95666

Banken rüsten auf, Kriminelle rüsten nach

04.08.2006 | 15:48 Uhr |

Um sich und ihre Kunden vor Phishing zu schützen, führen Banken immer wieder neue Anmeldeverfahren ein und die Programmierer von Malware passen ihre Machwerke daran an.

Die Maßnahmen der Banken zum Schutz ihrer Kunden vor Phishing werden von den Programmierern der Gegenseite immer wieder konterkariert. Das Internet Storm Center ( ISC ) berichtet über das weltweite Katz-und-Maus-Spiel zwischen Finanzinstitutionen und Identitätsdieben.

Das in Deutschland übliche, klassische PIN/TAN-Verfahren beim Online-Banking ist nur für die sicher genug, die nicht auf einen der vielen Phishing-Tricks herein fallen. Erweiterungen wie die mobile TAN (Zustellung bei Bedarf per SMS) oder indizierte TAN-Listen ("geben Sie die TAN Nr. 42 ein") haben noch längst nicht bei allen Banken Einzug gehalten - der damit verbundene Sicherheitsgewinn ist umstritten. Andere Banken setzen auf Einmal-Passwörter oder benutzen digitale Zertifikate zur gegenseitigen Identifizierung von Bank und Kunden.

Plakative Überschriften wie "Phishing 2.0" und, in Anlehnung daran, PWS-Bankers 2.0 sollen vermitteln, dass neuartige Phishing-Angriffe mit den Bemühungen der Banken Schritt halten. Mit "PWS-Bankers" sind Passwort-stehlende (PWS) Trojanische Pferde gemeint, die auf das Online-Banking spezialisiert sind. Oft sind sie auf eine bestimmte Bank oder ein bestimmtes technisches Verfahren fokussiert.

Als Beispiel führt Pedro Bueno vom ISC eine bei McAfee beschriebene Variante des Schädlings "PWS-Banker.bi" an, der auf eine brasilianische Bank und deren Sicherheitsmaßnahmen spezialisiert ist. Die Bank setzt bei Großkunden auf digitale Zertifikate. Das Trojanische Pferd gibt sich gegenüber dem Benutzer als Programm der Bank zur Aktualisierung des Zertifikats aus. Es fragt nach dem Passwort für das Zertifikat, durchsucht die Festplatte nach Dateien mit den Erweiterung ".key" und ".crt" und sendet die gefundenen Daten an ein Mail-Konto bei Google.

Neben verbesserten, jedoch nie perfekten technischen Vorkehrungen bleibt der Bankkunde vor seinem PC der wichtigste (Un-) Sicherheitsfaktor beim Online-Banking. Die regelmäßige Installation neuer Sicherheits-Updates für Betriebssystem, Browser und Schutzprogramme ist an sich Pflicht, wird jedoch oft vernachlässigt. Wichtiger noch ist allerdings, dass sich Anwender der Risiken bewusst werden und ihr Online-Verhalten daran anpassen.

Ebay und Paypal sind Hauptziel der Phisher (PC Welt Online, 03.08.2006)

0 Kommentare zu diesem Artikel
95666