Phishing. Johannes Mory Daniela Pöll Sebastian Zanner

Transkript

1 Phishing Johannes Mory Daniela Pöll Sebastian Zanner

2 Einteilung Einleitung Daten & Zahlen Methoden & Strategien Gegenmaßnahmen

3 Ursprung Das Wort Phishing Der Begriff wurde in diesem Zusammenhang erstmals 1996 in der alt.2600 Hacker Newsgroup und dem zugehörigem Newsletter 2600 verwendet Er wurde von Hackern, die AOL Accounts von naiven Benutzern stahlen, verwendet Ein gestohlener Account wurde PHISH genannt Die Accounts wurden als eine Art Währung in der Szene gehandelt

4 Ursprung Warum die Analogie? Der Phisher fischt nach sensiblen Daten Der Köder ist die versendete Die Fische sind die Empfänger Der See ist die Masse der Internet User

5 Die Gegenwart

6 Die Gegenwart Phishing Phishing ist ein kriminelles Verhalten, das zum Ziel hat, durch Einsatz von Social-Engineering Methoden als auch durch direkte Angriffe auf das Computersystem des Benutzers, sensible persönliche Daten und Zugangsinformationen zu Benutzerkonten zu beschaffen. Phishing is a criminal mechanism employing both social engineering and technical subterfuge to steal consumers personal identity data and financial account credentials. Social engineering schemes use spoofed e- mails purporting to be from legitimate businesses and agencies to lead consumers to counterfeit websites designed to trick recipients into divulging financial data such as usernames and passwords. Technical subterfuge schemes plant crimeware onto PCs to steal credentials directly, often using systems to intercept consumers online account user names and passwords and to corrupt local navigational infrastructures to misdirect consumers to counterfeit websites (or authentic websitest hrough phisher-controlled proxies used to monitor and intercept consumers keystrokes). * *Definition der Anti Phishing Working Group

7 Die Gegenwart Social Engineering Phisher versenden massenhaft s mit der Intention durch Täuschung an diese Daten zu gelangen Mit verschiedensten Methoden wird versucht das Vertrauen des Empfängers zu gewinnen Generell versucht ein Phisher eine vertrauenswürdige Quelle vorzutäuschen: o Banken o Firmen o Staatliche Behörden o Freunde & Bekannte Dadurch soll der Leser auf vermeintlich seriöse Webseiten gelockt werden

8 Die Gegenwart Direkte Angriffsmethoden Unbemerktes Einschleußen von schadhaften Kode in das System Schadcode verpackt in scheinbar harmloser Software Beobachtung oder Manipulation des Verhaltens der Benutzer

9 Die Gegenwart Typen von Daten die gestohlen werden: o o o o o o o o Benutzernamen & Passwörter Kreditkartennummern Sozialversicherungsnummern PIN Codes Online-Banking PayPal Accounts Elektronische Bezahlsysteme Accounts zu Online-Spielen

10 Die Gegenwart Millionenschweres Geschäft Organisiert Information als Handelsware

11 Daten & Zahlen

12 Daten & Zahlen Woher seriöse Daten? Statistiken in diesem Abschnitt sind den sog. Phishing Reports der Anti Phishing Working Group entnommen Diese Berichte werden regelmäßig auf der Homepage der APWG veröffentlicht Beinhalten Statistiken und Trends zum Thema Phishing

13 Anti Phishing Working Group APWG Ist eine globale Non-Profit Organisation Gegründet 2003 von David Jevans, dem Gründer von Iron Key Iron Key: Internet Security Firma mit Verbindungen zur US- Regierung Über 3200 Mitglieder Firmen aus dem Bereich E-Commerce & IT Sicherheit Banken Handelsorganisationen Wissenschaftler Strafverfolgungsbehörden NGOs

14 Anti Phishing Working Group Mitgliedschaft Grundsätzlich ist die Mitgliedschaft nicht kostenlos Es gibt verschiedene Kategorien von Mitgliedschaften Premium Membership: $ / Jahr Berechtigt im APWG Steering Commitee zu sitzen Unbegrenzte Mitgliedschaft für alle Angestellten der Mitgliedsorganisation 3 garantierte Plätze bei APWG Events & Meetings Zugang zum Phishing Repository Zugang zu allen Arbeitsgruppen und Mailing-Listen Sponsoring Membership: $ 7500 / Jahr Firma erscheint als Sponsor auf der APWG Homepage Berechtigt Firmenprofile auf der APWG Homepage zu posten Unbegrenzte Mitgliedschaft für alle Angestellten der Mitgliedsorganisation 2 garantierte Plätze bei APWG Events & Meetings Zugang zum Phishing Repository sowie allen Arbeitsgruppen und Mailing-Listen

15 Anti Phishing Working Group Mitgliedschaft Corporate Membership: $ 5000 / Jahr Unbegrenzte Mitgliedschaft für alle Angestellten 1 garantierter Platz bei APWG Events & Meetings Zugang zu allen Arbeitsgruppen und Mailing-Listen Individual Membership: $ 2500 / Jahr Berechtigung zur Teilnahme an APWG Events & Meetings Zugang zu allen Arbeitsgruppen und Mailing-Listen Free Membership: Akademischer Bereich NGOs Regierungsvertreter Strafverfolgungsbehörden

16 Anti Phishing Working Group Ziele Gemeinsames, koordiniertes Vorgehen im Bereich Phishing Forum zur Diskussion über mögliche Maßnahmen & technologische Entwicklungen Informationsaustausch Ermittlung & Erfassung von Daten und Zahlen Archivierung dieser Informationen

17 Daten & Zahlen Gemeldete Phishingattacken

18 Daten & Zahlen Phishingseiten

19 Daten & Zahlen Phishingseiten Hosts USA China Korea

20 Daten & Zahlen Phishingseiten Hosts USA China Korea Kanada Schweden Ägypten

21 Daten & Zahlen Phishingseiten Top Level Domains

22 Daten & Zahlen Phishingseiten Lebensdauer (HH:MM:SS)

23 Daten & Zahlen Phishing ebay Betroffene Sektoren Facebook World of Warcraft Pay Pal JPMorgan Chase Bank VISA Mastercard

24 Daten & Zahlen Top Malware Infected Countries

25 Daten & Zahlen Type of Malware Created

26 Daten & Zahlen Wir groß ist der Schaden? o o o Seriöse Zahlen sind schwer zu erfassen Attackierte Firmen (Banken / Händler) geben keine Auskunft Schätzungen gehen weit auseinander Gartner: 3.5 Milliarden Javelin: 367 Millionen Microsoft: 61 Millionen

27 Methoden & Strategien

28 Methoden & Strategien direkte Aufforderung Es wird um Bekanntgabe persönlicher Daten gebeten Link Mail enthält Link, der auf eine gefälschte Website führt, in die dann die Benutzerdaten einzugeben sind Öffnen des Mails Aber auch nur das Öffnen eines Mails kann bereits zum Ablaufen eines Scripts im Hintergrund führen, ohne vom User bemerkt zu werden; das Script veranlasst dann die Weiterleitung auf eine gefälschte Website SMS SMi Shing direkte Aufforderung Link

29 Methoden & Strategien Spoofing ARP-Spoofing (Address Resolution Protocol ) ARP ist ein Netzwerkprotokoll, dass für eine Netzwerkadresse eine Hardwareadresse ermittelt und diese Zuordnung in einer Tabelle abspeichert Beim Angriff werden die ARP-Tabellen verändert, so dass der Angreifer mithören oder auch manipulieren kann = Man-in-the-Middle-Angriff DNS-Spoofing (Domain Name System) DNS ordnet dem Hostnamen /URL die zugehörige IP-Adresse zu Diese Zuordnung wird bei einem Angriff gefälscht und der User wird auf Phishing- Website weitergeleitet Website-Spoofing URL-Adresse der Phishing-Website ist der gewünschten URL-Adresse sehr ähnlich und sie sind kaum voneinander zu unterscheiden

30 Methoden & Strategien Beispiele für Website-Spoofing Original-Website: Phishing-Website: es wird statt kleinem "L" ein großes "i" verwendet es wird statt "i" ein kleines "L" verwendet

31 Methoden & Strategien Näheres zum letzten Beispiel: Original-Website: Phishing-Website: entspricht der Authentifizierung des Benutzers "register.example.com" bei dem Host Dieses URL Spoofing ermöglicht eine Sicherheitslücke im Browser, diese Sicherheitslücke wurde allerdings 2004 bei den gängigen Browsern geschlossen

32 Methoden & Strategien Popup-Fenster Beim Öffnen der Original-Website, wird ein Popup-Fenster geöffnet, das den Anschein erweckt, dass es zur gewünschten Website gehört und die Eingabe von Benutzerdaten fordert Malware Schadprogramm, das unerwünschte und evt. schädliche Funktionen ausführt Im Zusammenhang mit Phishing vor allem als Trojanisches Pferd, um sensible Daten (Passwörter, Kreditkartennummer, ) zu ermitteln

33 Methoden & Strategien Tabnabbing Tabbed Browsing wird für diese Technik ausgenutzt JavaScript-Code erkennt, wenn ein Tab von Aktiv auf Inaktiv wechselt im Inaktivmodus werden Favicon, Seitentitel und Inhalt verändert in Kombination mit History-Stealing wird eine Phishing-Website dargestellt, die aussieht wie eine vom User häufig besuchte Website, somit wird die URL nicht mehr kontrolliert und Benutzerdaten werden durch Einloggen bekannt gegeben

34 Methoden & Strategien Cross-Site-Scripting (XSS) Beim Cross-Site-Scripting handelt es sich um Manipulation der Benutzereingaben, die an eine Web-Anwendung übergeben werden können Durch Ausnutzung von Sicherheitslücken in der Anwendung kann ein Angreifer schädlichen Programmcode in eine für den Benutzer normalerweise korrekte Umgebung einbetten Oder er versucht eine gewisse Kontrolle über die Ausführung der Web- Anwendung zu erlangen, was er zu seinen Zwecken ausnutzen will Ist eine Art der HTML Injection Tritt dann auf, wenn eine Webanwendung Daten annimmt und diese Daten dann ungeprüft wieder zurück an den Browser schickt. z.b.: Suchmaschine zeigt in der Ergebnisseite das eingegebene Keyword ohne Überprüfung an

35 Methoden & Strategien Cross-Site-Scripting (XSS) Angriffsarten: Nicht-persistent oder Reflexiv: Schadcode wird nur temporär bei der Generierung der Website eingeschleust. Seite wird dynamisch für bestimmte Eingabedaten über die URL oder Formulare erzeugt. Persistente oder Beständige: Hier wird der Schadcode auf dem Webserver gespeichert und bei jedem Aufruf der Website ausgeführt. Dies ist möglich, wenn Benutzereingaben gespeichert und ohne Überprüfung angezeigt werden, z.b.: Gästebuch DOM-basierte oder Lokal: Hier ist der Webserver gar nicht beteiligt. Auch statische Websites mit Script Unterstützung sind dafür anfällig. Schadcode wird z.b.: über URL Paramater an ein clientseitiges Skript übergeben. Eine

36 Methoden & Strategien Spear-Phishing verfeinerte Art von Phishing mit gezieltem persönlichen Ansatz 1. Phase Vertrauen aufbauen: Angreifer bedient sich an sozialen Netzwerken, um an Informationen über sein Opfer zu kommen z.b. Freunde, Verwandte, Arbeitgeber, Ausbildung, und nimmt dann Kontakt mit dem Opfer in deren Namen auf 2. Phase starke Motivationen auslösen: z.b. Erbschaften, Angst vor finanziellen und gesundheitlichen Einbrüchen, Mitleid mit einem Schwererkrankten und dessen Angehörigen, 3. Phase Daten stehlen: Opfer werden gebeten, einem Link zu folgen und auf der entsprechenden Website alle möglichen Daten bekannt zu geben andere Variante: Hacken von Adressbüchern und Kontaktieren aller Personen im Namen des Besitzers

37 Methoden & Strategien Pharming Basiert auf dem zuvor beschriebenen DNS-Spoofing DNS-Protokoll wandelt Hostnamen in IP-Adresse um und umgekehrt, Angriff erfolgt auf die lokale hosts-datei und wird mittels Trojanischem Pferd oder Virus manipuliert Obwohl man die korrekte Web-Adresse eingegeben hat, wird man durch diese Manipulation auf ein gefälschte Website weitergeleitet Aufgrund der sehr guten Nachbildung sieht die Website dem Original täuschend ähnlich und ist kaum davon zu unterscheiden Angreifer gibt vor Teil eines internen Netzwerkes zu sein

38 Gegenmaßnahmen

39 Gegenmaßnahmen HTML-Darstellung und Java-Script deaktivieren Virenschutzprogramm und Firewall aktivieren Extended Validation-SSL-Zertifikate Zusätzliches Feld in der Adresszeile, in dem Zertifikats- und Domaininhaber im Wechsel mit der Zertifizierungsstelle eingeblendet werden Browserabhängig wird die Adresszeile grün eingefärbt Whois-Datenbank enthält Informationen zu Internet-Domains, IP-Adressen und deren Eigentümern, die abgefragt werden können Blacklist enthält Domains, -Adressen und IP-Adressen, die schon einmal negativ in Erscheinung getreten sind

40 Gegenmaßnahmen signaturgestützte HBCI-Verfahren mit Chipkarte Eingabe von TANs entfällt Für PIN-Eingabe wird ein Chipkartenleser mit eigenem PIN-Pad benötigt Der HBCI-Leser ist per Kabel an den Computer angeschlossen Der Leser erzeugt zusammen mit der Scheckkarte die TAN Weder der kryptografische Schlüssel der Karte kann ausgelesen werden, noch kann ein Trojaner den PIN bei der Eingabe ausspähen itan-verfahren (indizierte TAN) User kann nicht beliebigen TAN auswählen, sondern wird von Bank aufgefordert den TAN mit einem bestimmten Index einzugeben User muss innerhalb weniger Minuten mit der TAN-Eingabe reagieren

41 Gegenmaßnahmen Schutz vor ARP-Spoofing Statt mit ARP-Tabellen mit statischen Tabellen zur Umsetzung von IP-Adressen zu Hardware-Adressen arbeiten Intelligente Programme verwenden, die ARP-Antworten überwachen und kontrollieren und somit gefälschte ARP-Pakete erkennen Intrusion Detection System

42 Gegenmaßnahmen Echtzeit-Erkennung von Phishingseiten mittels Heuristiken Blacklists langsam Stattdessen Webseite beim Aufruf nach verschiedenen Heuristiken / Kriterien analysieren Anhand dieser Daten feststellen ob die Seite legitim ist Kann kombiniert werden mit Blacklists Zwei Ansatzpunkte für Analyse: URL und Content- / HTML-Anaylse

43 Gegenmaßnahmen URL Analyse Anzahl der und Double-Slashes IP-Adresse in der URL Port-Nummer in der URL Anzahl verdächtiger Triplets in der URL Top-Level-Domain und Hosting-Country Alter der Domain

44 Gegenmaßnahmen Content- / HTML-Analyse Lexikalische Analyse mit TF-IDF Algorithmus 5 höchst-gewichteten Ausdrücke bilden lexikalische Signatur Phishingseiten haben selbe Signatur wie die imitierte Seite Suche nach HTML Forms HTML <Title> Tag passt nicht zur Domain Viele HTML Links zur Originalseite Suche nach Images von bekannten Logos

45 Gegenmaßnahmen Schutz vor Cross-Site-Scripting Web Entwickler: Alle Eingabewerte müssen vor der Weiterverarbeitung geprüft werden Eine Whitelist an erlaubten Benutzereingaben definieren HTML-Metazeichen durch entsprechende Zeichenreferenzen ersetzen um HTML-Injections zu unterbinden

46 Gegenmaßnahmen Schutz vor Pharming Da Pharming-Angriffe meist auf nahe am Client liegende DNS-Caches bzw. einzelne Hosts erfolgen, hilft es, DNS-Server aus unterschiedlichen Netzen zu befragen; wenn die Antwort übereinstimmt, ist es sehr wahrscheinlich, dass kein Pharming-Angriff vorliegt Abfrage der IP-Adresse in einer Whois-Datenbank und Ermittlung des Blacklist- Status Benutzerkonto mit eingeschränkten Rechten für Internetzugriff erstellen und die Datei hosts.ini mit Schreibschutz versehen Bei sicheren Verbindungen (https-seiten) das Sicherheitszertifikat überprüfen

47 Phishing Vielen Dank für die Aufmerksamkeit!

48 Quellen Quellen Zhang, Hong, Cranor. CANTINA: A Content-Based Approach to Detecting Phishing Web Sites. In Proceedings of the 16th international conference on World Wide Web, pp Sheng, Wardman, Warner, Cranor, Hong, Zhang. An Empirical Analysis of Phishing Blacklists. CEAS 2009 Sixth Conference on and Anti-Spam, July 16-17, Mountain View, California USA.