Home      Themenübersicht / Sitemap      Notizen      Webmaster      
Link-Konventionen:
Fette Links öffnen ein fremde Seite in einem neuen Fenster
Blau hinterlegte Links bleiben auf der sicherheitskultur.at

 

Die Phishing-Misere

Stand April 2011

Simple Zwei-Faktor-Authentisierungssysteme (z.B. iTAN, SecurID-Token, usw.) bieten heute allein keinen sicheren Schutz mehr

Die Schweizer Melde- und Analysestelle Informationssicherung (Melani) berichtet bereits 2009:

    "klassische“ Phishing-Angriffe per E-Mail mit der Aufforderung Passwörter einzugeben, haben in der Schweiz stark abgenommen. Zudem waren alle erfolglos. Dafür haben erfolgreiche Angriffe mit Malware zugenommen. Zwei-Faktor-Authentisierungssysteme (z.B. Streichlisten, SecurID, usw) bieten keinen Schutz gegen solche Angriffe und müssen als unsicher betrachtet werden, sobald der PC des Kunden mit Malware verseucht worden ist".

Sie berichten von Vorfällen, in denen sich ein solches Schadprogramm im Browser einnistet und dort vor der verschlüsselten Übertragung der Überweisungsdaten Namen und Kontonummer des Empfängers und auch den Betrag manipuliert. Selbst die Bestätigung der Bank wird abgefangen und falsch angezeigt. Sie berichten, dass die Infektion sehr einfach ist:

    "Als Infektionsweg stark zugenommen haben Webseiten, bei deren Besuch Malware ohne Dazutun des Benutzers auf dem Rechner installiert wird (Drive-by-Infektion). Dabei werden Sicherheitslücken im Betriebssystem, im Browser oder in einer anderen Applikation ausgenützt. Längst geschieht dies nicht mehr nur auf dubiosen, sondern auch auf (kompromittierten) seriösen und bekannten Seiten. Die Erkennungsrate der Malware durch Antiviren-Software bleibt tief."

 

Traurige Aktualisierung Okt. 2009:
Es gibt Berichte vom aktiven Einsatz von "Man-in-the-Browser"-Attacken gegen die Postbank in Deutschland, die auch die Einmal-Passworte und die iTANs aushebeln und recht clever programmiert sind: sie prüfen wieviel auf dem Konto ist und wie hoch der Überziehungsrahmen ist (siehe postbank screenshots im Finjan Report dazu). Sie addieren diese beiden Werte und heben dann fast alles ab was der Überziehungsrahmen hergibt, während der Kunde glaubt, seine eigene Überweisungen auszuführen. Sie gaukeln ab dann dem Kunden den Kontostand vor, der auf Grund seiner eigenen Überweisungen entstanden wäre, d.h. sein Konto ist im Minus, aber er sieht weiterhin das Plus. D.h. der Kunde sieht den Betrug gar nicht, außer er druckt sich den Kontoauszug bei der Bank selbst aus oder nutzt einen anderen PC. Angeblich ist der Schaden ca. 300 000 Euro in 22 Tagen.

Ein ähnlicher Angriff in den USA hat immerhin $447,000 eingebracht. Dieser Angriff benutzt die gleiche Technologie.

Hier eine Studie aus 2009: Your Botnet is My Botnet: Analysis of a Botnet Takeover. Eine sehr detaillierte Analyse des Banken-Trojaners Torpig, analysiert nach einer Übernahme des gesamten Botnets durch die Autoren der University of California. Enthält auch eine ausführliche Erklärung von modernen Botnetz-Techniken wie Domain Flux.

 

Weitere Aktualisierung März 2011:

Lange erwartet worden, jetzt im ein Einsatz: Bankentrojaner für Smartphones, die die mobilen TAN (mTAN) für die Autorisierung der Überweisungen abfangen und an den Angreifer weiterleiten, der dann die Überweisung vornehmen und bestätigen kann.

Zunächst wird jedoch Schadsoftware auf den Rechner des Nutzers geschleust. Besucht dieser dann die Webseite seiner Bank, blendet die Malware dort zusätzliche Felder ein. In diese sollen Handynummer und Smartphone-Modell eingetragen werden werden. Geschieht dies, erhält der Nutzer daraufhin eine SMS, in der er aufgefordert wird, unter dem angegebenen Link ein Zertifikats-Update herunterzuladen. Dabei handelt es sich jedoch um ein Trojanisches Pferd. Dieses leitet empfangene SMS an eine britische Handynummer weiter. Anwender sollten den Antivirenschutz auf PC und Handy stets aktuell halten und Software - egal ob für Rechner oder Smartphone - grundsätzlich nur über Original-Herstellerseiten beziehen.

An anderer Stellle gibt es mehr Details die SMS-TANs aushebeln können, z.B. Man-in-the-Mobile Angriffe und Angriffe mit menschlicher Zuarbeit. Aber auch gegen diese Angriffe sind die Bankkunden NICHT hilflos, wichtigster Punkt ist, sich den Text der SMS sehr gut durchzulesen.

 
 

 

Aktualisierung 13.4.2005 -

Es wird immer gefährlicher und immer schwerer zu durchschauen :-(

Neue Meldungen über neue Angriffe: Kriminelle stellen Websites ins Internet, auf denen Flüge gebucht werden können, billiger als auf den gängigen Reiseportalen. Die Buchungen finden gar nicht wirklich statt, aber der Kunde gibt die Kreditkarte und weitere vertrauliche Informationen ein.

(Klick auf das Bild für Großversion)
Quelle: Jeffrey Friedberg - Internet Fraud Battlefield

Das ist ein Angriff, der sehr schwer zu entdecken ist, denn die falsche Website kann ja durchaus die korrekten Flüge zurückmelden und die üblichen Verbindungen wie erwartet anzeigen. Dafür braucht der Programmierer der falschen Website nur jede Anfrage der Kunden auf eine wirkliche Reisebüro-Website weiterzuleiten und deren Ergebnisse anzuzeigen. Das ist zwar vielleicht 2 Wochen Arbeit, aber wenn die organisierte Kriminalität gut zahlt, wird es daran nicht scheitern. D.h. für den Kunden funktioniert diese Website ganz so, wie er das von einem Reiseportal erwartet, sie zeigt die erwarteten Flüge der Fluggesellschaften an.

Der Vorteil für die Phisher ist, dass sie nicht mal E-Mails verschicken müssen, Google und andere Suchmaschinen schicken die Kunden zu ihnen, wenn diese nach Website für billige Flüge suchen. Die Domainen sind ganz normal angemeldet und müssen nicht mal den bekannten Reiseportalen ähnlich sein. Aber auch das ist kein Problem. Wenn die korrekte Website www.billig-flug.com heißt, so melden die Betrüger einfach www.billigflug.com oder www.billig_flug.com an. Welcher Kunde würde sich daran stören?

Diese neueren Angriffe machen es für den Kunden extrem schwer, einen Phishing-Angriff zu erkennen. Wir kommen dahin, dass es letztendlich bei diesen Angriffen um Variationen einer traditionell eher theoretischen Angriffsmethode geht, des Man_in_the-Middle-Angriffs.

Was kann der Kunde tun? Seien Sie vorsichtig, wenn eine Ihnen bisher unbekannte Websites ganz billige Flüge anbietet (falls etwas zu gut ist, um wahr zu sein, dann ist es vermutlich auch nicht wahr). Wenn Sie zum ersten mit auf einer Website ein Geschäft abschließen, so rufen Sie lieber erst mal bei dem Unternehmen an und stellen sicher, dass die Firma wirklich existiert und die Website korrekt ist. Speichern Sie dann die verifizierte Adresse unter den Favoriten, so dass Sie diese später nicht wieder über eine Suchmaschine finden müssen. Versuchen Sie, ob sie auch gegen Rechnung buchen können? Oder informieren Sie sich nur im Internet und buchen dann doch lieber telefonisch.

Aber auch Unternehmen mit einer eigenen kommerziellen Website könnten eine größere Verantwortung übernehmen. Denn wenn z.B. eine betrügerische Website (mit jeweils der gleichen IP-Adresse) sich ständig aktuelle Fluginformationen von einem anderen Portal abruft, so ist das in den Logs des legitimen Portals deutlich zu sehen (falls jemand diesen Log auswertet). Wenn ganz viele Anfragen von der gleichen Adresse kommen, dann kann etwas nicht stimmen. D.h. Website-Betreiber haben eine recht gute Möglichkeit, solche Betrüger zu entdecken. Ich hoffe, sie nehmen dann ihre Verantwortung als "Bürger des Internets" war und versuchen, diesen Betrügern das Handwerk zu legen (und denken sich nicht "das ist doch nicht mein Problem").

 
 

 

Sicheres E-Banking

(aktualisiert Sept. 2009)

Solange Ihre Bank keine wirklich sichere Methode für Internetbanking anbietet [nämlich die Versendung der TANs über Handy (sog. mTAN), verbunden mit einer Rückmeldung der Zielkontonummer im SMS], so können Sie immer zumindest festzustellen, ob sie wirklich direkt (d.h. ohne Mittelsmann) mit der E-Banking Website ihrer Bank verbunden sind (falls jedoch ihr Rechner infiziert ist, so sind sie trotzdem gefährdet, mehr dazu unter Man-in-th-Browser). Diese Prüfung machen Sie durch Überprüfung des sog. Fingerprints des digitalen Zertifikats ihrer Bank. Auf der Website von e-rating gibt es für die Banken in Österreich eine Auflisting dieser Fingerprints. Gleich zu Beginn weisen sie auf eine weitere Website, wo erklärt wird, wie und wo man das Zertifikat finden kann (PDF).

Ein sicheres Arbeiten mit Zertifikaten sollte folgendermaßen aussehen: Sie löschen alle bereits gespeicherten Zertifikate in ihrem Webbrowser (die werden zum Teil über automatische Software-Updates installiert). Das Löschen geschieht z.B. beim Internet Explorer über Extras / Internetoptionen / Inhalte / Zertifikate / alle löschen. Dann gehen Sie auf die Website ihrer Bank. Der Browser fordert sie auf, das nun von der Bank übertragene Zertifikat zu bestätigen. Sie rufen bei der Bank an und lassen sich den Fingerprint des korrekten Zertifikats vorlesen. Dann speichern sie das so bestätigte Zertifikat ab. Wenn sie ab jetzt in Zukunft mit der Bank verbunden sind und keine Meldung zum Zertifikat erhalten, so können sie sicher sein, dass sie mit der korrekten, von ihnen selbst überprüften und verifizierten Website verbunden sind, und dass niemand sich in ihren Datenverkehr hineingehängt hat - eine Technik, die man Man_in_the-Middle-Angriff nennt und gegen die auch eine SSL Verschlüsselung nicht schützt, wenn sie nicht sicherstellen, dass sie mit der korrekten Website verbunden sind.

Es ist nämlich absolut nicht so, dass die Existenz eines Web-SSL-Zertifikat Sicherheit garantiert. Es gibt Services, wie z.B. GeoTrust oder GoDaddy in den USA, die gegen eine sehr geringe Gebühr für jeden ein SSL-Zertifikat ausstellen, der eine Internet-Domaine und eine E-Mail-Adresse hat. Hier 2 Artikel zu einem Phishing Angriff mit gültigem SSL-Zertifikat und mit ausführlicher Diskussion und Hintergründen zum Thema SSL-Zertifikate. (Dazu muss ich ergänzen, dass die Funktion eines SSL-Zertifikat sehr wohl die Authentifizierung der Gegenseite meiner Kommunikation beinhalten sollte, eine Verschlüsselung meines Datenverkehrs ist uninteressant, wenn ich nicht garantieren kann, dass ich mit der korrekten Endstelle verbunden bin. Und schlampige Certifikation Agencies (CA) wie GeoTrust und GoDaddy sollte man sehr wohl aus der Liste der vertrauenswürdigen Zertifizierer in seinem Webbrowser entfernen, wie einige der Teilnehmer an der Diskussion vorschlagen.) (Weitere Artikel zu Phishing mit SSL und noch mal Phishing mit SSL.)

Um aber bei der Nutzung von unsicheren normalen TANs oder iTANs wirklich sicher zu sein, müssten sie auch 100-prozentig wissen, dass ihr Rechner nicht infiziert ist. Das ist aber leider selbst für einen Profi nicht wirklich 100-prozentig festzustellen. Denn wenn ein Trojaner auf meinem Rechner installiert ist, so kann dieses Programm alles was ich auf dem Bildschirm sehe, verändern, d.h. ich habe keine Möglichkeit, eine vollkommene Sicherheit zu erreichen. Aber trotzdem könnte sicheres E-Banking implementiert werden: die Bank müsste einen zweiten Kommunikationskanal nutzen, z.B. die Handys. Eine SMS mit den Daten des Empfängerkontos stellt sicher, dass ich wirklich sehen kann, wohin meine Überweisung gehen wird. Zum Glück gibt es jetzt (Mai 2006) erste Banken in D. und in Ö., die diese Funktionalität anbieten.

Aktualisierung Sept. 2009:
Offenbar haben die Bemühungen in Richtung iTAN und mTAN die Kriminellen genug behindert, dass sie sich jetzt auf das Infizieren von Kundenrechnern konzentrieren, das ist ja auch einfach genug.

Hier die "Top 100 der schmutzigsten Webseiten". Bei den genannten Webseiten genügt bereits der Besuch von einem verwundbaren Rechner, um sich mit Schadcode zu infizieren. Bei 52 Prozent der Webseiten handle es sich um eigentlich harmlose Webauftritte, die jedoch von Betrügern missbraucht wuerden, um Schadcode zu verbreiten.

Hier die Statistiken zum Rückgang des traditionellen Phishings: Traditionelles Phishing kommt aus der Mode und Trendreport von xForce/IBM.

Und Und hier geht's weiter mit dem Theman, nämlich auf meiner separaten, eher techischen Seite:

Technisches zu Man-in-the-Middle Angriffen

Schutzmöglichkeiten (technisch)

Was die Banken (und eBay, amazon, .....) anbieten sollten, aktualisiert Mai 2006

 
 

 

 

Die Dummheit des Bankkunden

Autoren: Philipp Schaumann, Christian Reiser

Im Original veröffentlicht in der Computerwelt Österreich, März 2005 - Mit einem Nachtrag vom 31.3. (ganz am Ende) und noch einem am 4.4. (ganz in der Mitte) und noch einem Nachtrag am Ende (13.4.05)

„Wir können doch nicht für die Dummheit unserer Kunden verantwortlich sein.“ Das ist eine, in manchen Fällen vielleicht sogar berechtigte Meinung, die man immer wieder von Vertretern von Banken hört, insbesondere wenn wieder einmal ein Fall bekannt wird, wo ein Bankkunde im Zusammenhang mit Bankgeschäften viel Geld verliert.

So hörte man diesen Satz zum Beispiel, als viele Bankkunden bei Aktienspekulationen größere Summen verloren. Hier hat der Gesetzgeber reagiert, und den Banken zumindest eine gewisse Aufklärungspflicht gegenüber den dummen Kunden auferlegt.

Wenn aus Marketinggründen vielleicht auch nicht ganz so laut, so hörte man diesen Satz auch durch, als ein Bankkunde der auf dem Heimweg von der Bank überfallen wurde, von seiner Bank das Geld wieder zurück haben wollte. Hierzu meinte ein Gericht, dass die Bank ihre Kunden bezüglich Sicherheit sehr wohl unterstützen müsste.

Man kann es natürlich auch als Dummheit des Kunden ansehen, Internet-Banking verwenden zu wollen. Allerdings haben die Banken lange daran gearbeitet, eine große Zahl an Kunden davon zu überzeugen, ihre Geldgeschäfte übers Internet abzuwickeln. Vielen bleibt bei den derzeitigen Öffnungszeiten sowieso nichts anderes über, und die höheren Kontospesen beim papiergebundenen Bankgeschäft wirken auch.

Selbstverständlich fällt es unter die Dummheit eines Internet-Benutzers, sich einen Trojaner auf seinem eigenen Computer einzuhandeln, oder auf eine Phishing-Attacke hereinzufallen. Beide Angriffe sind heutzutage aber in der Regel schon so gut gemacht, dass der durchschnittliche österreichische Internet-Banking-Kunde keine wirkliche Chance mehr hat, diese alle sicher zu erkennen.

Der Kern des Problems liegt aber darin, dass der dumme Bankkunde von seiner Bank auch nicht wirklich unterstützt wird. Ebenso, wie spezielle Räumlichkeiten für die Übergabe größerer Geldsummen zur Verfügung stehen, könnte die Bank sehr wohl sicherere virtuelle Räume für den Internet-Kunden anbieten.

So halten sich hartnäckige Gerüchte, dass es auch noch andere Web-Browser als den Internet Explorer gibt, und die sollen sogar sicherer sein (und damit ist nicht nur der Netscape gemeint). Wieso wird zum Beispiel Firefox von vielen Banken nicht unterstützt?

Die Programmierer müssten sich bei ihren Internet-Anwendungen nur an die definierten Web-Standards halten, statt nur speziell für den Internet Explorer zu programmieren und zu testen.

Ebenso gibt es Gerüchte, dass neben den Betriebssystemen eines größeren US-amerikanischen Softwareherstellers auch noch andere existieren, die weniger anfällig für Trojaner sind, und zumindest zur Zeit noch als sehr sicherer gelten. Kaum eine Bank unterstützt Linux oder MacOS im Intenet-Banking.

Es würde eigentlich auch nichts dagegen sprechen, wenn Banken ihre dummen Kunden auf automatische Software zum Trojaner-Scanner aufmerksam machen (oder diese sogar anbieten) würden. Auch könnten, wie in Asien, zusätzliche Authentifizierungscodes über das Handy versandt werden. Und auch ohne Chip-Karte könnte Verschlüsselung und digitale Signatur schon seit Jahren eingesetzt werden.

Es wirkt auch nicht sehr überzeugend, wenn der dumme Kunde beim Internet-Bankings die Meldung bekommt, dass das Zertifikat abgelaufen sei und der Helpdesk nur meint, das ist schon OK, akzeptieren sie es einfach. Derartige Aktionen sind mindestens ebenso verwirrend, wie eine geänderte Log-In-Prozedur, von der der Helpdesk-Mitarbeiter nichts weiß. In diesem Bereich könnten Banken helfen, wenn sie ihren Helpdesk etwas besser schulen würden.

Meinung eines Bankkunden: „Eigentlich habe ich kein Problem damit, wenn die Banken schlechte Sicherheitsvorkehrungen haben, solange nicht ich das Risiko dafür trage.“ Allerdings trägt immer der Bankkunde das Risiko, entweder direkt oder indirekt, letztendlich zahlt er für die Sicherheitsfehler seiner Bank.

Übrigens: die Hälfte der Bevölkerung hat einen IQ von unter 100.
Nachtrag (Philipp Schaumann): Dieser Satz ist übrigens nicht überall gut aufgenommen worden. Was ich da sage ist einfach nur die Definition von IQ, siehe Wikpedia. Die Definition sagt auch, dass die Standardabweichung 15 Punkte nach oben und unten betragen soll (das ist die übliche Definition). D.h. 68% der Bevölkerung liegt beim IQ zwischen 85 und 115.

Was ich damit sagen will ist: Wenn ein Unternehmen sagt "einen IQ von 100 setzen wir bei unseren Kunden voraus", dann hat das Unternehmen damit die Hälfte der Bevölkerung als Kunden abgelehnt. D.h. die Benutzung von Geräten und Services sollte nicht so angelegt werden, dass jemand einen IQ von 100 braucht, um z.B. einen Fahrkartenautomaten zu bedienen, oder seinen Rechner virenfrei zu halten, sonst habe ich nämlich meinen möglichen Kundenkreis auf die Hälfte reduziert.

 
 

 

Wie können Banken und andere Firmen mit kommerziellen Websites mithelfen, dass die Kunden sich besser gegen Phishing schützen können

Die Graphik zeigt in hellgrau den Prozentsatz der nicht aktuellen und damit verwundbaren Browser.
Quelle: Understanding the Web browser threat

  • Unterstützung anderer Webbrowser als nur den Internet Explorer (z.B. Firefox)

  • Unterstützung anderer Betriebssysteme als nur MS Windows, wie z.B. Linux oder Apple

  • Automatisierte Warnung an Benutzer, die veraltete Browser benutzen. Browser kommunizieren im USER-AGENT Feld die Version des Browsers und dann kann die Bank (oder jeder andere Service-Anbieter) zurückmelden, seit wie vielen Tagen diese Version als unsicher gilt

  • Wenn die kommerzielle Webanwendung ein separates Fenster öffnet, so sollte dieses Fenster eine volle Menü-Leiste und Adress-Leiste haben, damit der Kunde das SSL-Zertifikat (siehe unten) und die URL überprüfen kann

  • Unterstützung von PGP als Mail-Verschlüsselung (wird in Deutschland zum Teil von Banken eingesetzt)

  • Das Angebot spezieller Banking-Client Programme statt Nutzung des Webbrowsers

  • für alle SSL-Websites: Vermeiden von abgelaufenen Zertifikaten, Zertifikaten die auf andere Namen als den Namen der Firma/Bank lauten und vermeiden von Fehlermeldungen wie "revocation information for the security certificate for this site is not available. Do you want to proceed?"

  • Schulung des Helpdesks, so dass er mit Kunden den "Fingerprint" des SSL-Zertifikats vergleichen kann

  • Absolutes Vermeiden von Frames in der Web-Programmierung, da sonst der Angreifer einzelne Teile der Webseite austauschen kann, ohne die Gültigkeit des SSL-Zertifikats zu verlieren (siehe Angriff in Österreich Juli 2006)

  • Information des Helpdesks, wenn die Login-Prozedur geändert wurde. Nachricht an die Bankkunden über die geänderte Login-Prozedur. Aktualisierung der Hilfe-Seiten zur neuen Prozedur (das alles ist leider nicht selbstverständlich)

  • Schulung des Helpdesks, wie er korrekt reagiert, wenn ein Kunde anruft und den Verdacht hat, ein Phishing Mail erhalten zu haben (siehe schlechtes Beispiel von eBay)

  • Für alle Firmen mit gefährdeter Web-Präsenz: Nutzung von Services, die täglich prüfen, ob irgendwo in der Welt eine Domaine angemeldet wird, die ihrem eigenen Domain-Name sehr ähnlich ist

  • Nutzung automatischer Tools, die sofort bemerken, wenn sehr viele Anfragen oder sog. "referrals" von einer bestimmten Adresse kommen (nämlich der Phishing Website). Solche Anomalien scheinen im Log des Webservers deutlich auf, falls dieser Log ausgewertet wird (was er sollte, da findet man nämlich auch Hinweise auf andere Angriffe)

  • Automatische Weiterleitung von Kunden, die über eine solche eigenartige Website einsteigen (erkenntlich im Referrer-Feld der Daten vom Webbrowser) (das sind Kunden, die evtl. gerade ihr Passwort verraten haben) auf eine spezielle Seite, wo sie über diese Tatsache aufgeklärt werden und wo ihnen erklärt wird, wo sie anrufen können, um sofort ihr Konto zu sperren

  • Nutzung automatischer Tools, die erkennen, wenn viele "bounced emails" für die eine Adresse kommen, die der Phisher als gefälschte "From-Adresse" in seinem E-Mail angegeben hat

  • Bei den Banken: Nutzung automatischer Tools, die sofort bemerken, wenn sich auf dem Webserver irgend etwas verändert, z.B. weil ein Angreifer in den Server eingedrungen ist und Veränderungen vorgenommen hat (z.B. Tripwire). Hier die Statistiken, wie lange es dauert, bis Unternehmen entdecken, dass bei ihnen Daten abgezogen wurden.

  • Bei den Banken: Nutzung automatischer Tools, die sofort bemerken, wenn sehr viele Überweisungen von unterschiedlichen Kundenkonten auf eine kleine Zahl von Empfängerkonten erfolgen

  • Angebot eines Services, dass der Kunde sich ein SMS zusenden lassen kann, wann immer auf sein Konto zugegriffen wird. Ist er es nicht selbst, kann er sofort anrufen und den Vorgang stoppen

  • Unterstützung von Authentifizierungscodes per Handy (wird in Asien von Banken bereits seit einiger Zeit eingesetzt, jetzt gibt es auch diese Möglichkeit bei einzelnen Banken in Österreich) - dies stellt eine Verbesserung der Sicherheit dar und ist gegen die heute meistens genutzten Angriffe mittels gefälschter Websites ein wirksamer Schutz, sie schützen jedoch nicht gegen die in Zukunft erwarteten Angriffe nach der Technik "Man-in-the-Middle"

Wie schlecht solche Ratschläge leider von vielen Banken [und anderen Unternehmen mit großer Internetpräsenz) auch 2007 immer noch befolgt werden, zeigt u.a. die Studie von ARGE Daten in Österreich und andere Tests (und leidvolle praktische Erfahrung :-( ].

Aktualisierung Mai 2008:
Es hat sich leider nicht viel fortschrittliches getan, wenn auch einzelne Banken die eine oder andere Verbesserung eingeführt haben. Ein gutes Buch zu vielen dieser Fragen ist: das Buch von Ross Anderson, Security Engineering - The Book (weitgehend als pdf verfügbar), in Chapter 10: Banking and Bookkeeping ab Seite 360 beschreibt er, wie wichtig es für die Sicherheit ihrer Kunden ist, dass die Banken in der Lage sind, Phishing-Angriffe und ähnliches sehr schnell zu erkennen und innerhalb kürzester Zeit Überweisungen zu blockieren, bzw. juristisch hart gegen die Angreifer vorzugehen. Er zitiert das Beispiel aus Großbritanien 2006: Dort müssen die Banken ihre Verluste durch Angriffe berichten. Landesweit gab es Verluste von 35 Mio.Pfund, davon 33 Mio für eine einzelne Bank. Die Erklärung, die hierfür gegeben wird ist, die anderen Banken in der Unterwelt den Ruf haben, schnell zu sein und hart gegen Angreifer vorzugehen. Also nehmen sich die Angreifer die langsamste Bank als bevorzugtes Opfer.

Selbst solche Warnungen schrecken nur ca. die Hälfte der Benutzer vor der Eingabe ihrer Passworte ab. - Andererseits gibt es die Meinung, dass auf einer betrügerischen Website solche Schlampereien wie abgelaufene SSL-Zertifikate nicht vorkommen, die Betrüger verwenden einfach kein https, dann kann das nicht passieren und die Benutzer sehen den Unterschied eh nicht, siehe Text links

Aktualisierung Jan 2010:
Eine Studie untersucht, ob Sicherheitsfeatures und Sicherheitswarnungen auf Banken-Websites geeignet sind die Sicherheit beim eBanking zu erhöhen. Traurige Antwort aus diesen Tests, leider kaum.

    We asked 67 customers of a single bank to conduct common online banking tasks. As they logged in, we presented them with increasingly conspicuous visual clues that indicate a site-forgery attack.

Auch auf modifizierten Websites ohne HTTPS gaben alle und ohne ein in den USA oft genutztes "site-authentication image" gaben über 90% ihre Passworte ein, nach einer Zertifikatswarnung (siehe Bild rechts) immerhin noch über 60%.

Diese "site-authentication images" sind übrigens nicht hilfreich, speziell wenn sie mit Hinweisen wie "When you see your image, you can be confident that you're on ......" gekoppelt sind. Ein mit Spyware infizierter PC wird diese Bilder natürlich immer noch einzigen, obwohl nichts dabei sicher ist. In diesem Test hat sogar ein Benutzer das Ignorieren der Zertifikatswarnung mit dem Vorhanden-sein des "site-authentication image" begründet.

 

Hier der Link zu einer Veröffentlichung des US "Federal Financial Institutions Examination Council" Authentication in an Internet Banking Environment.

    The agencies consider single-factor authentication, as the only control mechanism, to be inadequate for high-risk transactions involving access to customer information or the movement of funds to other parties.

Zu kritisieren an diesem Text ist, dass "out-of-band authentication" nur als eine, anderen Methoden der Authentifizierung gleichberechtigte Maßnahme dargestellt wird, obwohl die anderen Methoden bei infizierten PCs ALLE unsicher sind. Sie weisen auch nicht darauf hin, dass diese "site-authentication images" bei infiziertem PC nicht für eine sichere gegenseitige Authentifizierung geeignet sind. D.h. diese Empfehlung des US Verbands sind für das Jahr 2009 deutlich veraltet und werden modernen Angriffen nicht gerecht.

 
 

 

Weitere Informationen

Hier gibt es mehr über die Internetkriminalität hinter den Phishing Angriffen. Ebenfalls sehr relevant sind die Überlegungen zu Haftungsfragen.

Behavioral Response to Phishing Risk ein sehr schönes Beispiel für einen Test der Benutzer im Umgang mit Phishing, der aber auch sehr gute Hinweise darauf enthält, wie ein Anti-Phishing Training gestaltet werden könnte/sollte. Es zeigt sich, dass es viel wichtiger ist, ein technisches Verständnis zu vermitteln, als die Risiken zu erklären.

Eine deutlich technischere Betrachtung zu Schutzmaßnahmen gegen Phishing (auch unter Berücksichtigung zukünftiger Angriffe) befindet sich unter dem Stichwort Man-in-the-Middle Angriffe.

The Anti-Phishing Working Group (APWG) is the global pan-industrial and law enforcement association focused on eliminating the fraud and identity theft that result from phishing, pharming and email spoofing of all types. Zahlreiche Reports, Übersichten, etc. zu Phishing

 

Philipp Schaumann, http://sicherheitskultur.at/

Home

Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.