Frage zu Phishing mails

Internet Internet Sicherheit
#1

Hallo,

da der Moderator im Brett „Online-Zahlungsverkehr“ keine Warnungen vor Phishing-Mails mag, hier mal eine Frage.

Warum nutzen die Banken nicht endlich Signaturen, um die Echtheit ihrer Schreiben zu kennzeichnen? Es würde natürlich einen gewissen Aufwand bedeuten, für jeden Online-Kunden einen Schlüssel zu verwalten, aber in Anbetracht der stark zunehmenden Misbrauchsfälle, wäre das nicht eine Selbstverständlichkeit? Wenigstens den Kunden, die einen solchen Service ausdrücklich nachfragen, sollte man ein entsprechendes Angebot machen. Mir wurde es bei meiner Bank bisher stets abgelehnt.

Und ich meine nicht das „Websign/Chipkarten“ Verfahren für das Banking an sich, sondern Signaturen für Emails von den Instituten.

Gruß

Fritze

#2

Warum nutzen die Banken nicht endlich Signaturen, um die
Echtheit ihrer Schreiben zu kennzeichnen? Es würde natürlich
einen gewissen Aufwand bedeuten, für jeden Online-Kunden einen
Schlüssel zu verwalten, aber in Anbetracht der stark
zunehmenden Misbrauchsfälle, wäre das nicht eine
Selbstverständlichkeit? Wenigstens den Kunden, die einen
solchen Service ausdrücklich nachfragen, sollte man ein
entsprechendes Angebot machen. Mir wurde es bei meiner Bank
bisher stets abgelehnt.

Die Frage ist: Warum und aus welchem Zweck sollte die Bank überhaupt E-Mails schicken? Meine tut es nicht und hat auch nicht einmal meine E-Mailadresse. Und das ist auch gut so.

#3

Auch hallo.

da der Moderator im Brett „Online-Zahlungsverkehr“ keine
Warnungen vor Phishing-Mails mag, hier mal eine Frage.

Was heisst ‚nicht mag‘ ? Mittlerweile sollte jeder vor Phishing gewarnt sein. Dennoch rüsten auch die Hacker auf: [http://www.lawchannel.de/index.php?pg=xx]rkzw;zw&fee…](http://www.lawchannel.de/index.php?pg=xx]rkzw;zw&feed_id=15760&kn=1)
(www.anwalt.tv -> Focus -> Online Banking… , funktioniert mit Mozilla 1.7.12 und W2K3)
Das müsste auch die angesprochenen Varianten erschlagen.

HTH
mfg M.L.

#4

Hi,

wäre das nicht eine
Selbstverständlichkeit? Wenigstens den Kunden, die einen
solchen Service ausdrücklich nachfragen, sollte man ein
entsprechendes Angebot machen. Mir wurde es bei meiner Bank
bisher stets abgelehnt.

Deine Bank verschickt also Mails an dich an deine private Mailadresse?
Finde ich seltsam.
Benachrichtigungen kenne ich schon auch, oder Kontoauszüge per PDF, aber die sind in einem ‚Postfach‘ der Bankseite und erstm nach einem Login abrufbar.

Allerdings ist mir nicht bekannt, ob es bereits Pishingseiten gibt, die meine durch Bookmark aufgerufen URL unbemerkt auf eine falsche Seite weiterleitet.
Dann würde ich sicher auch reinfallen :frowning:

Meine Bank (BBBank) hat im Loginfenster diesen Hinweis:

Hinweis:
Unsere Mitarbeiter werden Sie keinesfalls, weder per E-Mail noch telefonisch, dazu auffordern, Ihre Zugangsdaten in Verbindung mit Ihrer persönlichen PIN und/oder TAN preiszugeben.
Beachten Sie bitte unbedingt unsere Sicherheitshinweise.

Ich denke, das sollte genügen.

Falls deine Bank dies nicht hat, schlage ihr das doch vor.

bye

#5

Hallo,

Deine Bank verschickt also Mails an dich an deine private
Mailadresse?

Ja. Es ist die Deutsche Bank übrigens.

Finde ich seltsam.

Ich nicht. Immerhin habe ich die Email für Korrespondenz ja angegeben. Was ist an email denn seltsamer, als an einem Brief auf Papier?

Allerdings ist mir nicht bekannt, ob es bereits Pishingseiten
gibt, die meine durch Bookmark aufgerufen URL unbemerkt auf
eine falsche Seite weiterleitet.

Das würde eher Deine „hosts“ Datei betreffen. Üble Sache, sowas. Gibts leider schon.

Unsere Mitarbeiter werden Sie keinesfalls, weder per E-Mail
noch telefonisch, dazu auffordern, Ihre Zugangsdaten in
Verbindung mit Ihrer persönlichen PIN und/oder TAN
preiszugeben.
Beachten Sie bitte unbedingt unsere Sicherheitshinweise.

Ja. Das perverse an den Phishing-Mails (zumindest der einen, vor der ich im Brett „Online Zahlungsverkehr“ warnen wollte, mein Artikel aber gelöscht wurde) ist, dass sie erstens vermeintlich von der „security“ Abteilung der Bank kommen (Absenderaddresse stimmt überein), Links auf die durchaus *echten* Warnseiten vor Phishing etc. setzt und dann aber das PIN Login auf einen eigenen Server umbiegt (irgendwas in China). Auch diese Seite ist wieder eine 100% Kopie der original-Homebanking Seite inklusive Links auf die Originalseiten!

Ich bin natürlich sofort stutzig geworden, als ich die Mail gelesen habe. Auch dass der Seite keine Verschlüsselung (https) verwendet, fällt unsereins sofort auf. Weniger versierten Kunden aber mit hoher Wahrscheinlichkeit nicht.

Ich denke, das sollte genügen.

Ich nicht. Bei weitem nicht.

Falls deine Bank dies nicht hat, schlage ihr das doch vor.

Diese blödsinnigen Warnungen helfen nicht die Bohne! Siehe oben. Und wenn’s Dich per „hosts“ Datei-Hack erwischt hat, denkst Du vielleicht auch anders darüber.

Gruß

Fritze

#6

Hallo,

Was heisst ‚nicht mag‘ ?

(Du plenkst :smile: „Nicht mag“ heisst, er hat einen entsprechenden Beitrag von mir über einen neuen Versuch für Kunden der Deutschen Bank gelöscht.

Mittlerweile sollte jeder vor Phishing gewarnt sein.

Ach, und deshalb sollte man künftig nirgend mehr darüber berichten oder was? Mittlerweile sind wir so gut wie vor allem schonmal gewarnt worden. Sollte deshalb vor nichts mehr gewarnt werden? Was für eine verquere Argumentation ist das denn bitte?

Das müsste auch die angesprochenen Varianten erschlagen.

Wie soll das bitte die digitale Signatur einer Email aushebeln? Dieser ganze Phishing-Schrott ist nur solange erfolgreich, wie jemand glaubt, das Schreiben selbst sei echt. Wenn man konsequent signieren würde, gäbe das das ganze Problem nicht.

Gruß

Fritze

#7

Hallo,

Die Frage ist: Warum und aus welchem Zweck sollte die Bank
überhaupt E-Mails schicken? Meine tut es nicht und hat auch
nicht einmal meine E-Mailadresse. Und das ist auch gut so.

ich möchte gerne meine Korrespondenz mit meiner Bank soweit wie möglich per Email abwickeln. Die Post ist mir zu unbequem, zu teuer und zu träge. Es gibt vergleichsweise einfache Möglichkeiten, Emails sicher zu Authentifizieren. Warum sollte man diese dann nicht einsetzen?

Oder anders gefragt: Wozu hast Du email, wenn Du damit nicht kommunizieren magst?

Gruß

Fritze

#8

Hi,

Ich nicht. Immerhin habe ich die Email für Korrespondenz ja
angegeben. Was ist an email denn seltsamer, als an einem Brief
auf Papier?

Stimmt auch wieder. Bliebe dann zur Absicherung nur das Telefon.

Das würde eher Deine „hosts“ Datei betreffen. Üble Sache,
sowas. Gibts leider schon.

Ich kenne in diesem Zusammenhang nur die sog. ‚Killbits‘(heißen die so?) XP-Clean schreibt diese dann in die Hosts-Datei. Aber ich habe mich damit noch nicht befasst. Allerdings hatte ich seltsamerweise noch nie irgend einen Schädling auf meinem System. Da hatte ich wohl bisherviel Glück und auch ein kleines Bisschen Verstand. (Dienste deakt. Router, Virenscanner auch bevor ich runtergeladene Datei ausführe etc.)

Ja. Das perverse an den Phishing-Mails (zumindest der einen,
vor der ich im Brett „Online Zahlungsverkehr“ warnen wollte,
mein Artikel aber gelöscht wurde) ist, dass sie erstens
vermeintlich von der „security“ Abteilung der Bank kommen
(Absenderaddresse stimmt überein), Links auf die durchaus
*echten* Warnseiten vor Phishing etc. setzt und dann aber das
PIN Login auf einen eigenen Server umbiegt (irgendwas in
China). Auch diese Seite ist wieder eine 100% Kopie der
original-Homebanking Seite inklusive Links auf die
Originalseiten!

Hmm, die werden wohl immer raffinierter:frowning: Sehr beunruhigend.

Ich bin natürlich sofort stutzig geworden, als ich die Mail
gelesen habe. Auch dass der Seite keine Verschlüsselung
(https) verwendet, fällt unsereins sofort auf. Weniger
versierten Kunden aber mit hoher Wahrscheinlichkeit nicht.

Genau diese Leute sind dann ja leider auch die Opfer.

Diese blödsinnigen Warnungen helfen nicht die Bohne! Siehe
oben. Und wenn’s Dich per „hosts“ Datei-Hack erwischt hat,
denkst Du vielleicht auch anders darüber.

Wie kann ich mich dagegen schützen? Laut unterschiedlicher Portscans sind meine Ports dicht. Dann ginge das also hauptsächlich durch etwas, das ich mir auf meinen PC lade?

thx and bye

#9

Hallo,

Diese blödsinnigen Warnungen helfen nicht die Bohne! Siehe
oben. Und wenn’s Dich per „hosts“ Datei-Hack erwischt hat,
denkst Du vielleicht auch anders darüber.

Wie kann ich mich dagegen schützen?

Gegen Phishing-Mails aller Art am einfachsten durch eine digitale Signatur. Das setzt allerdings vorraus, dass Du sowas wie PGP oder GnuPG auf Deinem Rechner hast und ein Schlüsselpaar generiert hast. Auf Seiten der Bank müsste pro Kunde ein Schlüssel hinterlegt werden, der zuvor durch persönliches Erscheinen authentifiziert wurde. Das könnte man beispielsweise gleich bei der Ablieferung der Unterschriftenprobe bei Eröffnung eines Kontos machen.

Anschließend ist (echte) Korrespondenz von Deiner Bank mit einer Signatur versehen, die Du mit Hilfe Deines privaten Schlüssels überprüfen kannst. Das geschieht bei den Mailprogrammen automatisch im Hintergrund. Schwups gucken die Phisher in die Röhre.

Laut unterschiedlicher
Portscans sind meine Ports dicht.

Ja und?

Dann ginge das also
hauptsächlich durch etwas, das ich mir auf meinen PC lade?

Ja. Und zwar per Email oder Web-Browser am besten in Verbindung mit einer freundlichen Personal Firewall oder dergleichen und auch nur auf Systemen, bei denen man standardmäßig als „admin“ unterwegs ist.

Gruß

Fritze

#10

Hallo Fritze,

Warum nutzen die Banken nicht endlich Signaturen, um die
Echtheit ihrer Schreiben zu kennzeichnen?

um echte Mails als echt zu erkennen, wäre das sicher sinnvoll.
Was würde aber User daran hindern, Phishing-Mails trotzdem für echt zu halten? Die müssen ja nicht zwingend wissen, daß die Bank eine Signatur verwendet hätte, wenn die Mail echt wäre. Dir würde das sicher helfen, Phishing behindern würde das nicht.

Meine Bank geht da einen anderen Weg, die versendet keine Mails. Jede Mail, die von der Bank kommt, kann nur falsch sein. Den Brief, den mir meine Bank statt dessen schickt, kann sie sich leisten. Da weist sie dann auch darauf hin, daß sie keine Mails verschickt.

Gruß, Rainer

#11

ich möchte gerne meine Korrespondenz mit meiner Bank soweit
wie möglich per Email abwickeln. Die Post ist mir zu unbequem,
zu teuer und zu träge. Es gibt vergleichsweise einfache
Möglichkeiten, Emails sicher zu Authentifizieren. Warum sollte
man diese dann nicht einsetzen?

Oder anders gefragt: Wozu hast Du email, wenn Du damit nicht
kommunizieren magst?

Nein, die Frage ist: Warum sollte ich mit meiner Bank schreiben? Was sollte es für Themen geben, die ich schriftlich mit der Bank klären könnte oder wollte?
Wie gesagt, ich sehe keinen Grund dafür, warum ich meiner Bank E-Mails schicken sollte oder von ihr welche erhalten sollte.
Und will ich sie doch mal belästigen: Im Bankinginterface gibt’s dafür die Möglichkeit. Die Antwort kommt leider aber trotzdem normal per E-Mail.

#12

Hallo,

um echte Mails als echt zu erkennen, wäre das sicher sinnvoll.

Sag ich ja.

Was würde aber User daran hindern, Phishing-Mails trotzdem für
echt zu halten?

Die Tatsache, dass sie von ihrer Mailsoftware als „unecht“ – meist optisch überaus deutlich – gekennzeichnet werden.

Die müssen ja nicht zwingend wissen, daß die
Bank eine Signatur verwendet hätte, wenn die Mail echt wäre.

Darum ist meiner Meinung nach die Bank da auch in einer Bring- und Aufklärungsschuld.

Dir würde das sicher helfen, Phishing behindern würde das
nicht.

Doch. Würde es sogar ungemein, weil Phishing-Mails dann kinderleich als solche zu erkennen wären.

Meine Bank geht da einen anderen Weg, die versendet keine
Mails. Jede Mail, die von der Bank kommt, kann nur falsch
sein. Den Brief, den mir meine Bank statt dessen schickt, kann
sie sich leisten. Da weist sie dann auch darauf hin, daß sie
keine Mails verschickt.

Nett. Ich möchte aber nicht auf moderne Technik verzichten, weil die Banken sich zu schade sind, vorhandene Technik auch sinnvoll einzusetzen und stattdessen das Risiko auf den Kunden abwälzen.

Natürlich kannst Du auch z.B. auf eine PIN für Deine EC-Karte verzichten und stets nur Bargeld am Schalter abheben. Dann bist Du gegen Misbrauch der Karte optimal geschützt. Für mich ist aber der Verlust an Bequemlichkeit zu hoch für eine solche Maßnahme.

Was ist technisch oder finanziell so unüberwindbar für die Banken, dass sie ihre Korrespondenz mit den Kunden nicht signieren wollen? Das ist die Frage, die mich hier beschäftigt.

Gruß

Fritze

1 Like
#13

Hallo Fritze,

inzwischen habe ich auch Deine anderen Beiträge zu dem Thema gelesen.

Du hast ja vorgeschlagen, daß jedem Kunden mit der Kontonummer eine Signatur ausgehändigt wird, die eine sichere identifizierung der Mail ermöglicht. Spätestens dann sollten die Kunden informiert sein, daß Mails ohne Signatur nicht echt sind. Du hast mich überzeugt, Dein Vorschlag ist logisch und sollte Phishing wirklich verhindern, wenn alle Banken so verfahren.

Gruß, Rainer

#14

Hallo,

Du hast ja vorgeschlagen, daß jedem Kunden mit der
Kontonummer eine Signatur ausgehändigt wird, die eine sichere
identifizierung der Mail ermöglicht. Spätestens dann sollten
die Kunden informiert sein, daß Mails ohne Signatur nicht echt
sind.

Ja. Und Kunden die von der Möglichkeit, die Signatur zu überprüfen, nicht gebrauch machen, sind dann wirklich selbst schuld.

Du hast mich überzeugt,

Das ist sowas in einer Diskussion nochmal erleben darf. Wahnsinn! Jemand gibt mir Recht.

Danke & Gruß

Fritze

#15

Hi,

Gegen Phishing-Mails aller Art am einfachsten durch eine
digitale Signatur. Das setzt allerdings vorraus, dass Du sowas
wie PGP oder GnuPG auf Deinem Rechner hast und ein

Ich habe GnuPP mal runtergeladen, mich bisher aber noch nicht damit verfasst. *schäm*
Auch Cacert als Mailverschlüssler habe ich, nutze ich aber nicht.
Wahrscheinlich muss es mich erst erwischen, bis ich vernünftig werde.
Auf deine Anregung hin, werde ich mich aber wohl doch mal damit befassen müssen.

Dann ginge das also
hauptsächlich durch etwas, das ich mir auf meinen PC lade?

Ja. Und zwar per Email oder Web-Browser am besten in
Verbindung mit einer freundlichen Personal Firewall oder
dergleichen und auch nur auf Systemen, bei denen man
standardmäßig als „admin“ unterwegs ist.

Nunja, unbekannte e-mails lösche ich, ich habe mir einige Spamadressen angelegt, Firewall habe ich nicht, und bin auch immer eingeschränkt unterwegs. Von daher, ist die Gefahr bei mir also nicht so immens groß.
Wie beruhigend.

thx and bye

#16

Guten Tag Fritz

Wenn die Bank einen Gewinn davon hat, wird sie digitale Signaturen einführen. Wie jedes Sicherheitssystem ist es sehr aufwendig und nie wirklich sicher. IMHO: Aber darüber solltest Du mit der Bank diskutieren. Dieses Forum wird keinen Einfluss auf Deine oder irgend eine andere Bank nehmen.

Das Du mit Deiner Bank per E-Mail verkehrst ist ungewöhnlich. Dennoch wird Dich Dein gesunder Menschenverstand davon abhalten, irgendwelche kritischen Informationen dem E-Mail anzuvertrauen.

Natürlich hast Du Dein E-Mail Programm so eingestellt, dass E-Mails nur als Text geöffnet werden. Sowie die Vorschau ausgeschaltet. All die anderen Punkte, um deinen Computer nach dem aktuellen Stand als sicher zu betrachten, hast Du sicher schon erledigt.

Grüsse
JTKirk

* * * * * * * * * * * * * * * * * * * * * * * * * * * *
Was weiss ich eigentlich?
Michel de Montaigne (1533 - 1592)
* * * * * * * * * * * * * * * * * * * * * * * * * * * *

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

#17

Signatur und Verschlüsselung

Gegen Phishing-Mails aller Art am einfachsten durch eine
digitale Signatur. Das setzt allerdings vorraus, dass Du sowas
wie PGP oder GnuPG auf Deinem Rechner hast und ein
Schlüsselpaar generiert hast. Auf Seiten der Bank müsste pro
Kunde ein Schlüssel hinterlegt werden, der zuvor durch
persönliches Erscheinen authentifiziert wurde. Das könnte man
beispielsweise gleich bei der Ablieferung der
Unterschriftenprobe bei Eröffnung eines Kontos machen.

Seit wann bedarf eine Signatur des Schlüssels des Empfängers? Für die elektronische Unterschrift reicht der Schlüssel der Bank aus, mit Hilfe des öffentlichen Schlüssels der Bank kann der Empfänger die Authentizität prüfen, ohne einen eigenen Schlüssel bei der Bank hinterlegen oder auch nur generieren zu müssen. Nur für die Signatur wäre der Aufwand der Bank also gering.

Der Schlüssel des Empfängers wird erst benötigt, wenn die Kommunikation verschlüsselt erfolgen soll (was ber der Kommunikation mit der Bank wohl per se sinnvoll ist). Dann erst hat auch ein Phisher keine Chance mehr, Faulheit und Unwissenheit des Kunden auszunutzen, der bei einer nur signierten Mail die Überprüfung der Signatur in > 95% aller Fälle ad infinitum verschieben würde.

Eine reine Signatur wäre also kontraproduktiv, da eine signierte Mail für viele ein höheres Sicherheitsniveau vorgaukelte, welches ohne eigene Überprüfung aber nicht gegeben wäre.

Gruss
Schorsch

#18

Hallo,

Wie jedes Sicherheitssystem ist es sehr
aufwendig und nie wirklich sicher.

Erkläre mir doch mal, wie Phishing nach einer Einführung von einer persönlich übergebenen Signatur und Einbindung derselben in den Mailclient funktionieren soll.

IMHO: Aber darüber solltest
Du mit der Bank diskutieren. Dieses Forum wird keinen Einfluss
auf Deine oder irgend eine andere Bank nehmen.

Was willst Du mir damit sagen? Überflüssige Diskussion?

Das Du mit Deiner Bank per E-Mail verkehrst ist ungewöhnlich.

Finde ich nicht. Natürlich schicke ich keine „intimen“ Daten via Email auf die Reise. Aber nicht, weil ich Email prinzipiell dazu für nicht geeignet halte, sondern weil meine Bank sich weigert, vernünftige Verschlüsselung einzusetzen.

Natürlich hast Du Dein E-Mail Programm so eingestellt, dass
E-Mails nur als Text geöffnet werden. Sowie die Vorschau
ausgeschaltet. All die anderen Punkte, um deinen Computer nach
dem aktuellen Stand als sicher zu betrachten, hast Du sicher
schon erledigt.

Mach Dir mal über meine Sicherheit am PC keine Sorgen. Mir ging es hier „ums Prinzip“. Aber offensichtlich sind Diskussionen, die über die üblichen „Zonealarm hat einen Hacker entdeckt, wie kann ich das Bundeskriminalamt informieren“ Spielchen hinausgehen, unerwünscht. Zumal die betroffenen Banken gar nicht mitlesen. Sowas aber auch.

Gruß

Fritze

#19

Hallo,

Seit wann bedarf eine Signatur des Schlüssels des Empfängers?

Ich habe mich falsch ausgedrückt. Es ist theoretisch kein Schlüssel des Empfängers erforderlich, wenn die Korrespondenz selbst (was in der Tat sinnvoll wäre) nicht verschlüsselt werden soll.

Mir geht es aber auch um eine sichere Kommunikation des öffentlichen Schlüssels der Bank. Ich halte da eine persönliche Übergabe für die beste Lösung. Wenn der Bankangestellte nicht nebenberuflich als Phisher arbeitet, ist die Misbrauchsgefahr (gefakte Zertifikate, umgebogene Webseiten etc.) am geringsten.

Für die elektronische Unterschrift reicht der Schlüssel der
Bank aus, mit Hilfe des öffentlichen Schlüssels der Bank kann
der Empfänger die Authentizität prüfen, ohne einen eigenen
Schlüssel bei der Bank hinterlegen oder auch nur generieren zu
müssen. Nur für die Signatur wäre der Aufwand der Bank also
gering.

In der Tat braucht die Bank prinzipiell nur einen einzigen öffentlichen Schlüssel. Allerdings ist es wohl wenig praktisch, wenn jeder Mann man Schalter mit dem „Generalschlüssel“ der deutschen Bank signieren kann. Ich könnte mir vorstellen, dass da gewisse Abstufungen gefordert sein könnten. Daher dachte ich, man könnte mit dem persönlichen Berater Schlüssel austauschen.

Eine reine Signatur wäre also kontraproduktiv, da eine
signierte Mail für viele ein höheres Sicherheitsniveau
vorgaukelte, welches ohne eigene Überprüfung aber nicht
gegeben wäre.

Jegliche Unterschrift ist ohne Überprüfung sinnlos. Aber ich sehe daran, den Kunden die Möglichkeit zu geben, eine Signatur zu prüfen, nichts kontraproduktives. Im Gegenteil.

Natürlich ist es mit der PKI so eine Sache. Die Bank möchte vielleicht die Korrespondenz ihrer Mitarbeiter kontrollieren können. Daher müssten Mitarbeiter entweder ihre privaten Schlüssel selbst hinterlegen oder es müsste ein Verfahren mit „Generalschlüssel“ Verwendung finden.

All das könnte man hier diskutieren. Leider sind die Antworten bisher eher auf dem Niveau „Ey, schick keine Emails an Deine Bank und konfigurier Dein Outlook sicher“. Was ist denn mit dem Forum los? Oder verstehe ich das hier alles falsch? Bin ich gar im falschen Brett?

Gruß

Fritze

#20

Die Frage ist: Warum und aus welchem Zweck sollte die Bank
überhaupt E-Mails schicken? Meine tut es nicht und hat auch
nicht einmal meine E-Mailadresse. Und das ist auch gut so.

Aus Kostengründen, mein Schatz.

Huhuuuu
DJ