ePerso: Hacker zeigt PIN-Diebstahl ohne Malware

Hacker Jan Schejbal von der Piratenpartei hat eine neue Social-Engineering-Attacke, welche mit einem klassischen Phishing-Angriff vergleichbar ist, im Zusammenhang mit dem elektronischen Personalausweis demonstriert. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
also wäre mir nicht aufgefallen, dass es sich nicht um ein Windows internes Fenster handelt (was man bei Windows 7 mit Aero leicht erkennen könnte), wäre die Schrift nicht so schwammig.
 
@ProSieben: Dazu ein Zitat vom Entwickler der Fake-App: "Seltsam aussehende Schrift im AusweisApp-Fenster ist übrigens kein Hinweis auf eine Fälschung: Die Schriften sehen auch in der echten AusweisApp seltsam aus."
D.h., daran kannst du es auch nicht erkennen. ;)
 
@mh0001: lol, das mag wohl so sein. Ich habe die originale AusweisApp nie gesehen. Aber wenn die Originale genauso aussieht, na dann gut das ich sowas nicht benutzen werde.
 
@ProSieben: Naja, das wichtige ist aber nicht das superduper klickibunti design, sondern das innere.

Und wie Wohlstands... schon sagte, wer mit offenen Augen herumläuft, der erkennt diesen Fake definitiv.

Und wer nicht, der sollte sich eh aus dem Internet verabschieden, bzw. wichtige dinge wie ONlineBanking und co, offline erledigen.
 
Wenn Winfuture jetzt zu jeder Phishing-Seite eine News verfasst, lesen wir bald nichts anderes mehr. Eine Anwendung als Bild auf eine Webseite einfügen halte ich noch für eine der schlechteren Phishing Methoden. Und was hat man von der PIN?
 
@Wohlstandsmüll: Auch wenn wir beide nun anscheinend von dem Minus Fieber befallen sind ;).

Hast du schon Recht.

Phishing ist nichts neues und im Grunde im Internet etwas stinknormales.

Deswegen sollte man das auch so behandeln und nicht immer unnötig aufbauschen. Aber jede noch so kleine unnöltig aufgezogene schreckensnachricht die den nPA betrifft scheint aktuell Leser zu locken. Anders kann man es sich nicht erklären.
 
Ich denke jeder der etwas aufpasst fällt nicht auf so ein 0815 Trick rein. Alleine schon die Typen Browser Gesten und Reaktionen die jeder kennt. Jeder dem so etwas nicht auffällt sollte auch kein OnlineBanking oder andere Webseiten mit Passwörtern und Zugangsdaten verwenden.
 
Ich bin immernoch gegen die Fehlgeburt des ePerso.
 
@Flakes: sind zwar alles schöne Vorsätze die die Leute haben...
aber aktuelle Perso reicht doch auch. Warum das machen was maximal möglich wäre statt das was vollkommen ausreicht. Ohje^^
 
@Flakes: Naja, nur die Bindung an das Internet würde ich unterlassen. Ansonsten ist der neue Ausweis schön klein.
 
@Flakes: Also mir fällt bei so Sachen immer der Film "Das Mercury Puzzle" ein...
 
@gonzohuerth: Na, mir fällt bei der ganzen Story um den ePerso nur "Das Wurstpuzzle" (Extended Edition) ein.
 
@Flakes: Ich mag immerhin das praktischere und robustere Format :)
 
@pool: Das Format ist echt deutlich schöner und praktischer. Wer den Rest nicht nutzen möchte kann es bleiben lassen. @-adrian-: da hast du absolut recht.
 
@Flakes: ich bin gegen die fehlgeburt von computer usern die leichtglaeubig durchs internet wandern
 
Und wie kommt man nun in den Pornobereich der Piratenpartei?
 
@lutschboy: Nackte Piraten sind aber nicht jedermanns Sache!
 
@lutschboy: Do what you want 'cause a pirate is free - you are a pirate! :D
 
Mit diesem "Angriff" (O-Ton Schajpal) wäre also bewiesen, dass man die AusweisApp nachbauen kann. Und jetzt? Das geht doch mit jeder anderen Anwendung genauso. Wieso macht es jetzt den nPA besonders anfällig? Ausserdem erkennt jeder, der nicht grauen Star im Endstadium hat, dass das niemals ein Windows Aero Fenster sein kann...
 
@Mockmoon: Die Altersüberprüfung kann sich ja quasi jeder Webseitenbetreiber einbauen. Hier wird der Bürger aufgefordert seine PIN einzugeben. Bei Banken soll man das ja nur auf der Bankseite machen und nirgendwo anders. Und genau das ist der Haken, man muss jetzt erst Recht aufpassen wo man sich anmeldet. Solange sich die "FreewareAboAnbieter" immer noch ne goldene Nase verdienen, solange muss man den Leuten einprügeln 100 mal zu gucken wo sie Ihre Daten eingeben!
 
@Mockmoon: Stichwort Faulheit. Und als Vergleich kannst du einen Banktrojaner bzw. gefälschte Seite nehmen. Sehen genauso aus, funktionieren genauso, nur dass du nicht das bekommst, wofür du eig. grad deine Überweisung abgeschickt hast. (Abo-Fallen!)

Wer weiß, wofür die Ausweis-App nicht alles eingesetzt werden kann.
 
@Mockmoon: Ja, wie gut das jeder Windows Vista/Sieben besitzt und eingeschalteten Aero hat.
 
@ProSieben: erm.. nein?`
 
Bin mal gespannt, ob man bald nur noch einen Internetvertrag mit diesem ePerso bekommt. Könnte mir vorstellen das hinter diesem Perso etwas anderes steckt(in Kombination mit der Vorratsdatenspeicherung...). Etwas auf Vorrat speichern... gruselig!
 
@dank1985: Du machst mir angst :S... wenn dem so wäre dann... tja. Internet Adé
 
@dank1985: In Kombination mit PKW Maut, der neuen "GEZ" etc.. Dann noch bei facebook drin und die Kontakte online bei google lagern. Das ist gläsern... Manchmal bin ich froh, so alt zu sein....
 
@mäkgeifer: Maut muss ich wohl zahlen :(,gez wohl auch :(,facebook und google werden gemieden.Bin auch alt....Mehr als das nicht nutzen was man nicht möchte kann man nicht machen denke ich.Das ist ausschlaggebend in meinen augen.
 
Ich denke das ganze Problem könnte gelöst werden indem die Pin-Abfrage über eine in das Lesegerät eingebaute Tastatur erfolgt. Somit wäre der PIN vom PC aus überhaupt nicht zu ermitteln.
 
@Kn3cHt: daher soll ja auch jedem ePerson-Benutzer ein Lesegerät mit eingebauten Pin-Pad benutzen. Leider bekommt man nur die Basis-Lesegeräte ohne Pad fast umsonst (subventioniert vom Staat).
 
@brasil2: Alle Leser werden subventioniert. Allerdings nicht so, dass man die teuren umsonst kriegt.
 
Mehr als funny die story.
 
Gottseidank sind wir Österreicher von diesem Schmarrn verschont ;)
 
@hasslinger: Euer Perso ist auch Digitalfähig ;).

Nur habt ihr den Vorteil keinen Besitzen zu "müssen".
 
@sebastian2: er fndet bei uns auch fast keine Verbreitung, keine Ahnung, warum wir uns lieber mit dem klobigen Reisepass ausweisen ;)
 
@hasslinger: hä, was erzählst du da. Ich hab nen perso und der ist nicht digital-fähig. was du meinst ist die Bürgercard, die ist aber extra und hat nix mit dem Perso zu tun.
 
@XP SP4: Ob die digitalfähigkeit benutzt wird oder nicht ist doch nebensächlich.

Fakt ist, dass auch in Österreich der Perso einen CHIP hat und somit auch im digitalen Zeitalter benutzt werden könnte.

Die Bürgerkarte ist im Grunde das was der deutsche Perso werden will. Dort werden die online funktion unterstützt und kostet um einiges weniger.

An der Tatsache das auf eurem Perso auch elektronisch Daten gespeichert werden ändert das aber nichts. Und wenn man wollte, könnte man euren sicherlich auch ins internet integrieren.
 
Mit Phishing kommt man natürlich an so gut wie jedes Passwort. Ist jetzt keine Sicherheitslücke des elektronischen Ausweises, sondern eine ganz allgemeine Möglichkeit Passwörter zu klauen. Vermutlich wird diese Website selbst bald von Browsern wie Firefox auf die Phishing-Blacklist gesetzt ...
 
@krusty: Schon, aber der neue Perso sollte eigentlich zusätzlich Sicherheit bringen und nicht noch mehr Angriffsfläche bieten. Was die Leute bräuchten wäre das Know-How Fake von Orginal unterscheiden zu können. Aber so hat die Bundesdruckerei wenigstens viel Geld gemacht auf Kosten der Bürger.
 
@fredinator: Vor der Sicherheitslücke Nummer 1, den User, kann man aber nicht schützen. Egal wie sicher ein System ist...

Trotztdem wird der nPA dadurch ja nicht schlechter oder unnötiger...
 
@sebastian2: Genau das sagte ich doch ... Ich verstehe jetzt nicht was du mir damit sagen willst.
 
@fredinator: Naja, du sagtest das der nPA nun unsicher ist und die Druckerei viel Geld für nichts verlangt.

Das sehe ich aber anders, auch mit der sicherheitslücke nummer 1.
Außerdem sollen ja die beiden Kartenleser mit der Tastatur forciert werden, was diese Sache dann sowieso hinfällig macht.
 
@sebastian2: Die zusätzliche Möglichkeit der Onlineidentifizierung mit Kartenelesegerät ist erstmals für niemanden freigeschaltet. Die wenigsten werden das nutzen. Mit dem alten Ausweis war das garnicht möglich, wie kannst du da einen Vergleich ziehen, dass er "zusätzliche Sicherheit" bietet, wenn ein Feature vorher erst garnicht möglich war?
 
@krusty: Habe ich irgendwas von mehr Sicherheit geschrieben? Ich schrieb das er nicht unsicher wird, nur weil Phishing möglich ist.

Die Onlinefunktion wird übrigens standardmäßig im Bürgerbüro erwähnt, wenn der Bürger nicht sagt er möchte es nicht.

Und die meisten werden sich das durchaus freischalten lassen, ob sie es am Ende dann wirklich nutzen ist eine andere Sache.

Ich finde es jedenfalls nicht verkehrt, mich in Zukunft mit dem Perso z.B. bei der DRV einzuloggen. Oder einfach meinen Perso auflege, anstatt umständlich mit PostIdent und co hantieren zu müssen.

Ob es am Ende mehr Sicherheit bringt sei dahingestellt. Mehr Komfort aber schon. Die aktuellen Möglichkeiten sind ja auch nicht 100 % sicher. Beim PostIdent guckt unsere Posttante nicht mal auf das Foto, sprich da kann man auch mit nem geklauten Ausweis ankommen. Beim nPA hab ich wenigstens noch den PIN. Der bei vernünftigem service auch nur in meinem Kopf bleibt.

Und dank dem Perso konnte ich nun auch zwei Chipkarten in meiner Geldbörse einsparen.

Wenn man die angeblichen so großen Sicherheitslücken (wo 99 % schon seit Jahren bekannt sind und eben dank dem Faktor Mensch nicht abgeschafft werden können) nicht immer so aufbauschen würde, sehe das ganze doch viel anders.
Leider scheint man mit News die Vorteile etc. betreffen, keine Leser locken.

Ich mein, beim OnlineBanking und co kommt doch auch nicht jede Woche ne neue News, die Phishin als große Sicherheitslücke hinstellt...
 
@sebastian2: sowas gibt in den nachrichten viel zu selten, da hast du recht. bisher hab ich in den news nur negatives gelesen, es werden kaum neue vorteile erörtert.
 
funktioniert aber auch nur mit windows 7
alle anderen merken das das fenster "nicht ihnen gehört"
 
@violenCe: Ich bin mir sicher, man könnte das Fenster optisch automatisch an das vom aufrufenden Nutzer benutzen OS anpassen, wenn man denn wollte.
 
@monte: aber der Durchschnittstrolltel wird seine Daten so oder so eingeben, Aero hin oder her...
 
Nichts was nur den nPA betrifft.

Aber mit nPA Horrornachrichten kann man anscheinend aktuell Zuschauer generieren.
 
@sebastian2: Aber etwas, was der nPA letztlich möglich macht. Man muss schon das ganze Biotop betrachten.
 
@Vollbluthonk: oh.. phising im internet.. eigentlich sollte man jede art von identitaetsnachweis im internet ausstellen, oder? weil es betrifft.. facebook.. emailaccount.. online banking etc ..
am besten wir versetzen uns wieder zurueck auf statische webseiten ohne dynamischen inhalt.. ist eh leicher zu entwickeln
 
@Vollbluthonk: Wenn man so argumentiert, dürfte man gar keinen Login mehr im Internet anbieten.

Hier wird nichts anderes gemacht, wie bei Bankseiten und co auch. Was will man auch dagegen machen?

Wer blind mit seinem PC rumläuft ist nunmal anfällig für Phishing.
 
ist doch bei allen so was sicher ist op paypal generator oder für ec karten extra kostet extra
 
@sanity327: Also meine smsTAN der Bank, sowohl die smsTAN von paypal ist kostenlos ;).
 
@sebastian2:was hat sms tan den bitte mit ein lesegerät zutun kläre mich da mal auf pevor du minus gibst weil die rede ist von einen lesegerät in der news nicht von sms perso
außer dem gibt es bei paypal auch andere sachen außer sms
 
Mal davon abgesehen, dass ich dir kein Minus gegeben habe.

Ändert es nichts daran, dass sowohl die Banken die einen generator für die EC Karte anbieten, als auch Paypal die Möglichkeit der smsTAN bieten und diese zumindest bei PayPal kostenlos ist.

Mehr wollte ich nicht sagen.

Ein Kartenleser ist übrigens nirgends in der News erwähnt.
 
@sebastian2:was hat sms tan den bitte mit ein lesegerät zutun kläre mich da mal auf pevor du minus gibst weil die rede ist von einen lesegerät in der news nicht von sms perso
 
das ding heißt nPa und nicht ePerso..
 
ich hab noch was besseres....der alte PA im abgedunkelten Raum mit der Rückseite ans Licht gehalten ...da erscheint Satan persönlich.....hoffentlich jetzt die Gestapo nicht bei mir.....nicht von hinten sondern von vorn raufstrahlen....ihr werdet den Mund nicht mehr aufkriegen.....
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles