Hauptmenü

Startseite
Downloadzone...
Firmenindex
Hintergrundartikel...
Hoaxinfo...
Hot Links
Lexikon
RSS-Newsfeeds...
Online-Malwarescanner
Securitynews
Virendatenbank
Virenforum
Virennachrichten
Virenwarnungen
Virenweltkarte

Sicherheitsbarometer

<p>Ihr Browser kann leider keine eingebetteten Frames anzeigen</p>

Statistik

Datum:	31.07.10
Uhrzeit:	16:40:57
User online:	6
Heute:	167
Gestern:	288
Gesamt:	8525
Ihre IP:	38.107.191.103

Hintergrundartikel

Was ist eigentlich Phishing?

Arbeitsgruppe Identitätsschutz im Internet

Definition

Phishing umschreibt die Gruppe von Angriffen, die beabsichtigen mit gefälschten Email-Informationen, den Benutzer auf einen Angreifer-Server zu leiten. Phishing-Mails sehen wie vertraute Nachrichten aus, beinhalten aber in der Regel trügerische Hyperlinks, die auf einen falschen Web-Server referenzieren, der die tatsächliche Seite imitiert. Im Gegensatz zu Spam nutzen Phishing-Mails ein Vertrauensverhältnis aus, d.h. der Empfänger glaubt vom eigentlichen Aussteller diese Nachricht erhalten zu haben. Ursache dieses Angriffs ist eine fehlende Authentifizierungsmöglichkeit im SMTP Protokoll, so dass die Email-Header manipuliert werden können, und der Angreifer Nachrichten unter falschen Namen verschicken kann.

Arbeitsweise

Phishing gibt es bislang in unterschiedlichen Ausprägungen, die in fünf Angriffsebenen kategorisiert werden können:

Level 0Benutzer erhält vertraute Email mit Formularfeldern zur Eingabe seiner persönlichen Daten

Level 1

Benutzer erhält vertraute Email, die zu einer gefälschten Seite führt, die nicht dem Original gleicht Level 2Benutzer erhält vertraute Email, die zu einer gefälschten Seite führt, die dem Original gleicht Level 3Benutzer erhält vertraute Email, die zu einer gefälschten Seite führt, die dem Original gleicht und die GUI nachbildet

Level 4Benutzer erhält vertraute Email, die Malware (z.B. Trojaner, Würmer, Viren) enthält

Eine Phishing Email ist allein nicht schädlich (außer sie beinhaltet bösartigen Anhang, Level 4). Der Schaden tritt erst in Kombination mit einem Visual Spoofing Angriff auf. Befindet sich der Benutzer einmal auf der falschen Webseite, so können seine privaten Daten, wie z.B. Benutzername, Passwort oder Kontonummer belauscht werden.

Die oben genannte Definition von Phishing kann um ein Schema erweitert werden, so dass auch neue Varianten des Phishings (z.B. Pharming) erfasst werden. Eine verallgemeinerte Definition von Phishing sei dann:

Phishing ist eine moderne Form des Trickbetruges (im Internet), die unter Ausnutzung eines vorgetäuschten Vertrauensverhältnisses dem Benutzer suggeriert, er kommuniziere mit einem gewünschten Dienst und mittels einer authentischen Applikation.

Dadurch ergibt sich ein Angriffsschema, das aus zwei elementaren Phasen besteht. In der ersten Phase wird der Benutzer auf eine gefälschte Webseite gelockt, diese Phase wird als Trägerphase bezeichnet. Die zweite Phase ist der tatsächliche Angriff; der Benutzer befindet sich auf der gefälschten Webseite und gibt unwissentlich seine persönlichen Daten an den Angreifer weiter. Die Phase wird als Täuschungphase bezeichnet. Es ist zu betonen, dass nicht nur der Inhalt einer Webseite nachgebildet werden kann, sondern unter Umständen auch Teile des User Interfaces eines Web-Browsers, die die eigentlichen Verbindungs- und Sicherheitsinformationen kaschieren. Wie weit des Maß der Fälschung reicht, hängt vom Angreifer ab.

Berücksichtigt man das oben erwähnte Angriffsschema, so sind beispielsweise folgende Angriffstechniken möglich:

Trägerphase

Email Spoofing/Scam (Auch als Phishing-Mail bekannt.
URL Obfuscation (Verschleierung der URL)
Homographische Attacken (Gebrauch von Internationalen Domain Namen, so dass der Benutzer einen vermeintlich echten Domain Namen glaubt zu sehen)
Cross-Site-Scripting
DNS Spoofing (Fälschung von DNS-Einträgen, auch als Pharming bezeichnet, Auflösung von Domain Namen zu IP-Adressen)
ARP Spoofing (ähnlich DNS-Spoofing, Fälschung von ARP-Tabellen, Auflösung von MAC IP-Adressen.)

Täuschungsphase

Frame Spoofing (Nur ein Teil des Webbrowsers, genauer: Frame, wird nachgebildet. Die Verbindungs- und Sicherheitsindikatoren des User Interfaces bleiben unberücksichtigt)
Visual Spoofing (Neue Variante des Web Spoofings mit Fokus auf Fälschung der Sicherheitsindikatoren. Der Benutzer glaubt in einer SSL-Umgebung zu sein.)
Doppelgänger Window Attack (Nachbildung eines Applikations-Fensters, das zur Authentifikation eines Benutzers auffordert, um Zugang zum WLAN zu erlangen.)

Phishing ist ein moderner Internetangriff, der bekannte Angriffstechniken neu kombiniert. Diese Techniken nutzen hauptsächlich Altlasten des Internets aus, wo durch sie schwierig zu kontrollieren sind. Schlussfolgernd kann zusammengefasst werden, dass aufgrund dieser modularen Struktur von Phishing-Angriffen, es schwierig sein wird, alle Varianten des Phishings mit einer einzigen Gegenmaßnahmen abzudecken. Viel mehr ist es sinnvoll, Sicherheitsmaßnahmen auf die einzelne, oben beschriebenen Phasen zu beziehen.

Schutzmaßnahmen

Die nachfolgenden Punkte werden auch als die "10 Gebote zum Schutz vor Phishing" bezeichnet. Um einen effektiven Schutz einzuhalten, muss rigoros die Reihenfolge der Regeln beachtet werden. Wichtig: Regel 1-3 müssen eingehalten werden, die restlichen Regeln können umgesetzt werden.

1. Pflegen Sie die Browser-Software regelmäßig mit aktuellen Sicherheits-Updates.
In den vergangenen Monaten haben Hersteller gängiger Browser maßgeblich ihre Produkte gegen Phishing-Angriffe resistenter gestaltet und browserspezifische Funktionen, welche von Phishern gerne ausgenutzt werden, eingeschränkt. Ein notwendiges Muss sind daher das Service Pack 2 für den Internet Explorer 6 (oder vergleichbare Updates anderer Browser), welches u.a. das Deaktivieren der Statuszeile durch Dritte untersagt und den Benutzer somit vertrauenswürdig über den Einsatz von SSL (Schlosssymbol in der Statuszeile) informiert. Der Gebrauch von SSL (ein kryptographisches Protokoll) sollte immer vorausgesetzt werden, wenn persönliche Informationen über das Internet übermittelt werden sollen, weil sie unter Umständen unverschlüsselt verschickt und als Folge manipuliert werden könnten.

2. überprüfen Sie das Sicherheitszertifikat der Webseite
Ein Doppelklick auf das Schlosssymbol in der Statuszeile öffnet ein Dialogfenster, welches Informationen über den Aussteller (Besitzer) der Webseite anzeigt. Das Digitale Zertifikat ähnelt einem Personalausweis, welche fälschungssicher die Identität des Ausstellers nachweist. Um sicherzustellen, dass sie auch tatsächlich auf der richtigen Seite ihre privaten Informationen übermitteln, müssen sie prüfen, ob

der im Sicherheitszertifikat angegebene (Domain) Name mit dem Namen der von Ihnen angeforderten Webseite übereinstimmt.
das Zertifikat von einer vertrauenswürdigen Partei (Zertifizierungsinstitution) ausgestellt wurde (wenn dem Browser die Zertifizierungsinstitution unvertraut ist, erscheint eine Fehlermeldung).
das Zertifikat gültig ist.

Ist einer der Punkte nicht erfüllt, sollten Sie davon absehen persönliche Informationen an die Seite weiterzugeben, sie könnte gefälscht sein. Bemerkung: Die Regel kann nur wirkungsvoll eingesetzt werden, wenn Regel 1 erfüllt ist!

3. überprüfen Sie, ob die Website gesichert ist, bevor kritische Daten eingegeben werden: Die URL sollte mit "https://" und nicht nur mit "http://" starten. Bemerkung: Beachten Sie, dass Phisher die Adresszeile fälschen könnten, so dass Sie unter Umständen eine gefälschte URL sehen könnten. Einen stärkeren Schutz erhalten Sie durch Regel 2.

4. Gehen Sie niemals über einen angebotenen Link zu der gewünschten Website, geben Sie stattdessen immer die entsprechende URL in den Browser ein.
Bemerkung: Diese Regel hilft nicht gegen Pharming. Nutzen sie Regel 1-3, um Pharming-Angriffe aufzudecken. Diese Angriffe sind dadurch gekennzeichnet, dass bei der überprüfung des Sicherheitszertifikates Unstimmigkeiten (z.B. das Zertifikat ist ungültig) entstehen.

5. Deaktivieren Sie Javascript im Browser, um Cross-Site-Scripting zu vermeiden, und den Windows Skripting Hosts (WSH), um die Ausführung von ungewollten Skripten zu unterdrücken.
Bemerkung: Es ist nicht nachgewiesen, dass Phishing-Angriffe ohne den Einsatz von Javascript auskommen. Fakt ist, dass sie den Spielraum der möglichen Täuschungsangriffe eingrenzen. Nachteilig ist, dass moderne Webseiten selten ohne den Gebrauch von Javascirpt dargestellt werden können.

6. öffnen Sie möglichst keine Mails von unbekannten Absendern und wenn doch, klicken Sie auf keinen darin enthaltenen Link und bestätigen Sie niemals Kontonummern, Passwörter oder andere geheime Daten nach einer Mail-Aufforderung - entsprechende Institute oder Firmen würden ein solches Vorgehen aus Sicherheitsgründen nie wählen.

7. Verifizieren Sie auffällige Mails von vertrauten Adressaten (wie zum Beispiel der eigenen Bank) mit einem kurzen Anruf.

8. Schließen Sie den Browser, falls die gewünschte Website in der Regel eine Authentifizierung verlangt und plötzlich ohne eine solche auszukommen scheint.

9. Installieren Sie Webfilter, die ihren Sperrkatalog ständig um gefälschte Webseiten erweitern.

10. Setzen Sie aktuelle Anti-Virenprogramme und Firewalls ein. Verwenden Sie die neuesten Signaturen. Bemerkung: Der Schritt sollte selbstverständlich sein, wenn sie das Internet zur Weitergabe persönlicher Daten nutzen.

Ziele von morgen

Bislang sind die Ziele von Phishing-Angriffen hauptsächlich Banken und B2C-Anbieter. Obwohl Phisher primär diese Zielgruppe ansprechen, sind weitere Angriffsziele vorstellbar, die sekundär zu aquivalenten wirtschaftlichen Schäden bei den Betroffenen führen können.

Ein Szenario: Phishing-Angriffe gegen die Deutsch Telekom haben gezeigt, dass eine Online-Rechnung auch nur ein Anhang mit Trojanern oder Viren sein kann. Obwohl gefährliche Angänge in Emails seit langem aus der Methodik der Spam-Mails bekannt sind, so ist bei einer Phishing-Mail ein Vertrauensverhältnis gegeben, was zum öffnen des Anhanges eher verleiten könnte. Dramatischer ist aber, dass die Online-Rechnung, welche Unternehmen zu markanten Kostenersparnissen verhelfen, in Verruf gerät. Wann weiß ein Kunde, wann er tatsächlich seine Rechnung erhält, und wann sie einen Angriff gegen ihn initiiert?

Ein anderes Szenario: Stellen wir uns einmal vor, ein Angreifer könnte jede Webseite und somit (fast) jeden Dienst im Internet nachbilden. Durch Pharming-Angriffe könnte er den Benutzer unwissend auf seine gefälschte Seite lotsen. Unter der Randbedingung wäre es auch möglich das Web-Interface von Mail-Portalen zu fälschen. Dann wäre es auch dem Angreifer ohne Problem möglich, persönliche Mails oder geheime Anhänge zu lesen. Die übermittlung von firmeninternen Inhalten wäre für die Konkurrenz sehr interessant.

Ein weiteres Szenario: Single Sign On Dienste wie .NET Passport verfolgen das Ziel, dem Benutzer den Einkauf im Internet zu erleichtern. Sie ersparen dem Benutzer das lästige, immer wiederkehrende Einloggen und Hinterlassen von Lieferadressen. Hierzu können auch Bankverbindungen gehören. Spielen wir das vorige Szenario durch. Was ist, wenn ein Phisher diesen Single Sign On Dienst nachbildet und den Benutzer auf die gefälschte Seite führt? Er erhält die Zugangsdaten und kann somit die persönlichen Informationen des Benutzers auslesen, die dort hinterlassen wurden. Ein ähnliches Problem ensteht, wie beim Passwortklau von eBay-Mitgliedern.

Die Liste der Dienste ist lang, weil persönliche Informationen von Internetanwendern fast überall abgespeichert werden. Viele Benutzer sind sich gar nicht bewusst, wo sie überall perönliche Informationen hinterlassen, die für einen Phisher lukrativ sein könnten.

Quelle: Arbeitsgruppe Identitätsschutz im Internet

Aktuelle Nachrichten

Trojanisches Pferd nutzt neue Angriffstechnik
In Windows stecken viele Komponenten, die den meisten Anwendern gar nicht bekannt sind.

The Pirate Bay: 4 Millionen Nutzerdatensätze abgegriffen
Ein argentinischer Hacker hat vier Millionen Datensätze des umstrittenen Torrent-Trackers The Pirate Bay abgegriffen