Sicherheit
Die 3D Secure Totgeburt
04. Sep
Sagt euch 3D Secure etwas? Die neue Totgeburt von Visa und MasterCard?
3D Secure soll das bezahlen mit der Kreditkarte sicherer machen bzw. den Missbrauch schwieriger.
Man vergibt bei 3D Secure einen Begrüßungstext sowie ein geheimes Passwort. Dieses wird jetzt beim nächsten Einkauf über Kreditkarte abgefragt. Vor der Vergabe des Passworts werden Daten abgefragt um sicherzustellen das es sich um den Besitzer der Kreditkarte handelt. Und zwar Geburtsdatum und Verrechnungskonto der Kreditkarte.
Wo ist das Problem?
3D Secure funktioniert nur wenn der Karteninhaber 3D Secure aktiviert hat und der Online Shop 3D Secure unterstützt. Das bedeutet wird eine 3D Secure geschützte Kreditkarte gefunden oder die Kreditkartendaten gephisht kann trotzdem jeder die Kreditkarte missbrauchen den 3D Secure ist nicht verpflichtend.
Außerdem aktiviert 3D Secure auch die Passwortphisher. Diese müssen “nur” das vergebene Passwort herausfinden oder phishen und können nun die Kreditkarte beliebig missbrauchen. Beim Online Banking (iTAN) bräuchte der Betrüger zusätzlich eine gültige TAN, diese gibt es bei 3D Secure nicht.
3D Secure wäre sicher wenn:
- Neben der PIN eine TAN abgefragt wird (z.B. mobileTAN)
- 3D Secure zwingend und nicht freiwillig wäre
- Alle Kartenakzeptanzstellen 3D Secure einsetzen müssten
Wer trotzdem 3D Secure nutzen möchte spricht am besten mit seiner Hausbank, meistens befindet sich die Aktivierung auf der Homepage der Bank. 3D Secure lässt sich auch bei jedem Online Shop der 3D Secure unterstützt aktivieren (durch normale Bezahlung).
Phishing geht in eine neue Runde
31. Aug
Hier habe ich noch von einem Sicherheitspatch für alle FIDUCIA Kunden berichtet (Volks- und Raiffeisenbanken Süddeutschland). Heute muss ich darüber berichten das auch der Sicherheitspacht anscheinend umgangen werden kann. Der Virus versucht anscheinend per .js Script die Ansicht des Online Banking Benutzers zu verändern.
Tückisch: Der Benutzer bekommt eine ähnliche Meldung wie: Wartungsarbeiten am Wertpapiersystem. Gemein! den des öfteren kommen eben diese Meldungen auch vom Rechenzentrum. Mit dem unterscheid das bei einer echten Wartungsarbeit keine TAN abgefragt wird.
Außerdem gibt es mittlerweile auch Angriffe auf Kreditkartendaten. Die Kreditkartendaten sowie persönliche Daten (Anschrift, Geburtsdatum, Telefonnummer) werden über Phishing-Mails von den Betrügern angefordert. Durch die zahlreichen abgefragten Daten ist durchaus auch die Gefahr von Identitätsdiebstahl gegeben.
Es ist wie immer vorsicht geboten.
Am besten Schützen sich Online Banking Benutzer mit einer HBCI-Kennung (idealerweiße per Chipkarte) oder mit mobileTAN / sm@rtTAN.
Leider sind alle Methoden bei den meisten Banken mit Kosten verbunden.
Die Spamvorhersagen
20. Aug
WETTER
Willkommen an diesem sonnigen Spam Tag. Die E-Mail Prognosen für diese Woche. Anfang der Woche zieht das Tief Spamela auf und beschert uns viel Spam. Es wird mit 20 Spams/Stunde gerechnet, schließen sie also alle Fenster, vor allem aber die ihres E-Mail Clients. Bleiben Sie also auf der Hut denn bei einem solchen Wetter ist eine Ansteckungsgefahr mit Viren besonders groß. Es gilt wie immer, lieber Anhänge von seriösen E-Mail öffnen und unseriöse E-Mail löschen. So kommen auch Sie gut über die Woche. Zum Wochenende gibt es dann nochmal kleinere örtliche Schauer die vor allem Blogs betreffen werden. Hier werden die Spamnachrichten in Kommentare hageln wie es selten der Fall war. Es gibt übrigens Forscher die das Wetter ausnutzen und lieben. Einer davon ist Spamschlucker. Er misst die Spams pro Tag/Woche/Monat, ein interessantes Hobby.
NACHRICHTEN
Skandal: Brustop und Penisverlängerungen sollen Fakes sein. Viagra wurde nie geliefert!
Dieter Schmid wollte nur 2 cm mehr und er bekam nur eine Rechnung. Dieter Schmid erhielt eine E-Mail mit einem Angebot zu einer Penisverlängerung. Dieter Schmid im Interview:
Ich wollte doch nur 2 cm, nicht mehr. Warum tun solche Leute das. Jemandem etwas versprechen und es dann nicht erfüllen. Ich habe keinen cm mehr aber eine Rechnung über 1000 Euro und mein Viagra ist auch noch nicht geliefert.
Herr Schmid denkt außerdem nach gegen analia223 von punta34forsale1 eine Anzeige zu erheben. Es kommen erste Gerüchte auf das es mehrere dieser Fälle geben soll und tausende von Menschen betroffen sein könnten.
Wir halten Sie auf dem Laufenden.
KatzenHirn News
Es wird darauf hingewiesen, dass dieser Text Ironie oder Sarkasmus oder beides enthalten könnten. Bei Unverträglichkeit sprechen Sie mit Ihrem Arzt oder Apotheker. KatzenHirn.com sowie der Betreiber können nicht für eventuell auftretende Missverständnis, Geisteskrankheiten oder Knochenbrüche, Verstümmelungen und Todesfälle, Schwangerschaften oder Vaterschaftsfragen haftbar gemacht werden.
Sicherheitspatch für Online Banking
09. Jul
Die Volks- und Raiffeissen Banken welche an die FIDUCIA angeschlossen sind haben in den vergangenen Tagen einen Sicherheitspatch für das Online Banking eingespielt. Da Webinterface wurde verfeinert um der sogenannten Man-In-The-Middle Phishing Methode vorzubeugen.
Die Man-In-The-Middle Methode funktioniert wie folgt:
Normalerweiße gibt es da den Online Banking Benutzer und die Bank bzw. das Rechenzentrum der Bank.
Der Online Banking Benutzer sendet also über eine verschlüsselte Verbindung seine Daten zur Bank und erhält Daten vom Rechenzentrum welche ebenfalls Verschlüsselt sind.
Bei der Man-In-The-Middle Attake wird dem Online Banking Benutzer suggeriert er wäre mit seiner Bank verbunden. Der Login funktioniert wie gewohnt. Nach dem Login fordert das System den Benutzer auf TAN Nummer einzugeben. 100 Stück. Da sich der Kunde ja auf der “sicheren” Seite des Rechenzentrum also seiner Bank befindet schöpfen viele Benutzer kein Verdacht. Das https ist da, das Schloss-Symbol ist da und der Virenscanner aktiv und funktionsbereit.
Die TAN Nummern werden natürlich nicht von der Bank abgefragt. Hier hat sich ein Virus bzw. Trojaner zwischen den Online Banking Benutzer und dem Rechenzentrum geklinkt. Er protokolliert nicht nur die Login Informationen sonder ändert die Weboberfläche um gezielt TAN Nummer zu klauen.
Um genau diesem Vorgehen vorzubeugen wurde der Sicherheitspatch eingespielt. Benutzer mit einem befallenem System bekommen die Meldung das ein Technischer Fehler aufgetreten sei und man mit seinem Bankberater Kontakt aufnehmen soll. Also z.B. mir 
Da der Patch sehr neu ist kann es jedoch zu ungerechtfertigten Fehlermeldungen kommen, es sollte auf jeden Fall mit der Bank gesprochen werden.
Was ist iTAN?
03. Jun
iTAN oder indizierte TransAktionsNummer ist die häufigst genutzte Art seine Transaktionen digital zu unterschreiben. Leider ist es auch die unsicherste Art.
Bei der iTAN bekommt man einen TAN Bogen. Dieser ist mit knapp 200 TANs bestückt. Die TANs haben eine fortlaufende Indexnummer. Wird nun einen Überweisung zur Bank gesendet verlangt das System natürlich erstmal eine PIN um überhaupt den Zugangsweg zu öffnen. Nun erzeugt die Bank per Zufall eine Indexnummer die uns mitgeteilt wird. Jetzt suchen wir aus dem TAN-Bogen anhand der Indexnummer die richtige TAN aus. Solange die TAN nicht eingegeben wurde gilt diese als reserviert und wird nach 5 Minuten oder beim Abbruch durch den Benutzer automatisch entwertet. Dies ist übrigens ein Fehlversuch!
Gefahr hierbei sind Phisingseiten und Viren. Eine Phisingsite kann nämlich Indexnummer und TAN anfragen. Ebenfalls könnte ein Virus die TAN erspähen indem er nach der TAN Eingabe eine Fehlermeldung erzeugt und die TAN an einen Phising-Server sendet. Außerdem könnte ein Virus kurz vor dem Absenden die Überweisung abändern.
Aktuell gibt es einen Trojaner der nach Login im Online Banking System 100 TAN über eine virtuelle Tastatur abfrägt. Hier gilt mal wieder, die Bank wird NIEMALS 100 TANs verlangen! Wenn so etwas oder ähnliche Vorgänge im Online Banking passieren ist die Bank zu informieren!
Um einige dieser Gefahren zu minimieren gibt es das iTAN+ Verfahren. Ein etwas verfeinertes Verfahren. Welche Banken dieses Verfahren einsetzen kann ich leider nicht genau sagen.
Beim iTAN+ gibt es genauso wie beim normalen iTAN Verfahren eine TAN-Liste welche indiziert ist. Allerdings wird die Indexnummer nicht in Klarschrift angezeigt welche ein Virus speichern könnte, sondern ähnlich wie in einem Captcha als Bild. Im Hintergrund findet man zusätzlich das Geburtsdatum und Informationen zu der Überweisung. Das iTAN+ Verfahren funktioniert jedoch nicht über Online-Banking-Software.
In den nächsten Tagen bzw. Wochen werde ich noch ähnliche Themen über Online Banking ansprechen. z.B. mTAN, HBCI-Schlüsseldiskette, HBCI-Chipkarte, EBICS usw.
Falls Ihr Fragen zu Online Banking habt, nur los
Jobangebot
14. Feb
Jetzt in der heutigen Wirtschaftskrise freut man sich über einen festen und gut bezahlten Arbeitsplatz. Noch besser ist natürlich wenn ein solcher per E-Mail ins Haus flattert ohne sich jemals beworben zu haben.
Wir bieten Ihnen einfache Arbeit an, die keine spezielle Fertigkeiten und keine Geldanlagen verlangt. Sie können diese Arbeit mit Ihrer Hauptarbeit vereinbaren. Mit uns können Sie leicht 5000-6000 Euro pro Monat verdienen, dabei brauchen Sie für diese Arbeit 2-3 Stunden pro Tag 1-2 Mal pro Woche.
Kurze Beschreibung der Tätigkeit:
Ihre Aufgabe ist, Geldüberweisungen auf Ihr Konto zu erhalten, das Geld in bar abzuheben und abzüglich Ihrer Provision unserem Agent per System der Bargeldüberweisungen Western Union oder Money Gram zu überweisen. Gewöhnlich überweisen wir auf Ihr Konto 4000-6000 Euro. Ihre Provision wird 20 % (20 Prozenten) von jeder Geldüberweisung ausmachen. Ihre Provision (20 Prozenten) bekommen Sie, sofort nach dem Geldeingang auf Ihr Konto. Auf diese Weise wenn Sie 6000 Euro auf Ihr Konto erhalten, verdienen Sie 1200 Euro. Sie können Ihre Provision gleich abheben oder auf dem Konto lassen. Die restliche Summe 4800 Euro sollen Sie am Tag des Geldeingangs in bar abheben und unserem Agent per Western Union oder Money Gram überweisen (Gebühr für Überweisung bezahlen wir). Zeitaufwand für diese ganze Arbeit beträgt nicht mehr als 3 Stunden. Wenn Sie 2 Überweisungen pro Woche erhalten werden, können Sie nicht weniger als 6000 Euro von jedem Konto pro Monat verdienen.Diese Tätigkeit abweichend von den meisten Angeboten, die Sie per e-Mail bekommen, verletzt nicht Gesetze von BRD. Es gibt überhaupt kein Risiko für Sie. Sie werden keinen Verdacht bei der Bank und bei der Steuerbehörde erregen, wenn Sie 1-2 Geldüberweisungen pro Woche auf jedes von Ihren Konten bekommen werden.
Mehr als 200 Menschen arbeiten mit uns schon längere Zeit in verschiedenen Städten Deutschlands. Wir vergrößern jetzt unser Geschäft und suchen neue Mitarbeiter.
Wenn Sie Interesse an diesem Arbeitsangebot haben, schicken Sie uns folgende Daten auf unsere e-Mailadresse job@**.com:
1.Vorname
2.Nachname
3.Straße
4.Stadt
5.Telefonnummer (Handy, Festnetz)Unser Manager kontaktiert Sie in möglichst kürzer Zeit und antwortet gerne auf Ihre Fragen. Beeilen Sie sich, Zahl von Stellenangeboten ist begrenzt!
Dieses sehr schöne Jobangebot von Lilli Potucek mit der E-Mail uytropics@ckco.biz ist natürlich verlocken.
Den wer möchte nicht 6000 € pro Monat erhalten und nur 2-3 Stunden arbeiten und dann nur 1 oder 2 Tage.
Ich hoffe das alle die dieses “Jobangebot” gelesen haben es als unseriös ansehen. Wenn nicht wird es jetzt zeit!
Durch meine Arbeit bei der Bank werde ich unteranderem jährlich über Geldwäsche geschult. Und genau das wird hiermit beworben. Warscheinlich bekommt ihr sogar Geld auf das Konto und dürft fette Gewinne einstreichen. Aber ihr wäscht hiermit das Geld für Terrorismus und anderen illegalen Aktivitäten rein. Durch die mehrmalige Überweisung auf verschiedene Konto wird der Geldweg verschleiert. Ihr würdet euch somit strafbar machen.
Die Bank ist gesetzlich verpflichtet auffällige Aktivitäten (viele und hohe Ein- und sofortige Auszahlungen o.ä.) zu melden.
Also nochmal im Klartext:
Solche E-Mails ungelesen löschen, nicht antworten, Anhänge nicht öffnen und schon gar nicht ins Geschäft einsteigen. Ihr könnt nur verlieren
Die wichtigsten Sicherheitsregeln am PC!
27. Apr
- Komplettsicherung
Machen Sie regelmäßig eine Kopie Ihres Rechners. Achten Sie beim Fotokopieren auf ausreichend Helligkeit und Kontrast. - Schreibgeschützte Disketten
Benutzen Sie nur schreibgeschützte Disketten. Bedenken Sie:
Eine Diskette
ist nur dann schreibgeschützt, wenn der Diskettenaufkleber vollständig entfernt wurde und man diese nicht mehr beschriften kann. - Schutz vor Infektionen
Breiten Sie nachts ein grobes Leintuch über Ihrem Rechner aus. Sorgen Sie dafür, dass auch die Peripheriegeräte ausreichend bedeckt sind. - Datensicherung
Machen Sie Datensicherungen nach der Schwiegermutter-, Onkel-, Nichte-Methode. - Virus-Prophylaxe
Scannen Sie regelmäßig den Festplatteninhalt. Towergehäuse sollten nur quer auf dem Flachbettscanner abgelegt werden. Bei Handscannern reicht zwar ein Abtasten der Verzeichnisstruktur am Monitor, aber aufgepasst:
Die Ergebnisse
können ungenau sein. - Schutz vor Bootsektor-Viren
Regelmäßiges Putzen der Cowboystiefel beugt einem Virenbefall des Bootsektors vor. - Großzügiges Entfernen von Infektionsherden Kommen Sie einem möglichen Virenbefall zuvor, und löschen Sie alle Dateien, die besonders bedroht sind, wie Dateien mit der Endung “.EXE”, “.COM” und “.BAT”.
- Vorsicht bei Raubkopien
Benutzen Sie nur Originalviren, deren Herkunft Sie kennen.
Neben der
rechtlichen Situation sprechen auch praktische Gründe wie Originalanleitung und Benachrichtigung bei evtl. Updates für diese Maßnahme. - Konsequente Hygiene
Mitarbeiter an firmeneigenen Rechnern sollten sich stündlich desinfizieren lassen. In der Praxis haben sich Vorrichtungen wie “VirSPRAY (TM)” bewahrt, die automatisch in gleichbleibender Konzentration in der Raumluft des jeweiligen Büros verteilt werden. - Isolation
Ein virenbefallener Rechner sollte für einige Wochen in Quarantäne gehalten werden. Achten Sie auf entsprechende Sicherheitskleidung (Mundschutz, Ray-Ban-Brille und Jacket-Krone), und sorgen Sie dafür, dass Besuchern mit Disketten der Zutritt, notfalls mit Gewalt, verwehrt wird.
3 – 2 – 1 gehackt
13. Mrz
Michael Fuchs von MiFuPa.de darf sich mit einem gehackten Account rumschlagen. Das ist kein Einzelfall sondern passiert immer öfter. Ärgerlich ist ein gehackter Account natürlich, allein das jemand sein strenggeheimes Passwort herausgefunden hat ist, find ich, peinlich. Noch schlimmer wenn dann noch Schaden angerichtet wird wie im Falle von Michael z.B. Artikel in Höhe von 300 Euro ersteigert werden.
Fairerweiße hat sich der Hacker (13 Jahre) bei ihm gemeldet und will Vergebung. Der Ärger bleibt natürlich auf der Seite des Opfers des Verkäufers und Ebay erfreut das sicherlich auch nicht.
Wie er an das Passwort kam? Anscheinend hat der vermeindliche Hacker ein Forum gehostet. Jede vernünftige Foren Software verschlüsselt zwar das Passwort mit einer MD5 Verschlüsselung, jedoch kann man diese zurückrechnen. Also einmal im falschen Forum gewesen und schon hat jemand dein Passwort, die E-Mail wird ja auch abgelegt und der “böse” Admin versucht gleich mal ob Passwort zum E-Mail Account gehört -.-
Deshalb wäre wichtig seine Passwörter von Zeit zu Zeit komplett zu erneuern und zwar nicht auf das selbe. Ein Trick:
Ein sehr starkes Passwort für sehr wichtige Accounts (E-Mail, Ebay)
Ein starkes Passwort für weniger wichtige Accounts (Forum, Twitter etc.)
Ein starkes Passwort für unwichtige Accounts
Für Accounts die direkt mit Geldtransaktionen zu tun haben empfehle ich pro Account ein eigenes zu verwenden. (Online-Banking, PayPal, etc)
So muss man sich 3 Passwörter merken + die Passwörter für Geldtransaktionen.
Mich hat der Fall nachdenklich gestimmt ich werde wohl auch mal meine Passwörter ändern müssen
Ach ja meiner Meinung nach sollte da auch ein bisschen Kontrolle der Webmaster erfolgen wie mit den Daten umgegangen wird, es gibt Leute die tatsächlich die kompletten E-Mails ihrer registrierten User verkaufen und schön Geld machen. Die E-Mail Daten geben bestimmt nicht schlecht Geld.
PS: Mein Passwort wurde noch nicht gehackt NEIN NICHT VERSUCHEN!!
Neues Phising auf Volksbankkunden
05. Mrz
Seit gestern werden Sparkassenkunden, seit heute Volksbankkunden mit Phising belästigt. Der Aufbau ähnelt sehr dem Aufbau bereits bekannter Phisingmails.
Egal, wie immer gilt:
- E-Mail nicht öffnen und sofort löschen
- Link der E-Mail nicht anklicken
- Anhänge nicht öffnen
- Spamfilter verwenden
- Virenscanner verwenden
Wenns was neue gibt informier ich euch
jaja diese Sicherheit
04. Mrz
Sehr geehrter Nutzer der Sparkasse,
Unterstützungsdienste der Sparkasse wickeln ein regelmäßiges Update der
Programmierungshilfen für eine mehr sichere Kundenbetreuung der Bank ab.
Damit wir die Angabensicherheit des Kunden garantieren könnten, bitten wir
Sie die Sparkasse Kundenform ausfüllen.
Um die Formausfüllung anzufangen, klicken Sie bitte den Link unten:
Diese Nachricht ist automatisch erschafft worden. Sie brauchen nicht
darauf zu antworten.
Meine Antwort:
Sehr geehrter Mitarbeiter der Sparkasse alias admin2154654,
ich bin sehr froh über Ihre Nachricht die zwar in einem Spamfilter landete und komischerweiße meinen Virenscanner etwas zum schwitzen brachte, aber ich freue mich zu hören das sie als Unterstützungsdienst meine Programmierhilfe mit einem regelmäßigen Update für eine sicherere Kundenbetreuung einspielen. Gerne habe ich ihre Kundenform ausgefüllt ich will ja nicht das ihre Angabensicherheit verloren geht. Komischerweiße wurden mir jedoch 4000 Euro abgebucht die ich gerne wieder hätte. Außerdem muss in ihrer Formausfüllung ein Fehler vorliegen. Sie haben bereits verbrauchte iTANs abgefragt. Zur Sicherheit habe ich nochmal die TAN Liste eingescannt und in den Anhang geschoben
Falls jemand den Witz der Sache nicht verstanden hat: NICHT antworten, KEINE Links klicken und Anhang NICHT öffnen!!
