PC WELT: Tipps gegen Phishing

10 02 2007 17:46
Die PC-Fachzeitschrift PC WELT hat vor einiger Zeit einen Artikel zu sicherem Online-Banking verfasst in Form von Tipps. Darin enthalten sind auch Tipps gegen Phishing beim Banking. Der Artikel wurde jetzt aktualisiert, enthält aber immer noch große Mankos.

Folgender Tipp ist zwar generell schon ein echter Tipp, aber so beschrieben enthält er einen großen Fehler:

"Kontrollieren Sie, ob die geladene Website verschlüsselt ist. Das erkennen Sie zum einen am „https“ in der Adressleiste und zum anderen am Schloss-Symbol unten im Browser-Fenster. Ein Klick darauf liefert Informationen zum Echtheits-Zertifikat der Site."

Soweit zwar richtig, aber eben nicht ausreichend weit genug beschrieben. Es ist schließlich möglich, dass eine gefakte Webseite ebenfalls ein Zertifikat ausgestellt bekommen hat. Sicherlich richtig ist, dass nicht jede CA ein Zertifikat für seltsame Domainnamen ausstellt, die ersichtlich auf Phishing ausgelegt sind. Jedoch passieren auch da einmal Fehler. Vielleicht klickt bei self-signed Zertifikaten der Benutzer auch einfach die Meldung des Browser darüber genervt weg.

Letztendlich könnte man hier allerdings wieder sagen, dass dieser Tipp soweit okay geht, da die aufgezeigten Ausnahmen schon sehr selten wären.

Was jedoch nicht sehr selten ist, ist XSS - auch nicht bei Banking-Portalen. Somit wäre es bei einigen Portalen ein leichtes, eine beliebige lautende Domain, auf die bereits ein Zertifkat ausgestellt wurde, in das Portal zu integrieren, was somit ein intaktes Schloss-Symbol im Browser zur Folge hätte, da Portal-Seite wie Phishing-Seite verschlüsselt übertragen werden. (Für teilweise authentifizierte Webseiten zeigt der Browser ein gebrochenes Schloss-Symbol an, was widerum beim Browser Firefox und der Auswahl eines Nicht-Standard-Themes teilweise recht schwer zu erkennen sein kann und somit sicherlich bei Otto-Normal-Banker nicht zu einem "Aha"-Erlebnis führt.)

Wer nun nach der empfohlenen Vorgehensweise dieses Tipps dann vorgeht und sich nur das Zertifikat anzeigen lässt, der bekommt von der Phishing-Site nichts mit. Das Zertifikat erscheint deswegen trotzdem korrekt und der kryptografische Fingerabdruck (Hash) dessen lässt sich deswegen genauso erfolgreich überprüfen.

Erst wenn sich jemand durch die anderen Seiteninformationen wühlt (die haben nichts mit dem Zertifikat zu tun), der kann feststellen, dass noch eine andere Site eingebunden wurde. Somit sollte dies zumindest irgendwie ergänzend zu diesem Tipp noch erwähnt werden, da es einfach unvollständig ist und weiterhin das vielseitig zititerte Gerücht "wenn das Schloss-Symbol da ist, ist alles in Ordnung" untermauert.

Eigentlich hätte ich einen passenden Screenshot zu einer solchen bislang wohl noch unbekannten Lücke bei einer Bank parat, aber da ich diese erst noch darüber informieren muss bzw. sollte, gibt es an dieser Stelle weder weitere Hinweise dazu, noch besagten Screenshot zu sehen.


Twitter Bookmark PC WELT: Tipps gegen Phishing  at del.icio.us Facebook Google Bookmarks FriendFeed Digg PC WELT: Tipps gegen Phishing Mixx PC WELT: Tipps gegen Phishing Bloglines PC WELT: Tipps gegen Phishing Technorati PC WELT: Tipps gegen Phishing Fark this: PC WELT: Tipps gegen Phishing Bookmark PC WELT: Tipps gegen Phishing  at YahooMyWeb Bookmark PC WELT: Tipps gegen Phishing  at Furl.net Bookmark PC WELT: Tipps gegen Phishing  at reddit.com Bookmark PC WELT: Tipps gegen Phishing  at blinklist.com Bookmark PC WELT: Tipps gegen Phishing  at Spurl.net Bookmark PC WELT: Tipps gegen Phishing  at NewsVine Bookmark PC WELT: Tipps gegen Phishing  at Simpy.com Bookmark PC WELT: Tipps gegen Phishing  at blogmarks Bookmark PC WELT: Tipps gegen Phishing  with wists wong it! Bookmark using any bookmark manager! Stumble It! Print this article! E-mail this story to a friend! Identi.ca

Trackbacks


Keine Trackbacks

Kommentare

Ansicht der Kommentare: (Linear | Verschachtelt)
Noch keine Kommentare

Kommentar schreiben

*

*


Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.



Kommentare werden erst nach redaktioneller Prüfung freigeschaltet!