Phishing, die Kunst vertrauliche Daten durch Täuschung zu ergaunern — beispielsweise mit E-Mails — ist immer wieder in der Presse. Gestern auch im Fernsehen am Beispiel der Migros Bank, welche nach Aussage von 10vor10 das E-Banking prompt abstellte um ihre Kunden zu schützen.
Anbieter von Online-Dienstleistungen müssen sich wohl an die folgenden zwei Sachen gewöhnen. Erstens wird es immer weniger zeitlich abgegrenzte Phishing-Attacken geben, da diese dauernd laufen. Und zweitens werden die Angriffe noch raffinierter — ich warte auf dem Tag an welchem eine installierte, in krimineller Absicht geschriebene Browser Erweiterung, sich in den Dialog mit der Bank einschaltet.
Bevor wir uns in die Diskussion der Abwehr stürzen (die ziemlich offensichtlich ist), lege ich den folgenden Artikel von auf Rachna Dhamija, J. D. Tygar und Marti Hearst auf den Tisch: «[pdf, 870KB] Why Phishing Works»
Mit der Hilfe von Test realer Phishing-Attacken wurde empirisch festgestellt, auf was User achten und auf was nicht. Sehr spannend und hier ein drei zentralen Punkte:
– 5 von 22 Testern schauen nie auf die Adresszeile oder auf den Rest des Browsers
– 13 von 22 Testern achten nie auf https/SSL
– eine gut gemachte Phishing-Site eines Bank-Logins (mit zwei «v» anstelle eines «w» im Domänennamen) wurde von über 90% der Tester als vertrauenswürdig eingestuft (darunter User die 90 Std. pro Woche mit Computer arbeiten)
Eine spannende Realität.
Weshalb Phishing funktioniert
W
Zumindest in der Scheiz unternehmen die Banken sehr viel um ihre
Internet Banking Kunden, bzw. deren Transaktionen mit der Bank zu
authentifizieren. Leider aber geht das nicht umgekehrt. Die
Kunden haben keine aureichende Methode um Ihren
Kommunikationsparter, der angeblich die ihre Bank sein sollte zu
authentifizeren.
Was wäre ein wirksames Verfahren um die Bank zu authentifizieren, wenn die User den Browser-Chrome zu wenig beachten?
Dem Phischer nicht zur Verfügung stehen sollte eigentlich ein Cookie der Bankensite. Wenn man also bereit ist jeden Computer einzeln aufwendiger zu authentifizieren, dann könnte dies genutzt werden.
Zum Beispiel könnte gleich nach der Eingabe des Usernamens etwas auf der Seite erscheinen, das von der privacy her unbedenklich aber für den Kunden einfach zu merken und vor allem zu erwarten ist. Um Proxyattacken zu verhindern wird das nur Browsern mit passendem Cookie gesandt.
Also:
> Username: jstuker
Password: …
Wenn da plötzlich was anderes kommt wird man hoffentlich stutzig.
Und zum Computer authentifizieren (Cookie setzen) muss man halt zum Höhrer greifen. Und das erste was im Dialog verlangt wird ist eine neue URL eingeben.
Gibt es solche Implementationen?
argh, jetzt hat es mir doch glatt nach dem previewen die tags noch mal encoded.
IN: Username: jstuker
OUT: Hallo Jürg Stuker, Beatrice H. ist Ihre Kundenberaterin
IN: Password: …
Interessanter wäre IMO eine Studie was für Mails als legitim betrachtet, schliesslich sind diese in der Regel der Ausgangspunkt einer Attacke (mal abgesehen vom URL-Vertipper).
Wie plausibel ist der Grund den User auf die Phishing Site zu locken?
Die Migrosbank / Postfinance-Attacken waren ja ziemlich plump, aber z.B. Paypal macht es mit seinen regelmässigen Policy-Updates ja nicht gerade einfach Phishing von echten Mails zu unterscheiden (ok, wer liest schon Policy-Updates 🙂
Eine praktikable Lösung gegen diese Art Attacken wäre ein Mailclient der den HTML-Mail-Leser klarer darauf hinzuweisen wohin denn der geklickte Link führt.
Ich finde es immer wieder erschreckend und auch ein wenig erstaunlich, wie viele Kunden doch ihre Daten preis geben, obwohl die Banken und andere Institute explizit darauf hinweisen, dass niemals nach den Zugangsdaten gefragt wird.
Allein die meist verwendeten Erklärungen über Systemabstürze, bei denen die Zugangsdaten verloren gingen (oder ähnliches) sollten einen doch zum Nachdenken anregen.
Erst kürzlich erreichte mich wieder eine solche E-Mail in der mich meine Bank höflich gebeten hat bitte meine Zugangsdaten (User/PIN) und all meine noch gültigen TAN-Nummern neu zu hinterlegen, da sie abgeblich versehentlich durch einen Absturz verloren gegangen sind. Hab ich natürlich sofort gemacht… 😉
Die sicherste Abwehr in meinen Augen ist es einige Grundregeln einzuhalten:
– Niemals Anmeldedaten weitergeben (auch nicht der Bank, die brauchen sie bestimmt nicht)
– Niemals eine Anmeldung hinter einem Link in einer E-Mail ausführen
– Suspekte E-Mails löschen, wichtiges kommt wieder 😉
Ich sehe das ganz ähnlich. Man sollte viel eher in die gemeinsame Kommunkation aller Banken investieren, die einen wirksamen Fernseh-Werbespot verbreiten, der darauf hinweist, dass Banken niemals nach Zugansdaten fragen (ausser wenn der User selbständig auf den Service zugreift). Wenn man den als Bestandteil der RTL-Nachrichten laufen lässt, wird sich die Anzahl der Phishing-Opfer dezimieren.
Grundsätzlich sollten nicht weitere Sicherheitssysteme geschaffen werden, sondern vielmehr die User noch aktiver auf die Möglichkeiten zum Selbstschutz, die mein Vorredner schon sehr gut zusammengefasst hat, hingewiesen werden.
Bernies Ansatz mit einem Secure Channel ist spannend. Ich kenne keine Implementierung im Umfeld dieses Ansatzes… resp. wäre eine «Billigvariante» die, welche das Cookie bei der letzen erfolgreichen Kommunikation setzt (was ist die Definition von erfolgreich?). Ähnlich wie ein der SSH oder PGP Fingerprint. So vergleicht der IE7 (FFox 2 weiss ich nicht) SSL-Zertifikate mit Vorgängern und alarmiert. Um SSL-Proxies auszuschalten gibt es einen Schweizer einfachen Vorschlag bei der IETF den ich bei Gelegenheit mal poste.
Was ich weiss dass Banken schon daran gedacht haben jede Transaktion durch den User (mittels Token) signieren zu lassen und dann kam die Idee des Browserhelpers der mitliest…
Ja, Chicken, die Studie über E-Mail fehlt. Aber auch wenn die E-Mails plump sind gibt es Leute die darauf klicken und ich kenne ein paar Beträge die überwiesen wurde. die einfache Tour mit Cash Money Transfer (kleine Beträge) die fiese Tour mit Leuten die für Geldtransfer über ihr *eigenes* Konto angeworben werden. Und auch die gibt es.
Irgendwie mag Euer Blog es nicht, wenn man künstliche Tags einfügt. Ich hatte den RTL-Satz mit «Polemik-Tags» versehen, auf das dessen Stumpfsinnigkeit jedem Leser ins Auge stechen möge.
Unsichere Zeichen werden gefiltert. Du kannst Entities nutzen <so />
Wo Phishing ist sind Trojaner nicht weit, oder so. Auch hier sollte man ja bekanntlich nicht auf Dinge klicken von denen man nicht weiss was sie tun. Wie aber bringt man dieses Verhalten jemandem bei?
«Nie, nie, nie auf Links wie ‹XY herunterladen: Kostenlose Software für Ihren PC› klicken» ist so die erste Lektion die man dem unbedarften Internetnutzer beizubringen versucht.
Was ist aber wenn da statt XY ‹Google Pack› steht, wie zum Beispiel heute bei google.ch? Jaja, Google ist Gut, aber wer ist dann Böse? Und woran erkennt man das? Kochrezeptsites sind doch auch was gutes.
«Wie aber bringt man dieses Verhalten jemandem bei?»
Das ist sicherlich eine zentrale Frage. Vielleicht sollten wir mal eine virtuelle heisse Herdplatte programmieren, an denen sich alle Leute die Finger verbrennen können, denn so lernen unsere Kleinen doch auch am schnellsten, dass man eine heisse Herdplatte nicht anfassen darf. Wer glaubt denn schon der Mammi , wenn sie sagt: «Nein, das ist heiss!» 😉
Wenn es der User nicht schnallt, muss das System besser werden.
Die UBS kanns:
http://www.ubs.com/1/g/ebanking/internet/internet_security/requirements/animation.html
Wäre auch ein tolles System für die Onlinebezahlung – der online EC-Automat.
@Dani. Was die UBS auch kann ist a) nichts zeigen wenn ich in meinem Firefox kein Flash-Plugin habe und b) bei der Seitenzahl der Animation zuerst von 1 bis 10 zählen und dann von 1 bis 9. Vermutlihc fand man 19 Schritte ein bisschen viel für ein Login 😉 Vor einm einem Angriffsszenario mit einem Secure Proxy (Session Highjacking) schützt auch die UBS-Lösung nicht.
Raiffeisen Schweiz versucht mit einem zweistufigen Login den Kunden beim E-Banking zu schützen.
Auf der ersten Seite wird Username und Passwort verlangt. Auf der zweiten Seite wird ihm seine Postanschrift und das letzte Login dargestellt. Der User soll nun diese Informationen (welcher der Phisher nicht haben kann) überprüfen und erst anschliessend das 3. Sicherheitselement (Sicherheitskarte) eingeben.
(@ Bernhard Seefeld: Kann hier mal ausprobiert werden http://www.raiffeisen.ch/demo )
Bezüglich Kundenkommunikation versuchen Banken auf vielen Kanälen die Kunden über die Sicherheit im E-Banking zu informieren (Website, Kundenzeitschriften, Flyers etc.) _Auch hat die Schweizerische Bankiervereinigung (als Spitzenverband des Schweizer Finanzplatzes) zusammen mit PostFinance ein Merkblatt zur Sicherheit im Zahlungsverkehr publiziert. Darin wird nicht nur das E-Banking betrachtet, sondern auch der Zahlungbeleg auf Papier und die Kreditkarten. Denn derzeit sind die tatsächlichen Schäden aus Betrügen im E-Banking am geringsten.
(@ Andi B: Ist zwar noch kein TV-Spot auf RTL, kann aber hier gelesen werden. http://www.raiffeisen.ch/raiffeisen/INTERNET/home.nsf/$UNID/44D7FC41FBF09BB7C125712300543D6B/$file/Sicherheit_D.pdf
@Jürg du hast aber sicher ein PDF-Reader installiert http://www.ubs.com/1/ShowMedia/ebanking/internet/internet_security/requirements?contentId=28819&name=Benutzeranleitung_Login%20UBS%20e-banking_DE_28819.pdf
oder magst du Adobe grundsätzlich nicht 😉
Die UBS setzt mit ihrem System die Hürde für Betrüger ein ganzes Stück höher und die billigen Phising-Tricks funktionieren nicht. Eine gute Investition, wenn man den Imageschaden für die Banken bedenkt.
Das Angriffsszenario mit einem Secure Proxy dürfte dann aber ein neuer Blogeintrag sein.
@Pasca Dürr: Aber so schützt ihr euch nicht vor Phishern, die Proxy spielen, oder?
Wenn Du meinst, dann nicht.
Sorry, da wurden die Tags bei der Antwort rausgelöst. So sieht’s ziemlich rüde aus.
Originalantwort war:
Wenn Du man in the middle meinst, dann nicht.
Was aber ist, wenn die URL stimmt und das SSL Zertifikat auch (Stichwort XSS & Verwandte-Attacke). Bei der UBS zumindest war das mehrfach möglich:
http://live.rootquest.com/archives/118-UBS-7-Sicherheitsluecken-in-7-Tagen.html
Dann wir es heikel 🙂 Insb. da User (statistisch gesehen) weder die URI noch das Browser Chrome ankucken….