Zum Inhalt springen

Phishing

aus Wikipedia, der freien Enzyklopädie
Dies ist eine alte Version dieser Seite, zuletzt bearbeitet am 21. November 2005 um 15:47 Uhr durch 194.113.40.62 (Diskussion) (Rechtschreibfehler). Sie kann sich erheblich von der aktuellen Version unterscheiden.

Phishing [ˈfɪʃɪŋ] ist eine Form des Trickbetruges im Internet. Der Phisher schickt seinem Opfer offiziell wirkende Schreiben, meist E-Mails, die es verleiten sollen, vertrauliche Informationen, vor allem Benutzernamen und Passwörter oder PIN und TAN von Online-Banking-Zugängen, im guten Glauben dem Täter preiszugeben.

Die Bezeichnung Phishing leitet sich vom Fischen (engl. fishing) nach persönlichen Daten ab. Die Ersetzung von F durch Ph ergibt sich dabei aus der Kombination der englischen Worte Password, Harvesting und Fishing (deutsch: Passwort, ernten und angeln).

Phishing-Angriffsziele sind Zugangsdaten, z. B. für Banken (Onlinebanking), Versandhäuser, Internet-Auktionshäuser, webbasierende Onlineberatungen oder Kontaktportale. Mit den gestohlenen Zugangsdaten kann der Phisher die Identität seines Opfers übernehmen (Identity Theft) und in dessen Namen Handlungen ausführen. Durch den Missbrauch der persönlichen Daten entstehen beträchtliche Schäden in Form von Vermögensschäden (z.B. Überweisung von Geldbeträgen fremder Konten), Rufschädigung (z.B. Versteigerung gestohlener Waren unter fremdem Namen bei Online-Auktionen) oder Schäden durch Aufwendungen für Aufklärung und Wiedergutmachung. Über die Höhe der Schäden gibt es nur Schätzungen, die zwischen mehreren hundert Millionen Dollar und Milliarden-Beträgen schwanken (Stand: Februar 2005).

Eine weiterentwickelte Form des klassischen Phishing ist das Pharming.

Methoden der Datenbeschaffung

Im Allgemeinen beginnt eine Phishing-Attacke mit einer persönlich gehaltenen, offiziell anmutenden E-Mail oder einem Massenversand von E-Mails. Der Empfänger soll eine Website besuchen, die unter einem Vorwand zur Eingabe seiner Zugangsdaten auffordert. Folgt er dieser Aufforderung, gelangen seine Zugangsdaten in die Hände der Urheber der Phishing-Attacke. Was dann folgt, soll nur noch nachträgliches Misstrauen des Opfers zerstreuen. Eine kurze Bestätigung oder eine falsche Fehlermeldung.

Eine andere Variante bindet ein Formular direkt innerhalb einer HTML-E-Mail ein, welches zur Eingabe der vertraulichen Daten auffordert und diese an die Urheber sendet. Auf eine Phishing-Website wird hierbei verzichtet.

Methoden der Verschleierung

E-Mail

Die E-Mail wird als HTML-E-Mail, eine E-Mail mit den grafischen Möglichkeiten von Webseiten, verfasst. Der Linktext zeigt die Originaladresse an, während das unsichtbare Linkziel auf die Adresse der gefälschten Website verweist.

Mit der Einbindung von HTML kann der im Mail-Programm sichtbare Link tatsächlich auf eine ganz andere Webseite verweisen. Zwar lässt sich ersehen, dass das Linkziel auf eine andere Webseite verweist. Allerdings können auch diese Angaben über Skripttechniken verfälscht werden. In anderen Fällen wird der Link als Grafik dargestellt. Auf dem Bildschirm des Anwenders erscheint zwar Text, dieser ist allerdings eine Grafik.

Hierfür wird meistens auch die Emailadresse des Absenders gefälscht.

Website

Die gefälschten Zielseiten haben meistens gefälschte Namen oder Bezeichnungen, die ähnlich klingen wie die offiziellen Seiten oder Firmen. Die Zielseiten mit dem Webformular haben das gleiche Aussehen wie die Originalseiten. Sie sind also nur sehr schwer als Fälschungen identifizierbar. Im Allgemeinen sollte der Anwender die originalen Internet-Seitenadressen z. B. seiner Bank kennen. Die Adresszeile des Webbrowsers verrät, falls er sich nicht auf der Originalwebsite befindet.

Eine Adresszeile der Form z. B.: http://217.257.123.67/security/ * verrät eindeutig, dass man sich nicht auf den Seiten einer Bank befindet. Deshalb werden Domainnamen (Internet-Adressnamen) benutzt, die den Bankadressen täuschend ähnlich sehen, z. B. http://www.security-beispielbank.de/ *

Mit der Möglichkeit, Umlaute in URLs zu verwenden, entstanden neue Möglichkeiten der Adress-Namensverfälschung. Beispielsweise könnte eine Originaladresse lauten http://www.roemerbank.de (Bank frei erfunden) und als Fälschung http://www.römerbank.de * Die zwei Namen sind sachlich identisch, allerdings technisch unterschiedlich, denn sie werden im Hintergrund zu unterschiedlichen Adressen aufgelöst und können zu völlig unterschiedlichen Websites führen.

Noch schwerer zu erkennen ist die Verwendung von kyrillischen Buchstaben anstelle von Umlauten. Das kyrillische 'a' unterscheidet sich optisch in keiner Weise vom lateinischen 'a'. http://www.beispielbank.de/ * Falls das 'a' in bank kyrillisch dargestellt wird, ist die Adresse unterschiedlich, und somit falsch. Allerdings zeigt die Adresszeile des Browsers keinen sichtbaren Unterschied zur Original-Bankadresse. Diese Methode ist selbst für Experten erst bei genauerem Hinsehen zu durchschauen.

Es wurden Trojaner entdeckt, die gezielt Manipulationen an der HOSTS-Datei des Betriebssystems vornahmen. In der HOST-Datei können rechnerindividuelle Umsetzungen hinterlegt werden. Eine Manipulation dieser Datei kann bewirken, dass anstatt der Original-Site nur noch die gefälschte Site aufgerufen werden kann, obwohl die korrekte Adresse eingegeben wurde. Siehe auch: Pharming

* Alle Beispiele sind zu Demonstrationszwecken frei erfunden

Erkennung

Erfahrene Mail-Nutzer erkennen Phishing-E-Mails auf den ersten Blick, insbesondere anhand typischer Merkmale:

  1. Dringlichkeit: Es wird aufgefordert, schnellstmöglich etwas durchzuführen, oft eine angebliche »Sicherheitsüberprüfung«, »Verifikation«, »Freischaltung« oder andere wichtig klingende Aktionen.
  2. Abfrage sicherheitsrelevanter Informationen: Entweder in einem Formular innerhalb der E-Mail oder auf einer verlinkten Website. Am häufigsten Passworte und TANs von Onlinebanking-Zugängen. Aber auch Passworte anderer Dienste sind denkbar (z.B. Versandhäuser, Online-Auktionshäuser).
  3. Webseite: Die E-Mail enthält einen Link zum Anklicken.
  4. Drohung: Es wird angedroht, bei Nichtbeachtung werde ein Zugang gesperrt, gelöscht oder etwas anderes Schlimmes oder Lästiges geschehe.
  5. Unpersönlich: Nur eine allgemeine Anrede wie »Sehr geehrter Kunde« oder »Sehr geehrtes Mitglied«.
  6. Fehler: Rechtschreib- und Grammatikfehler im Text, beispielsweise ae anstatt ä oder ungebräuchliche Worte (beispielsweise eintasten anstatt eingeben).

E-Mails, in denen man nach persönlichen Daten wie Passwörter oder TANs gefragt wird, sind grundsätzlich gefälscht und können gelöscht werden, selbst wenn sie keine der oben genannten Merkmale aufweisen.

Sind Sie Opfer einer Phishingmail geworden, sollten Sie unverzüglich das betreffende Dienstleistungsunternehmen (i. A. Bank, Sparkasse, Versandhaus, Kontaktportal) informieren und die örtliche Kriminalpolizei einschalten. Die gefälschte E-Mail sollte gespeichert und weitergeleitet werden. Sofern noch selbständig möglich, sollten Sie Ihre Passwörter (PINs) unverzüglich ändern, damit die gestohlenen Originalpasswörter unbrauchbar werden.

Schutz

Allgemein gilt: Banken und Versicherungen bitten nie um die Zusendung von Kreditkartennummern, PIN, TAN oder anderen Zugangsdaten per E-Mail, per SMS oder telefonisch. Finanzdienstleister senden bei sicherheitsrelevanten Fragen Briefe und Einschreiben via Briefpost bzw. man bittet um einen persönlichen Besuch des Kunden in der Filiale.

Rufen Sie niemals die Websites sicherheitsrelevanter Dienste über einen Link aus einer unaufgefordert zugesandten E-Mail auf. URLs und E-Mail-Absenderadressen können gefälscht werden und sind nicht vertrauenswürdig.

Geben Sie die URL zum Onlinebanking immer von Hand in die Adresszeile des Browsers ein oder benutzen Sie im Browser gespeicherte Lesezeichen, die Sie zuvor sorgfältig angelegt haben. Vor Nutzung sicherheitsrelevanter Dienste sollten keine weiteren Browserfenster oder Tabs geöffnet sein.

Nutzen Sie alternative Browser wie den aktuellen Firefox von Mozilla mit der Zusatzerweiterung Spoofstick. Diese Erweiterung zeigt den Namen der Internetadresse an, auf der man sich momentan wirklich befindet. Der in dem Betriebssystem Windows integrierte Browser Internet Explorer verfügt über keinerlei dieser Schutzmöglichkeiten.

Prüfen Sie nach Möglichkeit die Verschlüsselung der Webseite, insbesondere den elektronischen Fingerabdruck (Fingerprint) des Zertifikats. Nur so können Sie zweifelsfrei sicherstellen, dass Sie tatsächlich mit dem Server des Anbieters (z. B. Bankrechner) verbunden sind. Der Dienstleister stellt Ihnen auf der Webseite oder auf Anfrage die nötigen Informationen zum Abgleich zur Verfügung.

Seien Sie misstrauisch, wenn Sie unaufgefordert auf sicherheitsrelevante Bereiche angesprochen werden. Fragen Sie bei den Dienstanbietern nach, wenn Sie unsicher sind. Derartige Rückfragen liefern den Betreibern der betroffenen Dienste meist erst den Hinweis, dass eine Phishing-Attacke gegen ihre Kunden läuft.

Beispiele

Datei:Sparkasse.png
Aktuelle Phishing-E-Mail


Anfang 2005 wurde eine Spam-E-Mail mit folgendem Wortlaut verschickt: 

Sehr geehrter Kunde!
Wir sind erfreut, Ihnen mitzuteilen, dass Internet - Ueberweisungen
ueber unsere Bank noch sicherer geworden sind!
Leider wurde von uns in der letzten Zeit, trotz der Anwendung von
den TAN-Codes, eine ganze Reihe der Mitteldiebstaehle von den Konten
unserer Kunden durch den Internetzugriff festgestellt.
Zur Zeit kennen wir die Methodik nicht, die die Missetaeter fuer
die Entwendung der Angaben aus den TAN - Tabellen verwenden.
Um die Missetaeter zu ermitteln und die Geldmittel von unseren
Kunden unversehrt zu erhalten, haben wir entschieden, aus den
TAN - Tabellen von unseren Kunden zwei aufeinanderfolgenden
Codes zu entfernen.
Dafuer muessen Sie unsere Seite besuchen, wo Ihnen angeboten
wird, eine spezielle Form auszufuellen. In dieser Form werden
Sie ZWEI FOLGENDE TAN - CODEs, DIE SIE NOCH NICHT VERWENDET
HABEN, EINTASTEN.
 
Achtung! Verwenden Sie diese zwei Codes in der Zukunft nicht mehr!
Wenn bei der Mittelueberweisung von Ihrem Konto gerade diese
TAN - Codes verwendet werden, so wird es fuer uns bedeuten,
dass von Ihrem Konto eine nicht genehmigte Transitaktion ablaeuft
und Ihr Konto wird unverzueglich bis zur Klaerung der
Zahlungsumstaende gesperrt.
 
Diese Massnahme dient Ihnen und Ihrem Geld zum Schutze! Wir
bitten um Entschuldigung, wenn wir Ihnen die
Unannehmlichkeiten bereitet haben.
 
Mit freundlichen Gruessen,
Bankverwaltung
Beispiel einer Phishing-Webseite

Sie forderte den Empfänger auf, einem Link zu folgen, der angeblich auf die Seiten der Postbank führen sollte, tatsächlich aber auf eine Phishingseite verwies.

Diese fragt in fehlerhaftem Deutsch nicht nur nach der PIN, sondern bittet auch um die Mitteilung zweier TANs. Nach Eingabe der Ziffern in die Formularfelder leitet die Webseite den Besucher weiter an die öffentliche Postbank-Webadresse. Die Eingabedaten erhält nicht etwa die Bank, sondern der Administrator der Phishingseiten.

Übergibt der Besucher aus Gewohnheit oder Naivität korrekte Daten, kann der Betrüger mit der abgefangenen PIN und der ersten TAN eine Geldüberweisung tätigen. Die zweite TAN ermöglicht die Änderung der PIN, um den Eigentümer von seinen eigenen Bank-Seiten auszusperren und dadurch die Entdeckung des Gelddiebstahls zu verzögern.

Auch in Deutschland wurden bereits Fälle bekannt, allerdings nicht in dem Ausmaß wie z. B. den Vereinigten Staaten. Dieser auffällige Unterschied zu den USA, in denen tatsächlich hohe Schäden auftreten, lässt sich zum Teil auf das in Deutschland benutzte PIN/TAN-System zurückführen. Das Erschleichen einer zusätzlichen Transaktionsnummer (TAN) ist relativ aufwendig und kann wegen des veränderten Dialogs vom Kunden bemerkt werden.

Eine phishingresistente Möglichkeit, Onlinebankingtransaktionen durchzuführen, besteht darin, das signaturgestütze HBCI-Verfahren mit Chipkarte zu nutzen. Diese Variante des Onlinebankings ist darüber hinaus sehr komfortabel, da die Eingabe von TANs entfällt. Als weiterer Sicherheitsgewinn ist die sichere PIN-Eingabe (entsprechender Chipkartenleser vorausgesetzt) zu nennen, bei der ein Belauschen der PIN-Eingabe mit einem Keylogger oder Trojaner nicht möglich ist. Neu eingeführt werden sollen indizierte TAN-Listen, bei der für das Online-Banking eine bestimmte TAN der Liste zu benutzen ist anstatt der nächsten bzw. einer beliebigen.

Während im Bankverkehr diese zusätzlichen Schutzmöglichkeiten genutzt werden können, sind nach einer erfolgreichen Phishing-Attacke bei den anderen Dienstleistern (zum Beispiel Versandhäuser, Internet-Aktionshäuser, Onlineberatungen, Kontaktportale) sämtliche vorhandenen Daten ungeschützt und können von interessierter Seite (zum Beispiel illegal arbeitende Auskunfteien) personenbezogen verdichtet und missbraucht werden.

Die hier wiedergegebene Mail wurde nicht in Textform verschickt, sondern als Bild, welches den Text enthält und seinerseits einen Link zu einer Phishing-Webseite darstellt. 

Betreff: POSTBANK INTERNET BANKING
Von: Deutsche Postbank <custservice_448396585497@postbank.de>
Datum: 18.06.05
(Postbank) 
Sehr geehrte Kundin, sehr geehrter Kunde,
Der technische Dienst der Bank fuhrt die planmassige Aktualisierung
der Software durch Fur die  Aktualisierung der Kundendatenbank ist
es notig, Ihre Bankdaten erneut zu bestatigen. Dafuer mussen Sie
unseren Link (unten) besuchen, wo Ihnen eine spezielle Form zum
Ausfullen angeboten wird.
 
https://banking.postbank.de/app/cust_details_confirmation_page.do
 
Diese Anweisung wird an allen Bankkunden gesandt und ist zum
Erfullen erforderlich.
 
Wir bitten um Verstandnis und bedanken uns fur die Zusammenrbeit
 
                                        (c) 2005 Deutsche Postbank AG


Anfänge des Phishings

Phishing ist keine neue Erscheinung. Tatsächlich gab es unter dem Begriff Social Engeneering ähnliche Betrugsversuche bereits lange bevor E-Mail und Internet zum alltäglichen Kommunikationsmittel wurden. Hier versuchten die Betrüger auf telefonischem Weg, sich das Vertrauen der Opfer zu erschleichen und ihnen vertrauliche Informationen zu entlocken. Neu sind beim Phishing lediglich die Werkzeuge, die eine weitaus größere Verbreitung ermöglichen.

Die Anfänge des Phishings im Internet reichen bis zum Ende der 90er Jahre des 20. Jahrhunderts zurück. Damals wurden Nutzer von Instant Messengern, wie z.B. ICQ, per E-Mail aufgefordert, ihre Zugangsdaten in ein in der E-Mail enthaltenes Formular einzutragen. Mit den so erhaltenen Zugangsdaten konnten die Betrüger die Chat-Zugänge ihrer Opfer unter deren Identität nutzen.

Siehe auch: Electronic Banking, Spam, HBCI, URL-Spoofing, Auskunftei

Abgerufen von „https://de.wikipedia.org/w/index.php?title=Phishing&oldid=10981448