Hacker-Angriffe. Clickjacking und Phishing

Anlass ist der heutige Zeitungsbericht „Zwielichtige Ratten“

Dass jahrelang vertrauliche Daten von Behörden und Firmen abgegriffen werden, wundert mich nicht. Firmen und Behörden machen es den Angreifern teilweise auch recht leicht.

Ich habe vor einiger Zeit ein Beispiel veröffentlicht und als Beispielseite die Sparkasse Dieburg und die Webseite von unserem Bürgermeister Roland Kern aufgeführt.
Die Reaktion auf ein recht einfach zu beseitigendes Sicherheitsrisiko war ernüchternd.

Der Webmaster von unserem Bürgermeister Kern fühlte sich belästigt und die Sparkasse Dieburg (bzw. die übergeordnete/verantwortliche Stelle) unternimmt nichts.


Nachtrag 15.11.2011

Die Sparkasse Dieburg hat das Sicherheitsloch geschlossen.
Die aufgeführten Beispiele mit Seiten der Sparkasse funktionieren nicht mehr.


Aber worum geht es genau.
Sicherheitsexperten berichten:

Am Anfang der Attacke steht der Phishing-Angriff. Hierbei wird versucht, an Zugangsdaten zu gelangen. Mit diesen Informationen kann es sein, die Kontrolle über den Rechner zu erlangen. Zumindest ist es aber möglich Bankabbuchungen zu tätigen oder z.B. eMails zu lesen.

Wenn die von mir aufgeführte Möglichkeit, einen Webseitenbesucher zu täuschen, geschlossen wird, ist das nicht gleichbedeutend mit der Ausrottung von Phishing-Aktionen.
Es ist aber eine Möglichkeit weniger vorhanden.

Ich sehe das so. Die teilweise schlecht geschulten Mitarbeiter von Firmen oder selbsternannte Webmaster ohne Ausbildung werden weiterhin das größere Risiko darstellen.
Aber Schuld wird der Internetnutzer sein.

Bei Phishing ist es auch für den Angreifer von Nutzen, eine Webadresse zu haben, die der angegriffenen in etwa ähnelt. Eine URL (Webadresse) kostet dem Unternehmen die unglaubliche Summe von ca. 12,00 Euro im Jahr. Da fragt man sich, haben nur die Hacker das Geld sich täuschen ähnliche Webseiten zuzulegen? Gefährdet Unternehmen/Einrichtungen/Institute Geld sollten sich zumindest die ÄHNLICHSTEN Adressen reservieren, um damit das Phishing ein wenig zu erschweren. Oder hat man sich darüber noch keine Gedanken gemacht?
Natürlich ist mir klar, man kann nicht alle Webseiten, die ähnlich sind für sich beanspruchen. Aber wenn man im Jahr ca. 3000,00 Euro für die Sicherheit der Internetnutzer ausgibt, sind schon einige Lücken geschlossen. Die Vielzahl an Domains würden für die Unternehmen keinen (ganz minimal) Aufwand bedeuten.

Sparkasse freie URL
Sparkasse freie URL

Es ist schon schwierig, auf Anhieb den Unterschied zu finden.
Original
bankingportal.sparkasse-dieburg.de/portal/portal/StartenIPSTANDARD
Fälschung
bankingportal.sparkasse-dieburg.be/portal/portal/StartenIPSTANDARD

Was soll mit dem Phishing eigentlich erreicht werden?
Betrug:
Man versucht an Zugangsdaten für z.B. ON-Line-Banking heranzukommen, um von Ihrem Konto Geld abzubuchen.

Spionage:
Der heutige Bericht in der Zeitung zielte aber darauf ab, Zugangsdaten zum System zu erlangen, um damit die Möglichkeit zu haben, den Rechner in seine Gewalt zu bringen. Damit können die Hacker ferngesteuert so arbeiten, als wenn diese autorisierte Mitarbeiter der Firma sind.

Da kann man sich die Finger wund schreiben und auch telefonieren. Man lernt immer mehr desinteressierte Menschen kennen.

Stadt Rödermark, BM und Sparkasse sind informiert.


Rödermark intern.
Haushaltszahlen
Zahlen zu den Haushalten ab 2011

2 Replies to “Hacker-Angriffe. Clickjacking und Phishing”

  1. Unglaublich lange hab ich bei Original und Fälschung nach dem Unterschied gesucht.

    Ich bin mir sicher, wenn ich im Online-Banking auf die falsche Seite gelange, fällt mir das auch nach einer, wie üblich, kurzen Prüfung nicht auf.

    Und jetzt kommen, wie Sie schreiben, die Banken und sagen der Anwender ist schuld.