Neue Browsersichheitslücke entdeckt: Phishing

[saemikneu]

Ich habe die FreFox Version 1.06 und der Fehler wurde nicht behoben. Probiert es aus: bei mir erschien das PopOp auf google.com

[Magicq99]

Tatsächlich, obwohl die secunia Seite sagt es wäre mit Version 1.05 behoben.

Aber so wie ich das verstehe ist es keine Sicherheitslücke in Form eines Bugs, sondern ein prinzipielles Problem mit Javascript. Ein Javascript Dialog zeigt eben nicht die Herkunfts-URL an, wie es z.B. der Browser selbst in der Adresszeile zeigt.

Das ist aber eigentlich spoofing und nicht pishing, spoofing kann aber für pishing verwendet werden.

Da es aber ein grundsätzliches Problem ist hilft dagegen wohl nur das deaktivieren von Javascript. Deshalb betrifft es auch alle Browser. Aber wieso sagt dann secunia es wäre in Firefox 1.05 behoben wenn es nicht so ist?

Im Web muss man eben aufpassen auf welchen Seiten man sich herumtreibt und Dinge wie Cookies, Javascript usw. abschalten wenn auf nicht vertrauenswürdige Seiten surft. Problematisch wird es halt wenn man durch solch ein spoofing getäuscht wird und eine Seite für authentisch hält obwohl dies nicht so ist (wie in dem demonstrierten Testfall).

NACHTRAG:
Im aktuellen Opera wird das Dialogfeld auch geöffnet, da steht in der ersten Zeile aber "www.google.com.secunia.com"

[bombspy]

dann lad ich mir halt Firefox 1.06 runter
laut der seite hilft das

[Magicq99]

Zitat:

Zitat von bombspy

dann lad ich mir halt Firefox 1.06 runter
laut der seite hilft das

Anscheinend eben nicht.

[EEBKiller]

Zitat:

Neue Browsersichheitslücke entdeckt: Phishing

es müsste vielmehr heissen:

Neue menschliche Sicherheitslücke entdeckt: Phishing

Also alles was recht ist, aber wer auf solche gefälschte Dialogboxen und sonstige Warnungen reinfällt ist meines erachtens selber Schuld. Vorallem im Umgang mit Geld sollte man im so unsicher gewordenen Internet 2x nachschauen, bevor man irgendwas tut. Manche scheinen es wirklich drauf anzulegen, dass sich jemand mit einer PIN und TAN in seinem Konto bedient ...
Ausserdem warnt mitlerweile fast jede Bank schon vor dem Login in den Geschützen Bereich vor solchen machenschaften. Also wer es jetzt nicht lernt, lernts nie mehr und sollte das Online-Banking lieber ganz sein lassen.

€DIT: Im Firefox 1.0.6 steht über der Dialogbox die Domain. Daran sollte man relativ gut erkennen, welche Domain das wirklich ist, und ob sie zur Bank gehört. Aber selbst das ist kein ausreichender Schutz, da sich viele Leute mit sowas auch garnicht befassen

[Magicq99]

Zitat:

Zitat von EEBKiller

€DIT: Im Firefox 1.0.6 steht über der Dialogbox die Domain. Daran sollte man relativ gut erkennen, welche Domain das wirklich ist, und ob sie zur Bank gehört. Aber selbst das ist kein ausreichender Schutz, da sich viele Leute mit sowas auch garnicht befassen

Ja, in der Windows Version 1.06 steht die Domain der Dialogbox im Titel. Ich habe es gestern mit der Mac Version 1.06 versucht, dort sieht man die Domain nicht.

Allerdings kann man das pishing Problem nicht so einfach nur auf den Nutzer abwälzen. Wenn eine Seite gut gefälscht ist kann auch ein erfahrener und vorsichtiger Nutzer darauf hereinfallen.

z.B. das Beispiel aus dem Wikipedia Artikel:

Zitat:

Noch schwerer zu erkennen ist die Verwendung von kyrillischen Buchstaben anstelle von Umlauten. Das kyrillische 'a' unterscheidet sich optisch in keiner Weise vom lateinischen 'a'. (http://www.beispielbank.de/) Falls das 'a' in bank kyrillisch dargestellt wird, ist die Adresse unterschiedlich, und somit falsch. Allerdings zeigt die Adresszeile des Browsers keinen sichtbaren Unterschied zur Original-Bankadresse. Diese Methode ist selbst für Experten erst bei genauerem Hinsehen zu durchschauen.

www.deutschebank.de mit einem kyrillischen "a" ist technisch eine andere Adresse als die mit lateinischem "a". Mit einem guten Nachbau der echten Webseite der Deutschen Bank könnte man sicher so manchen Nutzer täuschen. Man muss ihn nur irgendwie auf diese URL locken, z.b. mit einem Link in einer e-Mail. Auch den Absender und Inhalt dieser e-Mail könnte man auf die gleiche Weise fälschen.

Es ist sehr schwierig so etwas zu erkennen, da die Domain eigentlich authentisch aussieht.

[Swizzy]

Zitat:

Zitat von Magicq99

www.deutschebank.de mit einem kyrillischen "a" ist technisch eine andere Adresse als die mit lateinischem "a". Mit einem guten Nachbau der echten Webseite der Deutschen Bank könnte man sicher so manchen Nutzer täuschen. Man muss ihn nur irgendwie auf diese URL locken, z.b. mit einem Link in einer e-Mail. Auch den Absender und Inhalt dieser e-Mail könnte man auf die gleiche Weise fälschen.

Die Idee ist ja nice ^^. Heftig geil . Wenn mir mal langweilig ist und ich arbeitslos bin weiss ich was ich zu tun hab :>.

Mal im ernst, das ist genau der Grund weshalb ich lieber altmodisch zum Onkel Bankschalter bzw. Tante Bankautomat renne um mein Geld BAR in der HAND zu haben, besser als das virtuelle vorstellen . Weiterer Grund weshalb ich nicht gerne übers I-Net bestelle , ausser Spiele .

[Elrod Cater F-K]

Zitat:

Zitat von Magicq99

z.B. das Beispiel aus dem Wikipedia Artikel:

www.deutschebank.de mit einem kyrillischen "a" ist technisch eine andere Adresse als die mit lateinischem "a". Mit einem guten Nachbau der echten Webseite der Deutschen Bank könnte man sicher so manchen Nutzer täuschen. Man muss ihn nur irgendwie auf diese URL locken, z.b. mit einem Link in einer e-Mail. Auch den Absender und Inhalt dieser e-Mail könnte man auf die gleiche Weise fälschen.

Es ist sehr schwierig so etwas zu erkennen, da die Domain eigentlich authentisch aussieht.

ohh man das ist echt krass da muss man echt aupassen das man nicht in die falle geht

und wie kann man den genauen unterschied erkennen?


@AMD
Also ist das Mobile TAN "sicher" oder gibt es da auch noch zu viele hack möglichkeiten? aber wenn der pin nur 5 minuten aktiv ist ist muss es doch sicher sein
Ich würde gern online Überweisungen schreiben geht einfacher und schneller.