white paper Phishing und Onlinebetrug Die neuesten Methoden und ihre Auswirkungen auf Unternehmen

Transkript

1 Phishing und Onlinebetrug Die neuesten Methoden und ihre Auswirkungen auf Unternehmen

2 Contents 1 Einleitung 2 Phishing auf dem Vormarsch 3 Die neuesten Betrugsmethoden 3 Spear-Phishing 3 Phishing bei Business Services 3 Phishing auf dem Nährboden der Krisenangst 4 Kombination aus Phishing und Malware 4 SSL-Stripping 4 Phishing über SMS, Telefon, soziale Netze und Twitter 5 Risiken und Abhilfe 5 Schutz für Ihr Unternehmen 6 EV-SSL: SSL-Zertifikate mit erweiterter Prüfung 6 Zeichen des Vertrauens 7 Aufklärung von Kunden und Mitarbeitern 8 Fazit 8 Weitere Informationen 8 VeriSign

3 Einleitung Unter Phishing leiden Privatpersonen wie Unternehmen gleichermaßen. Von Phishing dem Abfischen von Daten spricht man, wenn Onlineverbrecher PC-Nutzer über gefälschte s und Websites zur Preisgabe vertraulicher Daten (Kreditkartenangaben, Kennwörter usw.) bringen. Internetkriminalität verursacht jährlich einen Schaden von schätzungsweise 100 Mrd. US-Dollar. i Dabei probieren die Phisher ständig neue Methoden aus, wie im neuesten Bericht der Anti-Phishing Working Group (APWG) zu lesen ist. ii Sie ersinnen immer geschicktere Maschen, um Internetnutzer zu betrügen und auszunehmen. Phishing-Angriffe werden immer ausgeklügelter, schlagkräftiger und häufiger ausgeführt. Verschärft wird die Entwicklung durch die globale Rezession, denn diese liefert den Betrügern Steilvorlagen: Schnell reich werden klingt besonders verlockend für alle, denen der finanzielle Ruin droht. Verzweiflung über die eigene Lage ist außerdem ein guter Nährboden für Kriminalität: Vorgefertigte Phishing-Kits bahnen selbst technisch Unversierten den mühelosen Weg in die Cyberkriminalität. Die Zunahme von Phishing hat ernste Folgen für Unternehmen jeder Größe. Über ihnen hängt das Damoklesschwert des Identitätsdiebstahls, und jeder ihrer Mitarbeiter ist ein potenzielles Phishing-Opfer. Zusehends mehr seriöse Websites werden von Phishern mit Fälschungen und Schadprogrammen unterwandert es besteht also ein ganz konkretes Sicherheitsrisiko. Die generelle Angst vor Internetkriminalität beeinträchtigt das Onlinegeschäft von Unternehmen: Ein Drittel der Internetnutzer ist so besorgt, dass sie gar nicht online einkaufen. iii Noch nie waren Vertrauen und Sicherheit für kommerzielle Internetnutzer so wichtig wie heute. Unternehmen, die sich, ihre Mitarbeiter und Kunden wirkungsvoll schützen möchten, müssen sich mit Phishing wohl oder übel bewusst auseinandersetzen. 1

4 Phishing auf dem Vormarsch Phishing ist eine reale Gefahr für Unternehmen und ihre Kunden, die sich seit den ersten Angriffsversuchen vor etwa 10 Jahren enorm verbreitet hat. Experten zufolge werden weltweit täglich etwa acht Millionen Phishing-Versuche unternommen. iv Der neueste Bericht v der APWG vom Mai 2009 verzeichnet verschiedene Phishing-Angriffe in der zweiten Hälfte des Jahres 2008 eine Zunahme um 20 Prozent gegenüber der ersten Jahreshälfte! Ein Angriff besteht aus einer gefälschten Website und der Massenversendung von s, die die Empfänger auf diese Seite locken. Beunruhigende 81 Prozent dieser gefälschten Websites befanden sich auf schlecht geschützten oder gehackten Servern. Eine führende US-amerikanische Bank beziffert im APWG-Bericht den Schaden durch eine aktive Phishing-Site mit mindestens 300 US-Dollar stündlich. Sicherheitsexperten von VeriSign idefense zufolge wurden im Mai 2008 über Benutzer in den USA Opfer von Spear-Phishing- s, die angeblich von der Bundessteuerbehörde IRS, dem Bundessteuergericht oder dem Better Business Bureau (eine Art SCHUFA) stammten. 2

5 Die neuesten Betrugsmethoden Spear-Phishing Die Betrüger suchen inzwischen wesentlich gezielter nach Opfern als bisher. Neu ist die Masche des Spear-Phishing, bei der s an Kunden einer bestimmten Bank oder sonstiger seriöser Unternehmen gerichtet werden. Die Adressaten werden namentlich direkt angesprochen, die gestohlenen Identitäten für solche s lassen sich im Internet käuflich erwerben. Verbraucher sind nicht die einzigen Phishing-Opfer. Zusehends häufiger werden auch Mitarbeiter in Unternehmen von ausgebufften Kriminellen ausspioniert. Alle Angriffe sollen immer nur eines: Zugriff geben auf Bankdaten des Unternehmens, Kundendaten oder sonstige Informationen, die der Verbrecher für den Betrug benötigt. Nach Angaben von VeriSign idefense erreichte Spear-Phishing bei Unternehmen im April und Mai 2008 ein neues Hoch. Opfer sind meist Vertreter der Unternehmensführung oder leitende Angestellte. Die Zahlen sind alarmierend: über Unternehmensnutzer in 15 Monaten! Zielscheibe sind auch Fortune-500-Unternehmen, staatliche Institutionen, Finanzinstitute und große Anwaltskanzleien. Phishing bei Business Services Außer dem Spear-Phishing, das direkt auf Unternehmensangestellte abzielt, werden neuerdings auch Unternehmen attackiert, die Dienste wie Yahoo! oder Google AdWords verwenden. PhishTank berichtet von AdWords-Kunden, die s mit der Aufforderung zur Aktualisierung ihrer Kontodaten erhielten. vi So mancher Pechvogel gab daraufhin seine Kreditkartendaten auf einer gefälschten Website ein. Zur Steigerung der Webseitenaufrufe und Umsätze wird Onlinewerbung bekanntlich von vielen Unternehmen genutzt jedes von ihnen ein potenzielles Opfer. Phishing auf dem Nährboden der Krisenangst Die global schwankende Wirtschaftslage gibt Onlinekriminellen Steilvorlagen. Fusionen und Insolvenzen beherrschen die Schlagzeilen. Da wirken s, die angeblich von einer neu übernommenen oder vor der Auflösung stehenden Bank kommen, nur folgerichtig und fallen deshalb kaum auf. Hier ein paar Textbeispiele der US-Handelsbehörde Federal Trade Commission: vii Wir haben kürzlich die ABC-Bank übernommen. Aus Sicherheitsgründen ergeht folgende Warnung an unsere Onlinebanking-Kunden... Klicken Sie auf den untenstehenden Link, um Ihre Kontodaten zu aktualisieren. Die Hypothek für Ihre Immobilie wurde an unsere Bank übertragen. In diesem Zusammenhang prüfen wir die Kontodaten unserer Kunden. Klicken Sie hier, um Ihre Daten zu überprüfen und ggf. zu aktualisieren. Bei der Übernahme der XYZ-Bank kam es zu einem Verstoß gegen den Datenschutz. Möglicherweise fanden auch auf Ihrem Konto unberechtigte Transaktionen statt. Ob dies der Fall war, möchten wir gerne prüfen. Bitte klicken Sie auf den untenstehenden Link, um Ihre Identität zu bestätigen. Verständlich, dass ängstliche Sparer oder Hypothekenbesitzer auf so etwas reagieren. Die Menschen sind verunsichert, sorgen sich um ihr Erspartes oder haben paradoxerweise so viel Angst davor, per Internet bestohlen zu werden, dass sie derlei Warnungen unhinterfragt akzeptieren und befolgen. Ideale Opfer von Maschen à la Schnell reich werden oder Bankirrtum zu Ihren Gunsten sind überdies Menschen mit Geldsorgen. In einem solchen Klima ist für Banken und Onlinehändler ein noch stärkerer Schutz der persönlichen Daten ihrer Kunden geboten, wenn sie nicht deren Vertrauen verspielen möchten. Immer wieder fallen PC-Nutzer auf Phishing- Angriffe herein, die häufig kombiniert mit Malware- Angriffen erfolgen. Auch Verluste durch Betrug nehmen zu, weshalb die Nachfrage nach Sicherheitsund Betrugserkennungssystemen so groß ist. Avivah Litan, Vice President und Information Security Analyst, Gartner. (Quelle: Report: Phishing a Low-Paying, Low-Skills Job, Kelly Jackson Higgins, DarkReading, 7. Januar 2009) 3

6 Kombination aus Phishing und Malware Um die Erfolgsquoten zu steigern, werden Phishing-Angriffe gerne mit Malware (Schadprogrammen) kombiniert. AWPG verzeichnet eine signifikante Zunahme dieser Hybridform. Ein Beispiel: Sie erhalten eine echt wirkende E-Card- Mitteilung, die in Wirklichkeit aber Phishing ist. Sobald Sie auf den Link klicken, um die Karte anzuschauen, gelangen Sie auf eine gefälschte Website, von der aus sich ein Schadprogramm auf Ihrem PC installiert. Oder Sie erhalten eine , die Sie zum Software-Update auffordert. Statt des Patches wird jedoch Spyware auf Ihrem PC installiert, nachdem Sie auf den Download-Link geklickt haben. Über Phishing-Spyware und Keylogger-Programme (sie verfolgen die Tastatureingaben und Mausbewegungen des Benutzers) lassen sich Kontonummern, Benutzernamen, Kennwörter oder Kreditkartendaten ausspähen und das Ansteuern bestimmter Websites, etwa von Banken oder Onlineshops, beobachten. Ein weiterer Schädling, der beim Phishing zum Einsatz kommt, ist sogenannte Redirector- Software. Sie lenkt den Benutzer von einer echten auf eine gefälschte Website um. Phishing über SMS, Telefon, soziale Netze und Twitter Neuerdings werden arglose Onlinenutzer statt per mit SMS auf Malware-Seiten gelockt. Beim sogenannten SmiShing werden die Opfer per SMS beispielsweise über angebliche Probleme mit ihrem Bankkonto informiert. Sie sollen ihre Kontokarte reaktivieren und dazu eine bestimmte Nummer anrufen oder Website aufrufen. Auf dieser Site oder über ein automatisches Telefonsystem werden sie dann aufgefordert, die Kontonummer und den PIN-Code anzugeben. Noch ist diese Betrugsmasche zwar selten, ix aber die zunehmende Verbreitung von Smartphones und SMS als Alternative zu dürfte das bald ändern. Auch Internettelefonie, Instant Messaging und soziale Netze wie Twitter und Facebook könnten bald von Phishern als Plattform für die Suche nach neuen Opfern ausgenutzt werden. SSL-Stripping Per SSL-Stripping (Secure Sockets Layer) lassen sich ahnungslose Onlinenutzer von vertrauenswürdigen Websites mit SSL-Zertifikat zu täuschend ähnlich aussehenden Phishing-Sites umleiten. Durch Platzieren einer solchen Site zwischen dem Browser des Benutzers und der echten Website lassen sich Informationen ausspionieren, die der Benutzer als verschlüsselt und damit geschützt wähnte. Nach Forbes viii ist diese Technik noch neu, aber ihre Existenz verdeutlicht, wie wichtig ein klarer und zuverlässiger visueller Hinweis auf das hohe Sicherheitsniveau einer Website ist. Genau diesen leistet beispielsweise im Falle von EV-SSLzertifizierten Websites die grün unterlegte Browser-Adressleiste. 4

7 Risiken und Abhilfe Phishing betrifft alle Unternehmen. Hauptzielscheibe ist nach wie vor der Finanzsektor. Nicht minder gefährdet sind jedoch sonstige im Internet aktive Branchen und Bereiche: Auktionsanbieter, Telefongesellschaften, Onlinehändler, soziale Netze und sonstige Sammelbecken für finanzielle oder persönliche Daten. Phishing schädigt den guten Ruf eines Unternehmens und bewirkt einen direkten Umsatzverlust, weil in der Folge Kunden wegbleiben. Jedes Unternehmen leidet unter einem Diebstahl seiner Identität durch Phisher. Genauso schwer wiegen gegen Mitarbeiter gerichtete Versuche, persönliche oder Unternehmensdaten auszuspionieren. Der GAU aber tritt eindeutig ein, wenn Kundendaten betroffen sind. Negative Schlagzeilen unterminieren das Vertrauen in Ihr Unternehmen und treiben seinen Aktienwert in den Keller. Selbst bei Angriffen gegen die Konkurrenz bleiben Sie unter Umständen nicht ungeschoren: Denn sind die Kunden erst einmal richtig verunsichert, so halten sie die gesamte Branche für nicht mehr vertrauenswürdig und vermeiden sämtliche Onlinegeschäfte auch mit Ihnen. Schutz für Ihr Unternehmen Es gibt zwar keine Wunderwaffe, brauchbare technische Ansätze hingegen schon. Die gängigen Phishing-Methoden setzen ja darauf, die Internetnutzer auf betrügerische Websites zu locken. Hier setzen Schutzmechanismen wie SSL und EV SSL an: Sie verschlüsseln vertrauliche Informationen und geben beim Surfen die Sicherheit, dass die besuchte Website echt ist. Für eine wirkungsvolle Betrugsprävention und den Aufbau von Markenvertrauen fordern Best Practices für die Sicherheit strengste Verschlüsselungs- und Authentifizierungsmechanismen. SSL ist der weltweite Standard für Websicherheit und wird zur Verschlüsselung und zum Schutz von Daten eingesetzt, die mit dem HTTPS-Protokoll per Internet übertragen werden. Die Technik verhindert ein Ausspähen von Daten, indem sie diese zwischen dem Browser des Benutzers und Ihrem Server verschlüsselt. Alle gängigen Betriebssysteme, Browser, Internetanwendungen und Serverhardware-Komponenten unterstützen SSL. 5

8 EV-SSL: SSL-Zertifikate mit erweiterter Prüfung Als vertrauenbildende Maßnahme gegen Phishing müssen Sie Ihren Kunden zeigen können, dass Ihre Website tatsächlich echt ist. Die Lösung hierfür ist ein EV-SSL- Zertifikat. Es basiert auf strengeren Vergabekriterien und zeigt beim Surfen deutlich an, dass die besuchte Seite einem seriösen Unternehmen gehört. EV-SSL-Zertifikate sorgen für einen zuverlässigen Vertrauensaufbau bei Internetnutzern. In hochsicheren Browsern bewirken sie, dass die Adressleiste grün unterlegt wird und der Name des SSL-Zertifikatseigners und der Zertifizierungsstelle im Wechsel angezeigt werden. Abbildung 1 zeigt die grüne Adressleiste des Internet Explorer. Zeichen des Vertrauens Der Schutz der Identität Ihrer Kunden und Echtheit Ihrer Website mit einem SSL-Zertifikat ist eine Sache. Aber Ihre Kunden sollten über die Existenz dieses Schutzes auch Bescheid wissen. Das VeriSign-Secured -Siegel (Abbildung 2) ist das Symbol für Vertrauen schlechthin weltweit verbreitet und überall anerkannt. Ein Mausklick auf das Zeichen zeigt Ihnen den Namen des Zertifikatseigentümers, die Gültigkeit des Zertifikats und das Schutzniveau an und informiert außerdem über den Validierungsprozess zum Erhalt des Zertifikats. 67 Prozent der Internetnutzer in Deutschland halten Ausschau nach visuellen Sicherheitshinweisen wie dem VeriSign-Secured-Siegel, um sicherzugehen, dass sie auf einer sicheren Webseite sind. xi Abbildung 2: VeriSign-Secured -Siegel Abbildung 1: Grüne Adressleiste durch EV-SSL-Zertifikat Die grüne Leiste zeigt dem Website-Besucher an, dass der Datenverkehr verschlüsselt wird und dass die Zertifizierung nach den derzeit strengsten Kriterien erfolgte. Dieser visuelle Hinweis ist auch eine klare Ansage an die Phisher: Sie können nicht mehr darauf setzen, dass die Onlinenutzer schon nicht merken werden, ob die besuchte Seite echt ist oder nicht. Echte Websites werden immer geschickter imitiert. Ohne das EV-SSL-Zertifikat des betreffenden Unternehmens lässt sich sein Name allerdings nicht in die Adressleiste einblenden. Diese Informationen liegen außerhalb des Einflussbereichs der Phisher. Und gefälschte EV-SSL-Zertifikate zu erlangen, ist aufgrund der strikten Vergaberegeln ein Ding der Unmöglichkeit. 6

9 Aufklärung von Kunden und Mitarbeitern Abgesehen vom Einsatz von EV SSL, ist die Aufklärung von Kunden und Mitarbeitern über sicheres Verhalten im Internet und Maßnahmen zur Betrugsprävention wichtig. Weisen Sie auf typische Signale für Phishing hin: Schreibund Tippfehler (die allerdings immer seltener werden, da die Phisher dazulernen), allgemein gehaltene anstelle persönlicher Anrede, dringliche Handlungsaufforderungen, Warnmeldungen über den Kontostatus, Abfrage persönlicher Daten oder gefälschte Domainnamen und Links. Erklären Sie Ihren Kunden und Mitarbeitern außerdem, woran sie eine echte, sichere Website erkennen, bevor sie persönliche oder vertrauliche Informationen eingeben: grüne Adressleiste URL-Beginn mit https anstelle von http Beim Klick auf das Vorhängeschloss werden die Zertifikatsdaten für die aufgerufene Website angegeben. Aufklärung ist ein Grundpfeiler der Vertrauensbildung und hilft, Ängste vor Phishing abzubauen. Kombiniert mit einem EV-SSL-Zertifikat sorgt sie für eine optimale Akzeptanz Ihrer Website und ist eine Stütze für Ihr Geschäft. 7

10 Fazit Phishing wird sich weiterentwickeln. Es zielt auf menschliche Charaktereigenschaften wie Mitgefühl, Vertrauen oder Neugier ab. Aber Sie können etwas tun: Der Schutz Ihrer Marke und Ihres Unternehmens vor Phishing erfordert Sorgfalt und Aufmerksamkeit, bringt Ihnen aber wesentlich mehr als nur die Vermeidung konkreter Betrugsverluste. Durch Aufklärung Ihrer Kunden und optimalen Schutz Ihrer Website mit einem hochsicheren EV-SSL-Zertifikat baut Ihr Unternehmen Vertrauen in sein Internetangebot auf. Als Vorreiter in Sachen Onlinesicherheit stärken Sie außerdem Ihr Renommee, was sich sicher bald in Umsatzsteigerungen niederschlagen wird. Weitere Informationen Weitere Informationen erhalten Sie auf telefonisch unter oder nach an VeriSign VeriSign ist führender Anbieter von Internetinfrastrukturdiensten für die vernetzte Welt. Milliardenfach pro Tag unterstützt VeriSign Unternehmen und Kunden weltweit bei vertrauensvoller Kommunikation und zuverlässigem Handel. Weitere Informationen erhalten Sie unter 8

11 i Experts: Cyber-crime as Destructive as Credit Crisis, Reuters, eweek.com, 19. November 2008 ii APWG: iii Ofcom-Pressemitteilung und -Bericht: iv Counterfeiting & Spear Phishing Growth Scams of 2009, Trade Me, Infonews.co.nz, 2. März 2009 v Global Phishing Survey: Trends and Domain Name Use H vi PhishTank AdWords scam: vii FTC Consumer Alert: Bank Failures, Mergers and Takeovers: A Phish-erman s Special, viii SSL-Stripping: ix Smishing: VeriSign, Inc. Alle Rechte vorbehalten. VeriSign, das VeriSign-Logo, das Kreislogo mit dem Häkchen und andere Marken, Servicemarken und Entwürfe sind eingetragene oder nicht eingetragene Marken von VeriSign, Inc. und seinen Tochtergesellschaften in den USA und anderen Ländern. Alle anderen Marken sind Eigentum der jeweiligen Inhaber