Schutzmöglichkeiten gegen Phishing

Im Folgenden werden bekannte Schutzmöglichkeiten gegen Phishing kurz vorgestellt und zu den entsprechenden Quellen verlinkt. Die Seite dient als Ergänzung zu einem Beitrag der Tagung Sicherheit 2005, in dem eine Einteilung und kurze Bewertung der vorhandenen Möglichkeiten vorgenommen wird. Zudem stellt der Beitrag eine weitere relativ kostengünstige Methode vor, Phishing zu verhindern (Download des Beitrags und Demo des Verfahrens). Etwas ausführlicher wird das Thema in diesem englischen Beitrag behandelt.

Informationen über aktuelle Phishing-Vorfälle und interessante Statistiken liefert die Anti-Phishing Working Group (APWG).

Die bekannten Vorgehensweisen zum Schutz gegen Phishing lassen sich grob in Vorschläge einteilen, die das bisherige Verfahren zur Authentifizierung bzw. Autorisierung (PIN/TAN) ändern wollen, und solche, die das Risiko, dass ein Betrüger Erfolg hat, minimieren wollen, ohne gleich das ganze Verfahren zu ändern. 

Minimierung des Risikos

Diese Gruppe kann man in nutzerunabhängige und nutzerabhängige Vorschläge einteilen.

Nutzerabhängig

Dem Nutzer werden hier meist Leitfäden an die Hand gegeben, in denen erklärt wird, wie er sich bei der Dienstnutzung zu verhalten hat. Einige Beispiele sind:

• Wirksamer Schutz gegen Online-Betrüger (Medien-Service der Dresdner Bank)
• ONLINE-BANKING-SICHERHEIT Informationen für Online-Banking-Nutzer (Bundesverband deutscher Banken)
• Tipps zur Sicherheit gegen Phishing-Attacken (Nassauische Sparkasse)
• Tipps zum Schutz vor Phishing (T-Online)
• Datenklau via Internet: Wie man Phishing ins Leere laufen lässt (Bernd Reder)
• FBI Says Web Spoofing Scams are a Growing Problem (FBI National Press Office)

Der durchschnittliche Nutzer wird die vielen Verhaltensmaßregeln aber höchstwahrscheinlich entweder aus Überforderung oder Bequemlichkeit nicht immer befolgen. Aus diesem Grund gibt es viele Tools, die den Nutzer unterstützen sollen. Gerade die Antiviren-Hersteller sehen eine Lösungsmöglichkeit für das Phishing-Problem in Spam-Filtern und Filtern für ausgehende Daten. Dabei werden die Phishing-Mails einerseits anhand von Blacklists und andererseits anhand von gefälschten Linkadressen in HTML-E-Mails erkannt und als Spam eingestuft. Darüber hinaus wird der ausgehende Datenverkehr gefiltert und der Nutzer benachrichtigt, wenn sensible Daten ins Internet übertragen werden sollen.

Die meisten Tools arbeiten als Browser-Plug-ins und bieten sehr unterschiedliche Herangehensweisen zur Lösung des Problems. SpoofStick blendet beispielsweise den Namen der angezeigten Domain in einer vom Anwender einstellbaren Farbe und Größe ein, wodurch Tricks wie das Verwirren des Nutzers mit überlangen Adresszeilen oder das Überblenden der Adresszeile nicht mehr funktionieren sollen.

Die Plug-ins ScamBlocker, TrustWatch und Phish Net geben Warnungen aus, wenn eine Webseite besucht wird, die in einer Blacklist mit bekannten Phishing-Seiten enthalten ist. Phish Net unterbindet zusätzlich jegliche Navigation durch Elemente solcher Seiten. Es speichert außerdem sensitive Informationen des Nutzers und gibt einen Hinweis an den Nutzer, wenn solche Information über das Internet übertragen werden soll.

Sehr interessant sind die Plug-ins SpoofGuard und PwdHash, die an der Stanford University entwickelt werden. Ersteres zeigt mit einem farbigen Statuspunkt (Rot, Gelb, Grün) an, ob die angezeigte Seite für eine Phishing-Seite gehalten wird und öffnet ggf. ein Pop-Up-Fenster mit einer Warnung. Wie eine Webseite eingestuft wird, hängt von mehreren Parametern ab, deren Gewichtung der Nutzer individuell einstellen kann. PwdHash errechnet aus dem Domain-Namen und einem eingegebenen Passwort einen Hashwert, der dann an Stelle des vom Benutzer eingegebenen Passworts an die Webseite geschickt wird. Dadurch erhält ein Betrüger lediglich einen unbrauchbaren Hashwert, wenn er seine Opfer auf eine gefälschte Webseite lockt. 

Nutzerunabhängig

Die oben erläuterten Verfahren können und müssen vom Nutzer eigenständig installiert werden. Der Dienstanbieter hat keinen Einfluß auf die (korrekte) Nutzung der Schutzmaßnahmen. Es wurden daher folgende Ansätze entwickelt, die nutzerunabhängig vom Dienstanbieter eingesetzt werden können:

• Djure Meinen erläutert in einem Beitrag Spam-Trap und Domain-Watch:
  • Bei Spam-Trap werden in möglichst vielen Newsgroups, Gästebüchern und Webseiten E-Mail-Adressen hinterlassen, mit dem Ziel, so viele Werbe-E-Mails (Spam) wie möglich an diese Adressen zu erhalten. Die eingehenden E-Mails werden analysiert und es wird Alarm geschlagen, falls ein Angriff auf den Dienstleister erkannt wird. Dieser kann dann seine Nutzer vor der Attacke warnen.
  • Domain-Watch überwacht, welche Domains angemeldet werden.Wird eine Domain ähnlich der des Dienstleisters vergeben, wird dieser informiert und kann Vorbereitungen treffen, um im Falle eines Betrugsversuchs mit Hilfe dieser Domain schnell eine Sperrung dieser veranlassen zu können.
  In einem Artikel des CIO-Magazins wird erwähnt, dass es mittlerweile Firmen gibt, die bei einem erkannten Phishing-Angriff mit so drastischen Maßnahmen wie einem Denial-of-Service-Angriff auf die Phishing-Webseite reagieren.
• Validierung von Absenderdaten in E-Mails soll helfen, Spam- und Phishingmails zu erkennen bzw. deren Urheber ausfindig zu machen. Momentan gibt es dazu aber noch keine akzeptierten Standards.
• In dem oben schon erwähnten Artikel des CIO-Magazins wird auch darauf hingewiesen, dass große Unternehmen meist in der Lage sind, sämtliche Daten in Echtzeit auf Unregelmäßigkeiten hin überprüfen zu lassen. Beim Internet-Bezahldienst PayPal läuft z.B. rund um die Uhr ein Fraud and Spoof Detection System, das in der Lage ist, ungewöhnliche Transaktionen innerhalb einer Stunde zu erkennen und zu melden. Jede Transaktion wird ähnlich denen bei Kreditkarten auf Plausibilität (Höhe des Betrages, Häufigkeit der Dienstnutzung usw.) geprüft und kann ggf. rückgängig gemacht werden.

Änderung des bisherigen Verfahrens zur Authentifizierung bzw. Autorisierung (PIN/TAN)

Die bisherigen Ansätze sind entweder vom Verhalten des Benutzers abhängig, erst mittelfristig verfügbar (Validierung der Absenderadressen) oder flankierende Maßnahmen (Fraud Detection, Spam Trap und Domain Watch). Da man sich auf das richtige Verhalten des Benutzers aus verschiedenen Gründen wie Unwissenheit, Sorglosigkeit usw. nicht verlassen kann, eine Lösung des Problems kurzfristig verfügbar sein sollte und flankierende Maßnahmen Phishing nicht verhindern, sondern nur die Möglichkeit bieten, schnell auf einen Betrug zu reagieren, kommen als nachhaltige Lösung des Problems nur Verfahren in Frage, die das bisherige PIN/TAN-Verfahren zur Authentifizierung bzw. Autorisierung ändern. Bei den meisten dieser Verfahren ist weitere Hardware in Form von Kartenlesern, Chipkarten und/oder Token nötig. Im Folgenden einige Beispiele:

• Einsatz von Hardware-Token: Hier bekommt jeder Benutzer ein kleines Gerät (Hardware-Token), mit dem sich Einmal-Passwörter erzeugen lassen. Diese Einmal-Passwörter werden dann zur Anmeldung und zur Bestätigung von Transaktionen benutzt.
  Es gibt verschiedene Ausprägungen, wie das Passwort erzeugt bzw. vom Nutzer angefordert wird. Die bekannteste ist das periodische Wechseln des Passworts wie bei der SecurID von RSA Security. Kobil Systems bietet mit SecOVID Token, die das Passwort nicht periodisch sondern auf Anforderung des Benutzers wechseln. Die SEB-Bank in Schweden setzt ein Token-basiertes Challenge-Response-System ein (siehe hier). Der Nutzer aktiviert dabei sein Hardware-Token durch Eingabe einer PIN und meldet sich an der Webseite der Bank mit seiner ID an. Dort bekommt er auch eine Challenge angezeigt, die er in sein Token eintippt. Das Token errechnet daraufhin ein für nur 30 Sekunden gültiges Zugangs-Passwort, das auf der Webseite eingegeben werden muss.
• Kombination aus Hardware-Token und Browser-Plug-in: Seit September 2004 gibt es von Kobil Systems den PhishinGuard. Das Plugin prüft anhand des Serverzertifikates, ob es sich um die Original-Webseite des Anbieters handelt. Hierzu wird das übermittelte Zertifikat mit dem Original-Zertifikat des Anbieters verglichen, das sich auf einem Hardware-Token befindet. Auf diesem können auch Zugangsnummer und PIN so gespeichert werden, dass nur der PhishinGuard Zugriff darauf hat. Ist dies der Fall, besteht die Möglichkeit, dass die Software diese Daten automatisch in die Webseite des Anbieters einträgt, wenn das Serverzertifikat verifiziert werden konnte. Der Nutzer hat dann keine Kenntnis der Zugangsdaten und kann sie somit auch nicht versehentlich auf einer gefälschten Webseite eingeben.
• PKI und Digitale Signatur: Bei diesem Verfahren wird jeder Auftrag mit einer digitalen Signatur versehen. Dies ist sicher, wenn alle Nebenbedingungen (z.B. Geheimhaltung des privaten Schlüssels, korrekte Zuordnung von Zertifikaten zu Personen, verlässlicher Zeitstempel usw.) eingehalten werden.

Weitere Links

Artikel

• Phishing Activity Trends Report Februar 2005 (Anti-Phishing Working Group)
• Phishing: Gauner attackieren Online-Girokonten (Verbraucherzentralen BaWü, Bayern, BrdBg, Niedersachsen, NRW, Sachsen)
• Vorsicht Phishing (Sascha Borowski)
• Fighting Phish, Fakes and Frauds (Alice Dragoon)
• Phishing: Beherztes Handeln tut Not (Djure Meinen)
• Tokens statt PIN/TAN: Sicheres Online-Banking ohne Kartenleser (Nicola Schmidt)
• Phishing-Betrüger bevorzugen den Finanzsektor (Hermann Böhm)
• Phishing-Tricks werden immer ausgefeilter (heise news)
• Trojaner klauen Bank-Kunden PINs und TANs (heise news)
• Neue Firefox-Version umgeht Phishing-Trick bei Umlaut-Domains (heise news)

Tools

• SpoofGuard Home (Neil Chou, Robert Ledesma, Yuka Teraguchi, Dan Boneh und John C. Mitchell)
• Web Password Hashing Home (Blake Ross, Dan Boneh und John C. Mitchell)
• SpoofStick Home (Core Street)
• URL Discombobulator Home (Karen Kenworthy)
• Phish Net Home (Webroot Software)
• ScamBlocker Home (Earthlink)
• TrustWatch Home (Geotrust)
• PhishinGuard, Anti-Phishing-Lösung von Kobil Systems GmbH (Carsten Wallmann)
• InterScan Web Security Suite (Trend Micro Deutschland GmbH)
• Norton Internet Security 2005: Schutz vor Internetwürmern und Phishing-Mails (Symantec Corporation)