Hallo Thomas,

die meisten Datenklau Verfahren basieren darauf das du beim Aufruf der Seite unbmerkt auf einer anderen landest - Nach Eingabe deiner Anmeldedaten wirst du dann auf die echte Seite weitergeleitet. Gibst du also nun einen falschen PIN ein, merkt sich die falsche Seite den falschen Pin und leitet dich an die echte Seite weiter( die dir dann ggf. noch die Fehlermeldung anzeigt). Noch auffälliger sind die Varianten, in denen du eine email bekommst, mit dem Hinweis das du dich innerhalb von x Tagen anmelden mußt, da sonst dein Account gesperrt wird. Beliebt sind hier unter anderem Paypal, weil du alleine mit dem Passwort schon Geld überweisen kannst. Und das innerhalb von Sekunden. Das mit der Bank funktioniert ja nur, wenn du auch einen TAN eingibst - Und man muß ja schon sehr gutgläubig sein, um einen TAN ohne Transaktion einzugeben. Könnte man zum Beispiel mit der Aufforderung: Ihtr Zugang wurde gesperrt weil sie 3 mal ein falschen PIn eingegeben haben. Sie können Ihr Konto entsperren indem sie einen gültigen TAN und ihren korrekten PIN eingeben....

Abgesehen davon sind die meisten falschen emails und seiten eher amüsant, wenn da dann z.b. steht: Sehr gehrte Kunde von Postbank. Aufgrund Hacking Attacke wurde Ihr Zugang versperrt. Bitte einlogen sie sich mit ihrem passwort.... usw


Ich persönlich habe jetzt noch keinen Hack gesehen der online nachprüft ob der eingegebene TAN schon verbraucht ist.
Natürlich gibt es auch Varianten bei denen deine Daten wirklich 1:1 weitergeleitet werden, aber das ist technisch gesehen schon ein ziemlicher Aufwand. Und das dürfte dir eher in Deutschland an deinem eigenem Rechner passieren, als in einem Internetcafe in Timbuktu.

Gruß

Marcel

Hi Marcel,

vielen Dank für Deine ausführliche (jetzt auch endlich für mich verständliche...) Erklärung!

Wenn ich mich denn irgendwo auf mein Konto oder einen eMail-Account einlogge, werde ich auf jeden Fall ganz gemäß deinem Tip handeln und erst mal falsche Daten eintippen. Klingt nämlich zumindest irgendwie logisch und ist ja nun wirklich kein großer Aufwand!

DANKE für die Info!
Viele Grüße

Thomas

Moin Marcel,

das hier habe ich noch nicht ganz verstanden:



Warum sollte mich das Script dann auf die echte Seite weiterleiten? Könnte es die Fehlermeldung nicht selbst generieren, nachdem es eine negative Rückmeldung erhalten hat und mich erneut über die falsche Seite einloggen lassen?

Grüsse
Sasa

Hallo Sascha,

der Trick ist ja, dass die Fake-Seiten jede PIN akzeptieren und sie erstmal speichern. Natürlich wäre eine Weiterleitung zur echten Seite und das Durchreichen der Fehlermeldungen an Dich möglich, aber das wäre ein viel größerer Aufwand.

Daher mein Tipp: Immer zuerst eine falsche PIN und TAN probieren. Dann sofort nach der Überweisung schauen, ob diese im Kontoauszug erscheint (zumindest bei der Postbank ist dies normalerweise so). Fehlt die Überweisung auf dem Auszug, stimmt etwas nicht und man kann sofort die Bank anrufen.

Oder halt während der Reise eine Vertrauenswürdige Person um die Erledigung bitten und ansonsten Lastschriftermächtigungen erteilen und nach der Reise widerrufen.

Gruß, Andreas

Hallo Sassa,

das stimmt natürlich. In der Praxis habe ich aber eben noch keinen Script gesehen der die Rückmeldung ausliest und darauf reagiert. Die zur Zeit existierenden Scripts und FakeSeiten sind durchweg so schlecht gemacht das ein skeptischer und wachsamer Mensch normalerweise niemals seine Daten eingeben dürfte.
Man könnte da natürlich eine nahezu perfekte "Lösung" erarbeiten....

Gruß

Marcel