Eure Meinung: Phisher stören?

[azett]

Salut miteinander,

der Sackgang mit den Phishing-Mails und -Sites nimmt ja immer weiter zu, und es ist ja nicht so, daß keiner drauf reinfallen würde (die "Erfolgs"quote liegt laut c't wohl um 5%). Da liegt doch der Gedanke nahe, dagegen was zu tun. Beispielsweise eine Phishingsite (habe herzlich über "postpank.de" gelacht) automatisiert mit vielen zufälligen, unechten Daten zu füttern, um den phishenden Jungs und Mädels das Auffinden und die Verwertung der "echten" Daten erheblich zu erschweren.

Was haltet ihr davon? Moralisch, rechtlich, technisch? Wäre es auch nur Spam? Oder viel zu unwirksam? Oder DER Weg, um Phishing über gefakte Loginsites unrentabel zu machen?

Ich betone: Das ist kein Aufruf, sowas zu tun! Ich möchte nur mal ein paar andere Meinungen zum Thema bekommen.

Schönen Tag euch..

..azett

[Carnie]

auge um auge ,zahn um zahn wie in der Bibel oder wie.Naja ich dachte eigentlich die Zeiten wären vorbei.

Technisch sicherlich machbar aber wer sagt dir das die Daten nicht sowieso automatisch direkt mit dem Konto geprüft werden.Sowas geschieht sicherlich nicht manuell und würde deinen Plan gleich zunichte machen.

[aLeXL]

hm ja, stimmt natürlich auch wieder.

Kommt halt darauf an, mit welcher Technik die das machen.

Hat da irgendjemand Erfahrung mit oder weiß, mit welchen Methoden die das machen ?

PS: Jetzt könnten mal die Security Menschen zeigen was sie draufhaben =)

[geloescht_JesterDay]

Was haltet ihr davon? Moralisch, rechtlich, technisch? Wäre es auch nur Spam? Oder viel zu unwirksam? Oder DER Weg, um Phishing über gefakte Loginsites unrentabel zu machen?

Wie erkennst du Phishing-Sites denn, haben die eine .phish TLD? Natürlich, wenn du mit postpank ankommst, dann denkt jeder sofort: "Fällt doch jedem auf, dass das eine solche Seite ist". Aber das ist eben nicht automatisch aus dem Namen abzuleiten. ausserdem entstehen die Seiten schneller, als du sie "stören" kannst. Und was ist, wenn z.B. eine "normale" Domain gekapert wird und zeitweilig als Phishing-site missbraucht wird? Der Besitzer wird sich dann sehr über deinen DDoS freuen. Oder wenn in deiner Liste mal ein Fehler auftaucht:

Von Samstagmorgen bis Dienstagmorgen landeten durch einen technischen Fehler fast 9000 Mailhosts irrtümlich auf der DUHL-Liste. Diese DNS-Blocklist soll laut SORBS dynamisch vergebene IP-Ranges für den Mailempfang aussperren, um beispielsweise den Spam-Empfang von Trojaner-infizierten PCs zu blocken. Die Panne sorgte dafür, dass Kunden der Provider keine Mails mehr an Empfänger absetzen konnten, deren Provider die SORBS-Liste zum Blocken direkt am Posteingang einsetzen.

Dein Vorschlag ist IMHO plumpes Stammtischgelaber (sorry), da er so tut, als würden damit alle Probleme gelöst ("Oder DER Weg, um Phishing über gefakte Loginsites unrentabel zu machen?"), aber 1. selbst nicht legal ist (s. DDoS u.ä.) und 2. am Problem vorbei zielt. Das Problem ist nämlich, dass den Leuten eingeredet wird: Mit dieser tollen neuen Schutzeinrichtugn braucht ihr euch überhaupt keine Gedanken mehr zu machen und könnt blind auf alles klicken, wo 'OK' draufsteht.

Ein Verbrechen rechtfertigt kein weiteres Verbrechen.

P.S. Würdest du es als DIE Lösung ansehen, wenn ein neuer super toller Airbag entwickelt würde, und sich die Leute dann keine sorgen mehr über ihr zu schnelles Fahren und evtl. Unfälle machen müssten?

Zur Kontonummernprüfung: Jede Kontonummer muss ein bestimmtes Format haben. Also eine feste Länge z.B. Zusammen mit der BLZ (oder IBAN) wird die Nummer dann eindeutig und geprüft werden kann eine Kombination Konto und PIN/TAN nur bei der Bank selber. Du würdest damit also nicht nur den Phishern eine Freude bereiten, die Bank würde sich über die vielen erfolglosen Versuche auch freuen. Ganz zu schweigen von einem Kunden, dessen Nummer du gesendet hast (die Nummern sind endlich, also nur unbenutzte sendest du garantiert nicht) mit einer zufälligen PIN und dessen Zugang dann wegen vielen Fehlversuchen gesperrt ist.

EDIT:

Im Normalfall kann ein Phisher ja davon ausgehen, dass die eingegebenen Daten korrekt sind bzw sein sollten (Wozu sollte er sonst so eine Mail verschicken). Eine große Maschinerie hintendran, die alle Nummern erstmal checkt wird es da sicherlich nicht geben.

[azett]

Hui, sind ja doch schon ein paar Meinungen zusammengekommen. Zur Erklärung noch: Ich plane nicht, sowas durchzuführen. Ich war nur nach einigen Gesprächen mit verschiedenen Leuten, Laien wie IT-Kräfte, gespannt, was die Kollegen hier im Forum darüber denken. Daß solche Attacken die eigentliche Ursache eh nicht bekämpfen, ist mir bewußt...ich habe nur desöfteren den Satz "man kann es denen ja zumindest so schwer wie möglich machen" gehört.

Technisch interessiert mich nach den bisherigen Beiträgen die Frage, ob und wie die Phisher ihre gewonnenen Daten verifizieren können.

Auf jeden Fall freu ich mich jedesmal, wenn ich eine Mail bekomme, in der ich "zum Schutz vor Phishing" aufgefordert werde, meine Kontodaten, PIN und womöglich noch mehrere TANs auf einer Website anzugeben...das zaubert auch an noch so anstrengenden Arbeitstagen immer wieder ein Schmunzeln auf mein Gesicht

Also, laßt euch aus..

..azett

Achso: Die TLD .phish is eine wirklich geile Idee

[Wolle]

Problem an der ganzen Sache ist, das viele (die meisten) der Phishing-Seiten auf einem Botnet "gehostet" werden, also auf infizierten PC's. Wenn man einen abschiesst, tritt direkt ein anderer an diese Stelle. Die einzige Chance da was gegen zu unternehmen ist, das man die Domains zur Abschaltung bringt, was aber auch nicht ganz einfach ist da die bei entsprechenden Registraren (z.B. joker.com, Yesnic usw) liegen. Am besten die Domains den entsprechenden Banken melden, die haben mehr "Macht" eine abschaltung der Domains durchzusetzten.

Weiteres Problem ist, das die einzelnen Phishing-Aktionen keine unkoordinierten Einzelaktionen sind, sondern von wenigen gut organisierten Leuten ausgehen. Ein Name der da immer wieder auftaucht ist Leo Kuvayev. Googel mal danach, da findest du mehr als genug

[Maulwurf_der_Schlaue]

Hallo,

ich finde das man gegen phishing nicht viel machen kann. Das Internet ist eine offene Plattform... um gegen sowas effektiv vorgehen zu können müsstest du bei den Usern anfangen... denn wenn keiner mehr auf so was reinfällt wird es auch bald keinen mehr geben der versucht geld mit phishing zu verdienen... nur bring den 1000en von Usern mal bei nicht überall gleich auf ok zu drücken oder ihre geheimen daten überall einzugeben... sie vertrauen dem internet zu sehr... und kennen des gefahren einfach nicht...

es kommt noch hinzu das die leute faul werden.. siehe onlinebanking... warum soll ich 5 meter vor die tür gehn und meinen überweisungsschein einwerfen wenn ich doch hier am computer onlinebanking hab... klar bietet es auch vorteile... die ich nicht abstreiten will... aber trotzdem... wenn man es auf ein minimum reduziert ist auch die gefahr geringer gephished zu werden.. zumindest bin ich der meinung...

so far...

[beebof]

Zur Kontonummernprüfung: Jede Kontonummer muss ein bestimmtes Format haben. Also eine feste Länge z.B. Zusammen mit der BLZ (oder IBAN) wird die Nummer dann eindeutig

Nur als zusätzliche Info: Kontonummern besitzen immer eine "Kontrollnummer", so dass man von vornherein falsche Kontonummern erkennen kann. Es gibt da so ca. 100 "Verschlüsselungsarten" für die Kontrollnummer - aber anhand der BLZ leicht zu identifizieren, welcehs verwendet wird.

Achja, und nochwas: Eine Kontonummer hat nicht zwingend eine feste Länge, nur maximal 10 Zeichen (in Deutschland). Sogar innerhalb einer Bank variiert die Kontonummernlänge.

[Der Kleine]

Achja, und nochwas: Eine Kontonummer hat nicht zwingend eine feste Länge, nur maximal 10 Zeichen (in Deutschland). Sogar innerhalb einer Bank variiert die Kontonummernlänge.

Wobei meines Wissens der Rest normalerweise mit 0 gefüllt ist (oder werden kann), beziehungsweise teilweise das entsprechende Unterkonto angibt.

Frage nur, ob dieses allgemeingültig ist.

[beebof]

Wobei meines Wissens der Rest normalerweise mit 0 gefüllt ist (oder werden kann), beziehungsweise teilweise das entsprechende Unterkonto angibt.

Frage nur, ob dieses allgemeingültig ist.

Kann man so sagen. Kontonummern sind zehnstellig, aber man lässt führende Nullen weg. So weit ich weiß, ist das deutschlandweitig bei allen Banken so. (korrigiert mich, falls ich falsch liege - in der Bank, in der ich gearbeitet habe, war es zumindest so)

[Der Kleine]

... führende Nullen ...

Bei mir sind es die letzten Nullen, nicht die führenden.

[beebof]

Bei mir sind es die letzten Nullen, nicht die führenden.

tatsächlich?

Danke, wieder was gelernt

[geloescht_JesterDay]

Achja, und nochwas: Eine Kontonummer hat nicht zwingend eine feste Länge, nur maximal 10 Zeichen (in Deutschland). Sogar innerhalb einer Bank variiert die Kontonummernlänge.

Das meinte ich ja, dass der Rest mit 0 gefüllt wird hatten wir ja schon Also ist eigentlich jede Kontonummer 10 Stellen lang.