Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

June 05 2013

Phishing in Facebook’s Pond

A recent blog post inquired about the incidence of Facebook-based spear phishing: the author suddenly started receiving email that appeared to be from friends (though it wasn’t posted from their usual email addresses), making the usual kinds of offers and asking him to click on the usual links. He wondered whether this was a phenomenon and how it happened — how does a phisherman get access to your Facebook friends?

The answers are “yes, it happens” and “I don’t know, but it’s going to get worse.” Seriously, my wife’s name has been used in Facebook phishing. A while ago, several of her Facebook friends said that her email account had been hacked. I was suspicious; she only uses Gmail, and hacking Google isn’t easy, particularly with two-factor authentication. So, I asked her friends to send me the offending messages. It was obvious that they hadn’t come from my wife’s account; they were Yahoo accounts with her name but an unrecognizable email address, exactly what this blogger had seen.

How does this happen? How can a phisher discover your name and your Facebook friends? I don’t know, but Facebook is such a morass of weird and conflicting security settings that it’s impossible to know just how private or how public you are. If you’ve ever friended people you don’t know (a practice that remains entirely too common), and if you’ve ever enabled visibility to friends of friends, you have no idea who has access to your conversations.

The day I read this post, I also read about Facebook’s deal with Acxiom and other information vendors. If you know anything about Acxiom, you know that they’re one of the biggest brokers of personal data in the country. Acxiom’s data is supposedly “anonymized,” but if you know anything about data de-anonymization, and how much easier de-anonymization becomes when you have access to multiple data sources, you know that’s not much comfort. As Jeff Jonas has pointed out, given sufficient data and a few pieces to the puzzle, it’s easy to locate, say, the Turkish guy who lives near the O’Reilly employee in Connecticut. If you’ve never searched for yourself online, you should; you’ll be surprised what’s known about you.

Facebook is buying data, not selling it, and they would certainly argue that there’s no way someone reading Facebook pages could reverse-engineer the information that they’ve bought from Acxiom. I’m not so certain, particularly given Facebook’s history as a company that pushes the limits, then apologizes, and adds even more arcane security settings. It’s not as if personal information hasn’t leaked out many times over the years, going back to a surprise marriage proposal that was spoiled when Facebook told the groom’s friends that he had just bought an engagement ring. Facebook is trying to build a legit ad placement business on top of their social graph, but in doing so, have they inadvertently built the greatest asset for cybercrime that the world has ever seen?

The issue isn’t that Facebook will be phishing you themselves. It’s that your Facebook pages will be scraped, whether Facebook likes it or not, and all the data that can be extracted about you will be in the phisher’s hands. The recent phishes that I’ve seen have been primitive. It’s fairly easy to look at a message that says “Hey, Mike, lower your credit card rate” and realize that it’s spam, even if it looks like it came from one of your friends. But that’s not the end of the road. It’s not hard to craft a message that really looks like it came from a friend, and offers you something that you might genuinely be interested in. Such a message might refer to things you’ve said online or know facts that you’ve only shared with friends. At that point, it’s much harder to resist. And we’re not necessarily talking about phishes trying to sell bogus credit card services: we’re talking about attempts to get at corporate data (“Hey, Mike, who’s going to be in the 10 a.m. meeting tomorrow? I’ve forgotten. BTW, loved your Radar post on Facebook”), other personal data, passwords, etc. And any message that can be crafted by humans could, without too much work, be generated by machines.

Our future will inevitably include lots of carefully personalized, machine-generated spam; that spam might be so good that it will be indistinguishable from a message you might legitimately receive from a friend. And that’s not going to be pleasant.

June 15 2012

Identitätsdiebstahl im Internet

Eine E-Mail-Adresse, ein Facebook-Profil, ein Online-Banking-Account – im Internet identifizieren wir uns gegenseitig über Datenströme.

Weiterlesen

April 24 2012

Haftung des Bankkunden in Fällen des Phishings

Der Bundesgerichtshof hat mit Urteil vom heutigen Tag (Urteil vom 24. April 2012 - XI ZR 96/11) eine Haftung eines Bankkunden bejaht, der Opfer einer Phishing- bzw. Pharming-Attacke wurde.

Der Kunde hatte die Bank erfolglos auf Rückzahlung von EUR 5000,- in Anspruch genommen. In Höhe dieses Betrags war sein Konto zuvor durch Betrüger erleichtert worden. Der Kunde hatte auf einer Phishing-Site auf Aufforderung hin 10 sog. TANs eingegeben, die die Betrüger anschließend benutzt haben, um den Betrag von EUR 5000,- vom Konto des Klägers wegzuüberweisen. In der Pressemitteilung des BGH heißt es dazu:

Auch wenn der Kläger die Überweisung der 5.000 € nicht veranlasst hat, ist sein Anspruch auf Auszahlung dieses Betrages erloschen, weil die Beklagte mit einem Schadensersatzanspruch in gleicher Höhe gemäß § 280 Abs. 1 BGB aufgerechnet hat.

Der Kläger ist nach dem in seiner Strafanzeige vorgetragenen Sachverhalt Opfer eines Pharming-Angriffs geworden, bei dem der korrekte Aufruf der Website der Bank technisch in den Aufruf einer betrügerischen Seite umgeleitet worden ist. Der betrügerische Dritte hat die so erlangte TAN genutzt, um der Bank unbefugt den Überweisungsauftrag zu erteilen. Der Kläger hat sich gegenüber der Bank durch seine Reaktion auf diesen Pharming-Angriff schadensersatzpflichtig gemacht. Er hat die im Verkehr erforderliche Sorgfalt außer Acht gelassen, indem er beim Log-In-Vorgang, also nicht in Bezug auf einen konkreten Überweisungsvorgang, trotz des ausdrücklichen Warnhinweises der Bank gleichzeitig zehn TAN eingegeben hat. Für die Haftung des Kunden reicht im vorliegenden Fall einfache Fahrlässigkeit aus, weil § 675v Abs. 2 BGB, der eine unbegrenzte Haftung des Kunden bei missbräuchlicher Nutzung eines Zahlungsauthentifizierungsinstruments nur bei Vorsatz und grober Fahrlässigkeit vorsieht, erst am 31. Oktober 2009 in Kraft getreten ist.

Ein anspruchsminderndes Mitverschulden der Bank hat das Berufungsgericht zu Recht verneint. Nach seinen Feststellungen ist die Bank mit dem Einsatz des im Jahr 2008 dem Stand der Technik entsprechenden iTAN-Verfahrens ihrer Pflicht zur Bereitstellung eines möglichst wenig missbrauchsanfälligen Systems des Online-Banking nachgekommen. Sie hat auch keine Aufklärungs- oder Warnpflichten verletzt. Ob mit der Ausführung der Überweisung der Kreditrahmen des Kunden überschritten wurde, ist unerheblich, weil Kreditinstitute grundsätzlich keine Schutzpflicht haben, Kontoüberziehungen ihrer Kunden zu vermeiden. Einen die einzelne Transaktion unabhängig vom Kontostand beschränkenden Verfügungsrahmen hatten die Parteien nicht vereinbart.

Die Entscheidung ist allerdings für aktuelle Fälle aus zwei Gründen nicht mehr von großer Bedeutung. Das sog. iTan-Verfahren entspricht heute nicht mehr dem Stand der Technik und wird m.W. von den meisten Banken nicht mehr praktiziert.

Außerdem ist im Jahre 2009 eine wesentliche gesetzliche Änderung in Kraft getreten. § 675v Abs. 2 BGB verlangt für eine (unbeschrännkte) Haftung des Bankkunden mittlerweile Vorsatz oder grobe Fahrlässigkeit, während der BGH in seiner Entscheidung noch einfache Fahrlässigkeit genügen lassen musste. Ob die 10-malige Eingabe einer TAN danach als grob fahrlässig zu bewerten wäre, ist fraglich. Das Landgericht Landshut hatte in einem vergleichbaren Fall unter Anwendung des neuen Rechts sogar die Eingabe von 100 TANs auf einer Phishing-Site nicht als grob fahrlässig eingestuft.

September 15 2011

Haftung der Bank beim Phishing

Das Landgericht Landshut hat mit Urteil vom 14. Juli 2011 (Az.: 24 O 1129/11) einen äußerst interessanten Fall zum sog. Phishing entschieden.

Der Kläger hat  das von seiner Bank angebotene Online-Banking nach dem sog. iTAN-Verfahren genutzt. Anfang des Jahres 2011 wurde er Opfer eines Phishing-Angriffs. Durch einen auf seinem Rechner unbemerkt installierten Trojaner ist der Kläger auf eine Website geleitet worden, die der seiner Bank täuschend ähnlich sah. Dort wurde er wiederholt zur Eingabe von sog. Transaktionsnummern (TAN) aufgefordert. Der Kläger gabt dort insgesamt 100 (!) TAN’s ein.

Anschließend haben unbekannte Täter in 6 Einzelüberweisungen insgesamt 6000 EUR vom Konto des Klägers wegüberwiesen. Mit seiner Klage gegen die Bank verlangt der Kläger die Rückzahlung dieser 6000 EUR.

Das Landgericht Landshut hat der Klage stattgegegeben und die Bank zur Rückzahlung verurteilt.

Das Gericht stellt zunächst dar, dass im Rahmen des zwischen den Parteien bestehenden Girovertrages für die Überweisungen keine wirksame Anweisung des Klägers vorgelegen hat. Dies bedeutet, dass die Überweisung im Verhältnis zum Kläger das Kontoguthaben nicht wirksam geschmälert hat. Diese Argumentation ist zutreffend und juristisch nicht zu beanstanden.

Die entscheidene Frage lautet allerdings, ob dem Kläger ein Sorgfaltsverstoß vorzuwerfen war, der einen vertraglichen Schadensersatzanspruch der Bank gegen ihn begründet, mit der Konsequenz, dass der Kunde letztlich auf dem Schaden sitzen bleibt und nicht die Bank.

Eine solche Sorgfaltsverletzung hat das Landgericht verneint. Das Gericht wendet die Vorschrift des § 675v Abs. 2 BGB an, die die Haftung des Zahlers bei missbräuchlicher Nutzung eines Zahlungsauthentifizierungsinstruments regelt. Danach haftet der Zahler nur bei einer vorsätzlichen oder grob fahrlässigen Pflichtverletzung.

Der Kläger hat sicherlich fahrlässig gehandelt, was allerdings für eine Haftung nicht ausreichend ist. Die entscheidene Frage war also, ob auch die zusätzlichen Voraussetzungen einer groben Fahrlässigkeit gegeben waren, was das Gericht verneint hat.

Die Ansicht des Landgerichts, dass auch das Befolgen der Aufforderung, alle 100 TAN-Nummern einzugeben, keine grobe Fahrlässigkeit begründet, halte ich allerdings für diskutabel.

Wenn man von einem durchschnittlichen Online-Banking-Kunden ausgeht, dann muss man m.E. das Bewusstsein unterstellen, dass eine Bank niemals 100 TANs am Stück abfragen wird. Dass man dem Kläger hier zusätzlich zugute hält, dass er aus Osteuropa kommt und nur über eingeschränkte Kenntnisse der deutschen Sprache verfügt, halte ich für fragwürdig. Es dürfen und müssen zwar bei der Fahrlässigkeit auch subjektive Aspekte berücksichtigt werden. Andererseits wird man bei jemandem, der sich bewusst für das Online-Banking entscheidet, auch ein Mindestmaß an Verständnis unterstellen dürfen.

Ob das Urteil rechtskräftig geworden ist, ist mir nicht bekannt. Es ist aber anzunehmen, dass die Bank Berufung eingelegt hat.

Das Urteil zeigt in jedem Fall sehr deutlich, dass das Haftungsrisiko für einen Missbrauch im Bereich des Onlinebankings und auch im Bereich der EC-Karten-Zahlung vom Gesetzgeber deutlich auf die Zahlungsdienstleister verlagert worden ist. Der Kunde haftet nur für Vorsatz und grobe Fahrlässigkeit. Wann eine solche grobe Fahrlässigkeit tatsächlich vorliegt, ist allerdings immer eine Frage des Einzelfalls und häufig auch umstritten, wie der geschilderte Fall zeigt.

August 26 2011

Das BKA und die Hysterie

Daran, dass der Präsident des Bundeskriminalamts Jörg Ziercke selten sachlich argumentiert, aber dennoch von Teilen der Politik Ernst genommen wird, habe ich mich gewöhnt, ebenso wie an den Umstand, dass Ziercke Bürgerrechtlern Hysterie vorwirft, während er gleichzeitig Ängste schürt.

Dass er flankierend eine gezielte Irreführung betreibt, muss aber immer und immer wieder deutlich angesprochen werden.  Ziercke behauptet nach einem Bericht von Heise-Online zum wiederholten Male, dass man schwerste Straftaten im Internet mit klassischen polizeilichen Ermittlungsmethoden nicht mehr aufklären könne, weshalb es bei schweren Straftaten wie Kinderpornografie oder im Kampf gegen den internationalen Terrorismus möglich sein müsse, auf Verbindungsdaten mindestens sechs Monate zurückzugreifen.

Diese Aussagen sind gleich in mehrfacher hinsicht falsch und stehen z.T. auch in Widerspruch zu eigenen Veröffentlichungen des BKA. Wenn man auf die Polizeiliche Kriminalstatistik – auf deren begrenzte Tauglichkeit ich mehrfach hingewiesen habe – zurückgreift, dann zeigt sich, dass die Aufklärungsquote bei Internetstraftaten nach wie vor über dem Durchschnitt liegt. Davon, dass Internetstraftaten nicht mehr aufklärbar seien, kann also gar keine Rede sein. Außerdem ist selbst das BKA der Ansicht, dass ein Zusammenhang zwischen Aufklärungsquoten und Vorratsdatenspeicherung nicht nachweisbar ist. Auf der Website des BKA kann man hierzu folgendes lesen:

Aufklärungsquoten der PKS können also weder als Argument für noch gegen Mindestspeicherfristen herangezogen werden

Vielleicht sollte Herr Ziercke einfach die Veröffentlichungen seines eigenen Hauses aufmerksamer verfolgen.

Wenn man mit Beamten des BKA spricht – ich hatte im letzten Jahr Gelegenheit dazu – ist im Zusammenhang mit Internkriminalität primär von der Bekämpfung von Betrugsstraftaten die Rede. Das ist auch nicht weiter verwunderlich, denn nach der PKS sind mehr als 80 % der Internetdelikte Betrugsfälle. Davon spricht Ziercke allerdings nicht.

Wenn der BKA-Präsident redlich argumentieren würde, so müsste er sagen, dass man mit der Vorratsdatenspeicherung die Hoffnung verbindet, zusätzlich eine gewisse – allerdings eher geringe – Anzahl von Betrugsdelikten aufzuklären. Stattdessen polemisiert er und redet ständig von schwersten Straftaten und von Terrorismus. Denn nur wenn es drastisch genug ist, kann man die Bevölkerung von der Notwendigkeit einer Vorratsdatenspeicherung überzeugen. Denn wer wird es schon für sinnvoll und angemessen halten, die Telekommunikationsverbindungsdaten sämtlicher Bürger für 6 Monate auf Vorrat zu speichern, wenn damit allenfalls – und selbst dies ist ungewiss – eine Handvoll Betrugsdelikte zusätzlich aufgeklärt werden können. Genau diese Diskussion wäre aber zu führen.

July 29 2011

Vorsicht Falle

Wenn Menschen sich im Internet bewegen, dort einkaufen oder in sozialen Netzwerken aktiv sind, hinterlassen sie dort personenbezogene private Daten.

Weiterlesen

March 12 2010

02mydafsoup-01
Department of Homeland Security
INTELLIGENCE BULLETIN
UNCLASSIFIED

11 March 2010

Yesterday the Department of Homeland Security has received the prevention from NASA's Jet Propulsion Laboratory about the occurred shift of Earth’s figure axis:
________

The recent Chilean earthquake shifted the axis by approximately three inches and shortened the length of a day by 1.26 microseconds. According to NASA’s Jet Propulsion Laboratory the displacement of Earth’s axis will cause natural disasters on the Eastern coast of the USA including Florida, Georgia, South and North Carolina.
________

In this connection the DHS has made a decision to prepare for general evacuation from the specified area. The population of the region should be ready for evacuation. It is necessary collect valuable possessions, documents, things of first necessity, and wait for the announcement.

In order to prevent panic among the population DHS asks to stay calm and follow the official instructions listed below:

http://dhsorg.org/docs/instructions....[lol]

________________
U.S. Department of Homeland Security
Washington, DC 20528

— Awsome phising attempt
Reposted fromdeepthought deepthought

December 16 2009

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl