Tag Archive for 'Online Banking'

Gezielte phishing Attacke gegen PostFinance

Seit heute Morgen früh läuft scheinbar eine gezielte phishing Attacke gegen PostFinance. Dabei werde Phishing-Mails unter dem Absender confirm@postfinance.ch versendet:

From: confim@postfinance.ch
To: xxx
Subject: PostFinance and Western Union awards you! You won 1500 CHF from Western Union at Christmas Raffle Draw

PostFinance and Western Union awards you!

You won 1000 CHF from Western Union at Christmas Raffle Draw. The money will be automatically added to your account balance.
In order to receive the money you must activate the Western Union online service.

You will find the menu in the left side of your page. Click on Payments, go to Remittances and click on Western Union. Here you need to activate the service.

GO TO LOGIN PAGE FOR ACTIVATION! (click here)

After the activation, CLICK HERE to verify personal information (email and phone number), in case we need to contact you.

In 24 hours you will receive a confirmation email and we will need to verify your identity.

After your confirmation you will be automatically subscribed to the New Year’s Eve Raffle Draw.
You can win 100,000€ !

postfinance_phish

Das E-Mail gaukelt vor, dass der Empfänger 1’500 CHF bei der Western Union Weihnachts-Lotterie gewonnen hat. Der Betreff, die Absender E-Mail Adresse von PostFinance sowie der E-Mail Text scheint immer der selbe zu sein. Im E-Mail Text befinden sich zwei Links:

  • GO TO LOGIN PAGE FOR ACTIVATION! (click here)
  • CLICK HERE
  • Der erste Link zeigt auf die E-Finance Webseite von PostFinance (http://e-finance.postfinance.ch/ef/secure/html). Der zweite Link verbirgt sich hinter dem Text CLICK HERE und scheint immer der selbe zu sein:

    http://203.130.2.149/js/default.html

    Beim Klick auf den Link, wird eine Weiterleitung an einen weiteren Server gemacht, wo schlussendlich die eigentliche phishing Webseite liegt:

    \<\meta http-equiv="Refresh" content="0; URL=http://203.172.161.6/panel/WU1Awards/login&resetlogin&p_spr_cd=4&p_seg=-1&WT.ac=_deeplink_login_home_efinance_en.html">

    Die Phishing Webseite sieht fast gleich aus wie die originale E-Finance Login Page von PostFinance:

    postfinance_phish1

    Die IP-Adresse 203.172.161.6 gehört dem Thailändischen Ministerium für Bildung. Die im E-Mail angegebene IP-Adresse 203.130.2.149 gehört dem Pakistanischen Internet Service Provider SUPERNET Limited:

    203.172.161.6
    inetnum: 203.172.128.0 – 203.172.255.255
    netname: edNET
    descr: Ministry of Education MOE
    descr: education network provider
    country: TH
    Spamhaus SBL status: Not listed

    203.130.2.149
    inetnum: 203.130.0.0 – 203.130.31.255
    netname: SUPERNET
    descr: SUPERNET Limited
    descr: Internet Service Provider
    descr: Karachi, Pakistan
    country: PK
    Spamhaus SBL status: Not listed

    Gibt das Opfer seine Login Informationen bekannt, wird ihm folgende Meldung aufgetischt:

    postfinance_phish2

    Den Empfängern solcher Phishing-Mails wird dringend abgeraten, auf einen der im E-Mail Text angegebenen Links zu klicken sowie auf keinen Fall die eigenen Zugangsdaten zum E-Banking Account preis zugeben!

    UPDATE

    Die Phishing E-Mails, welche ich bis an hin bekommen habe, scheinen alle vom selben Mailserver aus versendet worden zu sein:

    64.122.65.142:

    OrgName: Integra Telecom, Inc.
    OrgID: ITCM
    Address: 1201 NE Lloyd
    Address: Suite 500
    City: Portland
    StateProv: OR
    PostalCode: 97232
    Country: US

    DNSBL Status:
    Checked: 97
    Listed: 0

    Erschreckend ist, dass die IP-Adresse auf keiner der 97 geprüften DNSBLs gelistet ist.

    UPDATE 19:12

    Auch bei den Kriminellen scheint nun die Weihnachtszeit vorbei zu sein. Seit Mitte Nachmittag bekomme ich weiterhin phishing Mails, jedoch wurde das Mail scheinbar leicht modifiziert:

    From: e-finance@postfinance.ch
    To: xxx
    PostFinance and Western Union awards you!

    You won 1000 CHF from Western Union. The money will be automatically added to your account balance.
    In order to receive the money you must activate the Western Union online service.

    You will find the menu in the left side of your page. Click on Payments, go to Remittances and click on Western Union. Here you need to activate the service.

    GO TO LOGIN PAGE FOR ACTIVATION! (click here)

    After the activation, CLICK HERE to verify personal information (email and phone number), in case we need to contact you.

    In 24 hours you will receive a confirmation email and we will need to verify your identity.

    After your confirmation you will be automatically subscribed to the PostFinance Raffle Draw for New Year`s eve.
    You can win 50,000 EURO !!

    postfinance_4

    Im Betreff wird nun nicht mehr von Christmas Raffle Draw gesprochen. Des Weiteren trägt das phishing Mail nun auch einen neuen Absender: e-finance@postfinance.ch. Der Link im E-Mail Text zeigt ebenfalls auf eine andere phishing Webseite:

    http://www.kitchenerbluesfestival.com/components/prepareWUCh.htm

    Auch diese Webseite leitet die Anfrage sofort an einen weiteren Server um:

    \<\meta http-equiv="Refresh" content="0; URL=http://vpn.padresoft.com/e-finance.postfinance.ch/ef/secure/WU1Awards/login&resetlogin&p_spr_cd=4&p_seg=-1&WT.ac=_deeplink_login_home_efinance_en.html">
    www.kitchenerbluesfestival.com (216.16.235.82)
    OrgName: NetDirect, Inc.
    OrgID: NETDIR-1
    Address: 564 Weber St. N. Unit 11
    City: Waterloo
    StateProv: ON
    PostalCode: N2L-5C6
    Country: CA
    Spamhaus SBL status: Not listed

    vpn.padresoft.com (216.16.225.54)
    OrgName: Atria Networks LP.
    OrgID: ATRIA-2
    Address: 301 Victoria Street South
    City: Kitchener
    StateProv: ON
    PostalCode: N2G-3W9
    Country: CA
    Spamhaus SBL status: Not listed

    Tutorial: Online Banking – aber sicher!

    Vor noch nicht all zu langer Zeit habe ich in einem Artikel Schutz vor Phishing auf die Gefahren beim Online Banking hingewiesen sowie Schutzmassnahmen aufgezeigt. Mit den im Artikel beschrieben Schutzmassnahmen sind bereits viele Privatanwender überfordert. Es gibt aber eine wesentlich einfachere Möglichkeit, sich vor Phishing beim Online Banking zu schützen. Aus diesem Grund habe ich mir Zeit genommen, und ein ausführliches Tutorial (=Anleitung) zum Thema geschrieben.

    Das nachfolgende Tutorial richtet sich vor allem an Heimanwender, welche sich beim Thema EDV zwar nicht all zu sehr auskennen, sich aber trotzdem einfach und effizient vor Phishing Attacken schützen möchten.

    Einleitung

    Ich spreche sicher im Namen von vielen Benutzern, wenn ich sage, dass sich viele beim Online Banking unsicher fühlen und dabei ein mulmiges Gefühl im Bauch verspüren. Oftmals hört man, dass für das Online Banking jeweils ein separater Computer verwendet werden soll. Nicht jeder kann sich jedoch einen weiteren Computer leisten. Die in diesem Tutorial beschriebene Methode erreicht für das Online Banking fast die gleiche Sicherheit wie die Nutzung eines septeraten Computers – jedoch mit einem erheblich geringeren Aufwand. Alles, was Sie dazu benötigen, ist Folgendes:

    Voraussetzung

    • Einen PC (am besten Ihr eigener)
    • Einen CD Brenner
    • Eine leere CD (Rohling)
    • Einen Internet Anschluss (am besten ADSL/DSL oder Cable)
    • 45 Minuten Zeit

    Des Weiteren gilt es zu beachten, dass Ihr Modem oder Router im Lokal Netzwerk (LAN) dynamisch IP Adressen (via DHCP) vergeben muss, damit das unten stehende Tutorial bei Ihnen ohne grösseren Aufwand funktioniert. Falls Sie ein USB-Modem verwenden, um sich ins Internet einzuwählen, funktioniert das unten beschriebene Tutorial leider nicht.

    Es ist von Vorteil, wenn Sie dieses Tutorial ausdrucken, da Sie ein paar Aktionen/Einstellungen ohne Internet vornehmen müssen.

    1. Ubuntu herunterladen

    Als erstes brauchen wir ein Linux Betriebsystem (OS), welches auf einer CD betrieben werden kann. Dazu eignet sich vor allem Ubuntu und Knoppix. In diesem Tutorial werden wir Ubuntu verwenden. Sie können jedoch auch Knoppix oder eine beliebige andere Linux-Distribution benützen, wie etwa das in der Heft-DVD des c’t Magazins, Ausgabe 17/2008, beschriebene Bankix.

    Ubuntu ist (wie andere Linux-Distributionen auch) Kostenlos erhältlich und kann auf der Ubuntu-Webseite heruntergeladen werden:

    www.ubuntu.com/getubuntu/download

    Wählen Sie auf der Webseite die aktuellste Version von Ubuntu (gekennzeichnet mit latest version) sowie die download location (z.B. Switzerland) aus und klicken Sie danach auf Begin Download:

    Als Ziel-Ort des Downloads wählen Sie am besten Ihren Desktop aus.
    Erschrecken Sie nicht: Der download ist knapp 700 MB gross. Bei den heutigen Breitband-Internetanschlüssen dauert der Download jedoch in der Regel nur ca. 20-30 Minuten:

    Ist der Download abgeschlossen, sollten Sie nun die Datei ubuntu-8.10-desktop-i386.iso in dem Ordner vorfinden, welchen Sie vor dem Download als Ziel-Ort definiert haben:

    2. CD Brennen

    Nun müssen wir die Datei (Dateiendung .iso), welche wir soeben heruntergeladen haben, auf eine leere CD (Rohling) brennen. Dazu müssen wir jedoch zuerst ein entsprechendes Brenn-Programm herunterladen und installieren, welches die heruntergeladene ISO-Datei brennen kann. Im Internet gibt es dazu beispielsweise das Programm ImgBurn, welches für uns die Datei auf CD brennt. Auch dieses Programm ist Kostenlos und kann unter folgendem Link heruntergeladen werden (natürlich kann stattdessen auch jedes andere Programm benutzt werden, welches .iso Files brennen kann wie z.B. Nero):

    www.imgburn.com/index.php?act=download

    Klicken Sie auf der Webseite den Link Mirror 7 – Provided by ImgBurn an, um den download zu starten:

    Nach dem der Download abgeschlossen ist, sollte auch diese Datei im Ordner erscheinen, welchen Sie vor dem download als Ziel-Ort angegeben haben:

    Mit einem Doppelklick auf die Datei starten wir die Installation. Beim ersten Fenster klicken wir auf Next:

    Beim darauf folgenden Fenster wählen wir die folgenden Optionen aus und klicken danach auf Next:

    Nun wählen wir den Pfad aus, wohin das Programm installiert werden soll. Ich empfehle, den vom Programm vorgeschlagenen Pfad unverändert zu lassen und auf Install zu klicken:

    Während der Installation fragt uns das Programm noch, ob es gelegentlich im Internet nach neuen Versionen suchen soll. Am besten antworten Sie mit Ja (spielt aber eigentlich keine Rolle):

    Klicken Sie nun im nächsten Fenster auf Finish, um die Installation abzuschliessen und das Programm zu starten:

    Als nächstes brennen wir nun die zuvor heruntergeladene Datei mit dem soeben installierten Programm auf eine CD. Das geht ganz einfach: Klicken Sie im Programm ImgBurn auf die Schaltfläche, welche mit Write image file to disc beschrieben ist:

    Nun öffnet sich ein Fenster mit verschiedenen Brenn-Optionen. Hier klicken wir unter Source auf das Symbol mit der Lupe und dem Ordner:

    Im nächsten Fenster können wir nun auswählen, welche Datei wir auf die CD brennen wollen. Hier wählen wir nun die Datei aus, welche wir zuvor von der Ubuntu Webseite heruntergeladen haben (also die Datei, welche die Ubuntu-Distribution enthält):

    Nun legen wir eine leere CD in den CD-Brenner ein und drücken auf das Brenn-Symbol (hier Rot eingekreist):

    Das Programm Brennt nun die Datei auf die leere CD. Dies kann, je nach Geschwindigkeit Ihres Brenners, einige Minuten dauern:

    War der Brennvorgang erfolgreich, erscheint folgende Meldung:

    Nun können die beiden heruntergeladenen Dateien ubuntu-8.10-desktop-i386.iso und SetupImgBurn_2.4.2.0.exe gelöscht werden, da wir diese nun nicht mehr benötigen.

    3. Aufstarten mit CD

    Nun kommt das Final: Wir starten mit der gebrannten CD den Computer auf. Legen Sie dazu die zuvor gebrannte CD in Ihr CD-Laufwerk ein und starten Sie ihren Computer Neu. Ist der Computer richtig eingestellt, sollte er automatisch von der CD starten und folgendes Menü auf Ihrem Bildschirm anzeigen:

    Mit der Pfeiltaste auf Ihrer Tastatur können Sie jetzt auswählen, welche Sprache Ubuntu verwenden soll und bestätigen dies mit der Taste ENTER. Nun kommt der wichtigste Teil: Im nächsten Menü wählen wir nun Ubuntu ausprobieren (Rechner bleibt unverändert) aus und bestätigen dies ebenfalls wieder mit der Taste ENTER:

    Nun startet die CD das Ubuntu Betriebssystem. Dies kann, je nach Geschwindigkeit Ihres Computers, einige Minuten dauern:

    Herzlichen Glückwunsch – Sie führen nun Ubuntu aus! Was nun? Tief durchatmen – hier sind Sie weitgehend sicher vor Viren, Trojanern, Spyware und anderen Bösewichten, welche Ihnen und Ihrem Computer bis jetzt das Leben schwer gemacht haben.

    4. Login Online Bank

    Suchen Sie erst gar nicht nach Microsoft’s Internet Explorer, den werden Sie hier nicht finden. Stattdessen finden Sie oben Links neben dem Menü System das Firefox Symbol:

    Hat alles funktioniert, sollte nun nach einem klick auf das Firefox Symbol die Ubuntu Startseite auf Ihrem Bildschirm erscheinen:

    Nun ist es soweit: Sie können Ihre Geschäfte in Ihrer Online Bank erledigen ohne Angst haben zu müssen, Opfer einer phishing Attacke zu werden.

    5. nach getaner Arbeit

    Sobald Sie mit den Geschäften in Ihrer Online Bank fertig sind, können Sie über das Menü Live session user -> Ausschalten in der oberen rechten Bildecke die Arbeit mit Ubuntu beenden und den Computer ausschalten:

    Nachdem Ubuntu das System heruntergefahren hat, fordert Ubuntu Sie mit der Meldung Please remove the disc, close the tray (if any) and press ENTER to continue dazu auf, die CD aus dem CD-ROM Laufwerk zu entfernen . Wenn Sie nun Ihren Computer wieder einschalten, finden Sie wie gewohnt wieder Ihr Windows Betriebssystem vor, ohne das irgendwelche Änderungen vorgenommen wurden.

    WICHTIG: Da Sie nun bereits über eine Ubuntu-CD verfügen, müssen Sie nun wenn Sie das nächste mal Online Banking betreiben wollen lediglich die Punkte 3, 4 und 5 dieses Tutorials beachten.

    Weitere Erläuterungen / Technische Erklärung

    Jetzt fragen sich sicher viele, wieso diese Variante des Online Banking so viel sicherer sein soll. Deswegen erläutere ich hier noch kurz das Prinzip sowie die technische Erklärung zur beschriebenen Technik:

    Linux Distributionen (wie z.B. Ubuntu) sind dafür bekannt, dass sie sicherer sind und aufgrund der geringeren Verbreitung seltener zum Ziel von Angriffen werden. Eine weitere wichtige Eigenschaft von Ubuntu & Co ist, dass sie sich auf beliebigen Computern betreiben lassen, ohne sie vorher installieren zu müssen. Da wir Ihr System (Windows Installation) unverändert lassen möchen und trotzdem eine relativ hohe Sicherheit erreichen wollen, nutzen wir diesen Vorteile und starten Ihren Computer mit einer Linux Distribution auf. Da sich diese auf einem unveränderlichen Medium (CD)
    befindet, kann sich kein Trojaner darauf permanent einnisten und nach jedem Booten ist ein sauberes System sichergestellt. Daher ist das Starten von der CD einer permanenten Linux Installation auf der Festplatte vorzuziehen, selbst wenn damit eine längere Bootzeit in Kauf genommen werden muss.

    Wenn Sie nun mit Ubuntu arbeiten, werden keine Daten auf Ihre Festplatte geschrieben, sondern nur im Arbeitsspeicher temporär aufbewahrt. Wenn Sie nach getaner Arbeit Ihren Computer herunterfahren, wird der Arbeitsspeicher vollständig geleert, und es bleiben keine Daten aus der Ubuntu-Session auf Ihrem Computer. Eine Malware kann sich so nur in der kurzen Zeit zwischen dem Booten und der Telebanking Session temporär im Speicher einnisten, was sich durch das Aktivieren der Firewall-Funktionen im Router und dem Verzicht des Ansurfens fremder Seiten (wozu auch Google zu zählen ist) vor dem Start der Telebanking Session weitgehend verhindern lässt. Es verbleibt zwar die theoretische Möglichkeit, dass sich Malware direkt in die Firmware Ihres Rechners (BIOS) oder anderer Hardware wie Netzwerkkarten einschleicht; dies stellt zum heutigen Zeitpunkt aber lediglich Theorie dar und ist in der Praxis bislang noch nicht beobachtet worden.

    Ein weiterer Vorteil ist, dass es beinahe unmöglich ist, dass sich ein Virus, ein Trojaner oder sonstige Malware, die früher Ihr Windows System erfolgreich angegriffen hat und daher beim Booten Ihres Windows Systems aktiv würde, sich in Ihre Ubuntu-Session einschleicht. Daher sollten Sie nach Möglichkeit darauf verzichten, während der Ubuntu Session Ihre Windows Partitionen anzumounten. Falls ein Datenaustausch zwischen Windows und Ubuntu unumgänglich ist, können Sie einen USB Stick benutzen, der nach dem Einstecken in Ubuntu unter /media auftaucht – der Verzicht auf diese Möglichkeit ist aber auf jeden Fall die sicherere Variante.

    Um die Sicherheit beim Arbeiten mit Ubuntu noch weiter zu erhöhen, empfehle ich noch zusätzlich folgende Sicherheitsmassnahmen:

    • Geben Sie direkt die Telebanking-URL ihrer Bank von Hand ein, und zwar möglichst von Anfang den verschlüsselten https Link statt einem http Link. Auf diese Weise ist die Authentizität der Bank von Anfang an gewährleistet.
    • Surfen Sie vor dem Beginn der Telebanking Session nicht andere Seiten an. Sie sind mit Ubuntu zwar vor Trojaner relativ sicher, die sich auf ihrer Festplatte einnisten – aber nicht unbedingt vor Trojanern, die sich seit dem letzten Booten durch unsichere Seiten einschleusen und lediglich im flüchtigen RAM verbleiben. Daher sollten Sie vor einer Telebanking Session neu von der CD booten, und dann unmittelbar mit der Telebanking Session beginnen.
    • Von Zeit zu Zeit sollten Sie eine neue Ubuntu Version herunterladen, und sich eine neue CD brennen, damit auch aktuelle Patches nachgeführt werden. In der Regel reicht es, dies alle zwei- bis dreimal im Jahr durchzuführen. Dies gilt im Ãœbrigen auch für die Firmware ihres Routers – auch diese sollten sie ab und zu auf den neuesten stand bringen, denn auch dort kann sich Malware einnisten.

    Schlusswort & Disclamer

    Sicherheit ist ein sehr heikles Wort in der EDV. Grundsätzlich gilt es zu beachten, dass es in der Informatik nie eine 100%ige Sicherheit gibt. Dies gilt auch für die obige Variante resp. für dieses Tutorial.

    Fragen? Anregungen? Korrekturen? Benützen Sie das Kontaktformular auf der rechten Seite dieses Artikels unter Pages -> Kontakt.

    Tutorial Version: 1.00 / 23. November 2008




    economics-recluse
    Scene
    Urgent!