Was tun gegen Phishing?
Artikel erschienen in Swiss IT Magazine 2004/13
Haben sie mal von Phishing gehört? Phishing gilt derzeit als eine der populärsten Angriffsmethoden im Cyberspace. Angreifer benutzen oft gefälschte E-Mails und betrügerische Webseiten, um beispielsweise an sensible Finanz-Informationen des Opfers wie Kreditkarten-Nummern und Online-Banking-Passwörter heranzukommen.
Die Angreifer gehen bei Phishing- Attacken meisten nach dem exakt gleichen Muster vor: Sie verschicken ein perfekt gefälschtes E-Mail mit dem Absender der Hausbank des Opfers versehen, in dem dieser aufgefordert wird, seine Login-Informationen einzugeben. Als Grund wird häufig ein technisches Problem der Bank vorgeschoben. Bei der Begründung sind die Angreifer meist besonders kreativ: Alle Bankensysteme seien irreparabel abgestürzt, und man müsse deshalb die verlorenen Login-Daten wieder eingeben, oder die Bank habe eben eine neue Version ihres Online-Banking-Systems freigegeben, das doch mit dem beigefügten Link begutachtet und bei Gefallen aktiviert werden soll.
Solche Botschaften sollten Sie in höchste Alarmbereitschaft versetzen. Denn eine Bank wird Sie nie per E-Mail auffordern, persönliche Informationen eines Kontos anzugeben! Leider geben arglose Benutzer schön brav ihre Login-Informationen ein und bemerken nicht, dass sie sich nicht auf dem Webserver ihrer Bank befinden, sondern auf demjenigen des Angreifers, der meist sehr gut getarnt ist. So wird das Aussehen der Webseite perfekt kopiert, die Anzeige der Webadresse in der Adressenleiste des Browsers über spezifische Schwachstellen gefälscht oder eine Web-Adresse benutzt, die mit dem Original fast identisch ist.
Nach der Eingabe ihrer Login-Informationen kann sich dann der Angreifer ohne Probleme in ihren richtigen Account einwählen. Hier nützt auch ein zusätzliches, sich wechselndes Passwort nichts, das zum Beispiel in Form von Streichlisten bei der Züricher Kantonalbank zum Einsatz kommen, da das Opfer die aktuell gültige Kombination auf dem Angreifersystem gerade eingegeben hat. Der Angreifer hat damit Zeit, Ihr Konto zu plündern, bis sie sich das nächste Mal erfolgreich einwählen und die letzte Streichlistennummer ungültig wird. Agiert er besonders perfide, so wird er ihnen einen Dauerauftrag unterjubeln, der jeweils nur einen geringen Betrag überweist, den Sie nicht sofort bemerken. Nicht viel anders sieht es bei Banken wie etwa der Credit Suisse aus, die statt Streichlisten Hardware-Token einsetzen, bei denen das zweite Passwort auf einem Display abgelesen wird. Dieses ändert zwar alle 60 Sekunden und ist deshalb auch nur so lange gültig, doch auch hier kann ein gewiefter Angreifer die Eingaben automatisch übernehmen und sofort eine gültige Online-Banking-Session eröffnen. Besser sieht es beim so genannten «Challenge-Response»-Verfahren aus, dass zum Beispiel die UBS im Einsatz hat. Hier wird der Benutzer nach der Eingabe seiner Vertragsnummer aufgefordert, eine vom System dynamisch generierte Eingabenummer (Challenge) in seinen Kartenleser einzugeben. Erst dann erhält er sein Passwort (Response) vom Gerät und kann es nun für die definitive Einwahl benutzen. Ein Phishing-Angreifer braucht in seiner gefälschten Login-Maske also einen gültigen Challenge von der Bank, der erst nach der Eingabe der Vertragsnummer erscheint. Das ist dann doch nicht mehr so einfach zu realisieren, aber durchaus machbar. Ich kann Ihnen deshalb nur empfehlen, in keinem Fall auf E-Mail-Aufforderungen zu reagieren, denn Sie tragen das Risiko. Ist das Geld weg, wird die Bank wohl auf die Vertragsklauseln pochen, in denen steht, dass der Kunde das ganze Risiko trägt.