Phishing

Phishing ist eine Form des Trickbetruges mit Methoden des Social Engineerings. Es ist der Oberbegriff für illegale Versuche, weitgestreut Anwendern Zugangsdaten (Loginnamen plus Passwörter) für sicherheitsrelevante Bereiche zu entlocken. Phishing ist eine Variante des Identitätsdiebstahls. Rechtlich gesehen bewegen sich die Täter außerhalb der Legalität und sind oft der organisierten Kriminalität zuzuordnen.

Die Bezeichnung Phishing leitet sich vom Fischen (engl.: fishing) nach persönlichen Daten ab. Die Ersetzung von F durch Ph ist dabei eine im Insider-Jargon (Leetspeak) häufig verwendete Verfremdung. Es könnte unter Umständen sein, dass der Ausdruck auch auf password harvesting fishing zurückführbar ist.

Gängige Ziele von Phishing-Attacken sind Zugangsdaten für Banken (Onlinebanking), Versandhäuser, Internet-Auktionshäuser, webbasierende Onlineberatungen oder Kontaktportale. Durch anschließenden Missbrauch der gestohlenen Zugangsdaten (Diebstahl von Geld, Verkauf gestohlener Waren unter falschem Namen, Missbrauch persönlicher Daten u.v.a.) kann den Opfern viel Schaden zugefügt werden.

Eine weiterentwickelte Form des klassischen Phishing ist das Pharming .

Die folgende Beschreibung bezieht sich auf den gängigen Ablauf einer Phishing-Attacke. Die Phishing-Methoden werden ständig variiert. Auch andere Szenarien sind grundsätzlich denkbar.

Im Allgemeinen ist eine Phishing-Attacke mit einer gezielten personenbezogenen E-Mail oder einen Massenversand von E-Mail verbunden. Im Text der E-Mail wird der Empfänger aufgefordert eine Website zu besuchen, welche zur Eingabe seiner Zugangsdaten auffordert. Folgt er dieser Aufforderung, gelangen seine Zugangsdaten in die Hände der Urheber der Phishing-Attacke.

Der Absender einer Phishing-E-Mail ist immer gefälscht. In der E-Mail wird versucht dem Empfänger glaubhaft zu machen, es wäre eine Nachricht zum Beispiel der Bank. Aus einem wichtigen Grunde sei es dringend erforderlich, dass der Kunde sich auf der Website der Bank einloggt. Dazu stellt die E-Mail einen Link zur Verfügung,welche den Anwender zur Login-Seite der Bank führt. Allerdings führt der Link nicht zur Bank, sondern zu einer gefälschten Website, welche der echten Bank-Seite täuschend echt nachempfunden ist. Gibt der Anwender seine Zugangsdaten ein, werden diese im nächsten Moment an die Urheber weitergeleitet. Was dann folgt, dient nur noch dazu nachträgliches Misstrauen seitens des Anwenders zu zerstreuen. Eine kurze Bestätigung oder eine falsche Fehlermeldung. Analog wird verfahren, um an persönliche Daten ausgewählter Nutzer zu kommen, z.B. bei Versandhäusern, Internet-Auktionshäusern, Onlineberatungen und Kontaktportalen.

Eine andere Variante besteht darin, ein Formular direkt innerhalb einer HTML-E-Mail einzubinden, welches zur Eingabe der genannten Daten auffordert und diese an die Urheber sendet. Auf eine gefälschte Website wird hierbei verzichtet.

Die Mails erwecken den Eindruck, dass sie von einer vertrauenswürdigen Stelle stammen und sind meist seriös aufgemacht. Der Empfänger wird in dieser E-Mail beispielsweise gebeten, seine Bankzugangsdaten zu überprüfen – und soll diese zu diesem Zweck noch einmal in einem Webformular eintippen. Dazu wird zum einen versucht, das wahre Linkziel in der E-Mail (gefälschte Website) zu verbergen, zum anderen wird versucht zu verbergen, dass sich der Anwender auf einer gefälschten Website befindet.

Die folgenden Beispiele beschreiben nur gängige Methoden und haben keinen Anspruch auf Vollständigkeit. Jederzeit können neue Tricks und Methoden auftauchen. Auch werden Sicherheitslücken von E-Mail-Programmen und Web-Browsern genutzt.

1. E-Mail: Die E-Mail wird als HTML-E-Mail (eine E-Mail mit den grafischen Möglichkeiten von Web-Seiten) verfasst. Der Linktext zeigt die Originaladresse an, während das unsichtbare Linkziel auf die Adresse der gefälschten Website verweist.

Mit der Einbindung von HTML kann der in der Mail angezeigt Link http://www.roemerbank.de/ * tatsächlich auf eine ganz andere Webseite verweisen. Zwar lässt sich, wenn man die Maus über dem Link positioniert, in der Statuszeile des Browsers/E-Mail-Clients ersehen, dass der eigentliche Link auf eine andere Webseite verweist. Allerdings können auch diese Angaben über bestimmte Techniken manipuliert werden.

Oder der Link wird als Grafik dargestellt. Auf dem Bildschirm des Anwenders erscheint zwar Text, dieser ist allerdings eine Grafik.

2. Website: Die gefälschten Ziel-Seiten haben meistens gefälschte Namen oder Bezeichnungen, die ähnlich klingen wie die offiziellen Seiten oder Firmen, auf die Bezug genommen wird. Die Zielseiten mit dem Webformular haben das gleiche Aussehen wie die Originalseiten – sie sind also nur sehr schwer als Fälschungen identifizierbar. Im Allgemeinen kennt der Anwender die original URLs (Internet Seitenadressen, z.B. seiner Bank). Die Adresszeile des Web-Browsers verrät wenn er sich nicht auf der Original-Website befindet.

Eine Adresszeile der Form z.B.: http://217.257.123.67/security/ * verrät eindeutig, dass man sich nicht auf den Seiten einer Bank befindet. Deshalb werden oft Domainnamen (Internet Adressnamen) benutzt die den Bankadressen ähneln. Z.B. http://www.security-beispielbank.de/ *

Seit jüngerer Zeit gibt es die Möglichkeit Umlaute in URLs zu verwenden. Daraus resultieren auch neue Möglichkeiten der Adress-Namensverfälschung. Beispielsweise könnte eine Originaladresse lauten http://www.roemerbank.de (Bank frei erfunden) und als Fälschung http://www.römerbank.de * Die zwei Namen sind technisch unterschiedlich und können zu völlig unterschiedlichen Websites führen.

Noch schwerer zu erkennen ist die Verwendung von kyrillischen Buchstaben anstelle von Umlauten. Das kyrillische 'a' unterscheidet sich optisch in keiner Weise vom lateinischen 'a'. http://www.beispielbank.de/ * Wenn das 'a' in "bank" kyrillisch dargestellt wird, ist die Adresse unterschiedlich, und somit falsch. Allerdings zeigt die Adresszeile des Browsers keinen (!) Unterschied zur Original Bankadresse. Diese Methode ist selbst für Experten erst bei genauerem Hinsehen zu durchschauen.

Es wurden schon Trojaner entdeckt welche gezielt Manipulationen an der "hosts"-Datei des Betriebssystems vornahmen. Mit der Konsequenz, dass die Original Website der Bank (z.B.) von einem derart manipulierten System nicht mehr erreichbar ist. Es kann nur noch die gefälschte Website aufgerufen werden, selbst wenn die Adresse korrekt eingegeben wurde.

* Beispiele frei erfunden

Siehe auch: Pharming

Ganz allgemein gilt: Banken und Versicherungen versenden per E-Mail keine Aufforderungen, Zugangsdaten einzugeben -- auch nicht telefonisch. Am allerwenigsten fragen sie nach TANs (Transaktionsnummer, Transaktionspasswörter zur einmaligen Verwendung beim Onlinebanking). Finanzdienstleister senden Ihnen bei sicherheitsrelevanten Fragen Briefe und Einschreiben via gelber Post bzw. man bittet Sie, persönlich in der Filiale vorbeizukommen.

URLs und E-Mail-Absenderadressen können gefälscht werden und sind nicht vertrauenswürdig. Rufen Sie niemals die Websites sicherheitsrelevanter Dienste über einen Link aus einer unaufgefordert zugesandten E-Mail auf.

Geben Sie die URL zum Onlinebanking immer von Hand in die Adresszeile des Browsers ein oder benutzen Sie im Browser gespeicherte Favoriten bzw. Lesezeichen, die Sie zuvor sorgfältig angelegt haben. Noch sicherer ist es, vorher ein neues Browserfenster zu öffnen.

Seien Sie misstrauisch, wenn Sie unaufgefordert auf sicherheitsrelevante Bereiche angesprochen werden. Fragen Sie bei den Diensten nach, wenn Sie unsicher sind. Derartige Rückfragen liefern den Betreibern der betroffenen Dienste meist erst den Hinweis, dass eine Phishing-Attacke gegen ihre Kunden läuft.

Meist lassen sich Phishing E-Mails schon an folgenden Merkmalen erkennen.

1. Dringlichkeit. Es wird aufgefordert schnellstmöglich etwas durchzuführen. Oft eine 'Sicherheitsüberprüfung', 'Verifikation', 'Freischaltung'. Alles mögliche, was wichtig klingt.
2. Ein Link
3. Eine Drohung. Es wird angedroht, bei Nichtbeachtung würde ein Zugang gesperrt oder gelöscht. Irgend etwas schlimmes oder lästiges.
4. Keine persönliche Anrede. Nur eine allgemeine Anrede wie "Sehr geehrter Kunde,.." oder "Sehr geehrters soundso-Mitglied".
5. Rechtschreib- und Grammatikfehler im Text. Beipielsweise ae anstatt ä oder falsche Synonyme, welche nicht gebräuchlich sind (beipielsweise "eintasten" anstatt "eingeben"), etc.

E-Mails, welche diese Merkmale aufweisen, sollten ignoriert und gelöscht werden.

Ist man Opfer einer Phishingmail geworden, sollte unverzüglich das betreffende Dienstleistungsunternehmen (i.A. Bank, Sparkasse, Versandhaus, Onlineberatung , Kontaktportal) informiert und die örtliche Kriminalpolizei eingeschaltet werden. Die gefälschte E-Mail sollte ebenfalls gespeichert und weitergeleitet werden. Sofern noch selbstständig möglich, sollte man seine Passwörter (PINs) unverzüglich ändern, wodurch die gestohlenen Originalpasswörter für die Diebe unbrauchbar werden.

Anfang 2005 wurde eine Spam E-Mail mit folgendem Wortlaut verschickt:

Sehr geehrter Kunde!
Wir sind erfreut, Ihnen mitzuteilen, dass Internet - Ueberweisungen
ueber unsere Bank noch sicherer geworden sind!
Leider wurde von uns in der letzten Zeit, trotz der Anwendung von
den TAN-Codes, eine ganze Reihe der Mitteldiebstaehle von den Konten
unserer Kunden durch den Internetzugriff festgestellt.
Zur Zeit kennen wir die Methodik nicht, die die Missetaeter fuer
die Entwendung der Angaben aus den TAN - Tabellen verwenden.
Um die Missetaeter zu ermitteln und die Geldmittel von unseren
Kunden unversehrt zu erhalten, haben wir entschieden, aus den
TAN - Tabellen von unseren Kunden zwei aufeinanderfolgenden
Codes zu entfernen.
Dafuer muessen Sie unsere Seite besuchen, wo Ihnen angeboten
wird, eine spezielle Form auszufuellen. In dieser Form werden
Sie ZWEI FOLGENDE TAN - CODEs, DIE SIE NOCH NICHT VERWENDET
HABEN, EINTASTEN.
 
Achtung! Verwenden Sie diese zwei Codes in der Zukunft nicht mehr!
Wenn bei der Mittelueberweisung von Ihrem Konto gerade diese
TAN - Codes verwendet werden, so wird es fuer uns bedeuten,
dass von Ihrem Konto eine nicht genehmigte Transitaktion ablaeuft
und Ihr Konto wird unverzueglich bis zur Klaerung der
Zahlungsumstaende gesperrt.
 
Diese Massnahme dient Ihnen und Ihrem Geld zum Schutze! Wir
bitten um Entschuldigung, wenn wir Ihnen die
Unannehmlichkeiten bereitet haben.
 
Mit freundlichen Gruessen,
Bankverwaltung

Sie forderte den Empfänger auf, einem Link zu folgen, der angeblich auf die Seiten der Postbank führen sollte, tatsächlich aber auf eine Phishingseite verwies.

Diese fragt in akzentbehaftetem Deutsch nicht nur nach der PIN, sondern bittet auch um die Mitteilung zweier TANs. Nach Eingabe der Ziffern in die Formularfelder leitet die Webseite den Besucher weiter an die öffentliche Postbank-Webadresse. Die Eingabedaten erhält nicht etwa die Bank, sondern der Administrator der Phishingseiten.

Übergibt der Besucher aus Gewohnheit oder Naivität korrekte Daten, kann der Betrüger mit der abgefangenen PIN und der ersten TAN eine Geldüberweisung tätigen. Die zweite TAN ermöglicht die Änderung der PIN, um den Eigentümer von seinen eigenen Bank-Seiten auszusperren und dadurch die Entdeckung des Gelddiebstahls zu verzögern.

In Deutschland ist bisher kein Fall bekannt, bei welchem ein Kunde einer Bank oder Sparkasse durch Phishing zu Schaden gekommen ist. Dieser auffällige Unterschied zu den USA, in denen tatsächlich hohe Schäden auftreten, lässt sich zum Teil auf das in Deutschland benutzte PIN/TAN-System zurückführen. Das Erschleichen einer zusätzlichen Transaktionsnummer (TAN) ist relativ aufwendig und kann wegen des veränderten Dialogs vom Kunden bemerkt werden.

Eine - phishingresistente - Möglichkeit Onlinebankingtransaktionen durchzuführen, besteht darin, das siganturgestütze HBCI-Verfahren mit Chipkarte zu nutzen. Diese Möglichkeit des Onlinebanking ist darüber hinaus sehr komfortabel, da die Eingabe von Transaktionsnummern (TAN) entfällt. Als weiterer Sicherheitsgewinn ist die sichere PIN-Eingabe (entsprechender Chipkartenleser vorausgesetzt) zu nennen, bei der ein Belauschen der PIN-Eingabe mit einem Keylogger oder Trojaner nicht möglich ist.

Während im Bankverkehr diese zusätzlichen Schutzmöglichkeiten genutzt werden können, sind nach einer erfolgreichen Phishing-Attacke bei den anderen Dienstleistern (zum Beispiel Versandhäuser, Internet-Aktionshäuser, Onlineberatungen, Kontaktportale) sämtliche vorhandenen Daten ungeschützt und können von interessierter Seite (zum Beispiel illegal arbeitende Auskunfteien) personenbezogen verdichtet und missbraucht werden.

Die hier wiedergegebene Mail wurde nicht in Textform verschickt, sondern als Bild, welches den Text enthält und seinerseits einen Link zu einer Phishing-Webseite darstellt.

Betreff: POSTBANK INTERNET BANKING
Von: Deutsche Postbank <custservice_448396585497@postbank.de>
Datum: 18.06.05
(Postbank) 
Sehr geehrte Kundin, sehr geehrter Kunde,
Der technische Dienst der Bank fuhrt die planmassige Aktualisierung
der Software durch Fur die  Aktualisierung der Kundendatenbank ist
es notig, Ihre Bankdaten erneut zu bestatigen. Dafuer mussen Sie
unseren Link (unten) besuchen, wo Ihnen eine spezielle Form zum
Ausfullen angeboten wird.
 
https://banking.postbank.de/app/cust_details_confirmation_page.do
 
Diese Anweisung wird an allen Bankkunden gesandt und ist zum
Erfullen erforderlich.
 
Wir bitten um Verstandnis und bedanken uns fur die Zusammenrbeit
 
                                        (c) 2005 Deutsche Postbank AG

Siehe auch: Electronic Banking, Spam, HBCI, URL-Spoofing, Auskunftei

• A-I3 Arbeitsgruppe Identitätsmissbrauch im Internet
• Anti-Phishing Working Group (englisch)
• Anti-Phishing Dossier (deutsch)
• Passwort-Fischer, Artikel des BSI Bundesamt für Sicherheit in der Informationstechnik mit Informationen zum Thema
• Phishing Report Network gegründet von Ebay, Visa, Microsoft und WholeSecurity
• Zusammenstellung von Internet-Betrugsveruchen