Schwachstellen in den Web-Seiten von Banken und anderen Finanzdienstleistern, die sich für Phishing missbrauchen lassen, sind nach wie vor weit verbreitet. So hat jetzt ein gewisser "JdM" von "23sr – security research" mehrere Lücken dokumentiert, die sich für Phishing-Angiffe ausnutzen ließen. Über spezielle URLs lassen sich bei Dresdner und Comdirect-Bank einzelne Frames mit eigenen Inhalten versehen. Eine Volksbanken-Seite kann man über eingeschleusten Skript-Code neu gestalten, und Postbank und Stadtsparkasse Düsseldorf bieten einen URL-Weiterleitungsservice auf externe Seiten. Damit könnten Phisher eine URL basteln, die zwar auf die Bank verweist, Internetnutzer aber schlussendlich auf ihren Phishing-Server lockt. Mehr bei www.heise.de.

Immer mehr Menschen tummeln sich im Internet – nicht nur Ottonormal-Surfer, sondern auch so genannte Cyberkriminelle. Das Forschungslabor von F-Secure hat seine Erkenntnisse aus der ersten Hälfte dieses Jahres nun zusammengefasst und zeichnet ein finsteres Bild der aktuellen Entwicklungen in Sachen Internetsicherheit. Die Experten sehen einen neuen bösartigen Wirtschaftszweig aufkeimen und warnen vor einer Zunahme finanziell oder sogar politisch motivierter Angriffe aus dem Netz. Aber auch mobile Endgeräte sind nicht mehr sicher vor Schädlingen.

Gestern dokumentierte das Sicherheitsportal "Falle-Internet" Fälle von Betrug bei eBay. Durch das Löschen von Negativbewertungen, die eBay-User vor Missbrauch auf der Seite warnen sollen, habe das Internet-Auktionshaus Kunden "ins offene Messer" von Betrügern laufen lassen, sagte Portalbetreiber Markus Schwinn der "Hannoverschen Allgemeinen Zeitung". Der Cyber-Betrüger habe eine Woche lang ungehindert gefälschte Auktionen durchführen können. Wegen der gelöschten Negativ-Bewertungen gingen die Käufer davon aus, er habe eine "weiße Weste".

In einer gemeinsamen Sicherheitsoffensive mit Informationen zu den Verfahren und Risiken elektronischer Bankgeschäfte machen sich Reiner SCT, Star Finanz und die Initiative GeldKarte für das Online-Banking per HBCI mit Chipkarte stark. Mit einem verbilligten Angebot, das einen cyberjack-Chipkartenleser und die Software StarMoney 6.0 beinhaltet, werben sie für das bislang sicherste Verfahren des Homebankings.

Mehr bei www.heise.de

Phisher, die mittels nachgebauten Webseiten Nutzer dazu bringen, ihre Konto- und Zugangsdaten preiszugeben, will Dominik Birk mit ihren eigenen Waffen schlagen: Der Student der IT-Sicherheit am Horst Görtz Institut der RUB und studentische Hilfskraft der a-i3 hat zusammen mit seinem Kommilitonen Felix Gröbert betreut von Sebastian Gajek und einem Kollegen der Mannheimer Universität ein Konzept entwickelt, Phisher dingfest zu machen, indem er sie mit erfundenen Zugangsdaten ködert und sie dann bei der Eingabe der gestohlenen Daten in eine Falle lockt. Für seine Arbeit wurde er mit dem Best Student Award auf dem 10. Deutschen IT-Sicherheitskongresses des Bundesamts für Sicherheit in der Informationstechnik (BSI) in Bonn ausgezeichnet. Er erhält ein sechsmonatiges Stipendium an einer internationalen Forschungseinrichtung.

Der beliebte Onlinebezahldienst Paypal ist in Großbritannien derzeit das Ziel einer neuen Spoofing-Technik womit selbst die aktuellsten Phishing-Filter umgangen werden können. Die Cyberkriminellen verfolgen damit das Ziel die Paypal-Benutzerdaten britischer Kunden auszuspionieren.

Laut der Anti-Phishing Working Group (APWG) hat sich die Zahl der Phishing-URLs von März bis April nahezu verdreifacht. In nur einem Monat ist die Zahl der einzigartigen Phishing-Seiten von 20.871 (März) auf 55.643 Sites (April) gestiegen. Nach dem jüngsten Bericht der APWG versuchen Identitätsdiebe wie schon Ende 2006, die Filtermechanismen in Browsern und Antiphishing-Toolbars durch eine Flut von URLs unter ein und derselben Domain zu überwältigen.

Beim 10. Deutschen IT-Sicherheitskongress in Bonn-Bad Godesberg stellte Dr. Udo Helmbrecht, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), den Bericht "Die Lage der IT-Sicherheit in Deutschland 2007" vor. Nach Einschätzung der Bonner Behörde besteht eine anhaltend hohe Bedrohungslage der IT-Sicherheit bei den Privatanwendern sowie bei Unternehmen und Verwaltungen.

Die Web-Seiten für das Online-Banking vieler Sparkassen enthalten mehrere heftige technische Fehler, über die sich nahezu perfekte Phishing-Seiten erstellen lassen. Die dazu erforderlichen Angriffstechniken namens Cross Site Scripting (XSS) und Frame Spoofing sind bereits seit Jahren bekannt und sorgten in der Vergangenheit immer wieder für Schlagzeilen. Dass ausgerechnet die Login-Seiten eines ganzen Online-Banking-Portals dagegen anfällig sind, lässt eigentlich nur die Schlussfolgerung zu, dass sich die Verantwortlichen in den vergangenen Jahren nicht ausreichend um deren Sicherheit gekümmert haben. Mehr bei www.heise.de.

Bei der Analyse von Ende März versandten Trojaner-Mails fanden Symantec-Forscher eine neue Methode, die die Schädlinge zum Nachladen weiterer Komponenten nutzt. Der Trojan-Downloader TrojanDownloader:Win32/Jowspry beauftragte den Background Intelligent Transfer Service (BITS, Intelligenter Hintergrundübertragungsdienst), der beispielsweise für den Download von Windows-Updates verantwortlich zeichnet, mit dem Herunterladen weiterer Schadmodule. Mehr bei www.heise.de.