Phishing

aus Wikipedia, der freien Enzyklopädie

Du hast neue Nachrichten auf deiner Diskussionsseite.

Dieser Phishing-Versuch, verkleidet als offizielle Mail von einer Bank, versucht den Bankkunden durch Täuschung zu bewegen, die Zugangsdaten zu seinem Konto auf der verlinkten Webseite des Phishers einzugeben. Typisch für Phishing-Mails ist das Logo des nachempfundenen Anbieters, oftmals eine Bank.

Phishing (engl. fishing = abfischen, die ursprünglich beim Kofferwort phreaking aufgetretene Abwandlung von f zu ph wird hier wegen der Konnotation der Hinterhältigkeit und betrügerischen Trickserei verwendet) ist eine Form des Trickbetrugs im Internet. Dabei wird per E-Mail versucht, den Empfänger irrezuführen und zur Herausgabe von Zugangsdaten und Passwörtern zu bewegen. Dies bezieht sich in den meisten Fällen auf Online-Banking und andere Bezahlsysteme.

[Bearbeiten] Überblick

Der Urheber einer Phishing-Attacke schickt seinem Opfer offiziell wirkende Schreiben als E-Mail, die es verleiten sollen, vertrauliche Informationen, vor allem Benutzernamen und Passwörter oder PIN und TAN von Online-Banking-Zugängen, im guten Glauben dem Täter preiszugeben. Übergibt der Besucher korrekte Daten, kann der Betrüger mit der abgefangenen PIN und TAN eine Geldüberweisung zulasten des Opfers tätigen.

Phishing-Angriffsziele sind Zugangsdaten, z. B. für Banken (Onlinebanking) oder Bezahlsysteme (z. B. PayPal), Versandhäuser, Internet-Auktionshäuser, webbasierende Onlineberatungen oder Kontaktportale. Mit den gestohlenen Zugangsdaten kann der Urheber der Phishing-Attacke die Identität seines Opfers übernehmen (Identity Theft) und in dessen Namen Handlungen ausführen. Durch den Missbrauch der persönlichen Daten entstehen beträchtliche Schäden in Form von Vermögensschäden (z. B. Überweisung von Geldbeträgen fremder Konten), Rufschädigung (z. B. Versteigerung gestohlener Waren unter fremdem Namen bei Online-Auktionen) oder Schäden durch Aufwendungen für Aufklärung und Wiedergutmachung. Über die Höhe der Schäden gibt es nur Schätzungen, die zwischen mehreren hundert Millionen Dollar und Milliarden-Beträgen variieren (Stand: Februar 2005).

Eine neuere Variante des Phishing wird auch als Spear-Phishing bezeichnet (abgeleitet von der englischen Übersetzung des Begriffs „Speer“), worunter ein gezielter Angriff zu verstehen ist. Hierbei beschafft sich der Angreifer z. B. über die Studentenvertretung einer Hochschule die Mailadressen der dort eingeschriebenen Studenten, um an diese gezielt eine Phishing Mail einer lokal ansässigen Bank oder Sparkasse zu übersenden. Die "Trefferquote" bei dieser Art von Phishing-Attacken ist ungleich höher als bei normalen Angriffen, da die Wahrscheinlichkeit, dass ein Student seine Bankverbindung bei diesem Institut unterhält, sehr hoch ist.

Eine weiterentwickelte Form des klassischen Phishing ist das Pharming.

[Bearbeiten] Geschichte

Phishing ist keine neue Erscheinung. Tatsächlich gab es unter dem Begriff Social Engineering ähnliche Betrugsversuche bereits lange bevor E-Mail und Internet zum alltäglichen Kommunikationsmittel wurden. Hier versuchten die Betrüger auf telefonischem Weg, sich das Vertrauen der Opfer zu erschleichen und ihnen vertrauliche Informationen zu entlocken. Ein aktuelles Beispiel dafür ist der Enkeltrick. Neu sind beim Phishing lediglich die Werkzeuge, die eine weitaus größere Verbreitung ermöglichen.

Die Anfänge des Phishings im Internet reichen bis zum Ende der 90er Jahre des 20. Jahrhunderts zurück. Damals wurden Nutzer von Instant Messengern wie z. B. ICQ per E-Mail aufgefordert, ihre Zugangsdaten in ein in der E-Mail enthaltenes Formular einzutragen. Mit den so erhaltenen Zugangsdaten konnten die Betrüger die Chat-Zugänge ihrer Opfer unter deren Identität nutzen.

[Bearbeiten] Methoden der Datenbeschaffung

Im Allgemeinen beginnt eine Phishing-Attacke mit einer persönlich gehaltenen, offiziell anmutenden E-Mail oder einem Massenversand von E-Mails. Der Empfänger soll eine betrügerische Website besuchen, die täuschend echt aussieht und unter einem Vorwand zur Eingabe seiner Zugangsdaten auffordert. Meistens wird das Opfer zusätzlich in falscher Sicherheit gewiegt, indem im Text das Problem des Datendiebstahls thematisiert wird und die Ausfüllung des Formulars nötig sei, damit ein „neuartiges Sicherheitskonzept“ wirksam werden kann. Folgt er dieser Aufforderung, gelangen seine Zugangsdaten in die Hände der Urheber der Phishing-Attacke. Was dann folgt, soll nur noch nachträgliches Misstrauen des Opfers zerstreuen. Eine kurze Bestätigung oder eine falsche Fehlermeldung.

Eine andere Variante bindet ein Formular direkt innerhalb einer HTML-E-Mail ein, das zur Eingabe der vertraulichen Daten auffordert und diese an die Urheber sendet. Auf eine Phishing-Website wird hierbei verzichtet.

[Bearbeiten] Methoden der Verschleierung

[Bearbeiten] E-Mail

Beispiel einer Phishing-Mail

Die E-Mail wird als HTML-E-Mail, eine E-Mail mit den grafischen Möglichkeiten von Webseiten, verfasst. Der Linktext zeigt die Originaladresse an, während das unsichtbare Linkziel auf die Adresse der gefälschten Website verweist.

Mit der Einbindung von HTML kann der im Mail-Programm sichtbare Link tatsächlich auf eine ganz andere Webseite verweisen. Zwar lässt sich ersehen, dass das Linkziel auf eine andere Webseite verweist. Allerdings können auch diese Angaben über Skripttechniken verfälscht werden, sofern das Mail-Programm solche Scripte (unnötigerweise) ausführt. In anderen Fällen wird der Link als Grafik dargestellt, um die Text-Erkennung durch automatische Filtersysteme zu erschweren. Auf dem Bildschirm des Anwenders erscheint dann zwar Text, dieser ist allerdings eine Grafik.

Bei Phishing wird meistens auch die E-Mail-Adresse des Absenders gefälscht, um die Mail echter aussehen zu lassen. Es wird auch beobachtet, dass Phishing-Mails Worte enthalten, die Bayes’sche Spamfilter ansprechen lassen.

[Bearbeiten] Webpräsenz

Phishing-Webseite

Die gefälschten Zielseiten haben meistens gefälschte Namen oder Bezeichnungen, die ähnlich klingen wie die offiziellen Seiten oder Firmen. Die Zielseiten mit dem Webformular haben das gleiche Aussehen wie die Originalseiten. Sie sind also nur sehr schwer als Fälschungen identifizierbar.

Mit der Möglichkeit, Umlaute in URLs zu verwenden, entstanden neue Möglichkeiten der Adress-Namensverfälschung. Beispielsweise könnte eine Originaladresse lauten http://www.roemerbank.example.com/ und als Fälschung http://www.römerbank.example.com/ Die zwei Namen sind sachlich identisch, allerdings technisch unterschiedlich, denn sie werden im Hintergrund zu unterschiedlichen Adressen aufgelöst und können zu völlig unterschiedlichen Websites führen.

Noch schwerer zu erkennen ist die Verwendung von Buchstaben aus anderen Alphabeten. So unterscheidet sich z. B. das kyrillische „а“ optisch in keiner Weise vom lateinischen „a“. http://www.beispielbank.example.com/ Falls das „a“ in „bank“ kyrillisch dargestellt wird, ist die Adresse unterschiedlich und somit falsch. Allerdings zeigt die Adresszeile des Browsers keinen sichtbaren Unterschied zur Original-Bankadresse.

Als generisches Schutzprotokoll vor Phishing-Attacken auf Basis von IDNs wurde das IdnCCD-Protokoll IDN Char Collision Detection entwickelt.

Es wurden Trojaner entdeckt, die gezielt Manipulationen an der Hosts-Datei des Betriebssystems vornahmen. In der Hosts-Datei können rechnerindividuelle Umsetzungen hinterlegt werden. Eine Manipulation dieser Datei kann bewirken, dass anstatt der Original-Site nur noch die gefälschte Site aufgerufen werden kann, obwohl die korrekte Adresse eingegeben wurde.

Siehe auch: Pharming

[Bearbeiten] SMS (SMiShing)

Hierbei wird per SMS z. B. eine "Abobestätigung" verschickt. Darin wird eine Internet-Adresse zur Abmeldung genannt, bei Besuch dieser Seite wird z. B. ein Trojaner untergeschoben.^[1]

[Bearbeiten] Schutz

Da die HTML-Darstellung und der Einsatz von Scripten bei den meisten Phishing-E-Mails eingesetzt werden, kann man bei seinem E-Mail-Programm die HTML-Darstellung sowie Java-Script deaktivieren. Auch sollten eigene E-Mails zumindest auch als reiner Text versendet werden, damit auch der Empfänger in seinem E-Mail-Programm die HTML-Darstellung deaktivieren und sich so vor Phishing-E-Mails schützen kann.

Phishing-Warnung unter Firefox 2.0

Warnung bei Thunderbird Mail

Die E-Mail-Filter einiger Antivirus-Programme können gefälschte Phishing-E-Mails erkennen und eliminieren. Voraussetzung dafür ist es, das Antivirus-Programm stets auf aktuellem Stand zu halten. Auch E-Mail-Programme wie z. B. Mozilla Thunderbird und Browser wie der Internet Explorer 7, Mozilla Firefox (2.0) oder Opera (9.10) warnen vor Phishingseiten. Der Phishingschutz basiert dabei entweder auf einer Blacklist, welche über das Internet aktualisiert wird, oder es werden typische Merkmale von Phishing-E-Mails wie z.B. Links auf IP-Adressen oder Links mit einem anderem Hostnamen als im Linktext überprüft.

Auch für MS Outlook gibt es eine Möglichkeit, sich vor gefährlichem Phishing zu schützen. Dabei wird eine Toolbar in MS Outlook eingebunden, und jede eingehende E-Mail kann auf gefährliche Links und verdächtige Header hin überprüft werden. Das Programm Delphish ist dabei kostenlos verfügbar und versetzt den Nutzer entweder in die Lage, eigenständig eine Entscheidung über ein mögliches Phishing zu treffen, oder es stuft die E-Mail automatisch als Phishing ein. Bei der automatischen Einstufung wird auf eine Datenbank mit Phishing-E-Mails zurückgegriffen, oder es werden die Links in der E-Mail auf verdächtige Merkmale hin überprüft.

Toolbars und E-Mail-Filter, die auf Blacklisten beruhen, sind prinzipbedingt auf die Aktualität der Blacklist angewiesen. Dies schränkt ihre Wirksamkeit bei neuen Phishingattacken deutlich ein.

Eine phishingresistente Möglichkeit, Onlinebankingtransaktionen durchzuführen, besteht darin, das signaturgestütze HBCI-Verfahren mit Chipkarte zu nutzen. Diese Variante des Onlinebankings ist darüber hinaus sehr komfortabel, da die Eingabe von TANs entfällt. Als weiterer Sicherheitsgewinn ist die sichere PIN-Eingabe (entsprechender Chipkartenleser mit eigenem PIN-Pad vorausgesetzt) zu nennen, bei der ein Belauschen der PIN-Eingabe mit einem Keylogger oder Trojaner nicht möglich ist. Demgegenüber stehen die Nachteile einer Softwareinstallation für HBCI, die notwendigen Installationen für den Kartenleser im Betriebssystem und damit die mangelnde Mobilität gegenüber. Auch wenn bisher keine massiven Angriffe gegen HBCI beobachtet wurden, bietet das Verfahren naturgemäß nur dann einen hohen Schutz, wenn das unterliegende Betriebssystem frei von Schadsoftware wie trojanischen Pferden ist.

Einen guten Schutz gegen Phishing bietet auch das iTAN-Verfahren (s. TAN). Es gibt allerdings (von Phishing zu unterscheidende) Man-in-the-middle Angriffe (s. Man-In-The-Middle-Angriff) gegen welche die iTAN wirkungslos ist. Eine detaillierte Diskussion zur Sicherheit findet sich in TAN.

Ein gesundes Misstrauen gegenüber dem unsicheren Medium E-Mail sowie das aufmerksame Lesen der Phishing-E-Mails ist ebenfalls hilfreich. Kein seriöses deutsches Kreditinstitut verlangt von seinen Kunden, „ein Form auszufüllen“ oder „TAN einzutasten“. Mangelhafte Grammatik und Orthographie sind zwar kein ausschließliches Merkmal für oder gegen Phishing, aber auf jeden Fall höchst verdächtig.

Weitere Merkmale, die häufig in Phishing-Mails anzutreffen sind, sind namenlose Anreden ("Sehr geehrter Kunde" - bei "echten" Newslettern ist die Anrede meistens direkt an den Adressaten, also z.B. "Sehr geehrter Herr XYZ") und eine vorgebliche besondere Dringlichkeit ("Wenn Sie nicht innerhalb der nächsten zwei Tage eine Verifikation durchführen wird ihr Konto/ihre Kreditkarte gesperrt"). Kein Unternehmen erwartet derart kurze Reaktionszeiten, und die meisten Banken und Sparkassen haben sowieso keine Maildaten von ihren Kunden, so dass bei wichtigen Mitteilungen meistens der Postweg gewählt wird.

[Bearbeiten] Beispiele

Anfang 2005 wurde eine Spam-E-Mail mit folgendem Wortlaut verschickt:

Sehr geehrter Kunde!
Wir sind erfreut, Ihnen mitzuteilen, dass Internet - Ueberweisungen
ueber unsere Bank noch sicherer geworden sind!
Leider wurde von uns in der letzten Zeit, trotz der Anwendung von
den TAN-Codes, eine ganze Reihe der Mitteldiebstaehle von den Konten
unserer Kunden durch den Internetzugriff festgestellt.
Zur Zeit kennen wir die Methodik nicht, die die Missetaeter für
die Entwendung der Angaben aus den TAN - Tabellen verwenden.
Um die Missetaeter zu ermitteln und die Geldmittel von unseren
Kunden unversehrt zu erhalten, haben wir entschieden, aus den
TAN - Tabellen von unseren Kunden zwei aufeinanderfolgenden
Codes zu entfernen.
Dafuer muessen Sie unsere Seite besuchen, wo Ihnen angeboten
wird, eine spezielle Form auszufuellen. In dieser Form werden
Sie ZWEI FOLGENDE TAN - CODEs, DIE SIE NOCH NICHT VERWENDET
HABEN, EINTASTEN.
 
Achtung! Verwenden Sie diese zwei Codes in der Zukunft nicht mehr!
Wenn bei der Mittelueberweisung von Ihrem Konto gerade diese
TAN - Codes verwendet werden, so wird es fuer uns bedeuten,
dass von Ihrem Konto eine nicht genehmigte Transitaktion ablaeuft
und Ihr Konto wird unverzueglich bis zur Klaerung der
Zahlungsumstaende gesperrt.
 
Diese Massnahme dient Ihnen und Ihrem Geld zum Schutze! Wir
bitten um Entschuldigung, wenn wir Ihnen die
Unannehmlichkeiten bereitet haben.
 
Mit freundlichen Gruessen,
Bankverwaltung

Sie forderte den Empfänger auf, einem Link zu folgen, der angeblich auf die Seiten der Postbank führen sollte, tatsächlich aber auf eine Phishingseite verwies. Diese fragte in fehlerhaftem Deutsch nach der PIN sowie zwei TANs. Nach Eingabe der Ziffern in die Formularfelder wurden die Eingabedaten zum Abruf durch den Betrüger abgespeichert. Der Besucher wurde an die öffentliche Postbank-Webadresse weitergeleitet.