Angriffstechniken und Gegenmaßnahmen Hochschule der Medien – Studiengang Medieninformatik Softwarepraktikum 1 Phishing – Mails Angriffstechniken und Gegenmaßnahmen Die neue Gefahr? Michaela Irion Michael Bulach Betreuer: Prof. Dr. Roland Schmitz Christoph Alscher 25.01.2006
Projektteile Schriftliche Ausarbeitung Praktischer Teil Einführung Projektziele Ergebnisse Medianight Probleme Fazit Schriftliche Ausarbeitung „Phishing Mails - Angriffstechniken und Gegenmaßnahmen“ Praktischer Teil Nachstellen eines Angriffes Medianight
Projektziel „schriftliche Ausarbeitung“ Einführung Projektziele Ergebnisse Medianight Probleme Fazit Phishing / Pharming Angriffsziele Angriffstechniken Schutz vor Angriffen PC-Sicherheit / Netzwerksicherheit Zugangsverfahren der Banken Rechtliche Aspekte Strafverfolgung Schadensregulierung Zukunftsaussichten
Projektziel „Praktische Vorführung“ Einführung Projektziele Ergebnisse Medianight Probleme Fazit Gefälschter Bankserver Nachgestellte Angriffe ARP-Spoofing DNS-Spoofing
Definition „Phishing“ Einführung Projektziele Ergebnisse Medianight Probleme Fazit Phishing = Password Fishing Angriffstechniken Gefälschte Emails Gefälschte Websites direkt / indirekt Angriffsziele Banken Handelsplattformen ….jeder Dienst…
Definition „Pharming“ Einführung Projektziele Ergebnisse Medianight Probleme Fazit Angriffsziele jede Datenverbindung Angriffstechniken DNS-Spoofing Hosts Datei ARP-Spoofing Trojaner
Schutzmaßnahmen Wer bekommt von seiner Bank E-Mails? Hilfsprogramme Einführung Projektziele Ergebnisse Medianight Probleme Fazit Wer bekommt von seiner Bank E-Mails? Hilfsprogramme Spoofstick Netcraft Toolbar Black / White Lists Firewall / Virenscanner
Zugänge für Homebanking Einführung Projektziele Ergebnisse Medianight Probleme Fazit PIN/TAN iTAN, mTAN, eTAN HBCI, FinTS
Schadensbekämpfung Einführung Rechtliche Aspekte Projektziele Ergebnisse Medianight Probleme Fazit Rechtliche Aspekte Straflose Vorbereitungshandlung Klärung der Rechtslage nicht absehbar Schäden Geschätzte 4,5 Millionen Euro Im Schadensfall Konto sperren Passwörter zurücksetzen Kripo einschalten Indizien speichern
Zukunftsaussichten Single Sign On Einführung Projektziele Ergebnisse Medianight Probleme Fazit Single Sign On Verteilte CryptoTrojan Phishing Angriffe SPIT - Spam over Internet Telephony
Empfehlung Sicherheitsmaßnahmen beachten Zugangsverfahren Einführung Projektziele Ergebnisse Medianight Probleme Fazit Sicherheitsmaßnahmen beachten Unsichere Netze meiden Zertifikate prüfen Zugangsverfahren HBCI eTAN / mTAN Alternative Software alternatives Betriebsystem Browser
Medianight Vorführungen von Angriffen Gefälschte Bankseite Einführung Projektziele Ergebnisse Medianight Probleme Fazit Vorführungen von Angriffen DNS-Spoofing ARP-Spoofing Man-in-the-Middle Gefälschte Bankseite www.hdm-stuttgart.de/~mb066
Probleme „schriftliche Ausarbeitung“ Einführung Projektziele Ergebnisse Medianight Probleme Fazit Informationen von den Banken Keine offiziellen Informationen Nur geschätzte Schäden Rechtliche Aspekte Verwirrend Unübersichtlich Wann aufhören?
Probleme „Praktischer Teil“ Einführung Projektziele Ergebnisse Medianight Probleme Fazit Gefälschte Website Wie PIN/TAN weitergeben? Übertragungszeit? Rechtliche Aspekte Ab wann sind wir kriminell?
Fazit Schlecht informierte Kunden Keine Aufklärungsarbeit der Banken Einführung Projektziele Ergebnisse Medianight Probleme Fazit Schlecht informierte Kunden Keine Aufklärungsarbeit der Banken Verschweigen der Risiken Unzureichende rechtliche Grundlagen Leicht und attraktiv für Betrüger durchzuführen Bis zu 20.000 € proTAN Problem steht erst am Anfang
Wir bedanken uns für Ihre Aufmerksamkeit! Fin Wir bedanken uns für Ihre Aufmerksamkeit! Michaela Irion mi005@hdm-stuttgart.de Michael Bulach mb066@hdm-stuttgart.de