Können Banken Online-Haie entziehen?

Verbrecher stehlen häufig Kontodaten über gefälschte Websites. Danny Bradbury untersucht, ob verschiedene Registrierungsregeln betrug - stammen könnte oder ". Bank" würde es sofort tun

Asenior Polizist entsetzt MPs Anfang dieser Woche von behauptet, die Banken sind das Ausmaß des Online-Betrugs vertuschen, und dass Verluste aus Programmen wie "Phishing" sind wirklich weit größer als das Pfund 22,5 m für den ersten sechs Monaten dieses Jahres im Vereinigten Königreich (Banken verstecken Online-Betrug, Dezember 5) angekündigt.

Doch man würde denken, dass solche Betrügereien zu vermeiden sollte einfach sein. Wenn eine e-Mail, die angeblich von Ihrer Bank Sie fordert auf, klicken auf einen Link und geben Ihr Passwort ein, tun Sie? Menschen tun - und der britischen Banken offiziellen letzten Monat wird festgestellt, dass die Zahl der Phishing-Angriffe in den letzten 12 Monaten von ein paar hundert bis tausend gestiegen ist.

Diejenigen, die für sie fallen sind eher zu einem Link folgen, der aussieht wie der Name ihrer Bank, da es trivial, eine Bank Website imitieren durch Kopieren der Bilder und das Layout ist. Online-Betrüger, die vorgibt, Barclays Bank konnte nicht Www verwenden. Barclays.com; die Bank besitzt es bereits. Aber was ist mit Barclays-bankcard.co.uk? Diese Domain-Namen, die plausibel zu vielen aussehen wird, wurde auf Angebot am vergangenen Wochenende für Pfund 200: es war für den Verkauf bei Sedo, ein Online-Marktplatz für die Menschen zu Domain-Namen zu verkaufen. Sie könnten auch abgeholt haben myvisacard.eu für Euro 150 (101 Pfund) und Lloyds-Bank-tsb.co.uk für 200 Pfund. Oder wie wärs hsbcgroupuk.com für eine bloße $100 (50 Pfund)? Wir können vermuten, dass ähnliche Domain-Namen durch Phisher verwendet werden werden, aber wir nicht, dass beweisen können bis es passiert. Sein sollte nicht aber einige Prüfungen, den Handel mit Phisher-freundliche Domain-Namen zu verhindern?

"Es gibt keine Garantien gegen jemand ein Domain Name registrieren und verwenden es für Zwecke missbraucht," sagt Richard Martin, Business Security Consultant bei der UK clearing Bankengruppe Apacs. Barnaby Davis, Leiter des e-Banking für Barclays, sagt: "Wir sind weit über der tipping Point, wenn etwas getan werden muss, das macht es schwieriger, URLs zu registrieren oder die Folgen für den Missbrauch härter macht."

Aber Domain-Registrierung ist einfacher geworden, nicht härter. Websites sind mit generischen Top-Level-Domains wie .com, .net und .info sehr einfach, dank der hohen Automatisierungsgrad beteiligt zu registrieren.

Hoffnungsloser Fall Dieser Ansatz ermöglichte Online-Betrüger zu den beliebtesten Top-Level Domains über den Point Of No Return, Makel, sagt Mikko Hyppönen, chief Research Officer bei F-Secure Anti-Malware. ".com, .net und .de sind bereits ein hoffnungsloser Fall. Wir diejenigen nicht mehr beheben können,"er zuckt die Schultern.

.Com und .net TLDs sind bekannt, aber es gibt andere, die in der Dunkelheit schmachten. Wie oft sehen Sie eine Website mit der Endung .pro, die für Profis mit Anmeldeinformationen vorbehalten ist? Oder wie wärs .name, die für den einzelnen, ihren eigenen Namen registrieren entworfen wurde? .biz, ursprünglich für Unternehmen, ist nun weitgehend von Pornografen und Betrüger, verwendet, während nur wenige Unternehmen .jobs, ursprünglich für Beschäftigung-bezogenen Websites verwenden.

Kein Wunder also, dass Experten plädieren für Top-Level-Domains wie. Bank oder .secure, die tatsächlich einige nutzen haben könnte, wenn richtig verwaltet. Unter ihnen ist Hyppönen, der sagt: "die einzige wirkliche Möglichkeit, dieses Problem zu beheben ist, vergessen Sie die alten Domänen und kommen mit einer neuen, die nur von autorisierten Organisationen verwendet werden kann."

Strengen Hintergrundüberprüfungen für Organisationen registrieren wollen ausgeführt werden könnte, sagt er. Dies geschieht bereits für einige andere eigens kreierten Top-Level-Domains. Bewerber für einen .museum Namen müssen eine Überprüfung ihrer Mitgliedschaft in der Community Museum zum Beispiel ID erhalten. Paul Twomey lädt den Finanzsektor, seinen Fall zu machen. Er ist Präsident der Internet Corporation for Assigned Names and Numbers (Icann), regelt die Net Domain naming System und Lizenzen-Domain-Registrare.

Weitere Liberalisierung "Icann generische Namen unterstützen Organisation arbeitet eine Politik für die weitere Liberalisierung des Marktes für die Registrierung der neuen Top-Level-Domains zu ermöglichen", sagt er. ICANN trifft sich nächsten Monat in Sao Paulo zu diskutieren, wie der Bewerbungsprozess überarbeitet wird. "Ich erwarte, dass im Jahr 2007 kommen wird, durch. Es sicherlich Finanzdienstleistungssektor geben würde die Gelegenheit, ein '. ', die sie als Top-Level-Domain für den Finanzdienstleistungssektor alleine laufen konnte, Bank anzubieten", sagt er.

Martin-Ängste, die Politik in die Quere könnte die Technologie, argumentieren, dass Schritte zur Öffnung der Finanzmärkte Europas diese Wasser trüben könnte. "Was sind die Kriterien, unter denen eine Organisation als eine. Bank akzeptiert werden könnte?", fragt er. Nichtbanken-e-Commerce-Unternehmen enthalten zu erweitern, und die Situation wird noch düsterer.

Heute sind die Alternativen begrenzt. Inhaber von Marken müssen sehen Sie wegen Verstoßes gegen Domain-Registrierungen oder Wiederverkauf und erhöhen den Alarm selbst, sagt Jeremiah Johnston, general Counsel bei Sedo. "Es ist bis zu ihnen selbst und ihre Verbraucher zu schützen,", sagt er.

Banken machen die Arbeit. Barclays setzt Fremdleistungen systematisch um zu überprüfen für Domain-Namen, zu verletzen, antwortet Davis. Aber: "sogar mit einer erheblichen externen Ressource, es ist ein harter Kampf und das Volumen steigt."

Wie auch immer, das Gesetz und die Phisher Oper aen dramatisch unterschiedlichen Geschwindigkeiten. Icann und Landesebene Registrare haben Streitbeilegung Prozesse lösen diese Probleme, aber eine Beschwerde über Domain-Inhaberschaft eingereicht und rechtlich gelöst werden müssen. Dann muss das Unternehmen die Domain hosting mit einem Gerichtsbeschluss, die Domäne take down ausgegeben werden. Dies kann alle Monate dauern, während Phisher nur wenige Stunden benötigen, Hunderte von Kreditkartendaten über eine krumme Domain-Namen - zu stehlen in Minuten einstellbar.

"Es ist fast unmöglich, Menschen, die Registrierung von verschiedenen Domains zu stoppen. Es braucht einen anderen Ansatz mit schwerer globale Polizeiarbeit um wer was und wie, registrieren können "Davis schlägt. Er sieht Potenzial in einer Datenbank der verdächtige Wörter und vorhersehbare Rechtschreibfehler. Versuche, diese Namen zu registrieren können Alarme mit Registrare und Hosting-Unternehmen erhöhen.

"Es ist nicht so einfach," sagt Johnston, argumentieren, dass Markenrecht, in Kombination mit der Anzahl der Permutationen, die rund um einen Markennamen komplex genug ist, um solch ein Unterfangen erschweren. "Auch mit"Visum"für Prüfung Ple, wenn jemand Immigration Services unter visa.com, bieten wollte wäre, dass eine Markenverletzung nicht."

Aber wäre es nicht Wert Aufruf der Person kauft myvisacard.eu, nur um sicherzustellen, dass sie auf der Ebene? Das würde erfordern, dass manuelle Eingriffe in einen Prozess zur Automatisierung - gesteuert und das ist die Wurzel des Problems.

Auch Vorschläge von der Sicherheits- und Finanzwelt kombiniert werden nicht Phisher ganz zu stoppen. Es gibt immer andere Techniken, um Online-Betrug zu erleichtern. Eine System-Datei auf einem Windows-PC - die Hosts-Datei - Namen kann geändert werden, mit Trojaner-Software, um die denken, dass es eine seriöse Website besucht und leiten es in einen anderen PC zu machen. URL-spoofing-Angriffe haben in der Vergangenheit Browser Sicherheitslücken ausgenutzt.

Interessengruppen und Domäne Politiker zusammenbringen könnte lindern das Problem und reduzieren die Zahl der Opfer. Es wird immer diejenigen, die Anti-Phishing-Rat zu beherzigen, nicht. Aber sobald die Gemeinschaft alles, was, die es kann getan hat, der Rest könnte rechtmäßig als Triage.

· Nicht von Phishermen erwischt

Die Arbeitsweise und den Zweck, hat sich wenig verändert; nur die Früchte sind gewachsen. Phisher mit Zugang zu einer Bank, Amazon, eBay oder Paypal-Konto - die häufigsten Ziele - kann den unachtsamen Besitzer Tausende von Pfund in einer Angelegenheit von Stunden Kosten.

Nehmen Sie Warnung vor Phishing vermehren, auch die Betrügereien. Beachten Sie also die Schritte erforderlich, um nicht zum Opfer fallen.

· Geben Sie nicht Ihren Benutzernamen und Ihr Kennwort für jeden, der Sie e-Mails. Sie sollten es schon, wenn sie berechtigt sind. E-Mail ist ein unsicheres Medium: Es ist trivial, "Fälschen", From: Adresse, wie Spammer Millionen Mal am Tag zeigen.

· Erhalten Sie ein Mail-Programm mit Anti-Phishing-Systeme gebaut. Thunderbird (www.mozilla.com) ist kostenlos. Die neueste Version von Eudora (eudora.com) bedeutet, aber es wird wahrscheinlich in Thunderbird ab dem nächsten Jahr zusammengeführt werden.

· Wann erhalten Sie eine e-Mail, die angeblich über eBay, Amazon, Bank oder andere Transaktion - einschließlich derjenigen sagte: "Ihre Bestellung für ein Sony VAIO verarbeitet wurde" Wenn Sie noch nicht bestellt werden - halten Sie die Maus über eine URL in der Nachricht zu sehen, ob es passt. Wenn dies nicht der Fall ist, klicken Sie nicht auf.

· Bekommen Sie einen Browser, der Sie auf Phishing-Seiten aufmerksam machen wird. Unter Windows sind für Internet Explorer 7 und Firefox 2 und Opera 9.1 erwartet. Auf Apples OSX, nur Firefox 2 derzeit bietet dies.

Wenn Sie jeden Aspekt der Technologie Guardian kommentieren möchten, senden Sie Ihre e-Mails an tech