Von Fischern und Farmern
Zu den seit Jahren beliebten und zunehmend eingesetzten Methoden des Trickbetrugs im Internet zählen Phishing und Pharming. Wie in der Überschrift bereits angedeutet, geht es dabei um das „Einfangen" bzw. „Abernten" von Informationen, die es ermöglichen, jemanden finanziell zu schaden.
Beim Phishing (password fishing) werden Internetnutzer dazu verleitet, eine Webseite aufzurufen und dort z.B. Identifikations- und Transaktionsdaten für einen Bankkontenzugriff einzugeben. Beispielweise, in dem sie eine Mail erhalten, der entnommen werden kann, dass ihre Sparkasse etwas an ihrem Online-Banking-System umgestellt hätte und daher ein erneuter Login mit PIN, TAN und Bestätigung erforderlich sei, um das Bankkonto weiter nutzen zu können.
Das ist zwar Unsinn und die Banken warnen inzwischen regelmäßig ihre Kunden, dass sie grundsätzlich von sich aus keine Zugangsdaten per Mail abfragen. Aber es funktioniert immer wieder. Waren die Phishing-Mails vor Jahren noch an ihrer meist kruden Orthografie erkennbar, sind sie heute i.d.R. professionell getextet und layoutet und so von einer „offiziellen" Mail eines Unternehmens kaum zu unterscheiden.
Erfordert aber das Fischen nach Bankdaten per Mail immerhin noch die aktive Reaktion darauf durch den Nutzer, kommt eine weiter entwickelte Variante dieses Angriffes – das Pharming (password harvesting) – ohne dessen bewusstes Zutun aus. Dazu wird ein Trojaner auf dem Rechner des Benutzers platziert (z.B. durch einen „Drive-by-Download")[1]. Sobald dieser die Webseite seiner Bank aufruft, wird er durch den Trojaner auf eine andere, optisch aber identisch wirkende Webseite umgeleitet. Dort gibt er dann seine Konten- und Transaktionsdaten direkt ins Datenbanksystem des Passwortabfischers ein, in der Annahme im Online-Banking-System seiner Bank zu arbeiten.
Angriffe dieser Art werden auch als „Man-in-the-middle-attack" (Mittelsmann-Angriff) bezeichnet, da sich ein Dritter in eine geschäftliche Transaktion einklinkt, um unbemerkt die Transaktionsdaten abfischen zu können. Und es müssen nicht nur Bankdaten sein, auf die man es absehen kann. Auch Zugänge zu kostenpflichtigen Online-Diensten wie World-of-Warcraft oder Bezahlsystemen wie Pay-Pal etc. haben ihren Wert.
Technisch steht dabei eine Manipulation des DNS-Systems[2] dahinter. Wird eine WWW-Adresse (URL) in einen Browser eingegeben, so schickt dieser die Eingabe an einen DNS-Server. Bevor er das tut, wird geprüft, ob diese URL kürzlich schon mal aufgerufen wurde. Dann steht die IP-Adresse meist bereits in einer bestimmten Datei des Betriebssystems und die Wartezeit auf die Antwort des externen DNS-Servers kann übersprungen werden. In dieser sog. Hosts-Datei" kann ein Trojaner unbemerkt eine andere IP-Adresse interlegt haben, so dass der Aufruf z.B. einer Bank-URL tatsächlich auf eine andere Seite führt, die nur genauso aussieht.
Doch was tut man gegen solche Angriffe? Wie schützt man sich persönlich davor?
Wie bei den meisten Internet-Gefahren für Endnutzer durch eine wirkungsvolle Kombination aus Technik und gesundem Menschenverstand.
Bei Phishing-Mails wird häufig mit HTML-Formatierungen im Mailtext gearbeitet. So kann z.B. ein Link eine Originaladresse anzeigen, während das unsichtbare Linkziel auf die Adresse der gefälschten Webseite verweist (sog. „Link-Spoofing"). Gängige Mailprogramme erkennen das und zeigen beim Klick darauf einen Warnhinweis an.
Das kostenlos erhältliche Programm „Spybot Search & Destroy"[3] von Safer Networking hilft Spyware, Trojaner etc. vom heimischen PC fernzuhalten. Zusätzlich enthält es eine laufend aktualisierte Liste gängiger Betrugswebseiten und vermerkt in Ihrer Host-Datei, dass Aufrufe solcher Seiten durch Umleitung auf die IP-Adresse Ihres eigenen Rechners (127.0.0.1) blockiert werden. Browser geben dann lediglich eine Fehlermeldung aus. Welche Seiten Spybot so sperrt, können Sie im Programm nachbearbeiten, falls wider Erwarten auch mal eine für Sie wichtige Seite in den Sperrfilter hineingeraten ist.
Speziell beim Online-Banking und -Broking kann der Einsatz spezieller Software statt der Weboberflächen im Browser Phishing und Pharming deutlich erschweren.
Neuere Sicherheitspakete für PCs enthalten neben einem Virenschutz meist auch eine Komponente zur Vorfilterung von Mails nach potentiell gefährlichen Code-Elementen. Falls noch nicht vorhanden, sollte ein solcher Schutz nachgerüstet werden.
Wenn Sie eine Bankseite aufrufen, sehen Sie sich nach dem Seitenaufbau die URL im Browser nochmal genauer an. www.volksbank.de ist nicht dasselbe wie www.volksbank1.de oder www.volksbánk.de (ja auch solche Sonderzeichen sind in URLs mittlerweile möglich, aber noch sehr selten).
Und nicht zuletzt, sollte jeder Text (egal oder Mail oder Webseite), der eine kommerzielle Transaktion auslöst, sehr sorgfältig gelesen, verstanden und ggf. auch inhaltlich hinterfragt werden.
Verfasst von Guido Strunck, Betreiber des Fachblogs http://itsicherheit.wordpress.com/, beruflich tätig als IT-Prüfer und Spezialist für Softwarequalität.
Kontakt: http://www.guidostrunck.de/ oder per Mail: Guido.Strunck@gmx.net
[1]: s.a. http://itsicherheit.wordpress.com/2009/01/31/drive-by-downloads-%e2%80%93-angriff-auf-arglose-surfer-und-was-dagegen-getan-werden-kann/
[2]: Domain-Name-System, serverbasierte Internet-Infrastruktur zur Auflösung von Namen (www.gabal.de) in IP-Adressen (212.16.254.22).
[3]: http://www.safer-networking.org/de/index.html
Keine Kommentare vorhanden