Neue Browsersichheitslücke entdeckt: Phishing

[saemikneu]

Phishing
Alle Browser zeigen Schwäche

Das dänische Sicherheitsunternehmen Secunia warnt vor einer neuen Anfälligkeit, die unter anderem die aktuellen Versionen von Internet Explorer [6 SP2, 6 für Mac] und Firefox [1.004, alle Betriebssysteme] betrifft. Bei Opera wurde die Lücke mit der jüngsten Version 8.01 hingegen geschlossen. Schuld sei ein Problem mit Java-Script-Dialogboxen. Diese weisen nie ihren eigentlichen Ursprung aus.Dadurch ist es gemäss Secunia möglich, Dialogboxen anzuzeigen, die von scheinbar sicheren Webseiten stammen. Um auf den Trick hereinzufallen, müssen Benutzer aber zuerst einen Link, auf einer betrügerischen Website oder in einer E-Mail anklicken. Testen Sie, ob Ihr Browser anfällig ist:
http://secunia.com/multiple_browsers...rability_test/
---
Ich musste euch das sagen.
Quelle: PC Tipp, August 2005, Seite 11

[Magicq99]

Naja, das ist doch ein alter Hut. Firefox ist inzwischen schon zwei Versionen weiter. Und auch der IE so wie andere Browserhersteller haben inzwischen einige Lücken gestopft.

Und Pishing selbst ist auch nicht nur auf Browser beschränkt:
http://de.wikipedia.org/wiki/Pishing

[saemikneu]

Ich habe die FreFox Version 1.06 und der Fehler wurde nicht behoben. Probiert es aus: bei mir erschien das PopOp auf google.com

[Magicq99]

Tatsächlich, obwohl die secunia Seite sagt es wäre mit Version 1.05 behoben.

Aber so wie ich das verstehe ist es keine Sicherheitslücke in Form eines Bugs, sondern ein prinzipielles Problem mit Javascript. Ein Javascript Dialog zeigt eben nicht die Herkunfts-URL an, wie es z.B. der Browser selbst in der Adresszeile zeigt.

Das ist aber eigentlich spoofing und nicht pishing, spoofing kann aber für pishing verwendet werden.

Da es aber ein grundsätzliches Problem ist hilft dagegen wohl nur das deaktivieren von Javascript. Deshalb betrifft es auch alle Browser. Aber wieso sagt dann secunia es wäre in Firefox 1.05 behoben wenn es nicht so ist?

Im Web muss man eben aufpassen auf welchen Seiten man sich herumtreibt und Dinge wie Cookies, Javascript usw. abschalten wenn auf nicht vertrauenswürdige Seiten surft. Problematisch wird es halt wenn man durch solch ein spoofing getäuscht wird und eine Seite für authentisch hält obwohl dies nicht so ist (wie in dem demonstrierten Testfall).

NACHTRAG:
Im aktuellen Opera wird das Dialogfeld auch geöffnet, da steht in der ersten Zeile aber "www.google.com.secunia.com"

[bombspy]

dann lad ich mir halt Firefox 1.06 runter
laut der seite hilft das

[Magicq99]

Zitat:

Zitat von bombspy

dann lad ich mir halt Firefox 1.06 runter
laut der seite hilft das

Anscheinend eben nicht.

[EEBKiller]

Zitat:

Neue Browsersichheitslücke entdeckt: Phishing

es müsste vielmehr heissen:

Neue menschliche Sicherheitslücke entdeckt: Phishing

Also alles was recht ist, aber wer auf solche gefälschte Dialogboxen und sonstige Warnungen reinfällt ist meines erachtens selber Schuld. Vorallem im Umgang mit Geld sollte man im so unsicher gewordenen Internet 2x nachschauen, bevor man irgendwas tut. Manche scheinen es wirklich drauf anzulegen, dass sich jemand mit einer PIN und TAN in seinem Konto bedient ...
Ausserdem warnt mitlerweile fast jede Bank schon vor dem Login in den Geschützen Bereich vor solchen machenschaften. Also wer es jetzt nicht lernt, lernts nie mehr und sollte das Online-Banking lieber ganz sein lassen.

€DIT: Im Firefox 1.0.6 steht über der Dialogbox die Domain. Daran sollte man relativ gut erkennen, welche Domain das wirklich ist, und ob sie zur Bank gehört. Aber selbst das ist kein ausreichender Schutz, da sich viele Leute mit sowas auch garnicht befassen

[Magicq99]

Zitat:

Zitat von EEBKiller

€DIT: Im Firefox 1.0.6 steht über der Dialogbox die Domain. Daran sollte man relativ gut erkennen, welche Domain das wirklich ist, und ob sie zur Bank gehört. Aber selbst das ist kein ausreichender Schutz, da sich viele Leute mit sowas auch garnicht befassen

Ja, in der Windows Version 1.06 steht die Domain der Dialogbox im Titel. Ich habe es gestern mit der Mac Version 1.06 versucht, dort sieht man die Domain nicht.

Allerdings kann man das pishing Problem nicht so einfach nur auf den Nutzer abwälzen. Wenn eine Seite gut gefälscht ist kann auch ein erfahrener und vorsichtiger Nutzer darauf hereinfallen.

z.B. das Beispiel aus dem Wikipedia Artikel:

Zitat:

Noch schwerer zu erkennen ist die Verwendung von kyrillischen Buchstaben anstelle von Umlauten. Das kyrillische 'a' unterscheidet sich optisch in keiner Weise vom lateinischen 'a'. (http://www.beispielbank.de/) Falls das 'a' in bank kyrillisch dargestellt wird, ist die Adresse unterschiedlich, und somit falsch. Allerdings zeigt die Adresszeile des Browsers keinen sichtbaren Unterschied zur Original-Bankadresse. Diese Methode ist selbst für Experten erst bei genauerem Hinsehen zu durchschauen.

www.deutschebank.de mit einem kyrillischen "a" ist technisch eine andere Adresse als die mit lateinischem "a". Mit einem guten Nachbau der echten Webseite der Deutschen Bank könnte man sicher so manchen Nutzer täuschen. Man muss ihn nur irgendwie auf diese URL locken, z.b. mit einem Link in einer e-Mail. Auch den Absender und Inhalt dieser e-Mail könnte man auf die gleiche Weise fälschen.

Es ist sehr schwierig so etwas zu erkennen, da die Domain eigentlich authentisch aussieht.

[Swizzy]

Zitat:

Zitat von Magicq99

www.deutschebank.de mit einem kyrillischen "a" ist technisch eine andere Adresse als die mit lateinischem "a". Mit einem guten Nachbau der echten Webseite der Deutschen Bank könnte man sicher so manchen Nutzer täuschen. Man muss ihn nur irgendwie auf diese URL locken, z.b. mit einem Link in einer e-Mail. Auch den Absender und Inhalt dieser e-Mail könnte man auf die gleiche Weise fälschen.

Die Idee ist ja nice ^^. Heftig geil . Wenn mir mal langweilig ist und ich arbeitslos bin weiss ich was ich zu tun hab :>.

Mal im ernst, das ist genau der Grund weshalb ich lieber altmodisch zum Onkel Bankschalter bzw. Tante Bankautomat renne um mein Geld BAR in der HAND zu haben, besser als das virtuelle vorstellen . Weiterer Grund weshalb ich nicht gerne übers I-Net bestelle , ausser Spiele .

[Magicq99]

Zitat:

Zitat von Swizz_ruler

Die Idee ist ja nice ^^. Heftig geil . Wenn mir mal langweilig ist und ich arbeitslos bin weiss ich was ich zu tun hab :>.

Mal im ernst, das ist genau der Grund weshalb ich lieber altmodisch zum Onkel Bankschalter bzw. Tante Bankautomat renne um mein Geld BAR in der HAND zu haben, besser als das virtuelle vorstellen . Weiterer Grund weshalb ich nicht gerne übers I-Net bestelle , ausser Spiele .

Aber ich glaube dafür gibt es auch Lösungen. Ein Browser könnte z.B. Zeichen einer URL deren Zeichensatz vom Rest abweicht irgendwie markieren und vor diesem Problem warnen. Nur eine URL die vollständig aus lateinischen oder kyrillischen Zeichen besteht würde dann als gültig akzeptiert.

[AMD-Powered]

@EEBKiller:

Einerseits stimme ich dir zu das leider zu viele User/innen im Umgang mit diesen Daten zu leichtfertig sind, ganz nach dem Motto: Es ist die ganze Zeit nichts passiert warum sollte ich jetzt aufpassen.

Andereseits sage ich, das der gesetzliche Freibrief der Banken, was den Umgang mit TIN/TAN betrifft so nicht in Ordnung ist und sich die Banken daher nicht mit der notwendigen Sorgfalt/Sicherheit und vor allem Vorsorge darum kümmern.

Der Kunde, die Kundin muß ja für den Schaden aufkommen!!!

Geh mal auf irgendeine Bank und sprich eine/n Mitarbeiter/in direkt auf Phishing an, die wenigsten wissen was es ist und wenn du Glück hast wirst du an einen entsprechenden Mitarbeiter "weitergereicht", welcher dir aber auch nur in den aller seltensten Fällen ehrliche Antworten gibt und bestätigt das es eine Gefahr darstellt und die Banken dagegen machtos sind!

Es soll an dieser Stelle auch nicht vergessen werden das sich das TIN/TAN Verfahren erst seit ca. einem Jahr für die Banken rechnet und die ganzen Jahre zuvor ersteinmal die Investitionen gedeckt werden mussten.
Die werden jetz nicht gleich (obwohl bereits verfügbar) neue Sicherheitstechniken einführen, da dies wieder mit neuen Investitionen verbunden wären und zum anderen würden sie durch die Einführung des neuen Systems indirekt zugeben das das alte nicht so sicher ist wie sie es verkaufen. Lieber geht man hin und verkauft zusätzliche Sicherheit mit dem Argument der Flexibilität und ich meine damit die MobilTan, welche einem per SMS und nur für 5 Minuten gültig ist, zugesendet wird. Zugegeben es ist etwas sicherer, aber flexibeler würde ich nicht sagen, da ich meine TANs in Papierform auch an jeden Ort mitnehmen kann.
Aber es ist ja wie immer nur eine Sache wie es verkauft wird.
Wenn man sich für die MobilTan entscheidet werden 9-19Cent/SMS fällig, dies wird einem zwar gesagt aber nicht oder nur auf geziehlte Nachfrage das man dann keine kostenlosen TANs in Papierform mehr erhält. (Entweder/Oder)

[Elrod Cater F-K]

Zitat:

Zitat von Magicq99

z.B. das Beispiel aus dem Wikipedia Artikel:

www.deutschebank.de mit einem kyrillischen "a" ist technisch eine andere Adresse als die mit lateinischem "a". Mit einem guten Nachbau der echten Webseite der Deutschen Bank könnte man sicher so manchen Nutzer täuschen. Man muss ihn nur irgendwie auf diese URL locken, z.b. mit einem Link in einer e-Mail. Auch den Absender und Inhalt dieser e-Mail könnte man auf die gleiche Weise fälschen.

Es ist sehr schwierig so etwas zu erkennen, da die Domain eigentlich authentisch aussieht.

ohh man das ist echt krass da muss man echt aupassen das man nicht in die falle geht

und wie kann man den genauen unterschied erkennen?


@AMD
Also ist das Mobile TAN "sicher" oder gibt es da auch noch zu viele hack möglichkeiten? aber wenn der pin nur 5 minuten aktiv ist ist muss es doch sicher sein
Ich würde gern online Überweisungen schreiben geht einfacher und schneller.

[AMD-Powered]

Zitat:

Zitat von Elrod Cater F-K

ohh man das ist echt krass da muss man echt aupassen das man nicht in die falle geht
und wie kann man den genauen unterschied erkennen?

Ich kann dir nicht sagen wie man den Unterschied bemerken soll, vorausgesetzt das die Seite wirklich perfekt kopiert wurde, jedoch ist es bei mir so das ich niemals auf eine E-Mail meiner Bank antworten, oder gar einen darin enthaltenen Link anklicken würde.

Einzige Ausnahme stellt eine direkte E-Mail meines Kundenbetreuer dar und dieser fragt nicht nach TIN/TANs oder dergleichen.


EDIT: Zur Mobil TAN würde ich schon sagen, das sie sicherer ist:

Wenn du bei deiner Bank eingeloggt bist und eine Überweisung durchführen möchtest und du deine Eingabe des Überweisungsformulares bestätigt hast, folgt eine Seite zur Anforderung der Mobil TAN, diese wird dir zugesendet, du gibst sie innerhalb von 5 Minuten nach erhalt der SMS ein und die Überweisung wird durchgeführt.

[Magicq99]

Zitat:

Zitat von Elrod Cater F-K

ohh man das ist echt krass da muss man echt aupassen das man nicht in die falle geht

und wie kann man den genauen unterschied erkennen?

Du selbst kannst es nur schlecht erkennen, aber Dein Browser kann es erkennen. Apple hat z.B. in diesem Jahr ein Sicherheitsupdate für den Safari Browser veröffentlicht, welches hier beschrieben ist:
http://docs.info.apple.com/article.html?artnum=301116

Darin heißt es als Beschreibung des Problems:

Zitat:

Safari can display Unicode characters in URLs, allowing you to access foreign language websites using their native language. For example, you could enter the Japanese language URL "??.jp" to visit the website instead of using the Latin alphabet that represents that domain name to get there.

However, lookalike characters could be used to make users believe that they are viewing a different site than what they actually are. For example, the Cyrillic letter "a" could be used in place of the Latin letter "a," making it difficult for a user to tell if they are at "www.apple.com" or a malicious imposter website that's designed to look like the real one. These sites can be used to collect account numbers, passwords, and other personal information. This can affect any web browser with support for International Domain Names. Security Update 2005-003 addresses this issue.

und die Lösung:

Zitat:

Security Update 2005-003 provides a user-editable list of scripts that are allowed to be displayed natively in domain names. The default list does not include Latin lookalike scripts (Cherokee, Cyrillic, and Greek) that could be used to trick users into navigating to malicious sites.

Domain names containing scripts that are not in the allowed list will be displayed in an ASCII format called "Punycode." For example, an imposter website with the URL "http://www.apple.com/" that uses the Cyrillic letter "a" would be displayed as "http://www.xn--pple-43d.com" for your protection. This conversion prevents disabled scripts from being confused with other scripts.

In Firefox ist wohl eine ähnliche Lösung implementiert, die internationalen Domain Namen werden in Punycode angezeigt. Mehr über Punycode:
http://en.wikipedia.org/wiki/Punycode

[Elrod Cater F-K]

thx an euch beiden
mal schauen wann MS den Patch rausbringt

jetzt weiss ich worauf ich achten muss ich wollte bald beim online banking einsteigen ich fand es aber immer zu unsicher aber mit den mobilen TAN überleg ich mir das nochmal

ja ich traue ehh den wenigsten email