 und 100 Euro. Manchmal wird auch eine Diskette mit elektronischer Unterschrift angeboten. Vorteil dieser Variante: Sie ist einfach und kostenlos. Das HBCI-Verfahren ist generell schwieriger zu knacken als das SSL-Verfahren.
quelle: 3sat.de/boerse

bsi.de/
bdb.de/
----------------------------------------------------------------------------------------
Phishing
Vorsicht Trickbetrüger


Das Onlinebanking ist eine bequeme Methode Überweisungen zu tätigen, allerdings kann man auch sein Geld ungewollt los werden… Denn das Phishing macht die Internet-Runde !
Phishing: Eine Wortschöpfung, die sich aus den Worten « Password » und « Fishing » zusammensetzt. Mails werden von Trickbetrügern ausgesandt, die sie mit speziellen Programmen als Massenaussendungen an zufällig generierte Adressen verschicken. Diese Mails sind gefälschte Mitteilungen von Onlinebanken, in denen der Empfänger aufgefordert wird aus Sicherheitsgründen auf einen Link zu einer Webseite zu gehen. Dort soll man dann persönliche Daten, wie PIN und TAN eingeben. Fällt das Opfer auf diesen Trick herein, ist es zu spät. Die Täter haben nun Zugang zu allen Bankdaten und räumen das Konto leer. Bis jetzt ist glücklicherweise noch kein grosser Schaden entstanden.
Phishing
Die Postbankkunden waren mit die ersten, auf die es die « Phishing » Täter abgesehen hatten. Die gefäschte Webseite der Postbank war aber recht einfach als solche zu erkennen : « Bitte geben Sie ihre Kontonummer, Pin, Tan und bestätigen sie mit O.K. » …Nicht gerade hochoffizielles Bankendeutsch !
Aber die Syteme werden von den Betrügern ständig verbessert. Aktuell reicht es, einen Link nur anzuklicken und das Unheil nimmt seinen Lauf. Eine Webseite, als Baustelle getarnt, installiert einen Trojaner auf dem Rechner des Opfers und späht sämtliche Daten aus. Der Trojaner protokolliert sämtliche Tastatureingaben und gelangt so an Pin und Tan Nummern.
Möglich ist das unter anderem durch eine Sicherheitslücke des Internet Explorers. Microsoft bietet mittlerweile Patches dagegen an. Auch Apple korrigiert insgesamt 15 Sicherheitslücken beim Webbrowser Safari mit einem Update.Darauf sollten Sie achten:
Wichtig ist, sich immer wieder über die neusten Tricks der Betrüger zu informieren. Öffnen Sie niemals in einer angeblichen Bankmail einen Link, sondern geben sie die Bankadresse selbst ein, wenn nötig. Geben Sie auf keinen Fall persönliche Daten ein, auch wenn Sie noch so seriös dannach gefragt werden.
Die Adresse im Browser sollten sie genau prüfen.Endet die Seite auf beispielsweise« ru », spricht das nicht für die Herkunftsseite einer deutschen Onlinebank, sondern für einen Server aus Russland. Die Verschlüsselung prüfen. Selbst vermeintlich sichere « Https » Seiten.
Installieren sie ein Virenschutzprogramm, das sie regelmäßig updaten. Speichern Sie vertrauliche Daten, wie Pin, Tan und Kreditkartennummern niemals auf der Festplatte ab.
Vergleicht man die derzeit möglichen Verschlüsselungssysteme miteinander, kann man nur zu dem Schluß kommen, dass der Kunde mit PIN und TAN nicht wirklich gut bedient ist. Das System ist nicht der Stand der Technik. Besser, weil sicherer, wäre da ein Card Reader System, nur die kosten bei den meisten Banken extra. Die Bank schickt bei einer Transaktion einen bestimmten Code an den Kunden, das Zertifikat. Dieses muss mit der Signatur, also dem Code des Kunden auf der Karte, übereinstimmen. Das erschwert den Mißbrauch. Es gibt verschiede Typen von Card Reader Systemen. Um immer informiert zu bleiben, empfehlen wir die unten aufgeführten Seiten, die Ihnen in Sachen Phishing eine gute Hilfe sind.
quelle: 3sat.de/neues

stiftung-warentest.de
bsi.de
antiphishing.de
stiftung-warentest.de
homebanking-hilfe.de
------------------------------------------------------------------------------------------------

In einer reportage in 3sat fernsehen (3sat.de)
wurde gewarnt, daß alle standardschutzprogramme bei WLAN nix taugen.
(der chaos computer club ,oder Rode&Schwarz SI warnen)
nur teure software von virtual private network (VPN) taugt was;
'Pretty good privacy' software schützt bei z.B. Handys.
bei blue tooth handys sind nur über 2000euro teure top sek handys einigermaßen sicher.
gute infos auch bei 3sat.de/neues
bei planetopia.de (sat1)
giga.de

im folgenden text unten steht hitec, nano, neues,
damit sind die redaktionen auf 3sat fernsehen gemeint.
du kannst sie auf 3sat.de finden
---------------------------------------------------------
03.10.2004 - 19:10 Uhr (VPS 19.15)
Wissenschaft spezial: Spionagetechnik
3sat

Spionieren ist "in": Der Verkauf von Überwachungskameras boomt. "Schnüffelprogramme" sind das am schnellsten wachsende Segment der Softwarebranche. Noch nie war es so einfach und billig, an Spionagetechnik zu kommen. In deutschen Büros haben Bespitzeln, Ausspionieren und die illegale Informationsbeschaffung derzeit Hochkonjunktur. Dabei ist das Ausspionieren der Mitarbeiter verboten - es sei denn, es besteht ein konkreter Verdacht auf Unregelmäßigkeiten. Meistens sind diese "Unregelmäßigkeiten" zwar unerlaubt, aber harmlos: beispielsweise privates Online-Banking. Dennoch kamen nach einer aktuellen Studie der Wirtschaftsprüfungsgesellschaft Ernst & Young im vergangenen Jahr in 39 Prozent der deutschen Unternehmen Fälle von Diebstahl geistigen Eigentums ans Tageslicht. Aber auch Arbeitgeber nutzen die Chance, unliebsame Mitarbeiter mithilfe verdeckter elektronischer Kontrollen loszuwerden. Geschnüffelt wird aber auch andernorts: Marketing-Strategen forschen die Lebensgewohnheiten ihrer Kunden aus und der Staat möchte sowieso am liebsten alles über jeden wissen - zum Schutz der eigenen Bürger, natürlich.
"hitec", "nano" und "neues" zeigen in "Wissenschaft spezial: Spionagetechnik", was Spionagetechnik heute alles möglich macht, wer sie anwendet und wie man sie abwehren kann.
------------------------------------------

__________________

ich hab deine anfrage einem befreundeten informatiker mitgeteilt, mit der bitte um eine antwort zur lösung deines problems. hier nun die heute eingetroffene antwort:

''Mit der Entfernung von Spyware habe ich mich bislang noch nicht bewußt befaßt,
da ich mit dem Installieren von Software relativ vorsichtig war. Wenn dann
doch mal ein Programm gestartet wurde, das ich nicht wollte, habe ich es
manuell aus dem System entfernt, meist durch entsprechende Bearbeitung der
Registrier-Datenbank mittels regedit.exe. Dazu mag es Anleitungen im Netz
geben, es ist jedenfalls etwas komplizierter als einfach ein Programm à la
Spybot zu installieren. So würde ich jedenfalls versuchen, die vier
verbleibenden Programme zu entfernen. Was mich interessieren würde, ist, woher
der betreffende Nutzer überhaupt weiß, daß diese noch vorhanden sind, wenn
Spybot doch offenbar nicht mit ihnen klarkommt.

Im Zweifelsfalle mag sich sicher eine Formatierung und anschließende
Neuinstallation des Systems lohnen; dann ist garantiert alles weg. ''

Bei meinem WIN2000 habe ich 3 benutzer angelegt (admin, benutzer,
gast) installieren ,neueinstellungen,updates mache ich nur kurzzeitig mit dem admin status. sonst bin ich im web nur mit benutzerstatus und gaststatus, sodaß sich kein
virus ... festeinnisten kann.mein rechner ist 24std. täglich im internet,meine nachbarn die im selben netzwerk hängen wie ich,haben schon öfters viren,... gehabt ,während ich viren frei bin, obwohl ich so gut wie nie mit einem virenscanner durchchecke. Außerdem hab ich in start_einstellungen_netzwerk und dfü verbindungen_Lanverbindungen_status von Lanverbindungen_eigenschaften von Lanverbindungen,
das häkchen bei Client für Microsoft-Netzwerke
und das h. bei Datei- und Druckerfreigabe für Microsoft-Netzwerke
weggemacht also diese funktionen gesperrt.
Ich bin im web mit win2000 + browser Firefox, opera, und seltener aber täglich auch internet explorer. statt outlook nutze ich pegasusmail.
ein scan alle 3 bis 6 monate mit mc afee antivirus oder norton antivirus
findet seit jahren null und nix.

grüße nach salzburg, ich wäre jetzt auch gern dort, dann könnte ich auch den schönen königssee wiedersehen, wo ich 1992 das letzte mal war.

In der 3sat sendung nano (wissenschaft) wurde gestern spybot zur suche und eliminierung von spionageprogrammen die weltweit computer verseuchen, gezeigt. Hier ein text aus der webseite 3sat.de/nano
Der downloadlink für das gratis schutzprogramm ist auf dieser webseite:
safer-networking.org/de/index.html
-------------------------------
Ein Bochumer kämpft gegen Spionageprogramme
"Spybot" ist ein Programm der ersten Stunde - und ein finanzieller Erfolg
Das Programm "Spybot" des 27 Jahre alten Bochumers Patrick Kolla läuft mittlerweile auf 30 Millionen Computern in der Welt. "Der Boom resultiert daraus, dass wir von der ersten Stunde an dabei waren", erinnert sich sein Vater Michael. "Mein Sohn hat begonnen, als die Szene anfing." Darum könne man nun auf die umfangreichste Datenbank gegen Spionage-Programme (Spyware) zurückgreifen. Deshalb auch habe man zum zweiten Mal den "PC World"-Award gewonnen.
Das Programm ist prinzipiell gratis, erläutert Patrick Kolla: "Die Benutzer dürfen, wenn sie das Programm gut finden und es ihnen geholfen hat, freiwillig einen Betrag spenden. Das ist so ein politischer Tick von mir: Ich bin ein kleiner Anarchist. Ich helfe den Leuten freiwillig und dafür dürfen sie mir freiwillig etwas geben." Das Geld reicht für sein Team, seinen Server und eine kleine Eigentumswohnung.
Spybot hilft gegen die beiden gängigen Typen von Spionage-Software auf dem heimischen PC: "Grob gibt es zwei Kategorien. Die eine nennt sich Keylogger, weil sie hauptsächlich Tastendrucke aufzeichnen, die andere nennt sich Adware. Das sind Programme, die zu Marketingzwecken spionieren: Wenn der Kunde bei Google nach Hundefutter sucht, kriegt er auf einmal über diese Adware Anbieter Werbung für Hundefutter eingeblendet, die gar nicht von Google kommt."
Das Gefährliche daran sei, dass sie sich selbst auf dem Rechner installiert - und über den Internet-Explorer kommen kann, so dass eine Firewall nicht hilft. Im schlimmsten Fall geraten über Keylogger Passwörter und Kontodaten in unbefugte Hände.
Kalifornien geht gegen Spyware vor
Geht es nach dem Willen des Senats im US-Staat Kalifornien, dann müssen Computernutzer der Installation eines Spyware-Programms auf ihrem Rechner ausdrücklich zustimmen. Ein entsprechender Gesetzesentwurf wurde mit großer Mehrheit verabschiedet und zur Beschlussfassung an das Abgeordnetenhaus weitergeleitet. Eingebracht hat den Vorschlag der demokratische Senator Kevin Murray. Er kritisiert, dass Spyware zusammen mit gekaufter Software ohne Wissen der Anwender installiert wird.
Der Vorstoß wurde auch vom republikanischen Senator Jim Battin begrüßt, der allerdings hinzufügte, Spyware sei ein Problem, das auf nationaler Ebene angegangen werden müsse. Die Initiative in Kalifornien sei aber ein guter Anfang.
-------------------------------------------------