Viren, Würmer und Trojaner Wie kann ich mich schützen? Sicherheit im Internet 2: Sicherheit beim Online-Banking Weiterbildungsveranstaltung des PING e.v. Daniel Borgmann Dr. med. Arthur Pranada Karin Glodde Dienstag, 21. Juli 2009 Informiert sein (Weiterbildung) Keine fremden Datenträger nutzen Sicherheitseinstellungen (Browser) auf höchster Stufe Aktuelle Sicherheitsupdates installieren Aktuelle Software nutzen Einen Virenscanner installieren Immer die aktuelle Signaturen für den Virenscanner haben Personal Firewall installieren, bzw. eingebaute Firewall nutzen Weniger anfällige E-Mail-Clients und Browser verwenden E-Mail-Clients sicher konfigurieren Mails von unbekannten Absendern löschen Keine E-Mail-Anhänge ausführen Gesundes Misstrauen haben PING e.v. - Weiterbildung 1 PING e.v. - Weiterbildung 2 Die geschichtliche Entwicklung des Internet 1957 Sputnikschock 1969 Mondlandung 1970 Taschenrechner 1977 Elvis 1980 1982 1985 PC CD 1. Virus 1989 Mauerfall 1992 Mobilfunk 1994 PING e.v. 1996 Homepage Sparkasse 2000 Homebanking Sparkasse 1999 Jahrtausendwende 2002 -Bargeld 2009 Ein paar technische Grundlagen 15 Jahre PING e.v. 1957 2009 ARPANET E-Mail @-Zeichen TCP 1968 1971 1971 1974 IP EUnet 1. E-Mail in DNS nordu.net "Internet" WWW Browser Öffentlicher Kommerzielle HTML T-Online DSL 1978 Uni Dortmund Deutschland 1984 1985 1987 1990 (Mosaic) Webserver Provider 1995 1995 1999 1982 1983 uni-dortmund.de 1993 1993 (Compuserve AOL) 1986 1994 PING e.v. - Weiterbildung 3 PING e.v. Weiterbildung 4 Aufbau einer WWW-Adresse URL = Uniform Resource Locator http://www.ping.de/index.html Gelesen wird von rechts nach links. de = Länderkürzel oder Hierarchie ping = Firma, Organisation, Name www = Rechnername Aufbau einer WWW-Adresse URL = Uniform Resource Locator Protokoll Rechner Domain TLD Verzeichnis/Datei http:// webmail. ping. de /index.html http:// www. nasa. gov /index.html http:// de. wikipedia. org /wiki/hauptseite PING e.v. Weiterbildung 5 PING e.v. Weiterbildung 6 1
Wie funktioniert das Internet? Mein Computer 83.97.40.112 PING Weiterbildungsveranstaltung Wie funktioniert das Internet? Wie funktioniert das Internet? 62.214.110.94 NASA Webseite Daten Fra- ge Frage NASA NA- SA NASA Frage an Mein Com. von Mein Com. www.nasa.gov 212.243.223.144 138.187.131.134 Daten reisen um die Welt 82.140.12.121 PING 83.97.42.1 DNS = Domain Name System Internet Netzwerk aus vielen Computern Daten werden von Rechner zu Rechner geleitet Ausfallsicherheit PING e.v. Weiterbildung 10 Phishing Passwort Fishing Vorsicht! Abzocker und Betrüger im Internet Phishing, Pharming, Vishing und andere Trickbetrugsarten Identitätsdiebstahl Gefälschte E-Mails von Betrügern, die den Nutzer verleiten sollen, Zugangsdaten sowie andere geheime Informationen freiwillig preiszugeben Online-Banking: Kontonummer, PIN, TAN Kreditkartendaten Zugangsdaten zu Online-Shops oder anderen kostenpflichtigen Diensten PING e.v. - Weiterbildung 11 PING e.v. - Weiterbildung 12 Wie gehen die Phisher vor? Nutzung fremder Rechner zum Versand der Mail Spiel mit der Angst und Unsicherheit der Anwender Sicherheitsüberprüfung Neues Sicherheitssystem Absender der E-Mails ist gefälscht security@[bankname].com E-Mail beinhaltet Erkennungsmerkmale der Bank Logo / Kontaktadressen Sicherheitslücken in Browser/Betriebssystem werden genutzt Anwender wird auf gefälschte Anmeldeseite gelockt, die der echten Seite täuschend ähnlich sieht Beschriftung von Links in der E-Mail stimmt nicht mit der tatsächlichen Adresse überein Oft handelt es sich um gehackte Rechner PING e.v. - Weiterbildung 13 Beispiele für Phishing Wie Betrüger an Ihr Geld kommen wollen PING e.v. - Weiterbildung 14 2
PING e.v. - Weiterbildung 15 PING e.v. - Weiterbildung 16 Wie schütze ich mich vor Phishern? Gesundes Misstrauen! Keine Bank fragt unaufgefordert nach Ihren geheimen Zugangsdaten Niemals die PIN/TAN an Fremde geben Informieren Sie sich, welche Zugangsdaten normalerweise von der Bank abgefragt werden! Fragen Sie bei ungewöhnlichen Aktivitäten lieber bei Ihrer Bank nach! Niemals Links in E-Mails anklicken! Adressen immer von Hand eingeben oder eigene Bookmarks benutzen! Überprüfen Sie auf welcher Seite Sie sich befinden! Prüfen Sie die SSL-Zertifikate! Melden Sie ungewöhnliche Aktivitäten Ihrer Bank! Provider kann ggf. gefälschte Massen-E-Mails filtern Aktuelle Sicherheitsupdates einspielen! Aktuelle Software nutzen! PING e.v. - Weiterbildung 17 PING e.v. - Weiterbildung 18 Pharming Weiterentwicklung des Phishing Domain-Name-System (Übersetzung von www.bankname.de in eine Computeradresse) wird manipuliert Benutzer wird so auf eine gefälschte Seite umgeleitet (obwohl im Browser www.bankname.de steht) Die Betrüger setzen unzählige gefälschte Server ein (=Server-Farmen) PING e.v. - Weiterbildung 19 20 3
Vishing Voice Phishing Über automatisierte Telefonanrufe wird versucht den Empfänger irrezuführen Herausgabe von Zugangsdaten, Passwörtern, Bankdaten, Kreditkartendaten In E-Mails wird eine Telefonnummer zugesandt, die man anrufen soll Bandansage, die um Herausgabe persönlicher Daten bittet Phisher werde immer erfolgreicher Wie Betrüger um Ihre Mithilfe bitten 21 PING e.v. - Weiterbildung 22 Immer höhere Schäden durch Phishing und Identitätsdiebstahl PING e.v. - Weiterbildung 23 PING e.v. - Weiterbildung 24 Immer mehr Phishing-Opfer Geldwäsche-Mails Phisher bitten inzwischen um Mithilfe, um an das erbeutete Geld zu kommen Über das Internet (E-Mail) werden Finanzagenten oder Mitarbeiter/Vertriebspartner angeworben Diese sollen das erphishte Geld ins Ausland transferieren Achtung: Geldwäsche ist strafbar! (AG Darmstadt, Urteil vom 11.1.2006, Az. 212 Ls 360 Js 33848/05) PING e.v. - Weiterbildung 25 PING e.v. - Weiterbildung 26 4
PING e.v. - Weiterbildung 27 PING e.v. - Weiterbildung 28 PING e.v. - Weiterbildung 29 PING e.v. - Weiterbildung 30 Geldwäsche ist strafbar! Geldwäsche ist strafbar! Und schadenersatzpflichtig! PING e.v. - Weiterbildung 31 PING e.v. - Weiterbildung 32 5
Informieren Sie sich Weitere Trickbetrug Beispiele Arbeitsgruppe Identitätsschutz im Internet https://www.a-i3.org/ Anti-Phishing Working Group http://www.antiphishing.org/ Heise Security http://www.heise.de/security/ Bundesamt für Sicherheit in der Informationstechnik http://www.bsi.de/ http://www.bsi-fuer-buerger.de/ PING e.v. - Weiterbildung 33 PING e.v. - Weiterbildung 34 Warum sind Weiterbildung und Information so wichtig? Experiment von Didier Stevens Anzeige 259.723 Mal angezeigt 409 Personen haben diese angeklickt (0.16%) Und hätten ihren Rechner potentiell infizieren können PING e.v. - Weiterbildung 35 Was kann getan werden? Neue Authentifizierungsverfahren der Banken itan TAN-Generatoren HBCI mit Chipkarte etc. Information der Mitglieder/Kunden PING e.v. - Weiterbildung 36 Wie können Internet-Provider helfen? Mail-Aufkommen bei Virenwellen Scanning-Systeme für E-Mails Viren Spam Phishing Mehrstufige Firewalls Information der Mitglieder/Kunden Weiterbildungsveranstaltungen PING e.v. - Weiterbildung 37 18000 16000 14000 12000 10000 8000 6000 4000 2000 0 01.11.05 02.11.05 03.11.05 04.11.05 05.11.05 06.11.05 07.11.05 08.11.05 09.11.05 10.11.05 11.11.05 12.11.05 13.11.05 14.11.05 15.11.05 16.11.05 17.11.05 18.11.05 19.11.05 20.11.05 21.11.05 22.11.05 23.11.05 24.11.05 25.11.05 26.11.05 27.11.05 28.11.05 29.11.05 PING e.v. - Weiterbildung 38 6
Aufwand für Mail-Filtersysteme Mail-Filtering bei PING Juni/Juli 2009 21.6.-20.7.2009: 30-100 Mails pro Minute gefiltert 4878 Virenmails, davon 3397 Phishing-Mails 50 Viren/Würmer 1082 Trojaner 811728 Spam-Mails November 2005: Insgesamt 31166 Mails gefiltert Davon 2558 Virenmails Davon 1125 Mails mit Sober.X/U 1070 Phishing Mails 28609 Spam-Mails PING e.v. - Weiterbildung 39 PING e.v. - Weiterbildung 41 Bot-Netze werden immer häufiger für kriminelle Taten eingesetzt Welche Maßnahmen ergreifen die Banken? PING e.v. - Weiterbildung 43 Neue Legitimationsmedien der Banken/Sparkassen itan indiziertes TAN-Verfahren bestimmte TAN wird verlangt TAN-Generatoren (statisch oder dynamisch) Mobile TAN (via SMS) HBCI mit Chipkarte Homebanking mit Chipkartenleser und spezieller Software Weitere Sicherheitsmaßnahmen der Sparkassen (1) Einrichtung eines Sicherheits-Teams (S-CERT) für Sparkassen-Organisation Konzentration von Know-How Internationale Vernetzung Hilfe bei Sicherheitsvorfällen (z. B. Phishing-Mails) Bündelung von Sicherheitsexperten beim Rechenzentrum Präventionsmaßnahmen PING e.v. Weiterbildung - Sparkasse Dortmund, Medialer Vertrieb 44 PING e.v. Weiterbildung - Sparkasse Dortmund, Medialer Vertrieb 45 7
Weitere Sicherheitsmaßnahmen der Sparkassen (2) Aufklärung unserer Kunden über Sicherheitshinweise im Internet durch Veranstaltungen wie diese Sicherheitsmaßnahmen der Kunden Wenn die während der Veranstaltung erwähnten Schutzmaßnahmen beachtet werden, denn: die Angriffe richten sich in der Regel auf das schwächste Glied in der Kette => den Kunden-PC dann ist Online-Banking sicher!!! PING e.v. Weiterbildung - Sparkasse Dortmund, Medialer Vertrieb 46 PING e.v. Weiterbildung - Sparkasse Dortmund, Medialer Vertrieb 47 Kontakt: PING e.v. Verein zur Förderung der privaten Internet Nutzung e.v. Vielen Dank für Ihre Aufmerksamkeit! Für Fragen steht das PING-Team gerne zur Verfügung! Emil-Figge Str. 85 44227 Dortmund Tel. 0231/9791-0 FAX 0231/9791-19 E-Mail: hotline@ping.de Hotline-Zeiten: Mittwochs 20-22 Uhr Sonntags 19-21 Uhr Weiterbildung: www.ping.de/weiterbildung weiterbildung@ping.de www.ping.de Einfach mehr als nur Internet! Viren, Würmer und Trojaner Daniel Borgmann daniel@borgmann.ping.de Dr. med. Arthur Pranada ari@ping.de www.ping.de Einfach mehr als nur Internet! PING e.v. - Weiterbildung 48 Besuchen sie auch unsere übrigen kostenlosen Weiterbildungsveranstaltungen! http://www.ping.de/weiterbildung/ PING e.v. - Weiterbildung 49 8