Take me to auction

15 führende Anbieter von E-Mail-Diensten und –Technologien gaben gestern bekannt, dass die gemeinsame Arbeitsgruppe DMARC.org Standards zur Verringerung der Bedrohung durch betrügerische Spam- und Phishing-E-Mails entwickelt hat.

DMARC.org (Domain-based Message Authentication, Reporting and Conformance) stützt sich auf eine lange Zusammenarbeit in der Industrie und auf 18 Monate intensive Arbeit an der Entwicklung neuer Maßnahmen zur E-Mail-Authentifizierung, die den Ansprüchen moderner Internetnutzung gerecht werden. Die Arbeit der Allianz umfasst die Einrichtung einer Rückkoppelungsschleife zwischen E-Mail-Versendern und Empfängern, um Phishing-Versendern das Vortäuschen einer Absenderadresse zu erschweren.

„Millionen Privatpersonen und Unternehmen werden jährlich durch E-Mail-Phishing betrogen. Dadurch verlieren die Verbraucher das Vertrauen in E-Mails und in das gesamte Internet,“ erklärt der DMARC-Vorsitzende Brett McDowell, Senior Manager für Kundensicherheit bei PayPal. „Die Zusammenarbeit in der Branche ist – zusammen mit Technologie und Verbraucheraufklärung – entscheidend im Kampf gegen Phishing.“

Die DMARC-Kooperation geht Probleme an, die bisher die breite Entwicklung eines authentifizierten, gesicherten E-Mail-Ökosystems behindert haben. E-Mail-Empfängern fehlt heute eine zuverlässige Möglichkeit, zu erkennen, inwiefern ein E-Mail-Versender Standards wie SPF und DKIM zur Authentifizierung seiner Nachrichten verwendet. Deshalb müssen Provider auf komplizierte und häufig fehlerhafte Verfahren zurückgreifen, um legitime, vom tatsächlichen Domaininhaber gesendete Nachrichten von betrügerischen Phishing-Mails zu unterscheiden.

Mit der Einführung eines standardisierten Rahmens bietet DMARC den angeschlossenen Versendern von E-Mails eine umfassendere Möglichkeit, Technologien zur E-Mail-Authentifizierung in ihre Infrastruktur einzubinden. So können sie zum Beispiel einfache Richtlinien festlegen, nach denen ein Provider unauthentifizierte E-Mails ablehnen soll, um Phishing-Angriffe zu blockieren. Außerdem wird mit DMARC ein Mechanismus geschaffen, mit dem E-Mail-Provider den Versendern ausführliche Berichte übermitteln können, um das Auffinden von Lücken im Authentifizierungssystem zu unterstützen. Diese Rückkopplung stärkt das Vertrauen in das E-Mail-Ökosystem und erleichtert das Erkennen und Unterbinden von Phishing-Versuchen.

„BITS hat sich für das Festlegen und die Weiterentwicklung von Standards und Verfahren zur E-Mail-Authentifizierung engagiert, die den Bedürfnissen der Finanzdienstleistungsbranche gerecht werden. Der evolutionäre Ansatz von DMARC trägt entscheidend dazu bei, diesen Bedürfnissen noch viele Jahre lang gerecht zu werden,“ sagt Paul Smocer, Präsident von BITS, dem Bereich für Technologierichtlinien des Financial Services Roundtable.

Nach der Erfassung von Daten und den Rückmeldungen aus dem Einsatz der Technologie wird DMARC.org seine Spezifikation der Internet Engineering Task Force (IETF) zur Standardisierung vorlegen. Interessierte Organisationen sind willkommen, die Spezifikation zu lesen, auf www.dmarc.org der Mailingliste dmarc-discuss beizutreten und die E-Mail-Authentifizierungs-Standards SPF, DKIM und DMARC zu testen und einzusetzen. Bei den MAAWG- und RSA-Konferenzen im Februar werden Mitglieder von DMARC.org an Diskussionen über die Spezifikation teilnehmen. Einzelheiten dazu finden Sie auf www.dmarc.org.

Über DMARC.org

DMARC.org (Domain-based Message Authentication, Reporting and Conformance) ist eine Arbeitsgruppe, in der sich einige der weltweit führenden E-Mail-Provider (AOL, Gmail, Hotmail, Yahoo! Mail), Finanzinstitute und Finanzdienstleister (PayPal, Bank of America, Fidelity Investments, ), Social-Media-Provider (American Greetings, Facebook, LinkedIn) und Anbieter von E-Mail-Sicherheitslösungen (Agari, Cloudmark, eCert, Return Path, Trusted Domain Project) zusammengeschlossen haben. Die Gruppe arbeitet an der Entwicklung von Internetstandards zur Verringerung der Bedrohung durch E-Mail-Phishing und zur Verbesserung der Koordination zwischen E-Mail-Providern und Domaininhabern.

Den Spezifikationsentwurf und weitere Informationen finden Sie unter www.dmarc.org.
Quelle: PayPal

Das Bundeskriminalamt warnt vor einer neuen Variante von Schadsoftware, die Manipulationen von Onlinebanking-Seiten durchführt.

Nach einem Login des Geschädigten in seinen Onlinebanking-Account wird ihm in einem ersten Schritt unter dem Namen seiner Bank eine Information eingeblendet, dass auf seinem Konto irrtümlicherweise eine Gutschrift eingegangen sei. Diese müsse er umgehend zurück überweisen, um sein Konto wieder zu entsperren.
In einem zweiten Schritt manipuliert die Schadsoftware die Umsatzanzeige der Kontoumsätze des Onlinebanking-Accounts und zeigt den angeblichen Eingang der Gutschrift in der Saldoübersicht an. Tatsächlich ist auf dem Konto des Kunden jedoch niemals eine Gutschrift eingegangen.
Folgt der Kunde der Aufforderung die Rücküberweisung vorzunehmen, präsentiert die Schadsoftware das normale, aber bereits ausgefüllte Onlineüberweisungsformular.

Da der Geschädigte in diesem Fall die Überweisung selbst ausführt, bleiben die üblichen Sicherungsmechanismen im Onlinebanking wirkungslos und der angewiesene Betrag wird auf ein zur Täterseite gehörendes Bankkonto überwiesen.

Das Bundeskriminalamt rät:
Sollten Sie eine derartige Meldung auf Ihrem Computer erhalten, tätigen Sie keinesfalls die angeforderte Rücküberweisung und wenden Sie sich an die nächste Polizeidienststelle. Der benutzte Rechner ist zu diesem Zeitpunkt bereits mit der Schadsoftware infiziert.

Generell gilt: Halten Sie den Update-Status ihres Betriebssystems und Ihrer genutzten Anti-Viren-Software immer auf dem aktuellen Stand. Dies erhöht die Chancen, dass es erst gar nicht zu einer Infektion mit der Schadsoftware kommt.
Vorsichtig sollten Nutzer auch bei unbekannten Links oder Dateianhängen in E-Mails sein. Dahinter können sich Schadprogramme sowie infizierte oder gefälschte Webseiten verbergen.

Via: BKA

Immer wieder berichten die Medien darüber, dass Betrüger die Sicherheitslücken von Online-Diensten knacken, um persönliche Kundendaten wie Post- und E-Mail-Adressen, Kennwörter oder Kreditkartendaten zu stehlen. Und auch die Internet-Nutzer selbst können Opfer eines solchen Phishing-Angriffs werden: Wenn zum Beispiel ein Trojaner auf dem Rechner diese Daten ausspäht oder die User auf fingierte Mails einer Bank oder eines Online-Auktionshauses reagieren, die sie auffordern, auf einer der Original-Seite täuschend echten Website ihre Adress- und Finanzdaten zu aktualisieren.

Sind die eigenen Kundendaten wirklich einmal in falsche Hände gelangt, gilt es, schnell und besonnen zu reagieren, damit die Datendiebe keinen Profit aus ihnen schlagen können. „Wechseln Sie Ihre Passwörter, wenn ein Unternehmen, bei dem Sie Kunde sind, gehackt wurde“, rät Heike Troue, Geschäftsführerin der Organisation „Deutschland sicher im Netz“ (DsiN). Darüber hinaus sollten die Kunden möglichst unterschiedliche Login-Namen und Kennwörter für unterschiedliche Dienste wie soziale Netzwerke, Online-Banking oder Online-Einkauf benutzen.

Auch sollten Internet-Nutzer es Betrügern so schwer wie möglich machen, Passwörter einfach durch maschinelles Ausprobieren zu knacken. Als besonders sicher gelten Passwörter, die aus einer Kombination von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen bestehen. Auch die Länge eines Passwortes ist entscheidend: Ein Passwort mittlerer Sicherheit hat mindestens acht Zeichen, eines mit hoher Sicherheit mindestens zwölf.

Schlussendlich sollten Opfer von Phishing-Angriffen ihre Kontobewegungen im Auge behalten und Kreditkartendaten und Kontoauszüge auch Monate nach dem Datendiebstahl gründlich prüfen. „Informieren Sie Ihre Bank darüber, wenn Sie verdächtige Kontobewegungen entdecken und lassen Sie außerhalb der Geschäftszeiten Karten über den Sperr-Notruf 116 116 sperren“, rät Troue.

Um sich vor zukünftigen Phishing-Angriffen auf dem eigenen Rechner zu schützen, sollten Internet-Nutzer entsprechende Virenscanner installieren und diese stets auf dem aktuellsten Stand halten. Darüber hinaus sollten sie skeptisch sein, wenn sie per E-Mail aufgefordert werden, ihre Kunden- und Finanzdaten zu aktualisieren. Betrügerische Mails erkennt man oft daran, dass Kunden persönliche Informationen über einen in der Mail enthaltenen Link eingeben sollen, Dateien im Anhang enthalten sind oder Kunden nicht mit vollem Vor- und Nachnamen angesprochen werden.

Die Verbraucherzentrale Sachsen warnt aktuell vor einer zirkulierenden PayPal Phishing Mail, die den Empfängern suggeriert, sie hätten eine Zahlung in Höhe von 243,35 € an einen Händler namens I Max International Srl (marketing@imaxinternational.com) autorisiert.
Der Absender (service@paypal.us) forderte dazu auf, sich mit Emailadresse und Passwort in das PayPal-Konto einzuloggen, um die Transaktion gegebenenfalls zu verhindern. Dabei wird damit gerechnet, dass viele Angeschriebene der Aufforderung folgen, da ihnen die erstgenannte Firma überhaupt nicht bekannt ist.
Als offizielle Signatur des E-Mail-Absenders wurde die PayPal (Europe) S.à r.l. & Cie, S.C.A. mit Sitz in Luxemburg angegeben.
Die Rechnungsnummer des Händlers sowie der Transaktionscode waren bei den angeschriebenen Verbrauchern immer identisch. Außerdem enthielten die E-Mails keine Angaben über den Lieferungsgegenstand.

"Wir gehen daher davon aus, dass es sich um einen kriminellen Angriff auf persönliche Kontodaten von PayPal-Kunden handelt", glaubt Kay Görner von der Verbraucherzentrale Sachsen. Der Empfänger wird per E-Mail auf eine präparierte Internetseite gelockt, die der offiziellen sehr ähnelt, und aufgefordert, sich mit Emailadresse und Passwort einzuloggen - was im Vergleich zum PIN- und TAN-Verfahren beim Online-Banking deutlich weniger Sicherheit bietet. PayPal-Zugänge sind daher bei Kriminellen beliebt. "Wer dem Link folgt, muss in der Folgezeit mit missbräuchlichen Abbuchungen rechnen", vermutet Görner.


Update
Auch PayPal hat gerade eine Pressemeldung zum Thema veröffentlicht:

Berlin/Dreilinden, 20. Oktober 2010 – Der Online-Zahlungsdienstanbieter PayPal warnt vor einer aktuellen Phishing-Welle und gefälschten PayPal-Seiten im Internet. In E-Mails geben sich Betrüger als PayPal-Mitarbeiter aus und fordern Kunden auf, ihr PayPal-Konto zu bestätigen. Dabei wird der Nutzer via Hyperlink auf gefälschte PayPal-Webseiten gelenkt und nach seinen Kreditkartendaten oder dem Passwort gefragt. Wer seine Daten an dieser Stelle eingibt, übermittelt sie nicht an PayPal sondern direkt an die Täter.

Das Unternehmen rät daher zu besonderer Vorsicht bei E-Mails, die

· den Kunden auffordern, sich über einen Link in ihr Kunden-Konto einzuloggen. PayPal verwendet Links in E-Mails nur in absoluten Ausnahmefällen. Und selbst in diesen Ausnahmefällen landet der Kunde niemals direkt auf der Login-Seite. Um auf Nummer sicher zu gehen, sollten Kunden sich immer direkt über http://www.paypal.de/ oder http://www.paypal.com/ in ihr Konto einloggen.

· eine Datei im Anhang enthalten. PayPal versendet grundsätzlich keine E-Mails mit Anhängen.

· den Kunden nicht mit vollem Vor- und Zunamen ansprechen.

· den Kunden auffordern, seinen vollen Namen, die Bankverbindung, Kreditkartennummer oder Passwort einzugeben. PayPal fragt in E-Mails niemals nach diesen Daten.

Um solche Angriffe abzuwehren, kann sich jeder Kunde einen Sicherheits-Zahlencode, der nur für kurze Zeit gültig ist, kostenlos auf sein Handy schicken lassen. Gestohlene Daten werden für den Angreifer damit wertlos:

https://www.paypal-deutschland.de/sicherheit/kontoschutz/sicherheitsschluessel.html

PayPal ruft seine Kunden dazu auf, Betrugs-E-Mails an den Kundenservice weiterzuleiten.

Wie Falle-Internet.de gestern berichtet hatte, gab es bei eBay wieder einmal einen unerfreulichen Zwischenfall:
Hacker hatten den Account eines Top- Verkäufers gekapert und dort 400 iPads und Playstations zu sensationell günstigen Preisen eingestellt.
Die Artikelbeschreibungen enthielten jedoch ein Javascript, welches beim Öffnen des Angebots einen nicht sichtbaren Bereich einfügte.
Neben der Installation eines »Keyloggers«, also eines Programms zum Mitscheiden von Tastatureingaben wie beispielsweise eBay- oder PayPal-Passwort, wurden auf den erfolgreich angegriffenen Rechnern offenbar Hintertüren zum Einfall weiterer Schädlinge geöffnet. Selbst Betroffene, die ihr System im Nachhinein mit einem der in Frage kommenden Virenscanner säubern konnten, müssen also davon ausgehen, dass sich ihre Rechner derzeit unter der Kontrolle von Kriminellen befinden und alle sensiblen Daten ausgespäht wurden. Dagegen hilft nur das Einspielen eines vor der Infektion angefertigten Backups bzw. das Neuaufsetzen des gesamten Systems sowie das Wechseln sämtlicher gespeicherter oder seit dem Angriffszeitpunkt verwendeter Passwörter.

Alle Artikel im Netz, die sich mit dem Thema befassen, beklagen das fehlende eBay Personal im Sicherheitsbereich und machen den ebay Personalmangel dafür verantwortlich, dass solche Machenschaften bei eBay nicht umgehend unterbunden werden.
Ich persönlich habe eigentlich ein anderes Empfinden.
Trotz Personalabbau ist die eBay Sicherheit nach meinen Erfahrungen schärfer als je zuvor.
Mir wurden gerade in letzter Zeit vermehrt Angebote mit wirklich lächerlichen Begründungen gelöscht. Angebote, die ganz klar AGB konform waren, aber dem betreffenden Mitarbeiter der Sicherheit offensichtlich subjektiv nicht gefallen haben.
Mitarbeiter hat die eBay Sicherheit also- nur beschäftigen die sich offenbar lieber mit unwichtigen Dingen, die die Sicherheit des Marktplatzes in keiner Weise beeinträchtigen.
So bleibt natürlich für die wirklich wichtigen Dinge keine Zeit.
Traurig!
Personal ist da- nur versteht das Personal es offensichtlich nicht Prioritäten zu setzen!