Phishing

Die Bezeichnung "Phishing" leitet sich von "Fischen (engl. fishing) nach persönlichen Daten" ab. Die Ersetzung von "F" durch "Ph" ergibt sich dabei aus der Kombination der englischen Worte Password und Harvesting, dazu kommt dann noch Fishing. Zu deutsch entspricht dies einer Kombination aus "Passwort", "ernten" und "angeln".

Phishing ist eine Form des Trickbetruges. Der Phisher schickt seinem Opfer offiziell wirkende Schreiben, meist E-Mails, die es verleiten sollen, wichtige Informationen, vor allem Passwörter, in gutem Glauben an den Täter preiszugeben.

Phishing-Angriffsziele sind Zugangsdaten, z. B. für Banken (Onlinebanking), Versandhäuser, Internet-Auktionshäuser, webbasierende Onlineberatungen oder Kontaktportale. Mit den gestohlenen Zugangsdaten kann der Phisher viel Schaden verursachen, wie etwa Vermögensschaden, Rufschaden durch z. B. eBay-Versteigerung gestohlener Waren unter falschem Namen, Missbrauch persönlicher Daten.

Nach dem Internetsicherheitsreport von Symantec vom 19.03.2007 sind 32 Prozent aller Phishing-Webseiten der Region EMEA (Europa, Mittlerer Osten, Afrika) in Deutschland ermittelt worden. Selbst weltweit steht das Land damit an zweiter Stelle nach den USA. Diese Zahlen unterstreichen deutlich, wie der Identitätsdiebstahl über das Netz weiter wächst. Die dort gesammelten Daten wie Passwörter, PINs und Kreditkartendaten werden häufig über so genannte Underground Economy Server von Kriminellen zum Weiterverkauf angeboten – schon für weniger als 10 US-Dollar können Kreditkartendaten online erworben werden.

Der Anteil der Privatnutzer an der Gesamtzahl von Angriffen liegt mit 86% weit vor der Branche der Finanzdienstleister mit 15% sowie weiteren Branchen (Bildungswesen, Gseundheitswesen, Telekommunikation u.a.) mit jeweils weniger als 1%.

Verteilung der Phishing-Webseiten in Europa:

Mehr dazu in der Pressemitteilung zum Symantec Sicherheitsreports.

zurück

E-Mail-Phishing

Die Phishing-Attacke beginnt mit einer persönlich gehaltenen, offiziell anmutenden E-Mail oder einem Massenversand von E-Mails. Der Empfänger soll eine Website besuchen, die unter einem Vorwand zur Eingabe seiner Zugangsdaten auffordert. Folgt er dieser Aufforderung, gelangen seine Zugangsdaten in die Hände der Urheber der Phishing-Attacke. Was dann folgt, soll nur noch nachträgliches Misstrauen des Opfers zerstreuen. Eine kurze Bestätigung oder eine falsche Fehlermeldung.

Eine andere Variante bindet ein Formular direkt innerhalb einer HTML-E-Mail ein, welches zur Eingabe der vertraulichen Daten auffordert und diese an die Urheber sendet.

zurück

Domain-Phishing

Gleiches Aussehen
	Die gefälschten Zielseiten haben meistens gefälschte Namen oder Bezeichnungen, die ähnlich klingen wie die offiziellen Seiten oder Firmen. Die Zielseiten mit dem Webformular haben das gleiche Aussehen wie die Originalseiten. Sie sind also nur sehr schwer als Fälschungen identifizierbar. Im Allgemeinen sollte der Anwender die originalen Internet-Seitenadressen z.B. seiner Bank kennen. Die Adresszeile des Webbrowsers verrät, falls er sich nicht auf der Originalwebsite befindet. Eine Adresszeile der Form z. B.: "http://217.257.123.67/security" verrät eindeutig, dass man sich nicht auf den Seiten einer Bank befindet. Deshalb werden Domainnamen (Internet-Adressnamen) benutzt, die den Bankadressen täuschend ähnlich sehen, z. B. "http://www.security-beispielbank.de"
Verwendung kyrillischer Buchstaben
	Noch schwerer zu erkennen ist die Verwendung von kyrillischen Buchstaben anstelle von Umlauten. Das kyrillische 'a' unterscheidet sich optisch in keiner Weise vom lateinischen "a". http://www.beispielbank.de Falls das "a" in "bank" kyrillisch dargestellt wird, ist die Adresse unterschiedlich, und somit falsch. Allerdings zeigt die Adresszeile des Browsers keinen sichtbaren Unterschied zur Original-Bankadresse. Diese Methode ist selbst für Experten erst bei genauerem Hinsehen zu durchschauen.
Trojaner
	Es wurden Trojaner entdeckt, die gezielt Manipulationen an der HOSTS-Datei des Betriebssystems vornahmen. In der HOST-Datei können rechnerindividuelle Umsetzungen hinterlegt werden. Eine Manupulation dieser Datei kann bewirken, dass anstatt Original-Site nur noch die gefälschte Site aufgerufen werden kann, obwohl die korrekte Adresse eingegeben wurde.
Vertipper-Domains
	Eine Organisation namens Unasi Inc. mit Sitz in Panama hat zielgerichtet etwa 150 Vertipper-Domains von Online-Sicherheitsunternehmen wie McAfee, MessageLabs and Symantec registriert hat. Die Webadressen weichen nur geringfügig vom Original ab, so etwa nortonaantivirus.com, f-secue.com oder auch mesagelabs.com. Das Online-Magazin ZDNet.de hat auf die zunehmende Bedrohung reagiert und in seinem Internetangebot ein Phishing-Center eingerichtet. Dort finden sich neben aktuellen Meldungen zahlreiche Sicherheitstipps und Links zu weiterführenden Informationen, darunter ein englischsprachiges Whitepaper, wie man seine Angestellten und Mitarbeiter vor Phishing-Mails schützt.
Phishing mit Frames
	Normalerweise kann eine Webseite den Inhalt anderer, parallel angezeigter Seiten aus anderen Domains nicht manipulieren. Es ist aber möglich, wenn die Seite aus einzelnen Frames besteht. Mittlerweile haben die meisten Browserhersteller nachgebessert, lediglich beim Internet Explorer ist die Voreinstellung immer noch, solche Cross-Domain-Manipulationen zu gestatten. Auf Seiten, die Frames einsetzen, lassen sich also nach wie vor perfekte Phishing-Fallen einrichten. Dabei zeigt die Adressleiste des IE die ursprüngliche URL an, der Frame mit dem Eingabeformular wird jedoch von den Fälschern kontrolliert. Um auch mit dem Internet Explorer sicherer zu sein , kann man die Option "Subframes zwischen verschiedenen Domänen bewegen" deaktivieren. Wie das geht, zeigt heise.de und c't Browsercheck.

- Alle oben genannten Beispieldomains sind frei erfunden -

(Quelle: http://de.wikipedia.org/wiki/Phishing#Website)

Nach einer Untersuchung von F-Secure, das vor kurzem mit seiner Forderung nach Einführung einer eigenen Top Level Domain .bank für Banken und Finanzinstitute für Schlagzeilen gesorgt hatte, hat sich die Zahl der inoffiziellen Bankseiten seit 2006 weiter erhöht. Nach Recherchen des F-Secure Teams gibt es zum Beispiel rund um die Citibank 810 registrierte Domains; im Jahr zuvor waren es "nur" 497. Beim britischen Bankhaus Lloyds stieg die Zahl von 994 Domains im Jahr 2006 auf inzwischen 1421 an. Dabei dient eine Vielzahl der Domains laut F-Secure als Köder, um an Kreditkartennummern und Passwörter von Bankkunden zu gelangen. Besonders auffällig ist, dass die falschen Webseiten inzwischen qualitativ derart professionell gestaltet sind, dass sie vom Original kaum mehr zu unterscheiden sind. Ob hier allerdings eine Endung .bank Abhilfe schaffen würde, bleibt umstritten, da in vielen Fällen die Nutzer beim Aufruf eines Internetangebots anhand der Top Level Domain keine Unterscheidung vornehmen.(Quelle:domainrecht/newsletter 377)

zurück

Umlaut-Phishing

Mit der Möglichkeit, Umlaute in URLs zu verwenden, entstanden neue Möglichkeiten der Adress-Namensverfälschung. Beispielsweise könnte eine Originaladresse lauten http://www.roemerbank.de (Bank frei erfunden) und als Fälschung http://www.römerbank.de. Die zwei Namen sind sachlich identisch, allerdings technisch unterschiedlich, denn sie werden im Hintergrund zu unterschiedlichen Adressen aufgelöst und können zu völlig unterschiedlichen Websites führen.

Beim Umlaut-Phishing, auch bekannt als "homographische Attacke", werden Zeichen wie zum Beispiel die Zahl "0" und der Buchstabe "o", die auf den ersten Blick identisch erscheinen, technisch jedoch zu völlig verschiedenen Internetangeboten verweisen können, jedenfalls theoretisch in Domains wie postbank.de missbraucht. Erhebliche Verwechslungsgefahr droht dabei durch die Zeichensätze zahlreicher verschiedener Sprachen, wie dem lateinischen und dem griechischen Alphabet, aber auch asiatischen Sprachen wie Chinesisch, Japanisch und Koreanisch.

Bereits im März 2005 zeigte sich ICANN besorgt über diese Schwachstelle, ohne jedoch ein Mittel parat zu haben, um dem Unwesen ein Ende zu setzen. Abhilfe sollte ein IDN-Arbeitskreis schaffen, der spontan ins Leben gerufen wurde und die Internet-Community um Meinung gebeten hatte.

zurück

Spear-Phishing

Im Gegensatz zu den bekannten Phishing-Kampagnen, die auf Zugangsdaten zum Online-Banking privater Internetnutzer zielen, geht es beim so genannten "Spear Phishing" um Unternehmensinformationen. Die Täter versenden gezielt Mails an Angestellte, um in geschützte Netzwerke einzudringen. Die Absender geben sich zum Beispiel als Kollegen oder Vorgesetzte aus, fragen unter einem Vorwand nach Passwörtern und Benutzernamen.

Dazu müssen sie im Vorfeld wesentlich mehr Aufwand betreiben als bei massenhaft versandten Phishing-Mails der üblichen Art. Sie müssen das Zielunternehmen genau studieren, Namen von Angestellten und deren Position im Unternehmen ermitteln. Dazu rufen sie beispielsweise in der Firma an und geben sich als Kunde oder Lieferant aus, fragen nach den für bestimmte Dinge zuständigen Personen und deren Mail-Adressen.

Ferner suchen die Täter im Internet, auch auf der Website des Unternehmens, nach allen Informationen, die für ihre Zwecke nützlich sein könnten. Haben sie dann Personen identifiziert, die lohnende Opfer sein könnten, senden sie ihre Mails. Erhalten sie die gewünschten Zugangsdaten, dringen sie in das interne Netzwerk ein und installieren Spionage-Programme. Diese sammeln vertrauliche Informationen und senden sie an die Täter.

Die ausspionierten Informationen können die Täter dann an ihre Auftraggeber, oft Konkurrenten des bespitzelten Unternehmens, weiter verkaufen. Die Informationen können aber auch für Erpressungen oder Betrügereien genutzt werden. Das öffentliche Ansehen einer Firma kann erheblichen Schaden erleiden, wenn solche Angriffe erfolgreich sind und bekannt werden. Dies zieht dann meist auch wirtschaftliche Schäden nach sich.

(Quelle:domainrecht/newsletter)

zurück

Phishing über Internet-Telefonie

Wie das US-Unternehmen Cloudmark Inc., Anbieter von Sicherheitssoftware im Messaging-Bereich, in einer Pressemitteilung berichtet, haben die Phishing-Betrüger inzwischen eine neue Variante entwickelt. Dabei geben sich die Absender als Bankinstitut aus und fordern die Adressaten dazu auf, eine in der eMail angegebene Telefonnummer zu wählen. Wer die Nummer anruft, landet in einem automatischen Telefonsystem; dort soll der Nutzer dann Informationen wie seine Kontonummer und die PIN bekannt geben. Konkret sind Cloudmark aktuell bereits zwei dieser neuartigen Angriffsversuche auf die persönlichen Daten bekannt geworden.

Wer auf Nummer Sicher gehen will, sollte bei sicherheitssensiblen Daten im Internet wie beim Online-Banking zum einen ein Internetangebot nicht über einen in einer eMail angegebenen Link, sondern direkt per Eingabe der Domain oder einen Bookmark zugreifen. Gleiches gilt zum anderen natürlich auch für Telefonnummern; hier sollte man seine Hausbank immer nur über die bereits bekannte oder dem Telefonbuch zu entnehmende Nummer anwählen; dann sollte das Risiko, zum Opfer derartiger Betrüger zu werden, denkbar gering bleiben.

(Quelle:domainrecht/newslette #310r)

zurück

Pharming

Als Pharming (oder auch DNS-Spoofing) bezeichnet man eine Attacke, bei der ein Angreifer die IP Adresse eines bekannten Domainnamens durch seine eigene ersetzt. Voraussetzung ist der Zugang zu einem DNS Server eines Providers. Alle Anfragen an diese Domain werden nun an die gefälschte IP Adresse weitergeleitet. Hinter dieser IP Adresse verbergen sich oft gefälschte Webseiten der Original-Domain, die den Nutzer dazu verleiten, seine Benutzerdaten und Passwörter einzugeben.

Das Pharming ist daher eine sehr effektive Möglichkeit, um Internetnutzer auf gefälschte Seiten zu leiten und dort eine Phishingattacke durchzuführen. Der Erfolg des Angreifers wird signifikant verbessert, weil er gezielt Dienste umleiten kann und von keiner Benutzerinteraktivität abgängig ist. Im Vergleich zu Phishing ist er nicht angewiesen, dass Benutzer auf gefälschte E-Mails reagieren. Auch die manuelle Eingabe der URL hilft dem Benutzer nicht, sich vor diesen Angriffen zu schützen. Sie laufen auf rein technischer Ebene ab: Der Angreifer kompromittiert die Infrastruktur des Internets.

Die Ursachen für Pharmingangriffe sind Schwachstellen in DNS-Servern, welche z.B. nicht ausreichend geschützt sind oder Fehler in der DNS-Software haben. Als Schutzmaßnahme hilft hier nur die Empfehlung an DNS-Administratoren, ihre zu wartenden Server ausreichend zu schützen und die aktuellste DNS-Software zu nutzen.

(Quelle: Arbeitsgruppe für Identitätsschgutz im Internet)

zurück

Domain-Kiting

Das von Bob Parsons, Gründer des US-Registrars GoDaddy, als so genanntes "Domain-Kiting" bezeichnete Kurzzeit-Registrieren von Domain-Namen entwickelt sich zum Millionen-Phänomen: nach Informationen von heise.de wurden in den vergangenen sieben Monaten von 205 Millionen .com-Domains 197 Millionen kurzfristig wieder gelöscht.

Übersetzen lässt sich der Begriff "Domain-Kiting" wohl am besten mit "Domain-Reiterei", in Anlehnung an ein Phänomen, das Juristen im Fall des bargeldlosen Zahlungsverkehrs als "Scheckreiterei" bezeichnen. Bei diesem Phänomen werden millionenfach Domain-Namen registriert, um sie schon nach wenigen Tagen wieder abzustoßen. Die Registrare nutzen dabei die kurze Zeit, Domains "antesten" zu können, bevor Gebühren fällig werden. In diesen wenigen Tagen platzieren sie unter der Domain einfache Suchmaschinenseiten mit weiter führenden und von Werbepartnern bezahlten Links. Durch die Masse an Domains und angeklickten Links oder Anzeigen sammeln sich auf diese Weise Millionen-Beträge mit denkbar geringem Aufwand an. Internetnutzer reagieren dagegen oft empört, wenn eine Domain erst frei, wenig später aber vergeben ist, um wiederum nur kurz darauf wieder registriert werden zu können.

Wie dringend der Handlungsbedarf ist, zeigt eine Untersuchung des US-Sicherheitsunternehmens MessageLabs. Danach nutzen Cyberkriminelle die Kurzzeit-Domains, um sie zum Spamversand in eMail-Adressen zu verwenden, bevor sie in Filtern als Spam erkannt werden können. Klassische Abwehrmechanismen wie "blacklists" für verdächtige Domains bleiben so ohne Wirkung.

(Quelle:domainrecht/newsletter 318)

zurück

Erkennung

Erfahrene Mail-Nutzer erkennen Phishing-E-Mails auf den ersten Blick, insbesondere anhand typischer Merkmale:

1.	Dringlichkeit: Es wird aufgefordert, schnellstmöglich etwas durchzuführen, oft eine angebliche "Sicherheitsüberprüfung", "Verifikation", "Freischaltung" oder andere wichtig klingende Aktionen.
2.	Abfrage sicherheitsrelevanter Informationen: entweder in einem Formular innerhalb der E-Mail oder auf einer verlinkten Website. Am häufigsten Passworte und TANs von Onlinebanking-Zugängen. Aber auch Passworte anderer Dienste sind denkbar (z.B. Versandhäuser, Online-Auktionshäuser).
3.	Webseite: Die E-Mail enthält einen Link zum Anklicken.
4.	Drohung: Es wird angedroht, bei Nichtbeachtung werde ein Zugang gesperrt, gelöscht oder etwas anderes Schlimmes oder Lästiges geschehe.
5.	Unpersönlich: Nur eine allgemeine Anrede wie "Sehr geehrter Kunde" oder "Sehr geehrtes Mitglied".
6.	Fehler: Rechtschreib- und Grammatikfehler im Text, beipielsweise "ae" anstatt "ä" oder ungebräuchliche Worte (beispielsweise "eintasten" anstatt "eingeben"). Hier ein Beispeltext vom Februar 2006: Sehr geehrter Kunde, obwohl Winterfeste schon vorbei sind, hat die Bankfuhrung fur ihre Kunden noch ein Geschenk zum Neuen Jahr vorbereitet. Vom 30. Januar bis 30. Februar konnen Sie das Geschenk in Geldaquivalent gewinnen. Dafur mussen Sie auf Ihr Konto gehen und die Bilanz nachprufen. Bitte den folgenden Link nutzen: www.sparkasse2006.de. Danke fur Ihre Aufmerksamkeit! Zum Neuen 2006 Jahr! (Quelle: http://www.heise.de)

E-Mails, in denen man nach persönlichen Daten wie Passwörter oder TANs gefragt wird, sind grundsätzlich gefälscht und können gelöscht werden, selbst wenn sie keine der oben genannten Merkmale aufweisen. Das gilt in gleicher Weise auch für Formulare auf Webseiten.

Sind Sie Opfer einer Phishingmail geworden, sollten Sie unverzüglich das betreffende Dienstleistungsunternehmen (Bank, Sparkasse, Versandhaus, Kontaktportal) informieren und die örtliche Kriminalpolizei einschalten. Die gefälschte E-Mail sollte gespeichert und weitergeleitet werden. Sofern noch selbständig möglich, sollten Sie Ihre Passwörter (PINs) unverzüglich ändern, damit die gestohlenen Originalpasswörter unbrauchbar werden.

zurück

Allgemein gilt: Banken und Versicherungen bitten nie um die Zusendung von Kreditkartennummern, PIN, TAN oder anderen Zugangsdaten per E-Mail, per SMS oder telefonisch. Finanzdienstleister senden bei sicherheitsrelevanten Fragen Briefe und Einschreiben via Briefpost bzw. man bittet um einen persönlichen Besuch des Kunden in der Filiale.

1.	Rufen Sie niemals die Websites sicherheitsrelevanter Dienste über einen Link aus einer unaufgefordert zugesandten E-Mail auf. URLs und E-Mail-Absenderadressen können gefälscht werden und sind nicht vertrauenswürdig
2.	Geben Sie die URL zum Onlinebanking immer von Hand in die Adresszeile des Browsers ein oder benutzen Sie im Browser gespeicherte Lesezeichen, die Sie zuvor sorgfältig angelegt haben. Vor Nutzung sicherheitsrelevanter Dienste sollten keine weiteren Browserfenster oder Tabs geöffnet sein.
3.	Nutzen Sie alternative Browser wie den aktuellen Firefox von Mozilla mit der Zusatzerweiterung Spoofstick. Diese Erweiterung zeigt den Namen der Internetadresse an, auf der man sich momentan wirklich befindet. Der in dem Betriebssystem Windows integrierte Browser Internet Explorer verfügt über keinerlei dieser Schutzmöglichkeiten.
4.	Prüfen Sie nach Möglichkeit die Verschlüsselung der Webseite, insbesondere den elektronischen Fingerabdruck (Fingerprint) des Zertifikats. Nur so können Sie zweifelsfrei sicherstellen, dass Sie tatsächlich mit dem Server des Anbieters (z.B. Bankrechner) verbunden sind. Der Dienstleister stellt Ihnen auf der Webseite oder auf Anfrage die nötigen Informationen zum Abgleich zur Verfügung.
5.	Seien Sie misstrauisch, wenn Sie unaufgefordert auf sicherheitsrelevante Bereiche angesprochen werden. Fragen Sie bei den Dienstanbietern nach, wenn Sie unsicher sind. Derartige Rückfragen liefern den Betreibern der betroffenen Dienste meist erst den Hinweis, dass eine Phishing-Attacke gegen ihre Kunden läuft.
6.	Sie sollten am Arbeitsplatz stets sehr vorsichtig sein, wem sie welche Informationen geben. Anfragen nach eigentlich vertraulichen Informationen, die von Kollegen, Vorgesetzten oder der IT-Abteilung zu kommen scheinen, sollten Sie durch telefonische Rückfrage bei der betreffenden Person absichern. Die geschulte Aufmerksamkeit von Angestellten, insbesondere solchen mit vielen Außenkontakten, ist die wirksamste Abwehrmaßnahme gegen Phishing-Angriffe.
7.	Am effektivsten bekämpft man Phishing-Seiten, in dem man sie findet und sperrt, bevor der Link dorthin über Massenmails an potenzielle Opfer verschickt wird. Ein Weg, Phishing-Seiten zu finden, geht über den Anbieter Domain Tools und dessen Dienst Mark Alert, der Anwender darüber informieren soll, wenn bei einem Registrar eine Domain registriert wird, die eigene Markenrechte verletzt. Das lässt sich allerdings nicht nur zum Verhindern vom Markenrechtsverletzungen einsetzen, sondern auch dazu, Seiten ausfindig zu machen, die Böses im Schilde führen. Lässt man sich alle Domainenanmeldungen melden, die den eigenen Markennamen in der Adresse führen, so kann man frühzeitig einschätzen, ob es sich um ein betrügerische Seite handelt und den Provider bzw. Hoster in Kenntnis setzen, um die Seite vom Netz zu nehmen.
8.	Eíne Möglichkeit, eingegangene Mails vor dem Öffnen zu testen, bietet Delfish, eine kostenlose Programmerweiterung für Microsoft Outlook und Outlook Express.

(Quellen: wikipedia.org, heise.de )

zurück

Hilfeservice

Die Arbeitsgruppe für Identitätsschgutz im Internet (A-I3) hat für Opfer von Phishing oder einer anderen Form des Identitätsmissbrauchs eine Hifeservice eingerichtet. Die Mitarbeiter sind zu folgenden Zeiten erreichbar:

(Quelle: A-I3 Arbeitsgruppe Identitätsschutz im Internet)

zurück