# Phishing



## Counselor (20 April 2004)

Teltarif berichtet über Phishing


			
				teltarif schrieb:
			
		

> Die E-Mails tarnen sich meist als seriöse Nachricht eines Kreditinstituts und fordern den Empfänger auf, zum Beispiel seine persönlichen Daten, Passwörter oder PIN-Codes zu aktualisieren. Mit den Daten können die Betrüger dann ungehindert die Konten plündern.




http://www.teltarif.de/arch/2004/kw17/s13480.html


----------



## technofreak (20 April 2004)

siehe auch : 
http://forum.computerbetrug.de/viewtopic.php?t=4815

 Der Spiegel war schneller ....

http://www.spiegel.de/netzwelt/technologie/0,1518,294229,00.html (vom 6.4.2004)


----------



## News (20 April 2004)

[Klugscheiss an] Genau genommen war AP als Spiegel-Quelle vom 6.4. schneller als heute DPA [Klugscheiss aus].
Wahrscheinlich hat Teltarif einfach kein AP-Tickerabo, kostet ja auch alles Geld


----------



## stieglitz (20 April 2004)

Zu dem Thema steht heute in fast allen Internet-News etwas.
Ist ja egal wer schneller ist.  
z.B. auch hier:
http://www.silicon.de/nl.php?id=180412


Ich habe am 6.4.2004 schon mal nachgefragt wer damit konfrontiert wurde, habe aber leider keine Anwort bekommen. Ich schliesse daraus, dass dies wohl in Deutschland noch keine grosses Problem ist?

Aber mit Sicherheit wird dies wie alles andere auch noch zu uns herüberschwappen bzw. von irgendwelchen "ach so schlauen" Nachahmern kopiert.
Gruß
Stieglitz


----------



## stieglitz (21 April 2004)

Na endlich, jetzt habe ich auch so ein Mail erhalten, blieb aber im
Spam-Filter hängen. 
 Da der Text englisch ist, dürfte kein größerer Schaden in Deutschland entstehen.
Hier der Text:

Von: [email protected] [mailto:[email protected]]
Gesendet: Samstag, 10. April 2004 08:46
An: xxxxxxxxx
Betreff: Verify your E-mail with Citibank


Dear Citibank Member,


This email was sent by the Citibank server to verify your E-mail
address. You must complete this process by clicking on the link
below and entering in the small window your Citibank ATM/Debit
Card number and PIN that you use on ATM.


This is done for your protection - because some of our members
no longer have access to their email addresses and we must
verify it.


To verify your E-mail address and access your bank account,
click on the link below:

h**ps://web.da-us.citibank.com/signin/citifi/scripts/email_verify.jsp 


---------------------------------------

Thank you for using Citibank

---------------------------------------

Ich habe den Link entschärft, kann ich den so stehen lassen??


----------



## Heiko (21 April 2004)

stieglitz schrieb:
			
		

> Ich habe den Link entschärft, kann ich den so stehen lassen??


Ja. Der stimmt vermutlich eh nicht.
Üblicherweise wird ein richtig aussehender Link angezeigt, das eigentliche Ziel ist aber ein Server in Thailand oder so. Schau Dir das mal genau an, wo das hingeht.


----------



## technofreak (21 April 2004)

Heiko schrieb:
			
		

> Der stimmt vermutlich eh nicht.





> Page Not Found 404
> 
> Looking for something at Citi?
> We're sorry, but the page could not be found.


----------



## Heiko (21 April 2004)

Jo, so kenn ich das...

Der gleiche Trick wie unter
http://www.computerbetrug.de/news/030913_01.php


----------



## stieglitz (21 April 2004)

Tja, was soll denn dann der Quatsch?
Wenn der Link nicht erreichbar ist, kann ich doch auch keine Daten
eingeben,  und die erhalten somit auch keine PIN.
Damit wäre dieser Versuch doch sinnlos.

Ich vermuht eher, dass die URL nach kurzer Zeit, und nach einigen geangelten Daten,  wieder gewechselt wurde. Die Mail ist ja bereits am 10.4. eingegangen.
Gruß


----------



## virenscanner (21 April 2004)

Wohin führt wohl dieser Link?
[url]www.google.de[/url]


----------



## stieglitz (21 April 2004)

na klar, ich erwarte ja nicht, dass ich tatsächlich bei der citibank lande.
Aber der Link geht auf 404, und das bringt doch garnichts.
oder?

Die erwarten doch, dass man etwas eingibt!


----------



## Heiko (21 April 2004)

Du darfst Dir nicht nur den Linktext eingeben, sondern mußt auch das wirkliche Linkziel anschauen. Und das liegt voraussichtlich nicht bei der Citibank.


----------



## stieglitz (21 April 2004)

Also entweder ich drücke mich falsch aus oder ihr versteht mich
nicht. Das ein Link ein anderes Ziel haben kann als der geschriebene
ist mir schon klar.

Aber was soll der Sinn von Phishing sein, wenn gar kein Ziel erreichbar
ist. Es müsste doch eine Maske erscheinen in die ich die Kartennummer
und die PIN eingeben kann. Sonst läuft doch der Betrugsversuch ins Leere.

Capici?

Siehe Beispiel weiter oben bei gefaktem e-bay.


----------



## Heiko (21 April 2004)

Bist Du auch auf die Fake-Seite gekommen?
Evtl. ist die auch schon wieder offline...


----------



## stieglitz (21 April 2004)

Na eben nicht !!!!!
Das schreib ich doch schon die ganze Zeit. Die ist wieder offline.

Und deswegen frage ich nach dem Sinn. Lese mal mein posting
2-3 vorher.


----------



## virenscanner (21 April 2004)

http://www.antiphishing.org/phishing_archive/Citibank_3-31-04.htm

Anscheinend ist die "Fake-Seite" auf "ThePlanet.com" inzwischen "abgeschaltet" worden.


----------



## schilderdoc (22 April 2004)

Also "meine" Mail hatte auf 

>>h**p://ahajb4jse.da.ru/?%6do%77u%72d%75'<<

verlinkt, getarnt als

>>h**p://citi-bank.org/?803821768878<<


da.ru ist Anbieter für Umleitungen, ähnlich dem hierzulande verbreiteten de.vu

Versendet wurde die (vor Rechtschreibfehlern strotzende) Mail am 12.04.2004, 01:28 Uhr.

Interessanter Weise öffnete der Link die Original-US-Citibank-Seite, nur wurde davor ein kleines Abfragefenster gestellt, das die Informationen abfangen sollte...


----------



## stieglitz (22 April 2004)

sicherlich o.t.

aber wenn ihr mal wirklich gut gefakte Bankseiten sehen wollt, hier:

http://www.artists-against-419.mugus.com/419-fake-bank-websites.shtml


wers noch nicht kennt, kommt aus der Nigeria-Connection
Schönen Tag
Stieglitz


----------



## Fidul (22 April 2004)

stieglitz schrieb:
			
		

> aber wenn ihr mal wirklich gut gefakte Bankseiten sehen wollt, hier:


Über das "gut" läßt sich trefflich streiten. Häufig ist die erste Reaktion auf eine solche Seite etwas wie "Ich bin blind!" :lol:


----------



## Captain Picard (11 Mai 2004)

http://www.heise.de/newsticker/meldung/47262


			
				Heise schrieb:
			
		

> Die australische Verbraucherschutzorganisation Fraudwatch International
> ist außerordentlich besorgt über die Zunahme von Beschwerden wegen Identitätsdiebstahl
> im Internet. Im vergangenen Monat sind bei der Organisation mehr als 1000 Berichte
> von Betrogenen eingetroffen, heißt es in einer Stellungnahme von Fraudwatch.
> ...


dazu passend eine neue Sicherheitslücke im IE:
http://www.heise.de/newsticker/meldung/47264


> Wieder Trick zum Fälschen von URLs
> Der Sicherheitsspezialist mit dem Pseudonym http-equiv hat einen weiteren Trick
> veröffentlicht, um Anwendern in den Statusleisten des Internet Explorer und unter Outlook
> falsche URLs anzuzeigen. Anwender könnten -- im Glauben eine vertrauenswürdige
> ...


cp


----------



## Counselor (11 Mai 2004)

Das mit dem MAP Tag halte ich für unzutreffend.  Bei einem Test auf dieser  Seite hat der IE 6 die inneren Links im 'Area Tag'  in der Statusleiste ebenso korrekt angezeigt wie der Mozilla:
http://www.w3schools.com/tags/tag_map.asp

Die Tags, so wie sie im Browser ankommen:

```
[img]/images/planets.gif[/img]
      <map id="planetmap" name="planetmap">
      <area shape="rect" coords="0,0,82,126" href="/xhtml/sun.htm" target="_blank" alt="Sun"></area>
      <area shape="circle" coords="90,58,3" href="/xhtml/mercur.htm" target="_blank" alt="Mercury"></area>
      <area shape="circle" coords="124,58,8" href="/xhtml/venus.htm" target="_blank" alt="Venus"></area>
```


----------



## Counselor (11 Mai 2004)

Ich habe mal die Probe aufs Exempel gemacht mit IE und Mozilla. 
Wenn man vor das MAP-Tag einen Bild-Link positioniert, dann zeigen sowohl Mozilla wie auch IE in der Statusleiste den URL an, zu dem der Bildlink führt. 

Und dann wird es abenteuerlich:

1) Der Mozilla ignoriert den MAP Tag gänzlich und verbindet den User per Klick mit dem ZielURL des Bildlinks
2) Der IE beachtet den MAP Tag und verbindet zu dem dort definierten URL (zeigt allerdings den falschen URL an)

Kann auf meiner Testseite mal nachvollzogen werden (mit Mozilla kommt ihr wieder bei Computerbetrug.de raus, mit dem IE bei Dialerschutz.de. Das Logo auf der Testseite etwa um das linke 'W' anclicken.
http://winfaq.redirectme.net/preview/test.html


----------



## technofreak (11 Mai 2004)

Counselor schrieb:
			
		

> Kann auf meiner Testseite mal nachvollzogen werden (mit Mozilla kommt
> ihr wieder bei Computerbetrug.de raus, mit dem IE bei Dialerschutz.de)
> http://winfaq.redirectme.net/preview/test.html



1. Stimmt , auch mit FB
2. Kann ich nicht nachvollziehen , es passiert gar nichts  (XP/ IE Version 6.0.26 / Q328970 / Q828750 ) 


```
<A HREF="http://www.computerbetrug.de" alt="http://www.computerbetrug.de">
[img]/preview/testlogo.jpg[/img]</A>
<map NAME="test" alt="http://www.microsoft.com">
<area SHAPE=RECT COORDS="224,21" HREF="http://www.dialerschutz.de"
alt="http://www.computerbetrug.de">
</MAP>
```


----------



## Counselor (11 Mai 2004)

technofreak schrieb:
			
		

> 2. Kann ich nicht nachvollziehen , es passiert gar nichts  (XP/ IE Version 6.0.26 / Q328970 / Q828750 )


Mein Test erfolgte mit W2K / IE Version 6.0.2800 SP1 Q832894;Q330994;Q837009;Q831167. Habe aber den klickbaren Bereich des Bildes (für den IE) auf das gesamte Bild ausgeweitet:

```
<area SHAPE=RECT COORDS="468,60" HREF="http://www.dialerschutz.de" alt="http://www.computerbetrug.de">
```


----------



## technofreak (11 Mai 2004)

jetzt geht´s 

tf


----------



## Captain Picard (16 August 2004)

http://www.heise.de/newsticker/meldung/50073


> Phishing-Mails installieren Trojaner
> 
> Der Verband der britischen Anbieter von Bezahlsystemen (Association for Payment Clearing
> Services, APACS) warnt vor einer neuen Masche, mit der Kriminelle an das Geld von
> ...



cp


----------



## Counselor (31 August 2004)

SAP warnt vor Phishing


			
				SAP schrieb:
			
		

> Der Softwareanbieter SAP warnt seine Kunden eindringlich vor betrügerischen Anrufen. Die Anwender sollten keinesfalls vertrauliche Informationen an Anrufer herausgeben, die behaupten, sie gehörten zum Walldorfer Support-Team.
> "In den vergangenen Wochen wurden zahlreiche Kunden telefonisch aufgefordert, vertrauliche Daten wie Zugangscodes herauszugeben, um damit angebliche Probleme zu beheben", sagte SAP-Sprecher Markus Berner. "Es gehört jedoch zu den Regeln unseres Hauses, vertrauliche Kundendaten nie über das Telefon abzufragen."
> SAP warnte die Kunden dringend davor, geheime Daten am Telefon preiszugeben. Derzeit wisse SAP nur wenig über die Beteiligten, die hinter den betrügerischen Anrufen stecken. Berner wollte sich weder dazu äußern, ob neben Deutschland auch andere Länder betroffen sind, noch ob die Polizei eingeschaltet wurde.


http://www.silicon.de/cpo/news-itse...40&PHPSESSID=871a64577cfacf9f68872f56b53a2575


----------

