Phishing. Victoria Ablinger, Denitsa Manova, Cornelia Zenz

Transkript

1 Phishing Victoria Ablinger, Denitsa Manova, Cornelia Zenz

2 Inhaltsverzeichnis Allgemeines zu Phishing Leveleinteilung Arten von Phishing Schutz gegen Phishing Beispiele

3 Was ist Phishing? Versuche, über gefälschte Internet- Adressen, oder Kurznachrichten, an sensible Daten zu gelangen Begriff ist ein englishes Wortspiel Zusammensetzung aus fishing ( angeln ) und P für Passwort häufig wird das H mit harvesting ( ernten ) erklärt Password harvesting fishing

4 Was ist Phishing? meist kriminelle Handlungen Verwendung von Techniken des Social Engineering Phisher: geben sich als vertrauenswürdige Personen aus versuchen an sensible Daten zu gelangen

5 Was ist Phishing? Versenden der Nachrichten meist per E- Mail oder Instant-Messaging Auffordern des Empfängers Eine präparierte Website zu besuchen oder sensible Daten am Telefon preiszugeben

6 Phishing Hintergrund Erster dokumentierter Phishing-Versuch 1996 in der Usenet-Newsgroup alt.onlineservice.america-online Begriff bereits zuvor in der Druckausgabe des Hacker-Magazins 2600 auf.

7 Wozu Phishing? Zugangsdaten/Passwörter Kreditkarteninformationen Online-Banking-Daten

8 Einteilung von Phishing Level 0 Der Angreifer sendet eine an das Opfer und fordert es auf per sensible Daten zurückzusenden Level 1 Klassisches Phishing Der Angreifer leitet sein Opfer auf eine Website dort erfolgt eine Aufforderung, sensible Daten einzugeben. Der Angreifer versucht nicht, eine offizielle Website zu verschleiern.

9 Einteilung Phishing Level 2 Ähnlich wie Level 1, jedoch versucht der Phisher einen Spoof-Angriff auf einen offizielle Webserver versucht. Der Phisher versucht, die offizielle Website zu imitieren Level 3 Ähnlich wie Level 2, der Angreifer setzt jedoch zusätzlich visuelle Verschleierung ein, um den Angriff zu verstecken. Umfasst die Fähigkeit der SSL/TLS Verbindungsmanipulation

10 Einteilung Phishing Level 4 Ähnlich wie Level 3, der Angreifer kann jedoch die Plattform, auf welcher der Browser ausführt, beeinträchtigen. Diese Attacken sind sehr mächtig, da sie dem Angreifer erlauben, Keylogger, Trojanische Pferde und andere schadhafte Software zu installieren.

11 Anti Phishing Working Group Allgemeine Fakten 2003 von Iron key gegründet Globale Non-Profit Organisation Über 3200 Mitglieder, davon mehr als 2000 Unternehmen

12 Anti Phishing Working Group Ziele Koordiniertes Vorgehen gegen Phishing Forum für Diskussionen über technologische Entwicklungen und mögliche Gegenmaßnahmen Informationsausstausch Ermittlung und Erfassung von Daten Informationsarchivierung

13 Gemeldete Phisingattacken

14 Phishingseiten

15 Betroffene Sektoren 100% 90% 80% 70% 60% 50% 40% 30% 20% Regierung Kleinanzeigen Soziale Netzwerke Spiele Sonstiges Auktionen Payment Services ISP Verkauf Finanz 10% 0%

16 Phishing Hosts 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% Ukraine Kazachstan Brasilien Hong Kong Niederlande Schweden Indien Ägypten Israel Thailand Italien Russland Kanada Frankreich Rumänien Taiwan Japan UK Deutschland China Korea USA

17 Top Level Domains

18 Arten von Phishing s Betonung der Dringlichkeit der Dateneingabe Gewinn in Aussicht gestellt Vereinzelt in schlechtem Deutsch verfasst Internetadresse wird beim Aufrufen der Seite ausblendet Überraschende Änderungen im Aussehen der vertrauten Log-in-Seite Fehlerhafte Links

19 Keine Persönliche anrede Kein richtiges Deutsch Betrügerischer Link

20 Arten von Phishing Geldwäsche Versenden einer Empfänger wird angeboten,dass Person A eine bestimmte Geldüberweisung auf sein Konto tätigen will 80 Prozent werden an eine Person B weiter überwiesen, 20 Prozent dürfen als Provision behalten werden

21 Arten von Phishing Smishing Versenden einer SMS Bestätigen eines Abonnements Aufruf einer angegebenen URL Vishing Anruf von unzähligen Telefonanschlüssen Ablauf eines Tonbandes Fragt nach sensilben Daten

22 Arten von Phishing URL-Spoofing Benutzer wird vorgetäuscht er befinde sich auf einer anderen Seite z.b statt

23 URL-Spoofing Merkmale Kyrillische Buchstaben Beispielsweise: Die Darstellung von a in kyrillisch - Adresse sieht gleich aus ist aber unterschiedlich auch bei c,e,o,p,x,y möglich Umlaute Originaladresse Fälschung

24 URL-Spoofing Merkmale Ähnliche Symbole großes i statt kleines l z.b statt eins statt kleines l z.b. statt ww.google.com

25 Schutz gegen Phishing Bedenken dass seriöse Unternehmen niemals Aufforderungen zur Bekanntgabe der sensibler Daten verschicken würden Vertrauliche Daten ausschließlich über SSL-verschlüsselte Seiten bekannt geben Link überprüfen wird zu einer andern URL umgeleitet als vorgegeben

26 Schutz gegen Phishing Virenschutzprogramme & Firewall aktivieren Link per Hand eingeben oder aus Favouriten wählen Anstatt Tan itan verwenden HBCI Verfahren mit Chipkartenleser nutzen

27 Schutz gegen Phishing Sicherheits Plug-Ins verwenden s auf Fehler untersuchen s von Unbekannten adressen nicht öffnen Führen Sie regelmäßig Sicherheitsupdates des von Ihnen verwendeten Internetbrowsers durch Hausverstand einsetzen!

28 Browserseitiger Schutz Die Domainnamen der Websites können gehasht und die Hashwerte in geeigneter Weise durch den Browser dargestellt werden (bspw. Zwei-Zeichen Symbol) Lexiaklisch ähnliche oder homographische Domain-Namen sehen dadurch signifikant unterschiedlich aus

29 Browserseitiger Schutz Webserver korrekt authentifizieren Überprüfen der SSL/TLS- Zertifikate Sicherstellung, das Zertifikat gültig ist Zertifikat-Fingerabdruck mit einem Referenzwert, der out-of-band empfangen wird vergleichen

30 Browserseitiger Schutz Webserver korrekt authentifizieren Vor der Eingabe eines Passwortes muss sich der Benutzer vergewissern, dass der Browser authentisch ist, um sich gegen visuelle Spoofing-Angriffe zu schützen. Unterstützt die Plattform trusted computing, hat er eine gewisse Sicherheit, dass der Browser tatsächlich authentisch ist.

31 TrustBar - Gründe Benutzer sind sich nicht ausreichend bewusst über die Website Identifikation Mechanismen in Browsern. Auch Web- Designer sind oft verwirrt über die Notwendigkeit einer sicheren Identifizierung von den Login-Formularen. Viele der bestehenden Web-Sites, z. B. PayPal, Amazon, ebay und andere, erfordern sensible Daten wie Benutzernamen und Passwörter.

32 TrustBar Sichere User Interface Prinzipien: Sicherheit soll Standard sein, und die Standards sollen sicher sein. Standard Einstellungen sollen eine angemessene Sicherheit darstellen, und by default sollen nur global vertraute, offensichtlich vertrauenswürdige Siten vertraut werden. Sicherheit soll benutzbar sein um zu nützen. Benutzer vermeiden oder deaktivieren Sicherheitsmechanismen, die schwer zu bedienen, störend oder nervig sind. Also, Sicherheitnutzung soll die natürlichste und einfachste Nutzung sein.

33 TrustBar Alertsmechanismen sollen einem aufmerksam machen. Sicherheitalertsmechanismen sollen ein klares, unterbrochenes Audio/Video-Signal nützen. Kryptographie ist in Griechisch, sprich: es ist nicht nachvollziehbar was eine Certificate Authority ist. Sicherheit und Vertrauen Indikatoren und Begriffe sollen für alle, sogar für naive Benutzer, klar sein; technische Iconen und Jargon sollen vermieden werden.

34 Was ist TrustBar? TrustBar ist ein sicheres User Interface Add-on für Browser. Es kontrolliert einen wesentlichen Bereich, der sich an der Spitze von jedem Browserfenster befindet, und es ist groß genug, um gut sichtbare Logos und andere graphische Iconen für Anmeldeinformation zu enthalten. TrustBar muss in jedem vom Browser geöffneten Fenster erscheinen. Es ist als Extension von dem Mozilla-Browser implementiert. Für geschützte Websiten identifiziert TrustBar den Site und das Certificate Authority, mit der Verwendung von Logos oder zumindest von Namen (anstatt URL). Für ungeschützte Websiten zeigt TrustBar gut sichtbare Warnungen. Level 1 der Phishingkategorien

35 Phoneytokens Große Anzahl an gefälschten Nutzdaten werden an den Phisher gesendet Richtlinien zur übertragung der Phoneytokens Zeitzone beachten Land beachten (keine deutschen Logindaten im US Amerikanischen Raum) Verhalten wie ein reales Opfer Wartezeit bis zur übertragung Mehrer IP-Adressen Level 3(?) der Phishingkategorien

36 Serverseitiger Schutz Webserver korrekt authentifizieren Wenn der Login-Prozess in zwei separate Phasen getrennt ist, dann kann der Benutzer seine ID in der ersten und seine Anmeldeinformationen in der zweiten Phase eingeben. Benutzer lehren, die Anmeldeinformationen nur einzugeben, wenn die zweite Seite personalisiert ist

37 Serverseitiger Schutz GeoTrust Siegel Dynamisch generierter Smart Icon Wird auf Website platziert Browser erstellt Siegel, Benutzer muss es über eine aktive vertrauenswürdige Partei validieren

38 Aktuelles

39 iphish Level 1 der Phishingkategorien Tested Schwachstellen bei mobilen Geräten (besonders iphone) bezüglich Eingabe, URL Display, Adresseingabe

40 iphish Eingabe Urls werden eher angetippt weil die Eingabe mühsam ist will man die ganze Url ansehn muss man Buchstabe für Buchstabe zurück gehen URL Display Urls werden abgekürzt

41 iphish Adress-Anzeige Ausblenden der Andress-Anzeige kann mit einer scrollto() funktion von Java Script realisiert werden Wenn der User in die Nähe zur Adressleiste kommt wird er autmoatisch auf eine vorbestimmte Stelle in der Mitte von der Website gebracht. Opera Browser auf Nintendo DS oder Wii zeigen gar keine URLs an

42 iphish Gegenmaßnahmen Kürzere URLs Mehr Plug-Ins für Mobilgeräte Händisch URLs eingeben

43 Quellen shing html

44 Niu, Yuan/ Hsu, Francis/Chen, Hao: iphish/ Phishing Vulnerabilities on Consumer Electronics,University of California, Davis Herzberg, Amir/ Gbara, Ahmad : TrustBar/ Protecting (even Naïve) Web Users from Spoofing and Phishing Attacks,Computer Science Department,Bar Ilan University BSI Forum Organ des Bundesamtes für Sicherheit in der Informationstechnik, 2008 #4, 16. Jahrgang