Phisher spezialisieren sich auf Bankkonten
Artikel erschienen in Swiss IT Magazine 2004/22
Als wären Spam, Viren und Spyware noch nicht genug der Übel für PC-Anwender, versuchen Internetbetrüger seit rund einem Jahr, mit Phishing-Attacken an vertrauliche Daten zu kommen. Die jüngste Internetplage, die zu Beginn eher sporadisch und vor allem in Nordamerika auftrat, wird zunehmend auch in Europa relevant. So erleichterten clevere Phisher im vergangenen August zwei Online-Kunden der deutschen Postbank um nicht weniger als 21'000 Euro. Ebenfalls im August berichtete Gartner, dass innert Jahresfrist in den USA unter anderem durch Phishing rund 2,4 Milliarden Dollar von Bankkonten gestohlen wurden.
Und die Zahl der aktiven Phishing-Sites nimmt zu: So haben etwa die Websense Security Labs im Oktober weltweit 1140 aktive Phishing-Sites gezählt, was einer Verdoppelung gegenüber dem Juni dieses Jahres entspricht. Seit Juli habe die Zahl der Sites um monatlich 25 Prozent zugenommen. Allerdings, so Websense, lebt eine Phishing-Site durchschnittlich auch nur 6,4 Tage.
Noch drastischer sieht der Content-Security-Spezialist SurfControl den starken Anstieg: So seien bereits acht Prozent der Spam-Fingerprints in dessen Datenbank Phishing-Mails, was seit Januar 2004 einer Steigerung um 1200 Prozent entspreche. Ausserdem würden die Phisher immer neue Kommunikationskanäle nutzen, um ihre Opfer zu rekrutieren. Neben Mail und Internet kommen mittlerweile auch Instant Messaging, Peer-to-Peer-Netze und sogar SMS zum Zug.
Phishing ist ein Kunstwort, das sich aus den beiden Ausdrücken «Password» und «fishing» zusammensetzt. Die Betrüger haben mittlerweile eine ganze Reihe von Tricks auf Lager, wie sie unbedarfte Anwender leimen können, die Vorgehensweise eines Phish-Zugs bleibt aber immer gleich:
Vorbereitung: Zunächst wird das Layout einer Webseite (vorzugsweise eines Finanzdienstleisters) möglichst genau kopiert und mit zusätzlichen Codezeilen versehen, über die die eingegebenen Daten wie Passwörter und andere Sicherheitselemente an ein Postfach bei einem Gratis-Mail-Provider, das anonym angelegt werden kann, übermittelt werden. Diese Seite legen die Betrüger zur weiteren Wahrung ihrer Anonymität irgendwo im Internet ab, vorzugsweise auf einem gehackten Server.
Angriff: Per Spam-Mail (in diesem Fall häufig auch «Scam» genannt) fordern die Phisher Tausende von Anwendern zur Eingabe ihrer Daten auf. Je mehr Empfänger angeschrieben werden, desto grösser ist die Chance, dass sich einer linken lässt.
Die Mails sind dem Stil der gefälschten Website nachempfunden und klingen möglichst offiziell. Ein Link in der Nachricht führt zur imitierten Website.
Absahnen: War die Mail-Nachricht clever genug verfasst, fallen mit hoher Wahrscheinlichkeit einige Leser darauf herein (laut Gartner rund fünf Prozent) und geben ihre Daten auf der falschen Website preis. Die Phisher holen die Informationen von ihrem Gratispostfach ab, verschaffen sich mit den so erbeuteten Sicherheitselementen Zugang zu den Konten des geneppten Anwenders und tätigen dort Transaktionen.
Nun könnte man meinen, dass ein so simples Strickmuster schnell durchschaut ist und nur wirklich unbedarfte Anwender darauf hereinfallen. Tatsächlich zählen aber immer wieder auch Internetprofis zu den Opfern der Phisher. Damit dies auch so bleibt und sich die Raubzüge weiter lohnen, operieren die Betrüger mit verschiedenen Tricks.
So werden etwa die Phishing-Mails vorzugsweise als HTML-Nachricht versandt. Der Link, der auf die gefälschte Seite führt, wird per JavaScript hinter einem echten Link versteckt – er lässt sich nur sichtbar machen, indem man den Quelltext der Mail begutachtet.
Einige Mails nutzen ein Script, das die Host-Datei eines Windows-Rechners verändert. In dieser sind Domainnamen und IP-Adressen einander zugeordnet und sie wird beim Aufruf einer Website zuerst abgerufen – ein DNS-Server kommt nur zum Einsatz, falls die Domäne nicht in der Host-Datei enthalten ist. Durch diesen Trick lotsen einen die Betrüger auf gefälschte Websites, selbst wenn man die URL von Hand eingibt oder Bookmarks benutzt.
Bereits in der Betreffzeile wird der Anwender aufgefordert, aktiv zu werden und seine Daten zu aktualisieren, weil etwa die Kreditkarte ablaufe, ein Account erneuert werden müsse oder die Daten komplett verlorengegangen seien. Der Befehlston der Zeile wirkt auf die menschliche Psyche und soll das normalerweise vorhandene Misstrauen ausschalten.
Weitere Tricks kommen auf der gefälschten Website zum Einsatz: Hier werden beispielsweise Domainnamen eingesetzt, die sich vom echten Domainnamen des Opfers nur wenig unterscheiden, zum Beispiel postbenk.de statt postbank.de. Dem eiligen Surfer fällt der kleine Fehler in der Adresszeile nicht auf, solange das restliche Seitendesign keine Anomalitäten aufweist. Alternativ kann per JavaScript auch die komplette Adresszeile gefälscht werden, so dass auch der kritische Anwender keine Auffälligkeiten mehr entdeckt.
Eine erst kurz vor Redaktionsschluss bekanntgewordene Variante nutzt einen Fehler im Such-Script von vielen Banken, mit dessen Hilfe eine gefälschte Seite unter der echten Domain eingeblendet werden kann – ein Unterschied zwischen der echten und der gefälschten Seite ist in der Praxis kaum mehr zu erkennen, wie SurfControl, Entdecker dieser Methode, schreibt. Problematisch daran ist insbesondere, dass zur Nutzung dieser Technik offenbar keine Mail mehr verschickt werden muss. Die legitimen Benutzer der betroffenen Banken geraten eher zufällig über die Site-interne Suche auf die gefälschten Seiten und schöpfen keinerlei Verdacht.
Um gegen die dreisten Attacken der Phisher gefeit zu sein, reichen vielfach schon simple Massnahmen. Zunächst gilt es allerdings, den Angriff überhaupt zu erkennen, was am einfachsten bereits in der Phishing-Mail möglich ist. Häufig sitzen die Phisher nämlich im Ausland und sind der deutschen Sprache kaum mächtig, was sich in Sprachkonstrukten irgendwo zwischen unverständlichem Gebrabbel und Stilblüten der feinsten Art äussert – Rechtschreib- und Grammatikfehler, die auch von sehr seriösen Unternehmen am laufenden Band produziert werden, noch gar nicht eingerechnet.
Ein typisches Erkennungsmerkmal sind auch die Betreffzeilen der Mails, in denen der Leser aufgefordert wird, irgendwelche Konten oder Informationen aufzudatieren. Zu den Schlüsselwörtern gehören Account, Activate, Aktualisieren, Bank, Banking, Information, Update, Verify und ähnliches. Kommen mehrere dieser Wörter in derselben Betreffzeile vor, ist Vorsicht geboten.
Nicht zuletzt ist in einer Phishing-Mail ein Link vorhanden, den man anklicken soll. Stutzig sollte man werden, wenn in einer unverlangten Nachricht Links auftauchen.
Ausserdem gilt es zu beachten, dass eine seriöse Bank oder ein anderes Dienstleistungsunternehmen, das mit sensiblen (geschützten) Kundendaten arbeitet, niemals per E-Mail zum Update der geschützten Daten auffordern würde.
Aus diesen Informationen leiten sich auch die Schutzmassnahmen gegen Phishing ab:
In Zeiten von per E-Mail transportierten Viren sollten Mails aus einer unbekannten Quelle schon gar nicht erst geöffnet werden, unabhängig davon, wie vertrauenswürdig sie scheinen.
Niemals sollte man auf Links in unverlangt erhaltenen Mails klicken, schon gar nicht, wenn man im Befehlston dazu aufgefordert wird. Im Zweifelsfall kann man den Link in der Adressleiste des Browsers abtippen, was zumindest den JavaScript-Umleitmechanismus ausser Gefecht setzt.
Gerät man doch über einen Link in einer Mail auf eine Site, die ein Login mit Kontodaten oder ähnlichem verlangt, sollte man die Aktion abbrechen.
3 Die Adresszeile des Browser sollte im Blick gehalten werden, damit unerwartete Domain-Wechsel oder kleine Unterschiede in der Schreibweise der Domäne erkannt werden. Solche Seiten sollten sofort verlassen werden.
Transaktionen, bei denen mit sensiblen Kundendaten, Passwörtern, Kontoinformationen oder Kreditkartennummern operiert wird, werden von Banken und vielen anderen Unternehmen ausschliesslich per geschützter Verbindung über HTTPS durchgeführt. Werden derartige Informationen auf einer normalen HTTP-Seite verlangt, sollte die Aktion unverzüglich abgebrochen und die Seite verlassen werden.
Die rudimentären Grundregeln der Computersicherheit, wonach etwa Passwörter und ähnliches weder per Mail verschickt noch unverschlüsselt gespeichert, Betriebssysteme und Browser regelmässig mit den aktuellsten Patches aufdatiert und Firewalls und Virenscanner installiert werden sollten, gelten natürlich weiterhin. Aber das sollte eigentlich selbstverständlich sein.
Als Empfänger einer Phishing-Mail sollte man zunächst versuchen herauszufinden, ob die Attacke bereits bekannt ist. Falls nicht, schickt man die Nachricht möglichst mitsamt allen Headern an das betreffende Unternehmen. Viele Firmen haben dazu einen speziellen Mail-Account eingerichtet (z.B. abuse@domain.com). Als Kopie sollte man die Mail an die Anti-Phishing Working Group senden, die Informationen über bekannte Attacken sammelt (reportphishing@antiphishing.org).
Falls man seine Daten aufgrund einer Phishing-Mail preisgegeben hat, gilt es herauszufinden, ob bereits eine Transaktion durchgeführt wurde. Ist dies nicht der Fall, kann man sein Konto sperren lassen (oder aber durch mehrmalige falsche Eingabe des Passworts selber sperren). Wurde dagegen bereits eine Abbuchung vorgenommen, kann man diese möglicherweise noch stornieren lassen.
Die Anti-Phishing Working Group hat sich dem Kampf gegen das Abfischen von persönlichen Daten verschrieben. Die 636 Mitglieder rekrutieren sich aus der Industrie und dem Finanzwesen, aber auch Behörden und ISPs machen mit. Auf ihrer Website sammelt die Working Group Phishing-Attacken und gibt Tips, wie man Phishing-Mails erkennt und was zu tun ist, wenn man auf einen Online-Betrug hereingefallen ist. Nach einer sehr aktiven Phase im ersten Halbjahr 2004 scheint das Engagement allerdings etwas eingeschlafen – derzeit sind einige Meldungen von neuen Phish-Zügen die einzigen aktuellen Inhalte.
Info: www.antiphishing.org
Mittlerweile haben auch einige Hersteller bemerkt, dass sie sich mit Anti-Phishing-Schutz in ihren Produkten gegen ihre Mitbewerber vorläufig noch abgrenzen können. So bietet etwa Earthlink mit der Earthlink Toolbar (www.earthlink.net/earthlinktoolbar/ download/) ein kostenloses Plug-in für den Internet Explorer, das mit einer grünen «Lampe» anzeigt, ob sich der Anwender tatsächlich auf der Website befindet, deren URL er eingegeben hat und angezeigt erhält. Eine vergleichbare Funktionalität bieten auch die Ebay Toolbar (www.ebay.ch, für IE), Spoofstick von Corestreet (www.corestreet.com/spoofstick, für IE und Firefox) sowie die Anti-Phishing Bar von Security Info (
www.securityinfo.ch/antiphishingbar.html, für IE).
Als erster Anbieter von E-Mail-Software ist Eudora auf den Anti-Phishing-Zug aufgesprungen. Die neueste Version 6.2 bietet eine Funktion, die die angezeigte URL in Mails mit der im Sourcecode eingetragenen vergleicht und so Phishing-Nachrichten erkennen soll.
Eine komplette Palette von Lösungen für Einzelplatzanwender bis hin zu Unternehmen bietet MailFrontier (www.mailfrontier.de). Die Produkte schützen vor Spam und Phishing-Mails; eine Demo-Version kann von der Website heruntergeladen werden.
Die bekannten Hersteller von Antiviren- und Antispam-Software halten sich beim Thema Phishing dagegen auffällig bedeckt. Viele sind zwar Mitglied bei der Anti-Phishing Working Group und manche wie Symantec mit Norton Internet Security 2005 haben Schutzfunktionen in ihre Software integriert, Informationen über Phishing sucht man auf ihren Websites aber meist vergebens.