Social Engineers gehen phishen

Phishing stellt ein Konzept für einen Angreifer dar, mit dem er auf einfache Weise eine grosse Zahl von Personen angreifen kann, ohne persönlich in Erscheinung treten zu müssen. Unter anderem deshalb stellt Phishing einen sehr beliebten Weg für Angriffe dar.


Das Konzept ist dabei das gleiche und lässt sich leicht erklären: Der Angreifer gibt sich dem potentiellen Opfer – zumeist per E-Mail – als eine vertrauenswürdige Person oder Organisation aus und versucht, dieses dazu zu bewegen, sensitive oder geheime Daten wie beispielsweise eine PIN oder Benutzernamen und Kennwort preiszugeben.

Dazu wird das potentielle Opfer in der Regel mit einer auf den ersten Blick sinnvollen Begründung angewiesen, eine scheinbar offizielle Webseite aufzurufen. Diese Webseite ist allerdings nur eine möglichst gute Kopie der originalen Webseite, die der Angegriffene vermeintlich aufruft. Dort werden dann die entsprechenden Daten abgefragt, nach erfolgreicher Eingabe erfolgt im Idealfall noch eine Weiterleitung auf die echte Webseite, so dass der Benutzer nicht einmal merkt, dass er zwei verschiedene Webseiten besucht hat.

Perfide Tricks

So simpel dieses Verfahren ist, es steht und fällt mit der Wahrscheinlichkeit, dass ein potentielles Opfer einem Link folgt und eine gefälschte Webseite besucht. Es gibt inzwischen verschiedene Techniken, die solche Angriffe erkennen sollen:



- Die offensichtlichste Frage ist, warum man eine Webseite aufrufen sollte, deren Adresse offensichtlich nicht der gewünschten entspricht. Die einfachste Lösung für den Angreifer ist, einen Link in seine E-Mail zu integrieren, dessen Text eine andere URL anzeigt als die URL, auf die tatsächlich verwiesen wird. Der Anwender glaubt so, Seite A zu besuchen, ruft tatsächlich aber Seite B auf. Sofern er im Webbrowser nicht noch einen Blick auf die Adressleiste wirft, fällt ihm der Unterschied zwischen den beiden Adressen eventuell nicht auf. Allerdings ist ein technischer Schutz gegen diese Art des Angriffs sehr einfach zu implementieren – E-Mail-Programme müssen schlichtweg alle Links blockieren, deren Text von der tatsächlichen URL abweicht.

- Seitdem internationale Domainnamen eine einigermassen weite Verbreitung gefunden haben, gibt es allerdings einen Trick, um dieses Problem als Angreifer zu umgehen. Statt die URL der originalen Webseite anzuzeigen und auf eine andere Webseite weiterzuleiten, wird als Adresse ein internationaler Domainname verwendet, der dem originalen Domainnamen gleicht, in dem aber ein bestimmtes Zeichen durch ein ähnlich aussehendes internationales Zeichen ersetzt wurde. Es gibt einige Zeichensätze für den osteuropäischen Raum, die Zeichen enthalten, die westlichen Zeichen extrem ähneln und die auf den ersten Blick nicht von diesen unterschieden werden können. Für den Computer stellen die beiden Zeichen aber verschiedene Zeichen dar, so dass ein Link samt Text auf eine andere Adresse verweisen kann als man als Anwender annehmen würde. Doch auch gegen diese Variante lassen sich leicht Massnahmen ergreifen – E-Mail-Programme müssen sämtliche Links blockieren, die auf internationale Domainnamen verweisen, oder – was für den Anwender bequemer ist – sie müssen die internationalen Domainnamen auflösen, so dass das untergeschobene Zeichen in seiner Klartextdarstellung deutlich wird.



- Um auch diesem Problem zu entgehen, gibt es eine weitere Taktik, die von Angreifern häufig eingesetzt wird: Um dem Benutzer eine gültige Domain vorzuspiegeln, wird auf die Angabe eines Benutzernamens in der URL zurückgegriffen. Laut http-Protokoll kann ein Benutzername in einer URL übergeben werden, indem dieser der Domain vorangestellt und durch ein @-Zeichen von der Domain getrennt wird. Wird nun ein Benutzername vorangestellt, der selbst wie eine Domain aussieht, kann diese Technik verschleiert werden, zumal die meisten Anwender diese Möglichkeit gar nicht kennen. Will ein Angreifer also beispielsweise eine Mail von Microsoft vorgaukeln, so kann er als URL folgenden Text angeben:
http://www.microsoft.com/germany@192.168.0.1



An Stelle der IP-Adresse kann er natürlich auch eine Domain angeben. Insbesondere wenn der Benutzername lang genug gewählt und noch eine scheinbare Session-ID angehängt wird, fällt ein solches Vorgehen nicht mehr allzusehr auf: http://www.microsoft.com/germany/SessionID=b6fxhEG75r42@192.168.0.1



Eine Möglichkeit, sich gegen diese Art des Angriffs technisch zu schützen, besteht darin, mit sogenannten Blacklists zu arbeiten. Dies wird beispielsweise vom Internet Explorer 7 genutzt, der eine über das Internet aktualisierbare Liste von Domains und IP-Adressen verfügt, die als Phishing-Seiten bekannt sind – sofern eine URL eine solche Domain oder IP enthält, warnt der Internet Explorer den Benutzer, dass es sich um eine Phishing-Webseite handeln könnte, und fragt nach, ob die Webseite wirklich aufgerufen werden soll.



Das wirksamste Mittel gegen Phishing ist letztlich aber kein technischer Schutz, sondern ein entsprechendes Training der Anwender, so dass diese ein Gefühl dafür bekommen, bei welchen E-Mails es sich um Phishing-Mails handeln könnte und diesen entsprechend skeptisch gegenüberstehen.

Arglose Anwender wollen ausgenutzt werden

Nun könnte man sich fragen, wer auf Phishing überhaupt hereinfällt – schliesslich sind solche E-Mails doch eigentlich offensichtlich, ebenso wie Spam in 99,9 Prozent der Fälle sofort als solcher zu identifizieren ist. Doch es gibt Faktoren, die Benutzer immer wieder dazu verleiten, auf solche betrügerischen E-Mails hereinzufallen. Insbesondere gehören dazu: Arglosigkeit, Druck und Eile.


Ein wesentliches Element von Phishing-E-Mails ist, dass sie dem potentiellen Opfer vorgaukeln, dass der Absender in seinem Interesse handeln würde – sei es nun das vermeintliche Kreditinstitut, das aus Sicherheitsgründen den Account des Onlinebanking mit Hilfe von PIN und TAN verifizieren lassen muss, oder angeblich das Auktionshaus Ebay, das eine neue und ganz spezielle Sicherheitsfunktion freischalten will, um das Konto vor Betrügern zu schützen.

Jedenfalls wird dem Anwender fast immer vorgegaukelt, dass ein Sicherheitsrisiko bestehe, wenn er die angepriesene Aktion nicht durchführen würde. Für jemanden, der in der IT-Branche tätig ist und tagtäglich mit Phishing-Mails Kontakt hat, ist es offensichtlich, dass es dem Absender hierbei nicht um den verbesserten Schutz des Kunden geht. Doch wie verhält es sich mit der Grosszahl von unbedarften Anwendern, die den Computer nur als Werkzeug einsetzen, um gelegentlich ein bisschen im Internet zu surfen, ein paar E-Mails zu lesen und zu schreiben und ein bisschen Onlinebanking zu betreiben? Selbst in Firmen, in denen ein Internetzugang fast selbstverständlich ist, kennt sich ein Grossteil der Arbeitnehmer eher schlecht als recht mit dem Internet und seinen Gefahren und Risiken aus.


Einem solchen unbedarften Anwender ist unter Umständen gar nicht klar, wie leicht sich der Absender einer Mail fälschen lässt – er liest in der Nachricht bloss etwas von einem potentiellen Sicherheitsrisiko für sich und dass ihm der angebliche Absender anbietet, diesem Sicherheitsrisiko zu entgehen, wenn er sich kurz neu legitimieren würde. Wer wollte da noch zweifeln?


Ebenso wie man den angegebenen Absender eines klassischen Briefes zunächst als den wahren Absender annimmt, so gilt dies auch für Mails. Der Unterschied liegt allerdings darin, dass Phishing per Briefpost zu teuer wäre, hier wirkt sich also der extrem kostengünstige Versand von Massen-Mails aus – irgend jemanden, der nicht argwöhnisch genug ist, erwischt ein Phisher unter Garantie immer.


Dieser Umstand muss Anwendern verdeutlicht werden, indem ihnen erläutert und gezeigt wird, wie leicht man solche Angaben wie den Absender einer E-Mail fälschen kann und welche Konsequenzen ein Eingehen auf eine solche Nachricht potentiell haben könnte. Wiederum ist hier in letzter Instanz keine technische Lösung wirksam, sondern nur der menschliche Verstand, der allerdings entsprechend geschult werden muss (siehe Artikel «Awareness» auf Seite 37).

Einbruch per Zeitdruck

Die beiden oben bereits angesprochenen Aspekte Druck und Eile können von einem Angreifer zusätzlich genutzt werden, um einen unbedarften Anwender in die Enge zu treiben und ihn dazu zu veranlassen, eine präparierte Webseite aufzurufen.


Das prinzipielle Verfahren ist dabei so elementar, dass es sogar tagtäglich in der uns umgebenden Werbung eingesetzt wird: «Sensations-Angebot, nur gültig bis zum 31. Dezember 2007! Jetzt zugreifen!» oder ähnliches liest man allerorten. Marketingfachleute wissen, dass solche Slogans funktionieren, da sie die potentiellen Kunden damit locken können, noch ein Schnäppchen zu machen, bevor es vielleicht nicht mehr verfügbar ist. Zu gross ist die Angst vieler Menschen, ein gutes Angebot zu verpassen.

Das gleiche Prinzip funktioniert bestens auch im Social Engineering: Je drängender, wichtiger und unverzichtbarer ein Angreifer sein Anliegen darstellt, desto eher werden seine Opfer darauf hereinfallen und der Bitte des Angreifers Folge leisten.
Dies ist ein weiterer Grund, warum Sicherheitslücken so beliebt in Phishing-E-Mails sind: Sie treten bekanntermassen relativ häufig auf, und die meisten Unternehmen versuchen, sich und ihre Kunden davor zu schützen. Es ist also verhältnismässig naheliegend, wenn ein Unternehmen seine Kunden per E-Mail warnt und sie auffordert, zu einer verbesserten Sicherheit beizutragen. Und da kein Anwender seine sensitiven Daten in falschen Händen wissen möchte, wird er auf die Phishing-E-Mail mit einer gewissen Wahrscheinlichkeit eingehen. Dass er dabei genau das erreicht, was er eigentlich vermeiden wollte – nämlich die Preisgabe seiner Daten –, merkt er leider oft erst viel zu spät.

Fazit

Übrigens – obwohl in diesem Artikel immer wieder die Rede von E-Mails war, die als Kommunikationsmittel für Phishing eingesetzt werden, so geschah dies nur exemplarisch. Phishing kann über fast alle Kommunikationsmedien stattfinden, von der E-Mail über Instant Messaging und Chat bis
hin zu Telefon- und sogar persönlichen Gesprächen. Hier heisst es also, ebenfalls entsprechend wachsam, skeptisch und argwöhnisch zu sein.



Insgesamt lässt sich Phishing – wie alle anderen Angriffe, die auf Social Engineering basieren – durch technische Massnahmen bestenfalls eindämmen, keinesfalls jedoch verhindern. Die einzige Lösung, die effektiv gegen Phishing wirkt, ist das Bewusstmachen der Gefahren, aber auch der Angriffstaktiken. Wer darüber Bescheid weiss und bei der Kommunikation mit Fremden nicht all zu leichtgläubig ist, sondern riskiert, lieber einmal zu vorsichtig zu sein als zu offen, der hat eine gute Basis, sich vor Social-Engineering-Angriffen zu schützen.

Fünf Aspekte, an denen man Phishing erkennt

Es gibt einige Aspekte, die man als Anwender beachten kann, um die meisten Phishing-Mails als solche zu erkennen. Diese sind:


1. Keine seriöse Firma, sei es ein Kreditinstitut, ein Auktionshaus oder ein anderes Unternehmen, fordert ihre Kunden auf elektronischem Wege auf, persönliche oder sensitive Daten preiszugeben.



2. Keine seriöse Firma spricht ihre Kunden in der elektronischen Kommunikation mit der Anrede «Sehr geehrter Kunde» oder «Sehr geehrte Damen und Herren» an, solche Anreden sind immer personalisiert.



3. Keine seriöse Firma wickelt Geschäfte im Internet über eine ungesicherte Verbindung ab. Fast alle Firmen, die Sicherheit ernstnehmen, bieten entweder zusätzlich oder ausschliesslich eine HTTPS-gesicherte Verbindung an, sobald es darum geht, persönliche Daten zu übertragen.



4. Keine seriöse Firma schreibt in fehlerhaftem Deutsch. E-Mails, die im grossen Stil an Kunden versendet werden, werden in der Regel etliche Male korrekturgelesen, bevor sie verschickt werden. Sätze wie «Gutes Tag liebe Kunde» weisen auf einen Betrugsversuch hin.



5. Keine seriöse Firma verschickt Sicherheitsupdates per E-Mail. Diese werden – im Idealfall digital signiert – auf einem zentralen Server bereitgestellt, von dem entweder der Anwender oder die Software diese Aktualisierungen herunterladen kann.



Als letzten Punkt gibt es noch eine Kleinigkeit zu erwähnen: Man sollte sich angewöhnen, kritische Adressen per Hand einzugeben, sie nicht als Links in E-Mails anzuklicken und auch nicht als Favoriten abzuspeichern, da beide manipuliert werden können. Gibt man die Adresse statt dessen per Hand ein, so kann man einigermassen sichergehen, tatsächlich auf der Webseite zu landen, die man erreichen wollte.