Phishing Victoria Ablinger, Denitsa Manova, Cornelia Zenz
Inhaltsverzeichnis Allgemeines zu Phishing Leveleinteilung Arten von Phishing Schutz gegen Phishing Beispiele
Was ist Phishing? Versuche, über gefälschte Internet- Adressen, E-Mail oder Kurznachrichten, an sensible Daten zu gelangen Begriff ist ein englishes Wortspiel Zusammensetzung aus fishing ( angeln ) und P für Passwort häufig wird das H mit harvesting ( ernten ) erklärt Password harvesting fishing
Was ist Phishing? meist kriminelle Handlungen Verwendung von Techniken des Social Engineering Phisher: geben sich als vertrauenswürdige Personen aus versuchen an sensible Daten zu gelangen
Was ist Phishing? Versenden der Nachrichten meist per E- Mail oder Instant-Messaging Auffordern des Empfängers Eine präparierte Website zu besuchen oder sensible Daten am Telefon preiszugeben
Phishing Hintergrund Erster dokumentierter Phishing-Versuch 1996 in der Usenet-Newsgroup alt.onlineservice.america-online Begriff bereits zuvor in der Druckausgabe des Hacker-Magazins 2600 auf.
Wozu Phishing? Zugangsdaten/Passwörter Kreditkarteninformationen Online-Banking-Daten
Einteilung von Phishing Level 0 Der Angreifer sendet eine E-Mail an das Opfer und fordert es auf per E-Mail sensible Daten zurückzusenden Level 1 Klassisches Phishing Der Angreifer leitet sein Opfer auf eine Website dort erfolgt eine Aufforderung, sensible Daten einzugeben. Der Angreifer versucht nicht, eine offizielle Website zu verschleiern.
Einteilung Phishing Level 2 Ähnlich wie Level 1, jedoch versucht der Phisher einen Spoof-Angriff auf einen offizielle Webserver versucht. Der Phisher versucht, die offizielle Website zu imitieren Level 3 Ähnlich wie Level 2, der Angreifer setzt jedoch zusätzlich visuelle Verschleierung ein, um den Angriff zu verstecken. Umfasst die Fähigkeit der SSL/TLS Verbindungsmanipulation
Einteilung Phishing Level 4 Ähnlich wie Level 3, der Angreifer kann jedoch die Plattform, auf welcher der Browser ausführt, beeinträchtigen. Diese Attacken sind sehr mächtig, da sie dem Angreifer erlauben, Keylogger, Trojanische Pferde und andere schadhafte Software zu installieren.
Anti Phishing Working Group Allgemeine Fakten 2003 von Iron key gegründet Globale Non-Profit Organisation Über 3200 Mitglieder, davon mehr als 2000 Unternehmen
Anti Phishing Working Group Ziele Koordiniertes Vorgehen gegen Phishing Forum für Diskussionen über technologische Entwicklungen und mögliche Gegenmaßnahmen Informationsausstausch Ermittlung und Erfassung von Daten Informationsarchivierung
Gemeldete Phisingattacken 45000 40000 35000 30000 25000 20000 15000 10000 5000 0
Phishingseiten 70000 60000 50000 40000 30000 20000 10000 0
Betroffene Sektoren 100% 90% 80% 70% 60% 50% 40% 30% 20% Regierung Kleinanzeigen Soziale Netzwerke Spiele Sonstiges Auktionen Payment Services ISP Verkauf Finanz 10% 0% 2005 2006 2007 2008 2009 2010 2011 2012
Phishing Hosts 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% 2005 2006 2007 2008 2009 2010 2011 2012 Ukraine Kazachstan Brasilien Hong Kong Niederlande Schweden Indien Ägypten Israel Thailand Italien Russland Kanada Frankreich Rumänien Taiwan Japan UK Deutschland China Korea USA
Top Level Domains
Arten von Phishing E-Mails Betonung der Dringlichkeit der Dateneingabe Gewinn in Aussicht gestellt Vereinzelt in schlechtem Deutsch verfasst Internetadresse wird beim Aufrufen der Seite ausblendet Überraschende Änderungen im Aussehen der vertrauten Log-in-Seite Fehlerhafte Links
Keine Persönliche anrede Kein richtiges Deutsch Betrügerischer Link
Arten von Phishing Geldwäsche Versenden einer E-Mail Empfänger wird angeboten,dass Person A eine bestimmte Geldüberweisung auf sein Konto tätigen will 80 Prozent werden an eine Person B weiter überwiesen, 20 Prozent dürfen als Provision behalten werden
Arten von Phishing Smishing Versenden einer SMS Bestätigen eines Abonnements Aufruf einer angegebenen URL Vishing Anruf von unzähligen Telefonanschlüssen Ablauf eines Tonbandes Fragt nach sensilben Daten
Arten von Phishing URL-Spoofing Benutzer wird vorgetäuscht er befinde sich auf einer anderen Seite z.b http://register.example.com statt http://register.example.com@192.168.1.1
URL-Spoofing Merkmale Kyrillische Buchstaben Beispielsweise: Die Darstellung von a in kyrillisch - Adresse sieht gleich aus ist aber unterschiedlich auch bei c,e,o,p,x,y möglich Umlaute Originaladresse http://www.roemerbank.beispiel.com/ Fälschung http://www.römerbank.beispiel.com/
URL-Spoofing Merkmale Ähnliche Symbole großes i statt kleines l z.b www.paypai.com statt www.paypal.com eins statt kleines l z.b. www.goog1e.com statt ww.google.com
Schutz gegen Phishing Bedenken dass seriöse Unternehmen niemals E-Mail Aufforderungen zur Bekanntgabe der sensibler Daten verschicken würden Vertrauliche Daten ausschließlich über SSL-verschlüsselte Seiten bekannt geben Link überprüfen wird zu einer andern URL umgeleitet als vorgegeben
Schutz gegen Phishing Virenschutzprogramme & Firewall aktivieren Link per Hand eingeben oder aus Favouriten wählen Anstatt Tan itan verwenden HBCI Verfahren mit Chipkartenleser nutzen
Schutz gegen Phishing Sicherheits Plug-Ins verwenden E-Mails auf Fehler untersuchen E-Mails von Unbekannten adressen nicht öffnen Führen Sie regelmäßig Sicherheitsupdates des von Ihnen verwendeten Internetbrowsers durch Hausverstand einsetzen!
Browserseitiger Schutz Die Domainnamen der Websites können gehasht und die Hashwerte in geeigneter Weise durch den Browser dargestellt werden (bspw. Zwei-Zeichen Symbol) Lexiaklisch ähnliche oder homographische Domain-Namen sehen dadurch signifikant unterschiedlich aus
Browserseitiger Schutz Webserver korrekt authentifizieren Überprüfen der SSL/TLS- Zertifikate Sicherstellung, das Zertifikat gültig ist Zertifikat-Fingerabdruck mit einem Referenzwert, der out-of-band empfangen wird vergleichen
Browserseitiger Schutz Webserver korrekt authentifizieren Vor der Eingabe eines Passwortes muss sich der Benutzer vergewissern, dass der Browser authentisch ist, um sich gegen visuelle Spoofing-Angriffe zu schützen. Unterstützt die Plattform trusted computing, hat er eine gewisse Sicherheit, dass der Browser tatsächlich authentisch ist.
TrustBar - Gründe Benutzer sind sich nicht ausreichend bewusst über die Website Identifikation Mechanismen in Browsern. Auch Web- Designer sind oft verwirrt über die Notwendigkeit einer sicheren Identifizierung von den Login-Formularen. Viele der bestehenden Web-Sites, z. B. PayPal, Amazon, ebay und andere, erfordern sensible Daten wie Benutzernamen und Passwörter.
TrustBar Sichere User Interface Prinzipien: Sicherheit soll Standard sein, und die Standards sollen sicher sein. Standard Einstellungen sollen eine angemessene Sicherheit darstellen, und by default sollen nur global vertraute, offensichtlich vertrauenswürdige Siten vertraut werden. Sicherheit soll benutzbar sein um zu nützen. Benutzer vermeiden oder deaktivieren Sicherheitsmechanismen, die schwer zu bedienen, störend oder nervig sind. Also, Sicherheitnutzung soll die natürlichste und einfachste Nutzung sein.
TrustBar Alertsmechanismen sollen einem aufmerksam machen. Sicherheitalertsmechanismen sollen ein klares, unterbrochenes Audio/Video-Signal nützen. Kryptographie ist in Griechisch, sprich: es ist nicht nachvollziehbar was eine Certificate Authority ist. Sicherheit und Vertrauen Indikatoren und Begriffe sollen für alle, sogar für naive Benutzer, klar sein; technische Iconen und Jargon sollen vermieden werden.
Was ist TrustBar? TrustBar ist ein sicheres User Interface Add-on für Browser. Es kontrolliert einen wesentlichen Bereich, der sich an der Spitze von jedem Browserfenster befindet, und es ist groß genug, um gut sichtbare Logos und andere graphische Iconen für Anmeldeinformation zu enthalten. TrustBar muss in jedem vom Browser geöffneten Fenster erscheinen. Es ist als Extension von dem Mozilla-Browser implementiert. Für geschützte Websiten identifiziert TrustBar den Site und das Certificate Authority, mit der Verwendung von Logos oder zumindest von Namen (anstatt URL). Für ungeschützte Websiten zeigt TrustBar gut sichtbare Warnungen. Level 1 der Phishingkategorien
Phoneytokens Große Anzahl an gefälschten Nutzdaten werden an den Phisher gesendet Richtlinien zur übertragung der Phoneytokens Zeitzone beachten Land beachten (keine deutschen Logindaten im US Amerikanischen Raum) Verhalten wie ein reales Opfer Wartezeit bis zur übertragung Mehrer IP-Adressen Level 3(?) der Phishingkategorien
Serverseitiger Schutz Webserver korrekt authentifizieren Wenn der Login-Prozess in zwei separate Phasen getrennt ist, dann kann der Benutzer seine ID in der ersten und seine Anmeldeinformationen in der zweiten Phase eingeben. Benutzer lehren, die Anmeldeinformationen nur einzugeben, wenn die zweite Seite personalisiert ist
Serverseitiger Schutz GeoTrust Siegel Dynamisch generierter Smart Icon Wird auf Website platziert Browser erstellt Siegel, Benutzer muss es über eine aktive vertrauenswürdige Partei validieren
Aktuelles
iphish Level 1 der Phishingkategorien Tested Schwachstellen bei mobilen Geräten (besonders iphone) bezüglich Eingabe, URL Display, Adresseingabe
iphish Eingabe Urls werden eher angetippt weil die Eingabe mühsam ist will man die ganze Url ansehn muss man Buchstabe für Buchstabe zurück gehen URL Display Urls werden abgekürzt
iphish Adress-Anzeige Ausblenden der Andress-Anzeige kann mit einer scrollto() funktion von Java Script realisiert werden Wenn der User in die Nähe zur Adressleiste kommt wird er autmoatisch auf eine vorbestimmte Stelle in der Mitte von der Website gebracht. Opera Browser auf Nintendo DS oder Wii zeigen gar keine URLs an
iphish Gegenmaßnahmen Kürzere URLs Mehr Plug-Ins für Mobilgeräte Händisch URLs eingeben
Quellen www.wikipedia.org www.ibm.com http://de.smeet.com/glossar/internet/phi shing www.kapersky.com www.help.gc.at/content.node/172/seite. 1720500.html www.drweb.de
Niu, Yuan/ Hsu, Francis/Chen, Hao: iphish/ Phishing Vulnerabilities on Consumer Electronics,University of California, Davis Herzberg, Amir/ Gbara, Ahmad : TrustBar/ Protecting (even Naïve) Web Users from Spoofing and Phishing Attacks,Computer Science Department,Bar Ilan University BSI Forum Organ des Bundesamtes für Sicherheit in der Informationstechnik, 2008 #4, 16. Jahrgang