rating service  security service privacy service
 
2005/10/31 Volkssport Phishing-Attacken - Nunmehr BAWAG im Visier
Nach Erste Bank und Sparkassen jetzt auch Bawag im Visier - Unter bowag.com täuschend nachgemachte BAWAG-Seite zu finden - Ist auch nach mehreren Tagen noch Online - Angriffszeitpunkt durch Wochenende und Fenstertage strategisch "günstig" gewählt

Nach Erste Bank und Sparkassen jetzt auch Bawag im Visier

War vor einigen Tagen Erste Bank und Sparkasse mit nelbanking.com und einem skurrilen Mail zur Geldwäschebekämpfung im Visier der Phisher, ist es heute die BAWAG. Auch diesmal tarnt sich der Angriff als Sicherheitsüberprüfung zur Geldwäschebekämpfung und droht - wenn man die Zugangsdaten nicht bekannt gibt - mit einer Sperre des Bankkontos.

Die zuletzt durch eine eigenwillige Kreditvergabe über mehrere hundert Mio. EUR gebeutelte Bank muss sich nun gegen eine breitgestreute Phishingattacke wehren.


Nach mehreren Tagen noch immer online

Der Angriff wurde zu strategisch äußerst günstigen Zeit gewählt. Freitag Nachmittag, kurz nach Büroschluss, wurden die Phishing-Mails verschickt. Dies ist auch der übliche Zeitpunkt für Hackerangriffe oder Wurm-Attacken.

Besonders Privatpersonen nutzen das Wochenende um ihre Bankgeschäfte zu erledigen, die Mailbox "aufzuräumen" und Anfragen zu bearbeiten.

Auch die Phishing-Site bowag.com konnte - bedingt durch das Wochenende - weiterhin online bleiben.

Die BAWAG hat mit einem umfangreichen Warnhinweis für ihre Telebank-Kunden reagiert. Leider erst auf der Webseite, die nach dem Telebank-Login erscheint, statt unmittelbar auf der für Telebankkunden üblichen Einstiegsseite.

Erleichtert wird die BAWAG-Phishing-Attacke auch dadurch, dass neben dem gesicherten Standardeinstieg zum Telebankin (https://ebanking.bawag.com) auch über die ungesicherte Website http://www.bawag.com ein Telebanking-Login möglich ist. Besonders die Verwendung von Frames erleichtert das Manipulieren von Websites und sollte im eCommerce- und Telebanking-Bereich unterlassen werden.


Einfache Vorsichtsmaßnahmen genügen

An dieser Stelle sollte darauf hingewiesen werden, dass Phishing-Attacken als "Social Hacking" nur dann gefährlich sind, wenn der Benutzer den Anweisungen der Mails folgt.

Werden einige Grundregeln befolgt, besteht keinerlei Gefahr. Wir wiederholen die wichtigsten Regeln:
- Keine Bekanntgabe von vertraulichen Daten (Login-Daten, Passwörtern) per Mail oder telefonisch.
- Kein Ausblenden der URL-Anzeige beim Browser (der Name der Login-URL sollte gut aufbewahrt werden und bei jedem Login geprüft werden).
- Überraschende Änderungen der vertrauten Login-Seiten sofort an den Betreiber melden.
- Vertrauliche und persönliche Daten ausschließlich über SSL-verschlüsselte Seiten bekannt geben (erkennbar als https-Seite). Damit kann die Identität des Seitenbetreibers leicht festgestellt werden.

Weitere Informationen unter http://www2.argedaten.at/php/cms_monitor.php?q=PUB-TEXT-ARGED...


Grundsatzproblem bleibt bestehen

Müssen die derzeit laufenden Phishing-Attacken unter den Begriff dilletantisch zusammen gefasst werden, erreichen Sie doch das wichtigste Ziel. Sie fördern die Verunsicherung der Konsumenten gegen elektronische Prozesse, wie eBusiness, eCommerce und Telebanking.

Darüber hinaus sind jedoch wesentlich professionellere Angriffsszenarien vorzustellen, die aus einer Mischung von Wurm- und Phishing-Attacke erfolgreich Telekontodaten der Kunden ausspähen könnten.

Hintergrund dieser Gefahrenpotentiale ist die unsichere Betriebssystem-Familie, die 90% aller Konsumenten benutzen und die zu Angriffen geradezu einlädt.


Sorgfaltspflicht der Telebankingbetreiber neu definieren

Umgekehrt könnten jedoch eine Fülle dieser Sicherheitslücken auch von "entfernt", etwa bei einer Anmeldung zum Telebanking von den Bank-Rechnern erkannt werden.

In diesem Sinn fordert die ARGE DATEN schon seit längerer Zeit, dass die Sorgfaltspflicht der Banken auch auf die technischen Einrichtungen des Kunden ausgedehnt wird und Telebanking-Kunden Mittel bereitgestellt werden, die eine Sicherheitsprüfung ihrer Compiuter erlauben. Auch rechtlich ist das begründbar. Versteht man den Konsumenten-PC als Hilfsmittel zur Erledigung der Bankgeschäfte, dann besteht hier genauso eine Kontrollpflicht, wie etwa bei einem abgegebenen Formular, bei dem auch geprüft wird, ob ein geeigneter Schreibstift verwendet wird. Ein mit Bleistift ausgestellter Scheck würde wenig Chancen zur Bearbeitung haben. Genauso wie ein Formular mit aufkopierter Unterschrift.

Durch einige wenige, relativ einfache Maßnahmen könnten eine Fülle von Bedrohungsmöglichkeiten erkannt und ausgeschalten werden.

Bisher weigerten sich Banken jedoch Schritte in diese Richtung zu unternehmen. "Man fürchte den Supportaufwand", so etwa ein IT-Techniker einer Bank.


Aktuell zum Thema - Live Hacking Demonstration

Im Rahmen der Veranstaltung "Datenschutz im Unternehmen" am 3.11.05 erfolgt auch eine "Live Hacking Demonstration", bei der der Sicherheitsexperte Christian Perst einige Tricks zeigt, wie Angreifer Sicherheitslücken erzeugen und ausnutzen können (http://www2.argedaten.at/php/cms_monitor.php?q=PUB-TEXT-ARGED...).

mehr --> Warnung vor Phishing-Attacke - Österreichs Sparkassen im Visier
mehr --> http://www.bawag.com/bawag/__Privatkunden/nav,setId=bawag,30674=Home,29582=Priva...
mehr --> Datenschutz Seminare der ARGE DATEN
andere --> http://www.bowag.com

Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungs- und Seminarservice angeboten und vermittelt. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixabay, Shutterstock, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2022 Information gemäß DSGVOwebmaster