Montag, 17.01.2005 08:53

21C3: Profi-Phisher auch 2005 ein Problem

aus dem Bereich Sonstiges
Sensible Daten sind nur mit verschlüsselter Übertragung auch sicher. Wenn allerdings der Empfänger der Daten nicht der ist, der zu sein er vorgibt, können Passwörter, Bankzugänge oder PayPal-Accounts in den falschen Händen landen – und möglicherweise missbraucht werden. Wir sprachen mit den CCC-Experten "Peter Pant0r" und "Mario" über neue Abzockmethoden, Phishing im großen Stil und was man dagegen unternehmen kann.

Anzeige
onlinekosten.de: Phishing über falsche Links, die per E-Mail zugeschickt werden, kennen die User inzwischen ja schon. Worauf müssen wir uns aber in Zukunft einstellen?

Mario: Trojaner sind wohl der einfachste Weg für Phisher, um an unsere Daten zu kommen. Das bedeutet zwar erst einmal eine Anfangsinvestition für die Phisher, aber wir müssen im nächsten Jahr mit einer neuen Welle von Trojanern rechnen, die unsere Computer ausspähen wollen. Betroffen sind hier natürlich vor allem Windows-Rechner. Dann kommt natürlich noch das Cross-Site-Scripting auf uns zu.

onlinekosten.de: Wie sieht das genau aus, und wie kann es eingesetzt werden?

Mario: Eigentlich ist das bei eBay schon gelaufen. Darin besteht ja auch die aktuelle Kritik: eBay lässt JavaScripts zu. Diese laufen dann in der Domäne von eBay und suggerieren Sicherheit. Aber natürlich kommen die Skripte nicht von eBay. Das könnte man also ausnutzen, zum Beispiel um Session Cookies auszulesen. Die Lösung für eBay war, dass sie es einfach verboten haben – was das Problem aber im Grunde nicht löst. Auf der anderen Seite brauchen die Power-Seller JavaScript...

onlinekosten.de: Kann Cross-Site-Scripting denn auch noch in anderen Bereichen oder auf anderen Seiten Probleme machen?

Mario: Man muss beobachten, ob das nicht auch bei großen Finanzinstituten eine Rolle spielen kann. Aber ich denke, dass sich das eher auf Dienste wie PayPal konzentrieren wird, wo zum Beispiel Formularfelder dynamisch erzeugt werden. Die könnten dann modifiziert werden.

onlinekosten.de: Was kann man dagegen unternehmen?

Mario: Man könnte zum Beispiel einen SSL-Key per Telefon abgleichen – aber mal ehrlich, das ist für die meisten User doch utopisch. Die meisten Benutzer wollen ihren Rechner eben als Bankautomat daheim benutzen, da kann man nicht zuviel verlangen. Aber egal was wir tun, Phishing per E-Mail wird sicherlich bestehen bleiben.

Kommentieren (Neuen Kommentar verfassen):
Dieser Artikel wurde noch nicht kommentiert.
 Suche

Internet per Flat
Ob per Kabel oder mit VDSL: Erst eine Flat bringt richtig Spaß beim Surfen über die schnellen Internetleitungen.
Jetzt die Kabel-Angebote vergleichen oder neben der T-Home VDSL Verfügbarkeit die 1und1 VDSL und Vodafone VDSL Verfügbarkeit prüfen.
Alle günstigen Tarife hier in unserem DSL Preisvergleich.
DSL Speedmessung
Trotz Highspeed ADSL Anschluss nur Diashow statt flüssiges Internet Fernsehen?
Unbedingt DSL Geschwindigkeit testen. Wenn der Provider wieder zuviel versprochen hat, gleich neues DSL Angebot einholen.
Bei vielen Anbietern gibt es auch Internet Telefonie dazu. Wir haben die besten DSL Tarife im Vergleich.
Komplettpaket
Fast alle Internet Anbieter bieten Tarife mit DSL Flat an.
Ein Telefonanschluss der Telekom ist für schnellen DSL Speed nicht mehr notwendig.
Wenn es noch schneller sein soll: VDSL macht's möglich. Jetzt Verfügbarkeit von Vodafone VDSL, 1und1 VDSL oder Alice VDSL checken!
© 1999-2012 onlinekosten.de GmbH :: Datenschutz :: Impressum :: Presse :: Jobs