|
Seit längerem steigt die Anzahl der Meldungen zum Thema „Phishing“. Nachdem die USA scheinbar abgegrast sind, schwappt diese Welle des Betruges nun nach Europa rüber.
1) Informationen über das „Phishing“
Was bedeutet „Phishing“?
„Phishing“ ist eine Wortmixtur aus den drei Wörtern: Password, Harvesting (ernten) und Fishing (fischen). Der clevere Betrüger hat es auf sensible Daten des ahnungslosen Benutzers abgesehen. Zugangsdaten zur Bank, Auktionshäusern oder ähnlichem sind dabei begehrte Ziele.
Welcher Zweck wird damit verfolgt?
Der Betrüger kann durch den Besitz von Daten im Namen des Opfers Waren bei Auktionshäusern (wie eBay) ersteigern oder gestohlene Ware versteigern, des Weiteren kann er über die hinterlegten Kundendaten an Kreditkarteninformationen gelangen. Neben dem finanziellen Schaden kann ebenso der Ruf bzw. das Ansehen des Opfers geschädigt werden.
Gelingt es dem Betrüger darüber hinaus Transaktionsnummern (TAN) vom Opfer zu bekommen, kann er mit den Bankdaten auch Überweisungen durchführen. Meist wird nach zwei TAN gefragt. Die erste wird benötigt um die Überweisung durchzuführen, die zweite um den PIN des Opfers zu ändern und so das Entdecken des Betruges zu verzögern.
Wie gehen die Betrüger vor?
Die raffinierten Betrüger gehen sehr geschickt vor. Es werden E-Mails an potenzielle Opfer verschickt, entweder gezielt, oder durch Spam. Zum Einsatz kommt die so genannte „Social Engineering“-Technik. Eine solche E-Mail ist meist im HTML-Format und beinhaltet einen plausiblen Text, der den Leser auffordert sich unbedingt einzuloggen oder eine Sicherheitsüberprüfung vorzunehmen und das schnell, um auftretende Probleme wie die Sperrung des Accounts zu vermeiden. Deshalb wird meist ein Link in der E-Mail mitgeschickt, über den man sofort auf die entsprechende Seite kommt.
Dabei wird dem ahnungslosen Opfer nicht sofort bewusst, dass es sich nicht auf der richtigen Seite befindet. Denn entweder wird mittels Javascript die URL im Browser so manipuliert, dass sie echt erscheint, oder die entsprechenden Seiten sind fast komplette Duplikate der Originalseiten, zu erkennen nur an kleinen Fehler in der Domain. So lautet z.B. statt „…Postbank…“ die Adresse „…Postbnk…“ oder statt „eBay.de“ lautet die Adresse „eBay-ag.de“.
Da diese Seiten täuschend echt aussehen, stellt man sich nicht automatisch die Frage nach der Glaubwürdigkeit. Auf diesen Seiten wird man dann gebeten seine Zugangsdaten einzugeben und wird durch vorgetäuschte Fehler zum Einsatz von zwei TAN gebracht. Am Ende wird man auf die eigentliche Webseite der Bank etc. geleitet und der Verdacht ist zerstreut.
Wie erkennt man eine „Phishing“-E-Mail?
1. Die E-Mail enthält eine dringende Aufforderung zur „Sicherheitsüberprüfung“, „Verifikation“ oder „Freischaltung“.
2. Es werden sicherheitsrelevante Informationen in einem Formular in der E-Mail abgefragt wie z.B. TAN oder Zugangsdaten zur Bank oder Auktionshäusern.
3. Die E-Mail enthält einen Link.
4. Die Dringlichkeit wird unterstrichen und davor gewarnt, dass es zu einer Sperrung des Accounts kommt, zur Löschung von Daten oder Ähnlichem.
5. Eine solche E-Mail ist meist unpersönlich, also ohne Anrede, und es wird dort von „Kunde“ oder „Mitglied“ gesprochen.
6. Rechtschreibfehler oder Grammatikfehler sind in solchen E-Mails häufig, besonders schwerwiegend ist z.B. der Gebrauch von „ae“ an Stelle von „ä“ oder „eintasten“ anstelle von „eingeben“.
Wie kann man sich schützen?
1. Man sollte sich bewusst sein, dass eBay oder Kreditinstitute nie nach Passwörtern fragen oder um eine Aktualisierung der Kontodaten bitten.
2. Man sollte, wenn solche E-Mails eintreffen, direkten telefonischen Kontakt mit der Bank aufnehmen oder eine E-Mail an den Support des Auktionshauses schicken (aber nicht als „Antwort“ auf die bekommene E-Mail, da die E-Mail-Adresse der „Phishing“-E-Mail verfälscht ist, sondern als neue E-Mail!).
3. Auf keinen Fall sollten die Links in solchen E-Mails benutzt werden. Gehen Sie stattdessen entweder über die „Lesezeichen“ in den Favoriten, die Sie sich angelegt haben, oder geben Sie die Adresse von Hand in den Browser ein.
Welche Tools kann ich nutzen, um mich zu schützen?
Um noch sicherer zu gehen, kann man diverse Schutztools herunterladen, wie die Anti-Phishing-Bar (www.securityinfo.ch) oder den Spoof Stick (www.spoofstick.com)
Wer weitere Informationen zum Thema nachlesen möchte, kann sich hier unter (de.wikipedia.org) informieren. Eine technische Beschreibung darüber, wie „Phishing“ funktioniert, gibt es hier: (www.buha.info).
Was tun Kreditinstitute, um ihre Kunden zu schützen?
Auch wenn sich diese Art des Betruges schwerwiegend und niederträchtig anhört, haben es die Betrüger in Deutschland schwerer als in den USA, da in Deutschland TAN zum Einsatz kommen und diese erstmal ausspioniert werden müssen. Zudem planen die Banken, das TAN-System durch indizierte TAN-Listen zu verbessern. Das bedeutet, dass man als Kunde dann nicht irgendeine TAN nehmen kann, sondern dass es eine bestimmte Reihenfolge gibt.
Dieses System nennt sich ITAN und funktioniert so, dass die TAN nummeriert sind. Wenn man eine Überweisung vornimmt, verlangt das System immer eine bestimmte TAN. Das unglaubliche aber an diesem neuen System ist, dass es eigentlich noch nicht auf dem Markt ist und in einem Feldversuch an der Ruhr-Uni Bochum bereits gehackt wurde. Der Angreifer hat sich zwischen die Kommunikation von Bank und Kunden geklemmt und hat der jeweiligen Seite vorgespielt, er wäre die andere Partei.
Aus den oben genannten Gründen sollte man Vorsicht walten lassen mit Zugangsdaten und Transaktionsnummern und nur Adressen von Webseiten direkt im Browser eingeben oder „Lesezeichen“ einsetzen.
2) Informationen über das „Pharming“
Was ist „Pharming“?
Schwieriger wird es hingegen sich vor „Pharming“ zu schützen. Der Begriff rührt daher, dass die Betrüger eine Art „Serverfarm“ (daher der Name „Pharming“) betreiben müssen, und gilt als Steigerung des „Phishing“. Durch einen Virus oder Trojaner werden die Daten des eigenen Browsers manipuliert und durch das so genannte „Auflösen einer Webadresse“ durch einen DNS-Server so verändert, dass man trotz der Eingabe der richtigen URL auf eine gefälschte Seite geleitet wird.
Wie funktioniert „Pharming“?
Ruft man eine Webseite auf, wird normalerweise ein solcher DNS-Server aufgerufen, der den Namen der Webseite in eine IP umwandelt (man spricht hier auch von „auflösen“). Der DNS-Server ist also so eine Art moderne Vermittlung. Um zu vermeiden, dass bei jedem Surfen und wiederholtem Aufrufen von Webseiten dieser Server angesprochen wird, legt der Browser eine Datei an, wo er die Ergebnisse des „Auflösens“ mitschreibt und speichert.
Im Fall von „Pharming“ allerdings ist dieser Eintrag, den das System vorfindet, durch einen Virus manipuliert. So ist das Ziel zwar „A“, aber man wird auf „B“ weitergeleitet, ohne es zu merken. Die Täuschung ist perfekt, weil im Browser in Worten für den Nutzer sichtbar immer noch „A“ steht.
Die Adresse „B“, die jetzt angesteuert wird, befindet sich auf dem Server dieser „Pharmer“. Es öffnet sich dann eine komplett nachgeahmte Seite z.B. der Bank und man gibt dort seine Daten preis, aber statt sie der Bank zu übermitteln, gelangen sie in die Hände der Betrüger.
Solche Wurmprogramme wie „MyDoom“ können das PC-interne Webadressbuch verändern. So manipuliert der Wurm die Windows-Host-Datei um Antivirensoftware am Online-Update zu hindern. Andere Viren fügen in diese Host-Datei neue Einträge hinzu, die dann automatisch bei Anfragen an Suchmaschinen wie Google oder Yahoo auf andere Seiten umleiten. Dort wird dem Surfer dann so genannte Spyware untergeschoben, die Eingaben der Tastatur aufzeichnet und an die Urheber der Programme sendet, wie z.B. Passworte, Konto- oder Kreditkartennummern.
Wie kann man sich vor „Pharming“ schützen?
Wie kann man sich dagegen schützen bzw. sicherstellen, dass man wirklich auf dem Server ist, auf dem man sein möchte? Dazu genügt es, das Zertifikat der Verbindung zu prüfen. Jede sichere Verbindung läuft nicht über „http-Seiten“ sondern über „https-Seiten“. Am unteren Rand jedes Browserfensters befindet sich das Symbol eines Vorhängeschlosses bei sicheren Verbindungen. Beim Mausklick auf das Schloss wird das Zertifikat der Webseite angezeigt. Bekommt man jedoch eine Meldung vom Browser, dass er das Sicherheitszertifikat nicht verifizieren kann, ist Vorsicht geboten. Die Webseite könnte eine Fälschung sein.
Sicherheitsexperten gehen davon aus, dass der Schaden, der durch „Pharming“ entsteht bzw. entstehen wird, wesentlich höher sein wird als der Schaden des „Phishing“. Diese Art des Betruges stellt besonders den Bank-Sektor vor enorme Anstrengungen, für Sicherheit auf ihren Systemen zu sorgen, da mittlerweile etwa jeder dritte Bankkunde seine Überweisungen und Bankgeschäfte von zu Hause über das Internet erledigt.
|
