• Bitte schaltet eure Ad Blocker aus. SLinfo kann nur betrieben werden, wenn es durch Werbung Einnahmen erzielt. Vielen Dank!!
  • Wir freuen uns, wenn du dich in unserem Forum anmeldest. Bitte beachte, dass die Freigabe per Hand durchgeführt wird (Schutz vor Spammer). Damit kann die Freigabe bis zu 24 Stunden dauern.
  • Wir verwenden Cookies, um Inhalte und Anzeigen zu personalisieren, Funktionen für soziale Medien anbieten zu können und die Zugriffe auf unsere Website zu analysieren. Sie geben Einwilligung zu unseren Cookies, wenn Sie unsere Webseite weiterhin nutzen.

Phishing Angriff, Account gehackt

Das Phishing geht weiter. Grad folgendes in einer Gruppe bekommen :

[2012/03/07 12:01] Paloma Bouvier: Land for sale cheap.
/marketplacelogin.altervista.org/67e5de678iuh78j67ufsrhgbd6gfg5e3dfgre.html]Second Life:

Es ist davon auszugehen das das auch bereits ein gestohlener Acc ist.
 
Meine Güte, die schrecken auch vor nichts zurück, die Adresse muss man sich echt auf der Zunge zergehen lassen^^.
 
11 von 14 , 3 falsch bei denen ich dachte es sind PFischer^^

Schwierig ist es bei den Firmen(Seiten) die ich gar nicht kenne, darum war ich nun etwas übervorsichtig, was wohl aber richtig ist.
Ansonsten, bei mir bekannten seiten sehe ich das auch und nutze dafür eh nur meine Lesezeichen.

ABER , ich weiß aus eigener erfahrung wie schnell man mal was übersehen kann. Bin mal mit gimp halbwegs in die Falle getappt.
Anstatt über chip.de zb zu gehen bin ich über die google suche auf eine Seite gekommen wo dann im kleingedruckten was von "Abo" stand.
Nicht die anmeldung ausgefüllt und seite verlassen, trotzdem ca 8 wochen später Post von Herrn Dr. Tank bekommen^^
Leider hat der gute doc Pech gehabt, so doof war ich nun auch nicht :)

lg baro
 
Abgesehen von Sachen wie eine Firewall, keine ominösen Emails öffnen habe ich immer ein paar Sachen im Hinterkopf:
1. Im Normalfall nicht als Administrator arbeiten und wenn dem Administrator nicht so einen Namen geben wie Admin oder so
2. Wenn es nötig ist dass man so eine Sicherheitsabfrage eingeben muss, dann sich eine merkbare doofe Antwort geben wie ZB Name der Katze: Rotwein
3. Gehe ich niemals über einen Link der Homepage meiner Bank zum Login, sondern gebe die Loginadresse immer händisch ein
 
13 von 14

Einen fälschlich für einen Fischer gehalten, weil die Seite nicht zur Adresse passte.
Tja, wer sich keine eigene Domain leisten kann, muß sich nicht wundern wenn er verdächtigt wird.

Offensichtlich bin ich gerade ausreichend paranoid ;-)
 
12 von 14...

Aber immerhin bin ich auf keinen Fischer reingefallen ;)
 
13 von 14 und Amazon für nen Phiser gehalten :roll:
Leider ist die Sensibilität für diese Themen hier im Forum ja nicht wirklich repräsentativ. Ich schätze sie als höher als durchschnittlich ein^^.
Und schaut man sich die grade laufende Kreditkarten-Phising-Seiten an so sind die nicht mehr ganz so dilletantisch gemacht. Wobei auch die Beispiele hier ja für Otto-Normal-User, also mich, im Schnell-Klick-Browsen recht seriös wirken,
 
Wer den Aufbau einer Internet-Domain (URL) verstanden hat, nämlich http://subdomain.domain.toplevel sollte schon mal 13 Punkte von 14 erreichen. Den einen Punkt können Übervorsichtige locker verschmerzen. Mir passiert es auch regelmäßig, dass ich eine URL lieber nochmal neu eintippe, weil diese irgendwie seltsam aussieht.
 
hehe, jetzt weiss ich auch warum ich bei einem Fenster grundsaetzlich falsch geklickt hab.
Ich konnte den inhalt nicht sehen weil mein Addblocker es ausblendete und fuer mich nur noch weiss zu sehen war.
Hab erst in der Aufloesung gesehen das es Facebook war.
Trotzdem verstehe ich nicht, was daran so falsch sein soll, wenn man Facebook als Pishing Seite deklariert.^^

LG
Dae
 
Ich habe auch 14 von 14 erreicht.

Ein Blick auf die Zertifikate selber alleine reicht leider inzwischen nicht mehr aus. Erstens kann ich als Phisher, wenn ich es denn will, für fast alle verbreiteten Browser ein legitim aussehendes Zertifikat bei StartCOM SSL zusammen basteln für meine Phishingdomaine. StartCOM SSL ist bei Firefox&Co. als CA eingebaut, und die kostenlose Zertifikate alleine sind schon gut genug, damit sie in den meisten Browsern sofort ohne Nachfrage akzeptiert werden.

Dazu kommt, dass ja einige CAs in letzter Zeit wie Diginotar implodiert sind: Hacker griffen die Root-Zertifikate ab und machten damit für ihre Phishing-Sites Zertifikate, die auch als valide durchgingen. Also auch das gab es schon, und ohne Grund hat die niederländische Regierung Diginotar nicht dicht gemacht.

Letzten Endes sind die Zertifikate einfach nur noch großer Müll, das Konzept ist gescheitert, etwas besseres ist aber auch bisher nicht in Sicht. Dazu kommt ja, dass es ein Milliardenmarkt ist - wer das nicht glaubt, der soll sich alleine mal vor Augen führen, dass der durch Ubuntu bekannt gewordene Millionär Mark Shuttleworth durch den Verkauf seiner Firma Thawte, die eben genau in Zertifikaten machte, 1999 an Verisign geschätzte 500 Millionen US$ reicher wurde. Das war die Grundlage seines Reichtums.

Und dass Zertifikate absolut nichts taugen, das sieht man schon alleine daran, dass 99% aller Browserbenutzer schlicht und einfach mit der Bewertung eines Zertifikats hoffnungslos überfordert sind. Die Benutzer wissen einfach nicht, woran sie es erkennen sollen, rufen in der Firma bestenfalls den Support mit den Worten "Mach das weg!" an oder klicken es weg, fertig, weil es stört eben nur und sie können mit der Anzeige absolut nichts anfangen. Die wollen einfach arbeiten und sich nicht mit solchem Kroppzeug herum plagen müssen.

Zertifikate sind daher für mich inzwischen "defective by design."
 
[...Ganz viel wichtiges über Zertifikatssicherheit...]
Zertifikate sind daher für mich inzwischen "defective by design."
AOL

Was ich aber noch hinzufügen wollte, ist das wenn man weiss, dass es sich bei der Seite nicht um den offizielen Marketplacelogin *) handelt, muss man diese Seite auch nicht unbedingt aufrufen. Auch nicht um 'nur mal kurz zu schauen'.

Ein drive-by ist auf diese Weise schnell eingefangen. Sprich 'Malware' die über Lücken im Browser oder deren Plugins unbemerkt beim 'vorbeisurfen' (drive-by halt) unbemerkt in das System kommt. (Allen voran flash, aber auch der ein oder andere pdf reader hat gerne mal schön große Lücken zum ausnutzen. Und auf der Seite verstecken kann man sowas auch recht einfach.)

Apropos Unsicherheit von Zertifikaten. Gab es nicht vor einiger Zeit auch mal die Möglichkeit die Adressleiste der Browser zu verändern? (In der Form auch gewollt von den Browserherstellern.) Wurde aber (IIRC) ganz, ganz schnell wieder eingestampft, die Idee. Weil es für Phishingseiten der absolute Jackpot war. Da hätte man tausendmal auf seine Adressleiste schauen können. Da wäre tatsächlich https://marketplace.secondlife.com/ gestanden.


*) Oder welche Seite auch immer, auf der man sich einloggen muss.

...Ach ja, 13 von 14. Ich hab bei Hulu nur den großen facebook Button gesehen und gedacht hulu.com != facebook.com -> phish. naja...
 
Zuletzt bearbeitet:
Das erklärt uns hier mal Meister Köhntopp ganz gut, einfach nach "Zertifikat" suchen: Einige kryptographische Grundlagen - Die wunderbare Welt von Isotopp

Wie war das noch mit Zielpublikum? ;)


Ich versuch es trotzdem mal einfach.

Wenn du eine Verschlüsselte Verbindung zu einem Server aufbaust, wäre es wünschenswert wen der, der am anderen Ende der Leitung sitzt, auch tatsächlich der ist, der er vorgibt zu sein. Die ganze schöne Verschlüsselung nützt nichts, wenn am anderen Ende der böse Bube sitzt.

Um das Problem zu umgehen weist sich der Serverbetreiber (z.B. Firma X) dir gegenüber mit einem Zertifikat aus. Dieses Zertifikat erhält sie von einer dritten Stelle, einer sog. Zertifizierungstelle wie z.B. Verisign. Die dieses Zertifikat ausstellt und damit gleichzeitig sagt: "Ich habe die Identität von X überprüft und bestätige das X auch X ist und nicht jemand der nur behauptet es zu sein."
X ist also nur dann X wenn er dir dieses Zertifikat vorweisen kann. (Oder besser gesagt, der Server deinem Browser). Und du es beim Zertifikatsausteller überprüfen kannst. (Hier dein Browser beim Server der Zertifizierungsstelle.)

Die Zertifizierungsstellen sind meist Private Firmen, die in letzter Zeit massiv in die Kritik geraten sind, da:
a) Ihre Server gehackt wurden und damit auch Root-Zertifikate (die zum Überprüfen der eigentlichen Zertifikate rangezogen werden) kompromitiert sein könnten.
b) Sie selber quasi 'Blanko' Zertifikate an andere Firmen ausgestellt haben mit denen verschlüsselte Verbindungen abgehört werden können.
c) Die Technik selber auch nicht mehr als so sicher angesehen wird wie man es noch vor ein paar Jahren noch tat.

Durch diese ganze Diskussion über Zertifikate kommen aber auch nach und nach wieder alte Ideen hoch. z.B. Web of Trust Geschichten wie sie bei PGP zum Einsatz kommen. Dort hat man z.B. einen 'Ring of Trust' aus mehreren, unabhängigen Personen. Muss aber selber entscheiden ob man dieser Mehrheit vertraut, die sagt Seite X ist vertrauenswürdig. Andererseits hat es aber den Vorteil dass man sich nicht auf eine einzelne Stelle verlassen muss, die unter Umständen selber nicht vertrauenswürdig ist, da sie Ziele verfolgt die mit Sicherheit nicht mehr viel zu tun haben.


...ich hoffe ich hab jetzt nicht all zuviel Quatsch erzählt. ;)
 
Zuletzt bearbeitet:

Users who are viewing this thread

Zurück
Oben Unten