Sensible Daten sind nur mit verschlüsselter Übertragung auch sicher. Wenn allerdings der Empfänger der Daten nicht der ist, der zu sein er vorgibt, können Passwörter, Bankzugänge oder PayPal-Accounts in den falschen Händen landen – und möglicherweise missbraucht werden. Wir sprachen mit den CCC-Experten "Peter Pant0r" und "Mario" über neue Abzockmethoden, Phishing im großen Stil und was man dagegen unternehmen kann.
onlinekosten.de: Phishing über falsche Links, die per E-Mail zugeschickt werden, kennen die User inzwischen ja schon. Worauf müssen wir uns aber in Zukunft einstellen?
Mario: Trojaner sind wohl der einfachste Weg für Phisher, um an unsere Daten zu kommen. Das bedeutet zwar erst einmal eine Anfangsinvestition für die Phisher, aber wir müssen im nächsten Jahr mit einer neuen Welle von Trojanern rechnen, die unsere Computer ausspähen wollen. Betroffen sind hier natürlich vor allem Windows-Rechner. Dann kommt natürlich noch das Cross-Site-Scripting auf uns zu.
onlinekosten.de: Wie sieht das genau aus, und wie kann es eingesetzt werden?
Mario: Eigentlich ist das bei eBay schon gelaufen. Darin besteht ja auch die aktuelle Kritik: eBay lässt JavaScripts zu. Diese laufen dann in der Domäne von eBay und suggerieren Sicherheit. Aber natürlich kommen die Skripte nicht von eBay. Das könnte man also ausnutzen, zum Beispiel um Session Cookies auszulesen. Die Lösung für eBay war, dass sie es einfach verboten haben – was das Problem aber im Grunde nicht löst. Auf der anderen Seite brauchen die Power-Seller JavaScript...
onlinekosten.de: Kann Cross-Site-Scripting denn auch noch in anderen Bereichen oder auf anderen Seiten Probleme machen?
Mario: Man muss beobachten, ob das nicht auch bei großen Finanzinstituten eine Rolle spielen kann. Aber ich denke, dass sich das eher auf Dienste wie PayPal konzentrieren wird, wo zum Beispiel Formularfelder dynamisch erzeugt werden. Die könnten dann modifiziert werden.
onlinekosten.de: Was kann man dagegen unternehmen?
Mario: Man könnte zum Beispiel einen SSL-Key per Telefon abgleichen – aber mal ehrlich, das ist für die meisten User doch utopisch. Die meisten Benutzer wollen ihren Rechner eben als Bankautomat daheim benutzen, da kann man nicht zuviel verlangen. Aber egal was wir tun, Phishing per E-Mail wird sicherlich bestehen bleiben.
Meldung empfehlen
News
