|
|
|
|
|
Phishing ist eine Form des Trickbetruges mit Methoden des Social Engineerings. Es ist der Oberbegriff für illegale Versuche weitgestreut Anwendern Zugangsdaten (Loginnamen plus Passworte) für sicherheitsrelevante Bereiche zu entlocken. Phishing ist eine Variante des Identitätsdiebstahls. Rechtlich gesehen bewegen sich die Täter außerhalb der Legalität und sind oft der organisierten Kriminalität zuzuordnen.
Die Bezeichnung Phishing leitet sich vom Fischen (engl.: fishing) nach persönlichen Daten ab. Die Ersetzung von F durch Ph ist dabei eine im Insider-Jargon (Leetspeak) häufig verwendete Verfremdung. Es könnte unter Umständen sein, dass der Ausdruck auch auf password harvesting fishing zurückführbar ist.
Gängige Ziele von Phishing-Attacken sind Zugangsdaten für Banken (Onlinebanking) oder Internet-Auktionshäuser. Durch anschließenden Mißbrauch der gestohlenen Zugangsdaten (Diebstahl von Geld, Verkauf gestohlener Waren unter falschem Namen, u.v.a.) kann den Opfern viel Schaden zugefügt werden.
| |
Die folgende Beschreibung bezieht sich auf den gängigen Ablauf einer Phishing Attacke. Die Phishing-Methoden werden ständig variiert. Auch andere Szenarien sind grundsätzlich denkbar.
Im Allgemeinen ist eine Phishing-Attacke mit einem Massenversand von E-Mail verbunden. Im Text der E-Mail wird der Empfänger aufgefordert eine Website zu besuchen welche zur Eingabe seiner Zugangsdaten auffordert. Folgt er dieser Aufforderung gelangen seine Zugangsdaten in die Hände der Urheber der Phishing-Attacke.
Der Absender einer Phishing-E-Mail ist immer gefälscht. In der E-Mail wird versucht dem Empfänger glaubhaft zu machen es wäre eine Nachricht z.B. der Bank. Aus einem wichtigen Grunde sei es dringend erforderlich, daß der Kunde sich auf der Website der Bank einloggt. Dazu stellt die E-Mail einen Link zur Verfügung welche den Anwender zur Login-Seite der Bank führt. Allerdings führt der Link nicht zur Bank sondern zu einer gefälschten Website, welche der Bank täuschend echt nachempfunden ist. Gibt der Anwender seine Zugangsdaten ein werden diese im nächsten Moment an die Urheber weitergeleitet. Was dann folgt dient nur noch dazu nachträgliches Mißtrauen seitens des Anwenders zu zerstreuen. Eine kurze Bestätigung oder eine falsche Fehlermeldung.
Eine andere Variante besteht darin ein Formular direkt innerhalb einer HTML-E-Mail einzubinden, welches zur Eingabe der genannten Daten auffordert und diese an die Urheber sendet. Auf eine gefälschte Website wird hierbei verzichtet.
| |
Die Mails erwecken den Eindruck, dass sie von einer vertrauenswürdigen Stelle stammen und sind meist seriös aufgemacht. Der Empfänger wird in dieser E-Mail beispielsweise gebeten seine Bankzugangsdaten zu überprüfen – und soll diese zu diesem Zweck noch einmal in einem Webformular eintippen. Dazu wird zum einen versucht das wahre Linkziel in der E-Mail (gefälsche Website) zu verbergen, zum anderen wird versucht zu verbergen, daß sich der Anwender auf einer gefälschten Website befindet.
Die folgenden Beispiele beschreiben nur gängige Methoden und haben keinen Anspruch auf Vollständigkeit. Jederzeit können neue Tricks und Methoden auftauchen. Auch werden Sicherheitslücken von E-Mail-Programmen und WebBrowsern genutzt.
-
1. E-Mail: Die E-Mail wird als HTML-E-Mail (Eine E-Mail mit den grafischen Möglichkeiten von WebSeiten) verfasst. Der Linktext zeigt die Originaladresse an während das unsichtbare Linkziel auf die Adresse der gefälschten Website verweist.
Oder der Link wird als Grafik dargestellt. Auf dem Bildschirm des Anwenders erscheint zwar Text, dieser ist allerdings eine Grafik.
-
2. Website: Die gefälschten Ziel-Seiten haben meistens gefälschte Namen oder Bezeichnungen, die ähnlich klingen wie die offiziellen Seiten oder Firmen, auf die Bezug genommen wird. Die Zielseiten mit dem Webformular haben das gleiche Aussehen wie die Originalseiten – sie sind also nur sehr schwer als Fälschungen identifizierbar. Im allgemeinen kennt der Anwender er die original URLs (Internet Seitenadressen, z.B. seiner Bank). Die Adresszeile des Web-Browsers verrät wenn er sich nicht auf der Original-Website befindet.
Eine Adresszeile der Form z.B.: http://217.257.123.67/security/ * verrät eindeutig, daß man sich nicht auf den Seiten einer Bank befindet. Deshalb werden oft Domainnamen (Internet Adressnamen) benutzt die den Bankadressen ähneln. Z.B. http://www.security-beispielbank.de/ *
Seit jüngerer Zeit gibt es die Möglichkeit Umlaute in URLs zu verwenden. Daraus resultierend auch neue Möglichkeiten der Adress-Namensverfäschung. Beispielsweise könnte eine Originaladresse lauten http://www.roemerbank.de (Bank frei erfunden) und als Fälschung http://www.römerbank.de * Die zwei Namen sind technisch unterschiedlich und können zu völlig Unterschiedlichen Websites führen.
Noch schwerer zu erkennen ist die Verwendung von kyrillischen Buchstaben anstelle von Umlauten. Das kyrillische 'a' unterscheidet sich optisch in keiner Weise vom lateinischen 'a'. http://www.beispielbank.de/ * Wenn das 'a' in "bank" kyrillisch dargestellt wird, ist die Adresse unterschiedlich, und somit falsch. Allerdings die Adresszeile des Browsers zeigt keinen (!) Unterschied zur Original Bankadresse. Diese Methode ist selbst für Experten erst bei genauerem Hinsehen zu durchschauen.
Es wurden schon Trojaner entdeckt welche gezielt Manipulationen an der "hosts"-Datei des Betriebsystems vornahmen. Mit der Konsequenz, daß die Original Website der Bank (z.B.) von einem derart manipulierten System nicht mehr erreichbar ist. Es kann nur noch die gefälschte Website aufgerufen werden. Selbst wenn die Adresse korrekt eingegeben wurde.
* Beispiele frei erfunden
| |
Ganz allgemein gilt: Banken und Versicherungen versenden keine Aufforderungen Zugangsdaten einzugeben per E-Mail. Auch nicht telefonisch. Am allerwenigsten fragen sie nach TANs (Transaktionsnummer, Transaktionspasswörter zur einmaligen Verwendung beim Onlinebanking). Finanzdienstleister senden Ihnen bei sicherheitsrelvanten Fragen Briefe und Einschreiben via gelber Post bzw. man bittet Sie persönlich in der Filiale vorbeizukommen.
URLs und E-Mail-Absenderadressen können gefälscht werden und sind nicht vertrauenswürdig. Rufen Sie niemals die Websites sicherheitsrelevanter Dienste über einen Link aus einer unaufgefordert zugesandten E-Mail auf.
Geben Sie die URL zum Onlinebanking immer von Hand in die Adresszeile des Browsers ein oder benutzen Sie im Browser gespeicherte Favoriten bzw. Lesezeichen, die Sie zuvor sorgfältig angelegt haben. Noch sicherer ist es vorher ein neues Browserfenster zu öffnen.
Seien Sie mißtrauisch wenn Sie unaufgefordert auf sicherheitsrelevante Bereiche angesprochen werden. Fragen sie bei den Diensten nach wenn Sie unsicher sind. Derartige Rückfragen liefern den Betreibern der betroffenen Dienste meist erst den Hinweis, daß eine Phishing-Attacke gegen ihre Kunden läuft.
Meist lassen sich Phishing E-Mails schon an folgenden Merkmalen erkennen.
-
Dringlichkeit. Es wird aufgefordert schnellstmöglich etwas durchzuführen. Oft eine 'Sicherheitsüberprüfung', 'Verifikation', 'Freischaltung'. Alles mögliche was wichtig klingt.
-
Ein Link
-
Eine Drohung. Es wird angedroht, bei Nichtbeachtung würde ein Zugang gesperrt oder gelöscht. Irgend etwas schlimmes oder lästiges.
-
Keine persönliche Anrede. Nur eine allgemeine Anrede wie "Sehr geehrter Kunde,.." oder "Sehr geehrters soundso-Mitglied".
-
Rechtschreib- und Grammatikfehler im Text. Beipielsweise ae anstatt ä oder falsche Synonyme, welche nicht gebräuchlich sind (beipielsweise Eintasten anstatt eingeben), etc..
E-Mails welche diese Merkmale aufweisen können getrost ignoriert und gelöscht werden.
Ist man Opfer einer Phishingmail geworden sollte unverzüglich das betreffende Dienstleistungsunternehmen (i.A. Bank, Sparkasse) informiert und die örtliche Kriminalpolizei eingeschaltet werden. Die gefälschte E-Mail sollte ebenfalls gespeichert und weitergeleitet werden. Sofern noch selbständig möglich, sollte man seine Passworte (PINs) unverzüglich ändern, wodurch die gestohlenen Originalpassworte für die Diebe unbrauchbar werden.
| |
| Dieser Artikel basiert auf dem Artikel Phishing
aus der freien Enzyklopädie Wikipedia und steht unter der GNU-Lizenz für freie Dokumentation. In der Wikipedia ist eine Liste der Autoren verfügbar. | |
|
| |
|
| |
|
|
|
|
| Total Hits |
Wir hatten
15 310 329
Seitenzugriffe seit 28. November 2003
1 019 Web-Links
490 432 * besucht
502 Files wurden
53 469 * gesaugt
Dateien:
2 853,41 MB
|
|
