Spam und Phishing

Die einfache Fälschbarkeit der Absenderadresse (siehe Fälschung) aber vor allem auch die Leichtgläubigkeit vieler Interneteinsteiger und das blinde Vertrauen in die Computertechnik. Anders ist nicht zu erklären, dass kriminelle Personenkreise analog zu Spam ihre Adressdatenbanken nutzen, um präparierte Nachrichten zu senden.

Das Ziel von Phishing

Ziel ist es, dass die Anwender glauben, dass ihre Bank oder eine andere Institution (auch ebay, PayPal etc. sind of angebliche Absender) sie zu einer Aktion auffordert, um die Leistung weiter zu erbringen. Manchmal wird behauptet, das neue Sicherheitseinstellungen erforderlich sind oder das Konto gesperrt werden würde, wenn der Anwender sich nicht legitimiert.

Natürlich kann die Legitimierung nur unter Angabe der Zugangsdaten und entsprechender TAN's erfolgen. Allerdings übersieht der Anwender dabei, dass der Webbrowser nicht auf die Webseiten der Bank zugreift, sondern auf entsprechend präparierte Seiten, die zwar täuschend ähnlich sind aber zwei Dinge meist nicht stimmen:

  • Name des Rechners
    Es kann nur einmal "Sparkasse-irgendwo" geben. Wenn Sie daher auf ihre Bank oder ebay gehen, dann prüfen Sie, dass die Adresse in ihrem Browser tatsächlich mit der Adresse ihres Instituts übereinstimmt. Und da die kriminelle Energie hoch ist, sollten Sie den Browser neu starten und die Adressen von Hand eingeben, damit keine "Frameseiten" oder Skripte ihnen nur vorgaukeln, auf der Homebankingseite ihrer HAusbank zu sein.
  • SSL-Verschlüsselung
    Meist nutzen diese Seiten gar keine Verschlüsselung, da ein offizielles Zertifikat teuer ist und zudem Rückschlüsse auf den Inhaber zulässt. Sie sollten daher auf jeden Fall immer das SSL-Zertifikat prüfen.

Zudem sollten Sie sich immer daran erinnern, dass eine Bank niemals von ihnen Ihr Kennwort benötigt und in dringenden Fällen Sie sicher anrufen oder anderweitig kontaktieren wird. Beim Zugriff auf ihr Homebanking können Sie in der Regel ganz ohne Eingabe einer TAN die letzten umsätze einsehen und damit einfache Fälschungen enttarnen. (Auch wenn das keine 100% Sicherheit darstellt)

Beispiel einer Phishing Mail

Anhand der folgenden Mail ist ebenfalls gut zu sehen, wie perfekt Mitte 2005 schon Phising praktiziert wurde.

Erst bei genauem hinschauen ist sichtbar, dass die URL statt einem großen "B" eine "8" im Namen enthält. Sie kommen also sicher nicht auf die Webseiten der deutschen Bank.

Abwehr mittels Programmen

Primäres Ziel von Phishing Attacken sind natürlich die Anwender, die eine präparierte URL mit ihrem Browser ansurfen. Damit gibt es mehrere Stellen, um diesen Zugriff zu unterbinden:

  • Der Anwender selbst
    Mit etwas gesundem Menschenverstand und kritischer Betrachtung sollte es fast jedem Menschen möglich sein, Phishing zu erkennen und im Zweifel einfach nicht darauf einzugehen
  • Filter im Mailprogramme
    Die meisten Phishingangriffe erfolgen als Mail mit "bequem" anklickbaren Links. Hier steuern moderne Programmer mehr und mehr dagegen, indem Sie Link prinzipiell oder erst nach einer Warnung freigeben. Einige Programme wie z.B.: Outlook 2003 mit SP2 filtern entsprechende Links anhand einer Datenbank
  • Filter im Webbrowser
    Die weitere Komponente ist natürlich der Webbrowser selbst. Auch hier macht Microsoft mit dem IE7 und mit einem Plugin für den IE6 das Surfen etwas sicherer, indem hier auch eine Datenbank von "schlechten" URLs zum Einsatz kommt:
  • Der Provider
    Letztlich vermittelt natürlich ein Internet Provider die Verbindung zum Zielsystem und viele Provider filtern schon heute Viren und andere Dinge heraus, indem Sie die Daten überwachen und Anwender über Proxy-Server umleiten. Daher könnte auch ein Provider solch eine Filterleistung erbringen. Allerdings ist dies nicht einfach und mit Zusatzkosten verbunden. Warten Sie daher nicht auf diesen Filter.
  • Die Bank
    Zuletzt führt natürlich die Bank die Transaktion der Angreifer aus und eine Bank über statistische Betrachtungen auch hier unregelmäßigkeiten erkennen. Oftmals ist es nicht mal das Konto des Opfers, welches auffällig ist, sondern das Konto des Helfers, auf dem plötzlich viele Überweisungen in kurzer Zeit eingehen. Die Angreifer nutzen oft Mittelsmänner, die das Geld auf ihrem Konto empfangen und dann abheben und bar oder per Post in das Ausland überweisen (und einen Teil behalten). Hier kann eine Bank dann natürlich zumindest rückfragen.

Das Problem all dieser programmatischen Filter ist, dass diese immer erst die neuen URLs erhalten und auf alle Clients aktualisiert werden müssen und die Angreifer natürlich sehr schnell die Namen und Adressen ändern.

Ich denke das Problem könnte nur so gelöst werden, indem Strafverfolgungsbehörden selbst "Opfer" spielen und die Banken entsprechend eingeweiht sind. So ist der Mittelsmann (ob selbst kriminell oder nur treudoof) ermittelbar und die tatsächlichen Empfänger warten doch einige Stunden oder Tage, bis das Geld transferiert worden ist. Aber wie so oft wird es dann wieder an korrupten Behörden in weit entfernten Ländern scheitern.

Falsches Phishing

Nun ist es ja so, dass sehr viele Filter nun geben diese Mails finden und verhindern wollen. Das könnte z.B.: so realisiert werden, dass die Absender Domäne mit den Links in der Mail verglichen werden. Eine Mail von der Deutschen Bank sollte natürlich auch Links auf die Deutsche Bank erhalten und keine Links auf IP-Adressen oder leicht veränderte Schreibweisen wie www.deutsch-pank.com und andere. So lobenswert das ist so würde ein solcher Filter natürlich auch zuschlagen, wenn ich ihnen in einem Newsletter ein paar interessante Seiten auf anderen Webpräsenzen mitteilen möchte. Und was ist mit Dienstleistern, die "im Auftrag von" einem Kunden eine Werbemaßnahme oder Informationsschrift versenden ?.

Filter, die jedoch auf Inhalte prüfen, könnten Sich an folgender Mail sehr schnell verschlucken. Diese Mail ist bei mir am 22. Oktober 2005 eingegangen und scheint eine Phishing-Mail zu sein.

Interessanterweise gehen aber alle Links tatsächlich auf die "Deutsche Bank". Sollte das Ziel dieser Mail wirklich nur die Verwirrung von Filtern sein, auf dass die Hersteller diese "bösen Links" auch gleich lernen und damit auch Zugriffe auf die Deutsch Bank unterbunden werden ?.

Die Mail kam natürlich nicht von der Deutschen Bank, wie nicht nur die schlechte Rechtschreibung sondern auch der Header beweist:

Received: from [82.249.97.85] (helo=lns-bzn-26-82-249-97-85.adsl.proxad.net)
by mxeu4.kundenserver.de with ESMTP (Nemesis),
id 0MKqlY-1ETMZN0rhB-0003Um; Sat, 22 Oct 2005 18:50:09 +0200
Message-ID: <0ae101c5d726$0c5ff155$3d3e2135@haniastuff.com>
From: Deutsche Bank <king@haniastuff.com>
To: msxfaqtest@xxxxxcxxxxaxriuxs.dxxe
Subject: =?iso-8859-1?B?R2VlaHJ0ZSBLdW5kZW4gdW5kIEt1bmRpbm5lbnUgRGV1dHNjaGUgQmFuayE=?=
Date: Sat, 22 Oct 2005 16:36:17 +0000
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_0000_1353F0F7.8EFB4262"
X-Priority: 3
X-MS-Mail-Priority: Normal
X-Mailer: Microsoft Outlook Express V6.00.2900.2180
X-MimeOLE: ProdUCEd By Microsoft MimeOLE V6.00.2900.2180
X-RBL-Warning: warn.bl.kundenserver.de says: Dynamic IP Addresses See: http://www.sorbs.net/lookup.shtml?82.249.97.85
Return-Path: SRS0=byyO=YW=haniastuff.com=king@srs.kundenserver.de
X-OriginalArrivalTime: 22 Oct 2005 16:50:15.0723 (UTC) FILETIME=[AD5E4FB0:01C5D728]

Werbung als Vermittler

Natürlich können die Bauernfänger nicht ohne eine Bankverbindung arbeiten und um sich nicht zu verraten und eine lokale Bankverbindung zu nutzen, werden "Helfer" gesucht. Diese Angebote kommen auch per Mail immer mal wieder in das Postfach und sehen fast perfekt aus.

Allerdings sollten Sie hier sehr skeptisch werden, wenn man ihnen wie in diesem Beispiel "10%" aller Transaktionen in einem radebrechenden Deutsch anbietet. Zudem werden Sie das Geld nicht behalten können, da es ja aus einer Straftat stammt. Also haben Sie nur ärger, wenn Sie auf solche Angebote eingehen.

Da kann man nur wünschen, dass unsere Strafverfolgungsbehörden diese Aufrufe ebenfalls erhalten und entsprechend sich als "Interessent" ausgeben und die internationale Zusammenarbeit dann ebenfalls zügig funktioniert.

Social Phishing über Twitter und Facebook

Wenn Sie einen Account bei Facebook, XING und anderen Webseiten haben, dann werden sich auch hier von "Freunden" angesprochen oder eingeladen oder erhalten Mails, die sehr perfekt nach Facebook aussehen.

Sie sehen eigentlich nur beim Absender und beim Überfahren des Hyperlink, dass das ganze rein gar nichts mit Facebook zu zu tun hat.

Auch Twitterkonten sind begehrte Ziele

Insofern sollten Sie immer genau hinschauen, worauf sie klicken.

Ich persönlich finde es sehr bescheiden, dass Firmen wie Facebook , Twitter oder auch Banken ihr Mails nicht einfach sigital signieren. Ich denke, dass sehr schnell die Empfänger erkennen, ob eine Mails korrekt signiert ist (Siehe auch Signieren und Verschlüsseln)

Weitere Links