Take-me-to-auction

Die durch Internetkriminalität verursachten Schäden sind erneut gestiegen. Trotz insgesamt stagnierender Fallzahlen nehmen bestimmte Delikte wie der Diebstahl digitaler Identitäten stark zu, zum Beispiel das Phishing. Das zeigen das Lagebild "Cybercrime 2011" des Bundeskriminalamtes (BKA) und aktuelle Umfragen des Hightech-Verbands BITKOM, die heute in Berlin vorgestellt wurden. "Der Diebstahl digitaler Identitäten entwickelt sich zu einem Massenphänomen, das immer größere Schäden anrichtet", sagte BITKOM-Präsident Prof. Dieter Kempf. Bei der Bekämpfung der Computerkriminalität müssten Wirtschaft und Staat ihre Zusammenarbeit verstärken. "Die Intensität der kriminellen Aktivitäten im Bereich Cybercrime und damit das für jeden Internetnutzer bestehende Gefährdungspotenzial hat weiter zugenommen", sagte BKA-Präsident Jörg Ziercke. "Diese Entwicklung lässt sich an der gestiegenen Professionalität der eingesetzten Schadsoftware ablesen. Auch sich ständig ändernde Vorgehensweisen zeigen, wie flexibel, schnell und professionell die Täterseite auf neue technische Entwicklungen reagiert und ihr Verhalten entsprechend anpasst."

Nach der Polizeilichen Kriminalstatistik (PKS) beläuft sich die Zahl der erfassten Fälle von Cybercrime, also aller Straftaten, die unter Ausnutzung moderner Informations- und Kommunikationstechnik oder gegen diese begangen wurden, im Jahr 2011 auf 59.494 Fälle. Dies entspricht nahezu dem bereits hohen Vorjahreswert von 59.839 Fällen. Der Schaden aller Cybercrime-Delikte ist im Jahr 2011 um 16 Prozent auf insgesamt 71,2 Mio. Euro gestiegen (2010: 61,5 Mio. Euro). Dabei entfallen rund 50 Mio. Euro auf Computerbetrug und 21,2 Mio. Euro auf den Betrug mit Zugangsdaten zu Kommunikationsdiensten.

Laut den Ergebnissen einer repräsentativen BITKOM-Umfrage haben im laufenden Jahr 52 Prozent der privaten Internetnutzer bereits persönliche Erfahrungen mit Internetkriminalität gemacht. Das entspricht 28 Millionen Menschen. Bei 36 Prozent oder 20 Millionen Nutzern sind Computer mit Viren oder anderen Schadprogrammen infiziert gewesen. 16 Prozent oder 8,5 Millionen Internetnutzer geben an, dass ihre Zugangsdaten zu verschiedenen Diensten ausspioniert wurden. Das entspricht einem Anstieg von 3 Prozentpunkten im Vergleich zum Vorjahr. Jeder achte (12 Prozent) Internetnutzer ist bereits Opfer eines Betrugs im Zusammenhang mit Online-Shopping geworden, das entspricht etwa 6,5 Millionen Fällen. Es folgt mit 10 Prozent betroffenen Internetusern der unfreiwillige Versand von Spam-Mails vom eigenen E-Mail-Account.

Laut BITKOM-Umfrage berichten immer mehr Internetnutzer von negativen Erfahrungen mit anderen Menschen. 14 Prozent der Internetnutzer haben unangenehme Anfragen von Fremden bekommen (2011: 12 Prozent). Jeder Achte (12 Prozent) ist im Internet sexuell belästigt worden (2011: 13 Prozent), das entspricht 6,5 Millionen Fällen. Jeweils 4,3 Millionen bzw. 8 Prozent sind im Netz beleidigt worden oder es wurden Unwahrheiten über die Befragten verbreitet (2011: 6 Prozent Beleidigung, 5 Prozent Unwahrheiten). 2,2 Millionen oder 4 Prozent sagen, dass sie gemobbt wurden. Von diesen Delikten sind Jugendliche und junge Erwachsene stärker betroffen als der Durchschnitt.

Die Angst vor Cybercrime und die negativen Erfahrungen jedes Einzelnen haben Auswirkungen auf das Verhalten vieler Menschen. Sieben von zehn Internetnutzern schränken bewusst Kommunikation oder Transaktionen im Internet ein. 42 Prozent versenden vertrauliche Informationen oder Dokumente nicht per E-Mail, ein Viertel verzichtet auf Online-Banking und ein Fünftel ganz oder teilweise auf Online-Shopping. Jeder zehnte Nutzer nimmt grundsätzlich keine Transaktionen im Internet vor. "Die Cyberkriminalität bremst die Verbreitung innovativer Online-Dienste in allen Bereichen der Gesellschaft", sagte Kempf.

Nach dem "Lagebild Cybercrime 2011" des BKA bilden erneut die Fälle des Computerbetruges, wie beispielsweise das Phishing von Onlinebanking-Daten oder der missbräuchliche Einsatz von Kreditkartendaten, mit einem Anteil von 45 Prozent (26.723 Fälle) die mit Abstand größte Gruppe. Beim Delikt "Ausspähen/Abfangen von Daten" wurden im vergangenen Jahr 15.726 Straftaten erfasst (2010: 15.190), bei der "Fälschung beweiserheblicher Daten, Täuschung im Rechtsverkehr bei Datenverarbeitung" waren es 7.671 Fälle (2010: 6.840). Beim "Betrug mit Zugangsberechtigungen zu Kommunikationsdiensten" wurden 4.730 Delikte (2010: 7.993) und bei der "Datenveränderung/Computersabotage" 4.644 Delikte (2010: 2.524) registriert.

Eine wachsende Bedrohung für die Nutzer ist der Diebstahl digitaler Identitäten. Bei der digitalen Identität handelt es sich um alle Arten von Nutzer-Accounts, also zum Beispiel um Zugangsdaten zu E-Mail-Postfächern, Onlinebanking- oder eBay-Konten. Die wohl bekannteste Variante des digitalen Identitätsdiebstahls ist das so genannte Phishing im Zusammenhang mit Onlinebanking. Für das Jahr 2011 wurden dem BKA 6.422 Sachverhalte hierzu gemeldet. Im Vergleich zum Jahr 2010 (5.331 Fälle) bedeutet dies einen Anstieg um 20 Prozent. Die durchschnittliche Schadenssumme betrug im Jahr 2011 rund 4.000 Euro pro Fall und insgesamt rund 25,7 Mio. Euro.

Eine sich zunehmend verbreitende Variante aus dem Bereich der Cybercrime ist die digitale Erpressung mit ihren verschiedenen Ausprägungen. Dabei nutzen die Täter entweder DDoS-Attacken oder die Drohung, mittels Kompromittierung von Systemen gestohlene Daten zu veröffentlichen, um "Lösegeldforderungen" durchzusetzen. Eine weitere, inzwischen weltweit verbreitete Erpressungsmethode ist die Manipulation des Rechners des Opfers mit einer "Ransomware". Diese Schadsoftware sorgt dafür, dass ein Rechner "gesperrt" und dem Opfer gleichzeitig mitgeteilt wird, dass die Zahlung einer Gebühr oder Strafe notwendig ist, um die Sperrung wieder aufzuheben. Um die Forderung glaubwürdig erscheinen zu lassen, werden von Tätern Logos von Behörden, wie zum Beispiel von BKA oder Bundespolizei sowie von bekannten Institutionen wie der GEMA verwendet. Ziercke: "Die Dimension des Problems ist erheblich. Wir schätzen, dass wir mittlerweile allein in Deutschland von sechsstelligen Opferzahlen ausgehen müssen. Eine Vielzahl der Geschädigten wird aber – aus Scham oder auch der Angst vor einer potenziellen Verfolgung durch die Strafverfolgungsbehörden – die Straftat nicht zur Anzeige bringen. Das Dunkelfeld allein bei diesem Modus Operandi ist gewaltig."

Im Jahr 2011 hat sich gezeigt, dass mobile Endgeräte wie Smartphones ein zunehmend lukratives Ziel für die Täter darstellen. Von besonderer Bedeutung sind hierbei die Versuche, Smartphones mit Schadsoftware zu infizieren, um beispielsweise an die Daten möglicher SMS-basierter Authentifizierungsverfahren zu gelangen. Dabei bestehen Einsatzmöglichkeiten insbesondere im Bereich des Onlinebankings sowie des Einsatzes von Kreditkarten im Internet. Zudem werden Smartphones zunehmend für Botnetze attraktiv, da sie in der Regel dauerhaft online sind und somit ständig zur Verfügung stehen.

Unternehmen sind von Cybercrime ebenso betroffen wie Privatanwender. "Deutsche Mittelständler gehören in vielen Branchen zu den innovativsten Unternehmen weltweit. Das weckt Begehrlichkeiten", sagte Kempf. 40 Prozent aller Unternehmen in Deutschland verzeichneten Angriffe auf ihre IT-Systeme, viele davon mehrmals. Ein Drittel hat bereits Erfahrungen mit dem Verlust von Daten gemacht. Das hat eine BITKOM-Umfrage unter 800 IT-Verantwortlichen ergeben. Umso bedenklicher ist es, dass viele Unternehmen unzureichend auf solche Fälle vorbereitet sind. Fast die Hälfte (45 Prozent) der Firmen hat keinen Notfallplan für Datenverluste oder andere IT-Sicherheitsvorfälle. Diese Ergebnisse bestätigt eine Umfrage unter Erwerbstätigen: Auch hier sagen 38 Prozent, dass es bei ihrem Arbeitgeber bereits Fälle von Computerkriminalität gegeben hat. Das Ergebnis sind Ausfälle der IT-Systeme, Beschwerden von Kunden oder Partnern sowie negative Medienberichte. 40 Prozent der Erwerbstätigen geben an, dass ihr Arbeitgeber keinerlei Vorgaben für den Umgang mit Computer und Smartphones macht oder ihnen diese nicht bekannt sind. 39 Prozent der Unternehmen sehen Angriffe von Hackern, Konkurrenten, Kriminellen oder ausländischen Geheimdiensten nicht als reale Gefahr.

Laut BKA ist das Anzeigeverhalten bei Cyber-Angriffen auf Unternehmen nach wie vor gering. Unternehmen fürchten sich vor Rufschädigung oder vertrauen nicht der Kompetenz der Sicherheitsbehörden. Um das unbefriedigende Anzeigeverhalten von Wirtschaftsunternehmen zu verbessern, haben die Polizeibehörden der Länder und das BKA "Handlungsempfehlungen für die Wirtschaft in Fällen von Cybercrime" erarbeitet. Diese Leitlinien sollen betroffenen Unternehmen konkrete Hinweise zum Verhalten bei Cyber-Angriffen geben und zudem Unsicherheiten im Zusammenhang mit der Anzeige solcher strafrechtlich relevanten Vorfälle nehmen.

Quelle: BKA

15 führende Anbieter von E-Mail-Diensten und –Technologien gaben gestern bekannt, dass die gemeinsame Arbeitsgruppe DMARC.org Standards zur Verringerung der Bedrohung durch betrügerische Spam- und Phishing-E-Mails entwickelt hat.

DMARC.org (Domain-based Message Authentication, Reporting and Conformance) stützt sich auf eine lange Zusammenarbeit in der Industrie und auf 18 Monate intensive Arbeit an der Entwicklung neuer Maßnahmen zur E-Mail-Authentifizierung, die den Ansprüchen moderner Internetnutzung gerecht werden. Die Arbeit der Allianz umfasst die Einrichtung einer Rückkoppelungsschleife zwischen E-Mail-Versendern und Empfängern, um Phishing-Versendern das Vortäuschen einer Absenderadresse zu erschweren.

„Millionen Privatpersonen und Unternehmen werden jährlich durch E-Mail-Phishing betrogen. Dadurch verlieren die Verbraucher das Vertrauen in E-Mails und in das gesamte Internet,“ erklärt der DMARC-Vorsitzende Brett McDowell, Senior Manager für Kundensicherheit bei PayPal. „Die Zusammenarbeit in der Branche ist – zusammen mit Technologie und Verbraucheraufklärung – entscheidend im Kampf gegen Phishing.“

Die DMARC-Kooperation geht Probleme an, die bisher die breite Entwicklung eines authentifizierten, gesicherten E-Mail-Ökosystems behindert haben. E-Mail-Empfängern fehlt heute eine zuverlässige Möglichkeit, zu erkennen, inwiefern ein E-Mail-Versender Standards wie SPF und DKIM zur Authentifizierung seiner Nachrichten verwendet. Deshalb müssen Provider auf komplizierte und häufig fehlerhafte Verfahren zurückgreifen, um legitime, vom tatsächlichen Domaininhaber gesendete Nachrichten von betrügerischen Phishing-Mails zu unterscheiden.

Mit der Einführung eines standardisierten Rahmens bietet DMARC den angeschlossenen Versendern von E-Mails eine umfassendere Möglichkeit, Technologien zur E-Mail-Authentifizierung in ihre Infrastruktur einzubinden. So können sie zum Beispiel einfache Richtlinien festlegen, nach denen ein Provider unauthentifizierte E-Mails ablehnen soll, um Phishing-Angriffe zu blockieren. Außerdem wird mit DMARC ein Mechanismus geschaffen, mit dem E-Mail-Provider den Versendern ausführliche Berichte übermitteln können, um das Auffinden von Lücken im Authentifizierungssystem zu unterstützen. Diese Rückkopplung stärkt das Vertrauen in das E-Mail-Ökosystem und erleichtert das Erkennen und Unterbinden von Phishing-Versuchen.

„BITS hat sich für das Festlegen und die Weiterentwicklung von Standards und Verfahren zur E-Mail-Authentifizierung engagiert, die den Bedürfnissen der Finanzdienstleistungsbranche gerecht werden. Der evolutionäre Ansatz von DMARC trägt entscheidend dazu bei, diesen Bedürfnissen noch viele Jahre lang gerecht zu werden,“ sagt Paul Smocer, Präsident von BITS, dem Bereich für Technologierichtlinien des Financial Services Roundtable.

Nach der Erfassung von Daten und den Rückmeldungen aus dem Einsatz der Technologie wird DMARC.org seine Spezifikation der Internet Engineering Task Force (IETF) zur Standardisierung vorlegen. Interessierte Organisationen sind willkommen, die Spezifikation zu lesen, auf www.dmarc.org der Mailingliste dmarc-discuss beizutreten und die E-Mail-Authentifizierungs-Standards SPF, DKIM und DMARC zu testen und einzusetzen. Bei den MAAWG- und RSA-Konferenzen im Februar werden Mitglieder von DMARC.org an Diskussionen über die Spezifikation teilnehmen. Einzelheiten dazu finden Sie auf www.dmarc.org.

Über DMARC.org

DMARC.org (Domain-based Message Authentication, Reporting and Conformance) ist eine Arbeitsgruppe, in der sich einige der weltweit führenden E-Mail-Provider (AOL, Gmail, Hotmail, Yahoo! Mail), Finanzinstitute und Finanzdienstleister (PayPal, Bank of America, Fidelity Investments, ), Social-Media-Provider (American Greetings, Facebook, LinkedIn) und Anbieter von E-Mail-Sicherheitslösungen (Agari, Cloudmark, eCert, Return Path, Trusted Domain Project) zusammengeschlossen haben. Die Gruppe arbeitet an der Entwicklung von Internetstandards zur Verringerung der Bedrohung durch E-Mail-Phishing und zur Verbesserung der Koordination zwischen E-Mail-Providern und Domaininhabern.

Den Spezifikationsentwurf und weitere Informationen finden Sie unter www.dmarc.org.
Quelle: PayPal

Das Bundeskriminalamt warnt vor einer neuen Variante von Schadsoftware, die Manipulationen von Onlinebanking-Seiten durchführt.

Nach einem Login des Geschädigten in seinen Onlinebanking-Account wird ihm in einem ersten Schritt unter dem Namen seiner Bank eine Information eingeblendet, dass auf seinem Konto irrtümlicherweise eine Gutschrift eingegangen sei. Diese müsse er umgehend zurück überweisen, um sein Konto wieder zu entsperren.
In einem zweiten Schritt manipuliert die Schadsoftware die Umsatzanzeige der Kontoumsätze des Onlinebanking-Accounts und zeigt den angeblichen Eingang der Gutschrift in der Saldoübersicht an. Tatsächlich ist auf dem Konto des Kunden jedoch niemals eine Gutschrift eingegangen.
Folgt der Kunde der Aufforderung die Rücküberweisung vorzunehmen, präsentiert die Schadsoftware das normale, aber bereits ausgefüllte Onlineüberweisungsformular.

Da der Geschädigte in diesem Fall die Überweisung selbst ausführt, bleiben die üblichen Sicherungsmechanismen im Onlinebanking wirkungslos und der angewiesene Betrag wird auf ein zur Täterseite gehörendes Bankkonto überwiesen.

Das Bundeskriminalamt rät:
Sollten Sie eine derartige Meldung auf Ihrem Computer erhalten, tätigen Sie keinesfalls die angeforderte Rücküberweisung und wenden Sie sich an die nächste Polizeidienststelle. Der benutzte Rechner ist zu diesem Zeitpunkt bereits mit der Schadsoftware infiziert.

Generell gilt: Halten Sie den Update-Status ihres Betriebssystems und Ihrer genutzten Anti-Viren-Software immer auf dem aktuellen Stand. Dies erhöht die Chancen, dass es erst gar nicht zu einer Infektion mit der Schadsoftware kommt.
Vorsichtig sollten Nutzer auch bei unbekannten Links oder Dateianhängen in E-Mails sein. Dahinter können sich Schadprogramme sowie infizierte oder gefälschte Webseiten verbergen.

Via: BKA

Immer wieder berichten die Medien darüber, dass Betrüger die Sicherheitslücken von Online-Diensten knacken, um persönliche Kundendaten wie Post- und E-Mail-Adressen, Kennwörter oder Kreditkartendaten zu stehlen. Und auch die Internet-Nutzer selbst können Opfer eines solchen Phishing-Angriffs werden: Wenn zum Beispiel ein Trojaner auf dem Rechner diese Daten ausspäht oder die User auf fingierte Mails einer Bank oder eines Online-Auktionshauses reagieren, die sie auffordern, auf einer der Original-Seite täuschend echten Website ihre Adress- und Finanzdaten zu aktualisieren.

Sind die eigenen Kundendaten wirklich einmal in falsche Hände gelangt, gilt es, schnell und besonnen zu reagieren, damit die Datendiebe keinen Profit aus ihnen schlagen können. „Wechseln Sie Ihre Passwörter, wenn ein Unternehmen, bei dem Sie Kunde sind, gehackt wurde“, rät Heike Troue, Geschäftsführerin der Organisation „Deutschland sicher im Netz“ (DsiN). Darüber hinaus sollten die Kunden möglichst unterschiedliche Login-Namen und Kennwörter für unterschiedliche Dienste wie soziale Netzwerke, Online-Banking oder Online-Einkauf benutzen.

Auch sollten Internet-Nutzer es Betrügern so schwer wie möglich machen, Passwörter einfach durch maschinelles Ausprobieren zu knacken. Als besonders sicher gelten Passwörter, die aus einer Kombination von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen bestehen. Auch die Länge eines Passwortes ist entscheidend: Ein Passwort mittlerer Sicherheit hat mindestens acht Zeichen, eines mit hoher Sicherheit mindestens zwölf.

Schlussendlich sollten Opfer von Phishing-Angriffen ihre Kontobewegungen im Auge behalten und Kreditkartendaten und Kontoauszüge auch Monate nach dem Datendiebstahl gründlich prüfen. „Informieren Sie Ihre Bank darüber, wenn Sie verdächtige Kontobewegungen entdecken und lassen Sie außerhalb der Geschäftszeiten Karten über den Sperr-Notruf 116 116 sperren“, rät Troue.

Um sich vor zukünftigen Phishing-Angriffen auf dem eigenen Rechner zu schützen, sollten Internet-Nutzer entsprechende Virenscanner installieren und diese stets auf dem aktuellsten Stand halten. Darüber hinaus sollten sie skeptisch sein, wenn sie per E-Mail aufgefordert werden, ihre Kunden- und Finanzdaten zu aktualisieren. Betrügerische Mails erkennt man oft daran, dass Kunden persönliche Informationen über einen in der Mail enthaltenen Link eingeben sollen, Dateien im Anhang enthalten sind oder Kunden nicht mit vollem Vor- und Nachnamen angesprochen werden.

Die Verbraucherzentrale Sachsen warnt aktuell vor einer zirkulierenden PayPal Phishing Mail, die den Empfängern suggeriert, sie hätten eine Zahlung in Höhe von 243,35 € an einen Händler namens I Max International Srl (marketing@imaxinternational.com) autorisiert.
Der Absender (service@paypal.us) forderte dazu auf, sich mit Emailadresse und Passwort in das PayPal-Konto einzuloggen, um die Transaktion gegebenenfalls zu verhindern. Dabei wird damit gerechnet, dass viele Angeschriebene der Aufforderung folgen, da ihnen die erstgenannte Firma überhaupt nicht bekannt ist.
Als offizielle Signatur des E-Mail-Absenders wurde die PayPal (Europe) S.à r.l. & Cie, S.C.A. mit Sitz in Luxemburg angegeben.
Die Rechnungsnummer des Händlers sowie der Transaktionscode waren bei den angeschriebenen Verbrauchern immer identisch. Außerdem enthielten die E-Mails keine Angaben über den Lieferungsgegenstand.

"Wir gehen daher davon aus, dass es sich um einen kriminellen Angriff auf persönliche Kontodaten von PayPal-Kunden handelt", glaubt Kay Görner von der Verbraucherzentrale Sachsen. Der Empfänger wird per E-Mail auf eine präparierte Internetseite gelockt, die der offiziellen sehr ähnelt, und aufgefordert, sich mit Emailadresse und Passwort einzuloggen - was im Vergleich zum PIN- und TAN-Verfahren beim Online-Banking deutlich weniger Sicherheit bietet. PayPal-Zugänge sind daher bei Kriminellen beliebt. "Wer dem Link folgt, muss in der Folgezeit mit missbräuchlichen Abbuchungen rechnen", vermutet Görner.


Update
Auch PayPal hat gerade eine Pressemeldung zum Thema veröffentlicht:

Berlin/Dreilinden, 20. Oktober 2010 – Der Online-Zahlungsdienstanbieter PayPal warnt vor einer aktuellen Phishing-Welle und gefälschten PayPal-Seiten im Internet. In E-Mails geben sich Betrüger als PayPal-Mitarbeiter aus und fordern Kunden auf, ihr PayPal-Konto zu bestätigen. Dabei wird der Nutzer via Hyperlink auf gefälschte PayPal-Webseiten gelenkt und nach seinen Kreditkartendaten oder dem Passwort gefragt. Wer seine Daten an dieser Stelle eingibt, übermittelt sie nicht an PayPal sondern direkt an die Täter.

Das Unternehmen rät daher zu besonderer Vorsicht bei E-Mails, die

· den Kunden auffordern, sich über einen Link in ihr Kunden-Konto einzuloggen. PayPal verwendet Links in E-Mails nur in absoluten Ausnahmefällen. Und selbst in diesen Ausnahmefällen landet der Kunde niemals direkt auf der Login-Seite. Um auf Nummer sicher zu gehen, sollten Kunden sich immer direkt über http://www.paypal.de/ oder http://www.paypal.com/ in ihr Konto einloggen.

· eine Datei im Anhang enthalten. PayPal versendet grundsätzlich keine E-Mails mit Anhängen.

· den Kunden nicht mit vollem Vor- und Zunamen ansprechen.

· den Kunden auffordern, seinen vollen Namen, die Bankverbindung, Kreditkartennummer oder Passwort einzugeben. PayPal fragt in E-Mails niemals nach diesen Daten.

Um solche Angriffe abzuwehren, kann sich jeder Kunde einen Sicherheits-Zahlencode, der nur für kurze Zeit gültig ist, kostenlos auf sein Handy schicken lassen. Gestohlene Daten werden für den Angreifer damit wertlos:

https://www.paypal-deutschland.de/sicherheit/kontoschutz/sicherheitsschluessel.html

PayPal ruft seine Kunden dazu auf, Betrugs-E-Mails an den Kundenservice weiterzuleiten.