Die Sicht eines Betroffenen Die Sicht eines Betroffenen SEITE 1

Transkript

1 Die Sicht eines Betroffenen Die Sicht eines Betroffenen SEITE 1

2 Die Sicht eines Betroffenen Domain Pulse 9. Februar 2007 Daniel Eugster Leiter Prozess- und IT-Sicherheit / IKS Die Sicht eines Betroffenen SEITE 2

3 Agenda 1. Kurzvorstellung der Migros Bank 2. Phishing-Attacke gegen die Migros Bank a. Überblick der Geschehnisse b. Gefälschte Mail und Webseite c. Ablauf d. Vorbereitungen durch Betrüger 3. Migros Bank Domain-Namen a. Ausgangslage b. Risikoeinschätzung c. aktuelle Problematik bei der Migros Bank 4. Erwartungen & Anregungen an die Provider Die Sicht eines Betroffenen SEITE 3

4 Kurzvorstellung Migros Bank! Universalbank! 6. grösste Schweizer Bank! 28 Mia Bilanzsumme, 2 Mia Eigenkapital! 45 Mio Jahresgewinn! 1134 Personaleinheiten! 44 Niederlassungen und 25 Finanz Shops in der Schweiz! Internetbanking M-BancNet! Streichlistenverfahren & M-Card smart! rund M-BancNet Benutzer Die Sicht eines Betroffenen SEITE 4

5 Agenda 1. Kurzvorstellung der Migros Bank 2. Phishing-Attacke gegen die Migros Bank a. Überblick der Geschehnisse b. Gefälschte Mail und Webseite c. Ablauf d. Vorbereitungen durch Betrüger 3. Migros Bank Domain-Namen a. Ausgangslage b. Risikoeinschätzung c. aktuelle Problematik bei der Migros Bank 4. Erwartungen & Anregungen an die Provider Die Sicht eines Betroffenen SEITE 5

6 Phishing-Attacke gegen die Migros Bank! Breit gestreute s (Kunden & Nicht-Kunden)! deutsch, mit Schreibfehler! Aufforderung zur Eingabe der Legitimationsmittel! 5 Server mit gefälschten M-BancNet Loginseiten, weltweit verteilt! Nutzung so genannter Bot-Netze! Parallelen zu Attacken anderer Institute! Wenige Kunden haben Legitimationsmittel weitergegeben! Betrüger sind nicht bekannt! Kein Schaden Die Sicht eines Betroffenen SEITE 6

7 Phishing-Mail (1/2) gefälschter Absender Vertrauen gewinnen plausible Erklärung, Seriosität beweisen Die Sicht eines Betroffenen SEITE 7

8 Phishing-Mail (2/2) Vertrauen gewinnen, sanfter Druck Ziel der Phisher gefährlicher Link Druck ausüben Die Sicht eines Betroffenen SEITE 8

9 Betrügerische Webseite Schritt 1: ID & Passwort Schritt 2: Abfrage von 20 TAN Schritt 3: erneut 20 TAN Schritt 4: Bestätigung Die Sicht eines Betroffenen SEITE 9

10 Zeitlicher Ablauf (1/2) 21.8., Mail-Versand Erkennung / Flut von Kundenmeldungen Erste Kontaktnahme durch Medien Bildung Task Force, 1. Sitzung Stoppen M-BancNet-Zahlungsverkehr Kommunikation (Bandinfo, Internet, Pressecommunique, intern) Analyse s / Attacke Involvierung MELANI Köder setzen (Hürden eingebaut!) 3 von 5 betrügerischen Webseiten sind vom Netz genommen (MELANI) Die Sicht eines Betroffenen SEITE 10

11 Zeitlicher Ablauf (2/2) Betrügerische Zahlungen/Zugriffe erkannt (Köder, Kundenmeldungen) Verhaltensanalyse & Ableitung Suchkriterien Durchsuchen zurückgehaltener Zahlungen Freigabe M-BancNet-Zahlungsverkehr 2. Pressecommunique 5 von 5 betrügerischen Webseiten sind vom Netz genommen (MELANI) Laufendes Monitoring Auflösung Task Force, Stoppen der Monitoring-Aktivitäten Die Sicht eines Betroffenen SEITE 11

12 Vorbereitungen durch Betrüger! Hacken von Server für die gefälschten Webseiten! Einrichten der gefälschten Webseiten! Akquisition der Finanzagenten! Kaufen der -adressen! Erstellung Phishing-Mail auf deutsch! Kaufen von Bot-Netzen! Taktiken gegen Spamfilter, Virenschutz, Phishing-Schutz! Online-Sein des Betrügers! Kenntnisse über das M-BancNet (Demozugang)! Zeitnahe Instruktion an die Finanzagenten Fazit: organisierte Kriminalität Die Sicht eines Betroffenen SEITE 12

13 Agenda 1. Kurzvorstellung der Migros Bank 2. Phishing-Attacke gegen die Migros Bank a. Überblick der Geschehnisse b. Gefälschte Mail und Webseite c. Ablauf d. Vorbereitungen durch Betrüger 3. Migros Bank Domain-Namen a. Ausgangslage b. Risikoeinschätzung c. aktuelle Problematik bei der Migros Bank 4. Erwartungen & Anregungen an die Provider Die Sicht eines Betroffenen SEITE 13

14 Domain-Namen Ausgangslage! Dreisprachige Domain-Namen! CH orientiert! Automatische Umleitung bei ähnlichen Domain-Namen Die Sicht eines Betroffenen SEITE 14

15 Domain-Namen Risikoeinschätzung! Zunahme von Phishing! Kopierbarkeit von Webseiten -> Täuschung! Vorgaukeln der Vertrauenswürdigkeit! Verschleierungsmöglichkeiten mit SSL! Missbrauch von -adressen (Phishing, Rekrutierung Finanzagenten)! Publizierung von rufschädigendem, gesetzeswidrigem Inhalt Die Sicht eines Betroffenen SEITE 15

16 Domain-Namen aktuelle Probleme! Reservation aus Vietnam! Pseudo Finanzportal! Meldung durch MELANI! Reservation durch Dritten mit Profitabsichten! ohne Rücksprache Weiterleitung auf Migros Bank Hauptadresse! Reservation durch Dritte! Weiterleitung auf Antiquitätenplattform! erwirkte Freigabe, Domäne nach zwei Tagen erneut beansprucht! Reservation durch Zwischenhändler Die Sicht eines Betroffenen SEITE 16

17 Agenda 1. Kurzvorstellung der Migros Bank 2. Phishing-Attacke gegen die Migros Bank a. Überblick der Geschehnisse b. Gefälschte Mail und Webseite c. Ablauf d. Vorbereitungen durch Betrüger 3. Migros Bank Domain-Namen a. Ausgangslage b. Risikoeinschätzung c. aktuelle Problematik bei der Migros Bank 4. Erwartungen & Anregungen an die Provider Die Sicht eines Betroffenen SEITE 17

18 Erwartungen & Anregungen an die Provider! Phishing Filter! Filtern bzw. Stoppen von Phishing-Mails! falsche Absender, Link Täuschungen, Inhaltsprüfung! sehr schnelle Sperrung von Webseiten! schneller, unbürokratischer Prozess! Kein Domänenhandel / -missbrauch! Erkennen und Melden von Domänen-Missbrauch, auch mit SSL verschlüsselter Kommunikation! Verhindern von gefälschten Mail-Absendern! Plausibilisierung durch ISP (z.b. IP oder Signatur)! Schutz gegen Malicious Software, Spam! Enge Zusammenarbeit mit MELANI Die Sicht eines Betroffenen SEITE 18

19 Dankeschön Die Sicht eines Betroffenen SEITE 19

20 Die Sicht eines Betroffenen SEITE 20 Anhang

21 bis vor Kurzem Die Sicht eines Betroffenen SEITE 21

22 Weiterleitung von Die Sicht eines Betroffenen SEITE 22

23 Vorgaukeln der Vertrauenswürdigkeit (nicht reell, Beispiel) Die Sicht eines Betroffenen SEITE 23