Sparkassen SMS Phishing

Zitat von oslo

Meine Freundin hat durch ein SMS-Phishing einiges an Geld verloren (es wurde eine Apple Pay Karte erstellt mit der die Täter Geld abgehoben und bezahlt haben), und ich bin gerade dabei die Hintergründe des Betrugs zu recherchieren.

Im Parallelthread geht es gerade um Sicherheit beim Bänking. Ich vertrete die Auffassung, daß ausgefeilte technische Angriffe bei Privatleuten selten sind, weil social engineering sehr viel besser funktioniert und auch technisch einfacher ist.

Dein Posting ist ein Beispiel dafür.

Zitat von oslo

Ich gehe gerade der Frage auf den Grund, ob diese SMS zufällig an Handynummern oder gezielt an Sparkassen Kunden geschickt werden. Kennt jemand diesen (oder einen sehr ähnlichen) SMS Text? Und wenn ja seid ihr bei der Sparkasse oder nicht?

Was hättest Du gewonnen, wenn Du das wüßtest?

Der Text der SMS ist absolut klassisches Phishing. Da müssen bei jedermann sofort alle Alarmglocken läuten. Aber wenn es schon an der Kenntnis fehlt, wie ein URL aufgebaut ist ...

Natürlich kenne ich solche oder ähnliche Texte. Mit Sparkassen, aber auch mit allen möglichen anderen Banken. Es spielt keine Rolle, ob ein bestimmter Empfänger bei der Sparkasse ist oder nicht. Phishing-SMS oder -E-Mails werden breit ausgegossen. Irgendeiner der Empfänger wird schon ein Konto bei der Sparkasse haben, und von dieser Teilmenge wird schon irgendeiner so dumm sein, darauf hereinzufallen. Und wenn nicht, schickt man halt nochmal 100.000 SMS an andere, wahlfrei generierte Telefonnummern hinaus.

Es ist ratsam und am sichersten, daß man solche Dinger schlichtweg löscht.

Hab ich auch schon bekommen. Das Datum war aber anderes.

Unser IT-Fuzzi nervt uns immer mit Sicherheits- Schulungen. Das hilft in solchen Fällen.

Nach einer Sicherheitsschulung in meiner Firma durch Externe mit Hacking-Versuchen auf unsere Smartphones teste ich gerade privat eine entsprechende Suite für Desktop, Tablett und Smartphone. Dazu gehört auch der SMS-Phishingschutz. Dafür ein paar Euro auszugeben, halte ich für sinnvoll. Es kann doch einmal passieren, dass die volle Aufmerksamkeit für eine nicht offensichtliche Falle fehlt.

Zitat von ika

Nach einer Sicherheitsschulung in meiner Firma durch Externe mit Hacking-Versuchen auf unsere Smartphones teste ich gerade privat eine entsprechende Suite für Desktop, Tablet und Smartphone.

Interessant! Erzähl doch mal! Was haben die externen Sicherheitsberater denn mit Euren Handies gemacht?

Was für eine Sicherheitssuite testest Du denn?

Zitat von ika

Dazu gehört auch der SMS-Phishingschutz. Dafür ein paar Euro auszugeben, halte ich für sinnvoll. Es kann doch einmal passieren, dass die volle Aufmerksamkeit für eine nicht offensichtliche Falle fehlt.

Ob man dafür Geld ausgibt, muß jeder selbst wissen.

Das Argument mit der fehlenden Aufmerksamkeit möchte ich nicht akzeptieren. Phishing-Versuche sind in ihrer ganz überwiegenden Zahl unglaublich plump. Wenn bei denen Brain 1.0 nicht anschlägt, stellt sich die Frage, ob der Betreffende vom Online-Banking nicht besser ganz die Finger lassen sollte. Andererseits gibt es einige wenige verblüffend gute Phishereien (Emotet beispielsweise), die zu erkennen ich einer softwarebasierten Lösung nicht zutraue.

Zitat von oslo

Hallo,

Ich gehe gerade der Frage auf den Grund ob diese SMS zufällig an Handynummern oder gezielt an Sparkassen Kunden geschickt werden. Kennt jemand diesen (oder einen sehr ähnlichen) SMS Text? Und wenn ja seid ihr bei der Sparkasse oder nicht?

Und was soll das Ziel vom dem Ganzen sein?

Die Dinger werden random verschickt, weil es nichts kostet.

Zitat von Achim Weiss

Was für eine Sicherheitssuite testest Du denn?

von ESET

Zitat von Achim Weiss

Ob man dafür Geld ausgibt, muß jeder selbst wissen

Bezieht sich natürlich auf viele Funktionen, nicht nur SMS.

Zitat von Achim Weiss

Was für eine Sicherheitssuite testest Du denn?

Zitat von ika

von ESET

Ich habe mir die Seite angeschaut. Ich halte das Produkt für Schlangenöl. Eigene Aufmerksamkeit läßt sich durch nichts ersetzen, auch nicht durch Software.

Die Bankbranche (und die ist ja meist beteiligt) hält sich bezüglich Schadenfällen sehr bedeckt. Ich gehe dennoch jede Wette ein, daß die ganz überwiegende Zahl Schadenfälle letzlich auf social engineering zurückgeht und nur sehr wenige auf technische Angriffe.

Windows kommt automatisch mit einem Basis-Virenscanner, gegen den sich alternative Anbieter wirtschaftlich logischerweise schwer tun. Ich von mir aus würde vermutlich überhaupt keinen Virenscanner einsetzen (wie ich es viele Jahre ohne Schaden getan habe), mir ist es bei meinem Windows-PC aber zu aufwendig, den Defender rauszupatchen.

Das Marketing von Unfallverhütungsmaßnahmen ist naheliegenderweise schwierig. Wie will man das tun? Man kann es ja nie beweisen, daß ein Unfall verhütet worden ist. Ein identisches Zweitsystem ohne Virenscanner hat man nicht zur Verfügung, so daß man nicht vergleichen kann.

Diese Hilflosigkeit zeigt sich auch bei den Testimonials, die treuherzig bestätigen, daß ihre Systeme nach der Installation des Schutzpakets nun umfassend gesichert seien. Das könnte noch nicht einmal ein forensischer Informatiker bestätigen, ein Laie schon garnicht.

Aber potentielle Kunden glauben solche Aussagen halt.

Zitat von Achim Weiss

Ob man dafür Geld ausgibt, muß jeder selbst wissen.

Ich würde es nicht.

Microsoft bemüht sich mit all seiner Software sehr, die Grenze zwischen dem eigenen System (quasi "innen") und dem Internet ("außen") zu verwischen. Man soll möglichst sanft vom lokalen System in die Cloud gleiten und wieder zurück. In die gleiche Kerbe schlägt die Tatsache, daß das weitverbreitete Office-Paket aus der Schachtel mit aktivierter Makrofunktion kommt, die ein Einfach-Anwender überhaupt nicht braucht, die aber sehr leicht von Malware mißbraucht werden kann. Man braucht keine spezielle Sicherheitssoftware, um die Funktion auszuschalten, es reicht ein schlichter Klick an der richtigen Stelle. Aber man müßte es halt wissen, man müßte es halt tun.

Ich ärgere mich in der Firma über Microsoft Outlook, weil das Ding für mein Empfinden viel zu viele Automatismen mitbringt. Ja, ich weiß, wie weit das Programm verbreitet ist. In meiner in Teilen prähistorischen Softwareausstattung kann ich immer die tatsächliche E-Mail-Adresse sehen, sie steht immer und unabschaltbar neben dem "schönen Namen". Wenn ich somit eine Mail beispielsweise von "Polizei"<324löksdfou@zuiwerhj.ru> bekomme, müßte ich schon ziemlich im Tiefschlaf sein, um nicht zu erkennen, daß diese Mail Mist ist. Das gleiche gilt für Links. Da steht bei mir immer die echte Adresse daneben. Das ist bei Outlook anders. Zumindest ich bin zu doof dazu, bei dieser Software die echten Adressen darstellen zu lassen. Hier besteht ein Einfallstor für Malware, das ohne die glatte Benutzerschnittstelle mit ihren automatischen Handreichungen überhaupt nicht gegeben wäre.

Aber 100 Millionen Fliegen nutzen Outlook. Weil das so viele sind, können die sich ja überhaupt nicht irren. Völlig notwendigerweise muß ich danebenliegen, der ich als einziger auf Gegenkurs bin.

Ich bin fest davon überzeugt, daß diese meine Überzeugung dem einen oder anderen Leser mißfällt. Wie kann man nur auf "Sicherheitssoftware" verzichten wollen? Und am Ende noch unschuldige Kinder verführen wollen, es einem gleichzutun? Man kann doch am PC nicht vorsichtig genug sein. Und wenn "Sicherheit" so billig zu kaufen ist? Nur 5 Euro jeden Monat an ... oder ... ? Mein Virenscanner is my castle. Und in ihm bin ich gegen jegliche Anfeindung sicher.

Es soll übrigens schon vorgekommen sein, daß ausgerechnet die Sicherheitssoftware Malware war. Die Welt ist schlecht

PS: Mich hätte aber doch interessiert, was diese Leute bei Euch in der Firma mit Euren Smartphones gemacht haben, daß sie Euch davon überzeugt haben, ihre Software zu kaufen. Oder haben sie etwa nur eine drastische Powerpoint-Präsentation gezeigt, konnten aber die dräuenden Gefahren dann im Live-Versuch nicht reproduzieren?

Zitat von Achim Weiss

Aber man müßte es halt wissen, man müßte es halt tun.

Zitat von Achim Weiss

Zumindest ich bin zu doof dazu, bei dieser Software die echten Adressen darstellen zu lassen.

Aha, selbst du weißt, kannst nicht alles.

Zitat von Achim Weiss

Mich hätte aber doch interessiert, was diese Leute bei Euch in der Firma mit Euren Smartphones gemacht haben, daß sie Euch davon überzeugt haben, ihre Software zu kaufen.

Keine Info. Ich habe nicht behauptet, dass sie von ESET waren oder zum Kaufen überzeugt hätten.

Da du dich auf sehr triviale Weise zu schützen weißt, ist doch alles bestens.

Etliche SMS Apps habe doch mittlerweile einen Spam Filter integriert. Benutze persönlich Messages von Google, da werden Spam/Phising SMS ziemlich zuverlässig erkannt. Hab gerade mal nachgeschaut die Sparkassen Phising SMS hab ich auch erhalten, bin nicht bei der Sparkasse.

Zitat von ika

Nach einer Sicherheitsschulung in meiner Firma durch Externe mit Hacking-Versuchen auf unsere Smartphones teste ich gerade privat eine entsprechende Suite für Desktop, Tablett und Smartphone. Dazu gehört auch der SMS-Phishingschutz. Dafür ein paar Euro auszugeben, halte ich für sinnvoll.

Mich hätte aber schon interessiert, was diese externen Sicherheitsschuler mit Euren Smartphones gemacht haben. Wenn ich Deine Äußerung richtig interpretiere, haben Dich deren Hacking-Versuche so beeindruckt, daß Du nun eine entsprechende Software-Suite testest und ggf. sogar bezahlst.

Zitat von oslo

Bist du Sparkassenkunde?

Nein. Deswegen war es ja auch leicht nicht darauf reinzufallen.

Von der DKB habe ich aber auch schon so lustige SMS bekommen.

Man muss halt immer aufpassen.

Wenn man unachtsam ist und über die Straße geht kann man auch überfahren werden, deswegen sind nicht alle Autos doof obwohl es davon zu viele gibt.

Zitat von R.F.

Genau das ist das Problem. Der Softwarenutzer erwirbt das "Gefühl" einer erhöhten Sicherheit. Wenn das dazu führt, dass die Aufmerksamkeit nachlässt, weil man sich ja gut geschützt fühlt, dann ist die Software sogar kontraproduktiv.

Die Gefahr besteht bei mir nicht. ?

Ich teste trotzdem einen Monat lang und entscheide dann, ob mir pro Gerät <1 Euro/Monat es wert sind.

Diese Sicherheits-Suites sind nicht sonderlich sinnvoll, sondern eher schädlich. Sie verlangsamen das System und können neue Einfallstore öffnen.

Wichtig ist, dass möglichst keine Sicherheitslücken im Betriebssystem / der Software sind, vor allem solche die ohne das Zutun des Nutzers ausgenutzt werden klönnen (an diesem Punkt unterscheidet sich die Ansicht von Achim Weiss von meiner, ansonsten stimme ich ihm bei den meisten Aussagen zu).

Dazu kommen Verhaltensregeln, die man entweder hat (Grund-Misstrauen, warum soll ich meinem Banker die PIN per Email schicken), die man aber auch lernen kann.

Beispiel: Wenn man als Emailbenutzer entweder die Nachrichten als nur-Text (statt HTML) anzeigen lässt (was einem zudem eine Menge Augenkrebs erspart) oder zumindest gelernt hat wie man bei einer HTML-Email den tatsächlichen Link erkennt (und nicht der "Name" des Links für das tatsächliche Ziel hält), dann hat man schon sehr viel gewonnen.

Bei sehr vielen würde es schon helfen, wenn sie nicht annehmen würden, dass ihnen eine Lotterie 56 Millionen auszahlt bei der sie nicht teilgenommen haben oder ein verstorbener Multimillionär genau sie als Erben per Dart-Wurf bestimmt haben. Aber ich glaube bei denen ist eh nichts zu machen.

Internet-Sicherheitssoftware verkompliziert Prozesse enorm. Sie werden dadurch für den Benutzer intransparenter und einfache, hilfreiche Sicherheitsmerkmale werden damit zerstört.

Z.B. gibt/gab es Sicherheitssoftware die Ende-zu-Ende Verschlüsselungen aufgebrochen haben um den Inhalt zu untersuchen. Ergebnis ist weniger Sicherheit statt mehr.