Benutzer blntel schrieb:
Wenn diese Variante mit einem gefälschten DNS-Server kombiniert wird und die Kopie der Bank-Website 1:1 dem Original entspricht. Das ist aufwendig, aber möglich.
Richtig, genau das wollte ich auch noch posten.
Es gibt für den User dann fast keine Möglichkeit mehr zu erkennen, ob er mit dem Original oder der Fälschung verbunden ist.
Ein Blick auf das SSL-Zertifikat sollte schon Sicherheit geben, aber da werfen die Wenigsten einen Blick drauf.
Es gibt ja auch Anbieter, die SLL-Zertifikate ungeprüft ausstellen, das bloße Vorhandensein eines Zertifikats sollte jetzt nicht bedeuten, daß man auf der richtigen Seite ist.
Außerdem gibt es selbst da noch Möglichkeiten, den Fake zu verschleiern, Stichwort Homographieattacken.
Auf die Verwundbarkeit eines DNS-Servers hat der einzelne Nutzer zudem meist keinen Einfluss.
Nein, da muß man leider sagen, daß der Nutzer theoretisch nur dagegen geschützt ist, wenn er direkt die IP-Adresse des Bankservers eingibt...
Solange es keine beidseitige Authentifizierung z.B. über Zertifikate gibt (wie bei HBCI mit Karte), gibt es dagegen keinen Schutz. https reicht nicht.
https ist ja auch nur ein Protokoll. Mit HBCI hab ich mich noch nicht ausreichend beschäftigt, um da genug was zu sagen zu können, aber theoretisch besteht da auch die Gefahr, daß es durch MITM-Attacken wirkungslos wird. Diese Angabe ohne Gewähr.
Da man bisher die Leute schon mit einfachen e-mails zum Rausrücken der Daten bewegen konnte, waren aufwendige Verfahren natürlich nicht nötig, aber das ist vermutlich nur eine Frage der Zeit...
Die Bankkunden lernen dazu, die Phisher auch
Nur darauf zu verweisen, dass das Problem vor dem Computer sitzt, reicht da nicht.
Richtig, die Banken haben bei Phishing ja immer noch die Ausrede, daß der Kunde nicht sorgfältig genug mit seinen Zugangsdaten umgegangen ist... Bei Pharming (DNS-Spoofing etc) greift das natürlich nicht mehr.
(siehe auch DHCP basierte Angriffe, DNS basierte Angriffe, ARP Cache Vergiftung, etc.)
dito