Betrugsmasche Pharming ...?

[Herbboy]

Mein Kumpel ist Anwalt und hat einen Mandanten, der mit Pharming betrogen wurde. Ich kannte diese Methode bis gestern gar nicht.

Kurz: man gibt an seinem PC die korrekte Bank-URL ein, wird aber mit einer gefälschten Seite verbundenuf diese Art und weise können dann Zugangsdaten und TANs erlangt werden, ohne dass der User auch nur den Hauch eines Verdachtes hat.

Was ich nicht ganz verstanden hab: muss der Täter dafür irgendwas aus dem Opfer-PC installiert haben, oder kann das wirklich JEDEM passieren? Wie kann man sich dagegen absichern?

Das betreffende Opfer hat 12.000€ verloren, und die Bank verweigert eine Rückzahlung. Das Opfer hat als Schutz NortonCommander in der euersten Version und immer aktuell.



ps: es geht NICHT darum, dass Bankserver gehackt und durch eine gefälscte Seite ersetzt werden oder soi.

 

[EmmasPapa]

Mein Kumpel ist Anwalt und hat einen Mandanten, der mit Pharming betrogen wurde. Ich kannte diese Methode bis gestern gar nicht.

Kurz: man gibt an seinem PC die korrekte Bank-URL ein, wird aber mit einer gefälschten Seite verbundenuf diese Art und weise können dann Zugangsdaten und TANs erlangt werden, ohne dass der User auch nur den Hauch eines Verdachtes hat.

Was ich nicht ganz verstanden hab: muss der Täter dafür irgendwas aus dem Opfer-PC installiert haben, oder kann das wirklich JEDEM passieren? Wie kann man sich dagegen absichern?

Das betreffende Opfer hat 12.000€ verloren, und die Bank verweigert eine Rückzahlung. Das Opfer hat als Schutz NortonCommander in der euersten Version und immer aktuell.



ps: es geht NICHT darum, dass Bankserver gehackt und durch eine gefälscte Seite ersetzt werden oder soi.

ich denke das ist eine gute Erklärung http://de.wikipedia.org/wiki/Pharming

Am besten man nutzt einen Online-zugang mit mTAN (nur für diese Eine transaktion möglich.... z.B. bei der Postbank), mit Keygenerator (z.B. Volkswagen Bank direct), oder eine Bank die zufällig eine TAN aus einer Liste auswählt (das macht auch die Postbank). Dadurch haben die Betrüger i.d.R. keinen zugriff.

 

[Herbboy]

ich denke das ist eine gute Erklärung http://de.wikipedia.org/wiki/Pharming

nicht wirklich. ich versteh da nicht ganz, WO die änderung der DNS stattfindet, also ob man was beim user installiert haben muss oder nicht. ich habe nämlich auch gelesen, dass man aktuelle virenscanner haben sollte - das spricht dafür, dass der user evtl. selber schuld ist, wenn er keinen benutzt - nur: das opfer hier hatte ja norton...

Am besten man nutzt einen Online-zugang mit mTAN (nur für diese Eine transaktion möglich.... z.B. bei der Postbank), mit Keygenerator (z.B. Volkswagen Bank direct), oder eine Bank die zufällig eine TAN aus einer Liste auswählt (das macht auch die Postbank). Dadurch haben die Betrüger i.d.R. keinen zugriff.

das war bei dem fall AFAIK so, hat aber nix genutzt. die haben vermutlich qausi zeitgleich selber sich bei der echten bank eingeloggt, dann haben die bei der gefälschten seite die gleiche TAN abverlangt, die die echte bank zu dem zeitpunkt auch haben wollte.

 

[EmmasPapa]

ich denke das ist eine gute Erklärung http://de.wikipedia.org/wiki/Pharming

nicht wirklich. ich versteh da nicht ganz, WO die änderung der DNS stattfindet, also ob man was beim user installiert haben muss oder nicht. ich habe nämlich auch gelesen, dass man aktuelle virenscanner haben sollte - das spricht dafür, dass der user evtl. selber schuld ist, wenn er keinen benutzt - nur: das opfer hier hatte ja norton...

Am besten man nutzt einen Online-zugang mit mTAN (nur für diese Eine transaktion möglich.... z.B. bei der Postbank), mit Keygenerator (z.B. Volkswagen Bank direct), oder eine Bank die zufällig eine TAN aus einer Liste auswählt (das macht auch die Postbank). Dadurch haben die Betrüger i.d.R. keinen zugriff.

das war bei dem fall AFAIK so, hat aber nix genutzt. die haben vermutlich qausi zeitgleich selber sich bei der echten bank eingeloggt, dann haben die bei der gefälschten seite die gleiche TAN abverlangt, die die echte bank zu dem zeitpunkt auch haben wollte.

zu 1: Ind em Artikel steht ja z.B. auch was über Malware, also könnte er sich schon etwas eingefangen haben. und Norton ist ja nicht unbedingt für seine Zuverlässigkeit bekannt. insbesondere als Dau regelst Du häufig die Sicherheitsstufen runter weil dieses Norton immer wieder Fehler bzw. Warnmeldungen ausgibt oder blockt.

zu 2: Das geht nicht, mTANS sind nur für diese eine Aktion gültig. Wenn Du Dich auslogst und wieder anmeldest, dann funktioniert diese mTAN nicht mehr (ich nutze sie selber).

Bei der ZufallsTAN geht das auch nicht, wenn diese TAN ausgewähklt wurde und Du Dich neu einlogst, dann wird eine andere verlangt (nutze ich auch).

Und bei der elektronischen hast Du nur ein sehr schmales Zeitfenster, i.d.R. 30-60 Sekunden. Das steht Dir aber nur zur Verfügung wenn Du den Zeitpunkt ab Sekunde 1 erwischt. Das ist schon sehr unwahrscheinlich (nutze ich auch).

 

[aeghistos]

ich denke das ist eine gute Erklärung http://de.wikipedia.org/wiki/Pharming

nicht wirklich. ich versteh da nicht ganz, WO die änderung der DNS stattfindet, also ob man was beim user installiert haben muss oder nicht. ich habe nämlich auch gelesen, dass man aktuelle virenscanner haben sollte - das spricht dafür, dass der user evtl. selber schuld ist, wenn er keinen benutzt - nur: das opfer hier hatte ja norton...

Phishing konnte man ja umgehen, indem man die Internet-Seite der Bank von Hand in die Adresszeile eingegeben hat. Bei Pharming wird ein Trojaner installiert, der dich auch dann zu der falschen Seite umleitet.

 

[Weird_Sheep]

ich denke das ist eine gute Erklärung http://de.wikipedia.org/wiki/Pharming

nicht wirklich. ich versteh da nicht ganz, WO die änderung der DNS stattfindet, also ob man was beim user installiert haben muss oder nicht. ich habe nämlich auch gelesen, dass man aktuelle virenscanner haben sollte - das spricht dafür, dass der user evtl. selber schuld ist, wenn er keinen benutzt - nur: das opfer hier hatte ja norton...

Phishing konnte man ja umgehen, indem man die Internet-Seite der Bank von Hand in die Adresszeile eingegeben hat. Bei Pharming wird ein Trojaner installiert, der dich auch dann zu der falschen Seite umleitet.

Es steht im Artikel, hier wird an der HOSTS Datei rumgespielt.
Damit wurde in den Zeiten vor DNS, in einer Art selbstgepflegten Telefonbuch die Adressen gespeichert. Heute eigentlich komplett unnütz, wird aber dennoch immer vor dem DNS Server befragt.
Die Datei lässt sich aber auch für eigene Zwecke umbiegen. Laut meiner HOSTS Datei liegen so ziemlich alle bekannten Werbeserver auf meinem Rechner.

 

[Herbboy]

zu 2: Das geht nicht, mTANS sind nur für diese eine Aktion gültig. Wenn Du Dich auslogst und wieder anmeldest, dann funktioniert diese mTAN nicht mehr (ich nutze sie selber).

Bei der ZufallsTAN geht das auch nicht, wenn diese TAN ausgewähklt wurde und Du Dich neu einlogst, dann wird eine andere verlangt (nutze ich auch).

Und bei der elektronischen hast Du nur ein sehr schmales Zeitfenster, i.d.R. 30-60 Sekunden. Das steht Dir aber nur zur Verfügung wenn Du den Zeitpunkt ab Sekunde 1 erwischt. Das ist schon sehr unwahrscheinlich (nutze ich auch).

ja, aber mal folendes: user logt sich bei seiner bank ein, aber über die fake-seite. täter zeichnet das auf und gibt selber dann sofort die daten ein. der user merkt davon nichts. die site lädt zwar vielleicht nicht ganz so schnell wie sonst, weil ja der täter erst daten eingeben und einloggen muss, aber für den user scheint es noch im rahmen zu sein. dann gibt der user ne überweisung ein, der täter macht das gleiche, aber halt mit den kontodaten für seinen betrug. sobald der user dann auf absenden geht macht das der täter auch, dann weiß er, welche TAN die echte bank haben will, schickt dann eine meldung "geben Sie TAN xy ein" an den user - der gibt sie ein, täter auch - fertig.

in dem fall meines kumpels kam sogar noch eine meldung "angriff geblockt", so dass das opfer sich sgar noch mehr in sicherheit fühlte.

klar: ein erfahrener user wird vielleicht stutzig - aber 90% der bürger sind halt normal-erfahren. das opfer hier kennt sich sogar noch rel. gut aus, zB über phishingmails schmunzelte er nur, wo auch heute noch viele leute drauf reinfallen oder erschrocken ihre bank anrufen...


auch @aegisthos: d.h. es MUSS in der tat erstmal was installiert werden?

 

[EmmasPapa]

zu 2: Das geht nicht, mTANS sind nur für diese eine Aktion gültig. Wenn Du Dich auslogst und wieder anmeldest, dann funktioniert diese mTAN nicht mehr (ich nutze sie selber).

Bei der ZufallsTAN geht das auch nicht, wenn diese TAN ausgewähklt wurde und Du Dich neu einlogst, dann wird eine andere verlangt (nutze ich auch).

Und bei der elektronischen hast Du nur ein sehr schmales Zeitfenster, i.d.R. 30-60 Sekunden. Das steht Dir aber nur zur Verfügung wenn Du den Zeitpunkt ab Sekunde 1 erwischt. Das ist schon sehr unwahrscheinlich (nutze ich auch).

ja, aber mal folendes: user logt sich bei seiner bank ein, aber über die fake-seite. täter zeichnet das auf und gibt selber dann sofort die daten ein. der user merkt davon nichts. die site lädt zwar vielleicht nicht ganz so schnell wie sonst, weil ja der täter erst daten eingeben und einloggen muss, aber für den user scheint es noch im rahmen zu sein. dann gibt der user ne überweisung ein, der täter macht das gleiche, aber halt mit den kontodaten für seinen betrug. sobald der user dann auf absenden geht macht das der täter auch, dann weiß er, welche TAN die echte bank haben will, schickt dann eine meldung "geben Sie TAN xy ein" an den user - der gibt sie ein, täter auch - fertig.

in dem fall meines kumpels kam sogar noch eine meldung "angriff geblockt", so dass das opfer sich sgar noch mehr in sicherheit fühlte.

klar: ein erfahrener user wird vielleicht stutzig - aber 90% der bürger sind halt normal-erfahren. das opfer hier kennt sich sogar noch rel. gut aus, zB über phishingmails schmunzelte er nur, wo auch heute noch viele leute drauf reinfallen oder erschrocken ihre bank anrufen...


auch @aegisthos: d.h. es MUSS in der tat erstmal was installiert werden?

Dann müsste der Betrüger 24 Stunden am Tag am Rechner sitzen und alles genau beobachten Das ist mehr als unwahrscheinlich und da wird der Richter auch sagen das der Bankkunde selber Schuld hat. Immerhin weiß der Betrüger i.d.R. nicht welche Bank der Kunde nutzt, d.h. er schickt auf gut Glück die Malware was auch immer los. Das möchte ich sehen das dann genau in diesem Augenblick jemand die Daten abfängt, von einer Malware was auch immer die vermutlich an Tausende verschickt hat, um wenigstens einige der besagten Bank zu erwischen. Sorry, aber da würde ich als Richter auch sagen "So gut wie unmöglich" und dem Kunden unterstellen das er gepennt hat.

 

[aeghistos]

Dann müsste der Betrüger 24 Stunden am Tag am Rechner sitzen und alles genau beobachten Das ist mehr als unwahrscheinlich und da wird der Richter auch sagen das der Bankkunde selber Schuld hat. Immerhin weiß der Betrüger i.d.R. nicht welche Bank der Kunde nutzt, d.h. er schickt auf gut Glück die Malware was auch immer los. Das möchte ich sehen das dann genau in diesem Augenblick jemand die Daten abfängt, von einer Malware was auch immer die vermutlich an Tausende verschickt hat, um wenigstens einige der besagten Bank zu erwischen. Sorry, aber da würde ich als Richter auch sagen "So gut wie unmöglich" und dem Kunden unterstellen das er gepennt hat.

Es gibt Millionen von PCs, die mit Trojanern un Viren voll sind. Natürlich muss man das Glück haben, einen zu erwischen, der bei der richtigen Bank ist, aber das Verfahren ermöglicht es ja, niht nur die gefälschte Seite einer Bank, sondern vieler auf den eigenen Servern zu lagern. Und das von Herbboy beschriebene Vorgehen ist bestimmt automatisiert. Phishing hat ja auch funktioniert, und dabei wurden hunderttausende E-Mails und bestimmt nicht nur an Kunden der in der Mail genannten Bank.

edit: Es funktioniert anscheinend, auch Proxyserver so zu manipulieren, dass sie dich zur falschen Bankseite führen.

 

[Herbboy]

"So gut wie unmöglich" und dem Kunden unterstellen das er gepennt hat.

das kann man bestimmt auch per skript machen, denk ich.

aber kann auch sein, dass die bank des hier genannten opfers ein veraltetes tan-verfahren nutzt.

 

[d00mfreak]

Ich glaub, das dürfte auch per Cross-Scripting zu schaffen sein...

Afaik ist dann die Seite selbst die "Echte", aber der Angreifer schafft es, z.B. über den TAN und PIN-Eingabefeldern "gefakte Eingabefelder einzublenden, die dann die Daten an ihn und net an die Bank senden...

Korregiert mich, wenn ich falsch liege...

 

[Herbboy]

Ich glaub, das dürfte auch per Cross-Scripting zu schaffen sein...

Afaik ist dann die Seite selbst die "Echte", aber der Angreifer schafft es, z.B. über den TAN und PIN-Eingabefeldern "gefakte Eingabefelder einzublenden, die dann die Daten an ihn und net an die Bank senden...

Korregiert mich, wenn ich falsch liege...

ja, is falsch. glaub ich :o

korrigiert mich, falls ICH falsch liege, aber: der "angreifer" ändert sozusagen deine adress-IP-zuordnung am PC. die websites haben ja nicht wirklich ihre namen als adressen, sondern aus dem namen entsteht eine IP, d.h.zB postbank.de hat als IP (also, jetzt ausgedacht) 112.122.123.65. wenn du im browser "postbank.de" eingibst, dann sendet dein PC ja nicht "ich möchte postbank.de haben", sondern er hat ne art übersetzungseintrag, so dass sich die IP ergibt, und dann sendet er "ich möchte die IP 112.122.123.65 aufrufen". der angreifer nun ändert an deinem PC diese übersetzungseinträge, und dein PC "errechnet" dann aus postbank.de nicht mehr die korrekte IP, sondern zB 190.100.101.12, und das ist dann der server, auf dem der betrüger eine gefakte postbank-seite hat, wo er dann deine daten aufzeichnen kann. in deinem browser steht weiterhin "postbank.de", es scheint alles in orndung zu sein.

 

[d00mfreak]

ja, is falsch. der "angreifer" ändert sozusagen deine adress-IP-zuorndung am PC. die websites haben ja nicht wirklich ihre namen als adressen, sondern aus dem namen entsteht eine IP, d.h.zB postbank.de hat als IP (also, jetzt ausgedacht) 112.122.123.65. wenn du im browser "postbank.de" eingibst, dann sendet dein PC ja nicht "ich möchte postbank.de haben", sondern er hat ne art übersetzungseintrag, so dass sich die IP ergibt, und dann sendet er "ich möchte die IP 112.122.123.65 aufrufen". der angreifer nun ändert an deinem PC diese übersetzungseinträge, und dein PC "errechnet" dann aus postbank.de nicht mehr die korrekte IP, sondern B 190.100.101.12, und das ist dann der server, auf dem der betrüger eine gefakte postbank-seite hat, wo er dann deine daten aufzeichnen kann.

des meinte ich net, nur ob ich Cross Site Scripting richtig verstanden habe

 

[Weird_Sheep]

korrigiert mich, falls ICH falsch liege, aber: der "angreifer" ändert sozusagen deine adress-IP-zuordnung am PC. die websites haben ja nicht wirklich ihre namen als adressen, sondern aus dem namen entsteht eine IP, d.h.zB postbank.de hat als IP (also, jetzt ausgedacht) 112.122.123.65. wenn du im browser "postbank.de" eingibst, dann sendet dein PC ja nicht "ich möchte postbank.de haben", sondern er hat ne art übersetzungseintrag, so dass sich die IP ergibt, und dann sendet er "ich möchte die IP 112.122.123.65 aufrufen". der angreifer nun ändert an deinem PC diese übersetzungseinträge, und dein PC "errechnet" dann aus postbank.de nicht mehr die korrekte IP, sondern zB 190.100.101.12, und das ist dann der server, auf dem der betrüger eine gefakte postbank-seite hat, wo er dann deine daten aufzeichnen kann. in deinem browser steht weiterhin "postbank.de", es scheint alles in orndung zu sein.

Das Internet benutzt weitestgehend IPv4, dass sind 4*0-255 als Zahl für die Adresse. Da aber niemand sagt, ich nutz das Forum von 212.123.106.150, gibt es für den Faktor Mensch die Domainnamen, in dem Fall pcgames.de.

Wenn man nun diese Seite aufrufen will und im Browser www.pcgames.de eingibt, guckt der PC in seiner eigenen Hostdatei nach (fälschbar!), wenn da nix steht, wie normal üblich da veraltet, guckt er im Browsercache nach, ob man die Seite noch kennt. Wenn das auch nicht hinhaut, wird meist der DNS Server des Providers gefragt (oder halt sonst einer).

Nun wird die Adresse www.pcgames.de. rückwärts durchgegangen. Es wird einer der 13 Haupt DNS Knoten gefragt, wer sich mit .de auskennt. Der DE DNS wird dann nach pcgames gefragt und verweist zum Computec DNS, der dann den Server www nennt. Nun hat man die IP Adresse und kann zur Seite verbinden.

Normalerweise nennt der DNS des Providers direkt den Computec DNS, da noch andere Kunden da hinsurfen und die IP gecacht ist. Nur wenn dies nicht der Fall ist, wird von oben herunter duchgehangelt.

Kurz um, der PC fragt tatsächlich "Ich möchte www.postbank.de" haben und eben die erste Stelle ist angreifbar in der HOSTS Datei. Es ist auch möglich die haupten DNS Server mit falschen Einträgen zu impfen, die sollten aber spätestens nach Ende der Cachingzeit rausfallen.