2005/10/31 Volkssport Phishing-Attacken - Nunmehr BAWAG im Visier
Nach Erste Bank und Sparkassen jetzt auch Bawag im Visier - Unter bowag.com täuschend nachgemachte BAWAG-Seite zu finden - Ist auch nach mehreren Tagen noch Online - Angriffszeitpunkt durch Wochenende und Fenstertage strategisch "günstig" gewählt
Nach Erste Bank und Sparkassen jetzt auch Bawag im Visier
War vor einigen Tagen Erste Bank und Sparkasse mit nelbanking.com und einem skurrilen Mail zur Geldwäschebekämpfung im Visier der Phisher, ist es heute die BAWAG. Auch diesmal tarnt sich der Angriff als Sicherheitsüberprüfung zur Geldwäschebekämpfung und droht - wenn man die Zugangsdaten nicht bekannt gibt - mit einer Sperre des Bankkontos.
Die zuletzt durch eine eigenwillige Kreditvergabe über mehrere hundert Mio. EUR gebeutelte Bank muss sich nun gegen eine breitgestreute Phishingattacke wehren.
Nach mehreren Tagen noch immer online
Der Angriff wurde zu strategisch äußerst günstigen Zeit gewählt. Freitag Nachmittag, kurz nach Büroschluss, wurden die Phishing-Mails verschickt. Dies ist auch der übliche Zeitpunkt für Hackerangriffe oder Wurm-Attacken.
Besonders Privatpersonen nutzen das Wochenende um ihre Bankgeschäfte zu erledigen, die Mailbox "aufzuräumen" und Anfragen zu bearbeiten.
Auch die Phishing-Site bowag.com konnte - bedingt durch das Wochenende - weiterhin online bleiben.
Die BAWAG hat mit einem umfangreichen Warnhinweis für ihre Telebank-Kunden reagiert. Leider erst auf der Webseite, die nach dem Telebank-Login erscheint, statt unmittelbar auf der für Telebankkunden üblichen Einstiegsseite.
Erleichtert wird die BAWAG-Phishing-Attacke auch dadurch, dass neben dem gesicherten Standardeinstieg zum Telebankin (https://ebanking.bawag.com) auch über die ungesicherte Website http://www.bawag.com ein Telebanking-Login möglich ist. Besonders die Verwendung von Frames erleichtert das Manipulieren von Websites und sollte im eCommerce- und Telebanking-Bereich unterlassen werden.
Einfache Vorsichtsmaßnahmen genügen
An dieser Stelle sollte darauf hingewiesen werden, dass Phishing-Attacken als "Social Hacking" nur dann gefährlich sind, wenn der Benutzer den Anweisungen der Mails folgt.
Werden einige Grundregeln befolgt, besteht keinerlei Gefahr. Wir wiederholen die wichtigsten Regeln:
- Keine Bekanntgabe von vertraulichen Daten (Login-Daten, Passwörtern) per Mail oder telefonisch.
- Kein Ausblenden der URL-Anzeige beim Browser (der Name der Login-URL sollte gut aufbewahrt werden und bei jedem Login geprüft werden).
- Überraschende Änderungen der vertrauten Login-Seiten sofort an den Betreiber melden.
- Vertrauliche und persönliche Daten ausschließlich über SSL-verschlüsselte Seiten bekannt geben (erkennbar als https-Seite). Damit kann die Identität des Seitenbetreibers leicht festgestellt werden.
Weitere Informationen unter http://www2.argedaten.at/php/cms_monitor.php?q=PUB-TEXT-ARGED...
Grundsatzproblem bleibt bestehen
Müssen die derzeit laufenden Phishing-Attacken unter den Begriff dilletantisch zusammen gefasst werden, erreichen Sie doch das wichtigste Ziel. Sie fördern die Verunsicherung der Konsumenten gegen elektronische Prozesse, wie eBusiness, eCommerce und Telebanking.
Darüber hinaus sind jedoch wesentlich professionellere Angriffsszenarien vorzustellen, die aus einer Mischung von Wurm- und Phishing-Attacke erfolgreich Telekontodaten der Kunden ausspähen könnten.
Hintergrund dieser Gefahrenpotentiale ist die unsichere Betriebssystem-Familie, die 90% aller Konsumenten benutzen und die zu Angriffen geradezu einlädt.
Sorgfaltspflicht der Telebankingbetreiber neu definieren
Umgekehrt könnten jedoch eine Fülle dieser Sicherheitslücken auch von "entfernt", etwa bei einer Anmeldung zum Telebanking von den Bank-Rechnern erkannt werden.
In diesem Sinn fordert die ARGE DATEN schon seit längerer Zeit, dass die Sorgfaltspflicht der Banken auch auf die technischen Einrichtungen des Kunden ausgedehnt wird und Telebanking-Kunden Mittel bereitgestellt werden, die eine Sicherheitsprüfung ihrer Compiuter erlauben. Auch rechtlich ist das begründbar. Versteht man den Konsumenten-PC als Hilfsmittel zur Erledigung der Bankgeschäfte, dann besteht hier genauso eine Kontrollpflicht, wie etwa bei einem abgegebenen Formular, bei dem auch geprüft wird, ob ein geeigneter Schreibstift verwendet wird. Ein mit Bleistift ausgestellter Scheck würde wenig Chancen zur Bearbeitung haben. Genauso wie ein Formular mit aufkopierter Unterschrift.
Durch einige wenige, relativ einfache Maßnahmen könnten eine Fülle von Bedrohungsmöglichkeiten erkannt und ausgeschalten werden.
Bisher weigerten sich Banken jedoch Schritte in diese Richtung zu unternehmen. "Man fürchte den Supportaufwand", so etwa ein IT-Techniker einer Bank.
Aktuell zum Thema - Live Hacking Demonstration
Im Rahmen der Veranstaltung "Datenschutz im Unternehmen" am 3.11.05 erfolgt auch eine "Live Hacking Demonstration", bei der der Sicherheitsexperte Christian Perst einige Tricks zeigt, wie Angreifer Sicherheitslücken erzeugen und ausnutzen können (http://www2.argedaten.at/php/cms_monitor.php?q=PUB-TEXT-ARGED...).
|
