Richtige Reaktion bei Phishing Mail

Carlos_W · 9. November 2019 um 03:41

Hallo Allerseits,

gestern hatte ich zum ersten Mal Phishing Mails erhalten (Volksbank).
Habe gelacht, die professionelle Gestaltung bewundert und die Mails dann gelöscht.

Dann habe ich mir aber überlegt, dass man soviel Mühe nicht unberücksicht lasse sollte. Ich kann ihnen ja eine Adresse und Kontonummer mit einigen TANs zukommen lassen. Und da ich kein Volksbankkunde bin, hätte ich mir halt was ausdenken müssen.
Und wenn sie richtig viele Daten von vielen Leuten bekommen, freuen sie sich dann.

Später ist mir aber klar geworden, dass da richtig böse Buben am Werk sein könnten, die meinen Besuch nicht würdigen und versuchen Einfluß auf meinen Rechner zu nehmen. Man versucht seinen Rechner abzusichern, aber sicherlich wird die eine oder andere Lücke bleiben.
Und schließlich besucht man als gediegener Anwender auch keine Hax0rs-Saiten.

Wie denkt ihr?

Gruß
Carlos

M_L_ · 9. November 2019 um 03:41

Auch hallo.

Hallo Allerseits,

gestern hatte ich zum ersten Mal Phishing Mails erhalten
(Volksbank).
Habe gelacht, die professionelle Gestaltung bewundert und die
Mails dann gelöscht.

…mach’ ich genauso.

Dann habe ich mir aber überlegt, dass man soviel Mühe nicht
unberücksicht lasse sollte. Ich kann ihnen ja eine Adresse und
Kontonummer mit einigen TANs zukommen lassen. Und da ich kein
Volksbankkunde bin, hätte ich mir halt was ausdenken müssen.
Und wenn sie richtig viele Daten von vielen Leuten bekommen,
freuen sie sich dann.

*fg* Das wäre eigentlich DIE Idee. Am besten mithilfe eines Zufallsgenerators. Aber ich vermute, dass die auch die IP des Rechners vom dem die Angaben gesendet wurden mitloggen. Wenn da dieselbe IP häufiger erscheint, werden die Angaben verworfen.

Später ist mir aber klar geworden, dass da richtig böse Buben
am Werk sein könnten, die meinen Besuch nicht würdigen und
versuchen Einfluß auf meinen Rechner zu nehmen. Man versucht
seinen Rechner abzusichern, aber sicherlich wird die eine oder
andere Lücke bleiben.

Gut erkannt: eine davon sitzt vor dem Rechner

Und schließlich besucht man als gediegener Anwender auch keine
Hax0rs-Saiten.

Wie denkt ihr?

Nicht reagieren und emails löschen wird wohl das bessere Verfahren sein. Vor allem spart es Zeit, Geld und Nerven. Auf das Feedback der Hacker von wg. Erfolg wird man nämlich nicht warten müssen…
Nur zur Erinnerung: http://www.die.de/blogs/aw/PermaLink.aspx?guid=667eb…

HTH
mfg M.L.

Masei1202_850d53 · 9. November 2019 um 03:41

Fischvergiftung
Hallo,

Dann habe ich mir aber überlegt, dass man soviel Mühe nicht
unberücksicht lasse sollte. Ich kann ihnen ja eine Adresse und
Kontonummer mit einigen TANs zukommen lassen. Und da ich kein
Volksbankkunde bin, hätte ich mir halt was ausdenken müssen.
Und wenn sie richtig viele Daten von vielen Leuten bekommen,
freuen sie sich dann.

*fg* Das wäre eigentlich DIE Idee. Am besten mithilfe eines
Zufallsgenerators. Aber ich vermute, dass die auch die IP des
Rechners vom dem die Angaben gesendet wurden mitloggen. Wenn
da dieselbe IP häufiger erscheint, werden die Angaben
verworfen.

Frank war schon mal so nett und hatte sowas gebastelt. Irgendwie ist das Ding aber in meinem Datenmuell abhanden gekommen.

Servus Masei1202

Der_Frank_176821 · 9. November 2019 um 03:42

Hallo,

Hi,

Am besten mithilfe eines Zufallsgenerators. Aber ich vermute,
dass die auch die IP des Rechners vom dem die Angaben gesendet
wurden mitloggen. Wenn da dieselbe IP häufiger erscheint,
werden die Angaben verworfen.

Keine Ahnung, wie clever Phisher sind. In erster Naeherung wuerde ich davon ausgehen, dass sie strunzdaemlich sind.

Frank war schon mal so nett und hatte sowas gebastelt.

Hat er: http://www.wer-weiss-was.de/cgi-bin/forum/showarchiv… ff. Das funktionierte aber nur bei dem einen, das Grundprinzip laesst sich aber wahrscheinlich uebertragen. Hm, vielleicht sollte ich ein Perl-Modul dafuer rausbringen… vielleicht habe ich aber auch besseres zu tun.

Gruss vom Frank.

Anonym_028940377b35 · 9. November 2019 um 03:43

Hallo Carlos

Dann habe ich mir aber überlegt, dass man soviel Mühe nicht
unberücksicht lasse sollte. Ich kann ihnen ja eine Adresse und
Kontonummer mit einigen TANs zukommen lassen. Und da ich kein
Volksbankkunde bin, hätte ich mir halt was ausdenken müssen.
Und wenn sie richtig viele Daten von vielen Leuten bekommen,
freuen sie sich dann.

Und wie möchtest Du sicherstellen, dass Du nicht aus lauter Murphy’s Law Dir Kontodaten ausdenkst, die es tatsächlich gibt? Und so dann jemandes Konto geplündert wird, obwohl derjenige selber gar nicht auf das Phishing-Mail hereingefallen ist?

Aus diesem Grund finde ich das keine gute Idee. Zudem wäre das IMHO ein ‚auf das Niveau der Phishing-Urheber herablassen‘. Ich persönlich möchte nicht so tief sinken.

Dann noch eher das Phishing-Mail an die Bank/Firma weiterleiten, die betroffen ist, damit die sich darum kümmern können.

CU
Peter

TG9nb3V0QWRQcm94eS5zZXJ2a · 9. November 2019 um 03:44

Hi,

Und wie möchtest Du sicherstellen, dass Du nicht aus lauter
Murphy’s Law Dir Kontodaten ausdenkst, die es tatsächlich
gibt? Und so dann jemandes Konto geplündert wird, obwohl
derjenige selber gar nicht auf das Phishing-Mail
hereingefallen ist?

das dürfte so gut wie unmöglich sein, Du müsstest ja auch eine passende
TAN erraten; eher gewinnst Du einen Sechser im Lotto, und selbst das wird Dir nie
passieren. Statistisch betrachtet.

Trotzdem würde ich nie auf sone Seite klicken, weil da auch allerlei sonstiges
Unheil in Form von Dialern oder Trojanischen Rössern herumlungern könnte …

Gruß vom T.

Carlos_W · 9. November 2019 um 03:47

Hallo Peter,

Und wie möchtest Du sicherstellen, dass Du nicht aus lauter
Murphy’s Law Dir Kontodaten ausdenkst, die es tatsächlich
gibt? Und so dann jemandes Konto geplündert wird, obwohl
derjenige selber gar nicht auf das Phishing-Mail
hereingefallen ist?

Denken wir darüber nach: wir hätten
1.) eine Kontonummer 7-8stellig, die bei der entsprechenden Bank auch existiert,
2.) das richtige Paßwort (x alphanumerische Stellen) für diese Kontonummer
3.) und natürlich braucht man eine momentan gültige 6stellige TAN für dieses Konto.

Also auch nicht schwieriger als hintereinander drei Paßwörter richtig zu erraten.

Aus diesem Grund finde ich das keine gute Idee. Zudem wäre das
IMHO ein ‚auf das Niveau der Phishing-Urheber herablassen‘.
Ich persönlich möchte nicht so tief sinken.

Die Kriminellen arbeiten nach dem gleichen Prinzip wie die Spammail-Sender. Wenn bei einer Million gesendete Mails, ein Dutzend Leichtgläubige antworten, hat sich die Aktion schon gelohnt.

Wenn aber 10.000 Müllantworten zurückkommen, kannst du das dutzend Leichtgläubige retten. Die Kriminellen fluten die Bank mit fehlerhaften Einlog-Versuchen. Da wird jedes Intrudusion System mißtrauisch. Wenn du das maschinell machst, sieht die Bank einen DOS-Angriff.

Was dagegen spricht, ist halt die Gefahr, dass die Kriminellen sich rächen, indem sie ihre Webseite mit Dreck verseuchen.

Gruß
Carlos