Phishing – neue Entwicklungen

Ordnungsmerkmale

erschienen in: <kes> 2006^#3, Seite 35

Zusammenfassung: Phishing, das Fischen nach Passwörtern, hat sich in der letzten Zeit weltweit rasend weiter ausgebreitet, wobei sich mittlerweile durch neue Methoden und neue Ziele der Phisher eine neue Qualität der Bedrohung für Bürger, Firmen, Organisationen und den Staat ergibt.

Autor: Von Frank W. Felzmann, BSI

Der klassische Phishing-Angriff besteht aus zwei Phasen: In Phase 1 werden massenhaft E-Mails versendet, die angeblich von dem Geldinstitut des Empfängers stammen. In der E-Mail gibt es einen Internet-Link, auf den der Kunde klicken soll. Die E-Mails verwenden das HTML-Format, da sich nur so hinter dem angezeigten vertrauenswürdigen Link der tatsächliche betrügerische Link verbergen kann. Nach dem Klicken auf den Link wird eine gefälschte Einstiegsseite des Geldinstituts ausgegeben, worauf in Phase 2 dann zur Eingabe von Kundendaten sowie PIN und TAN (manchmal sogar 10 Stück) aufgefordert wird.

Abbildung 1: Eine besonders dreiste Phishing-Mail

Besonders dreist ist der Versuch, lediglich per Antwort auf eine E-Mail die notwendigen Daten einzusammeln (siehe Abb. 1). Hierbei wird nicht einmal mehr die Anstrengung unternommen, eine Fake-Seite aufzubauen, sondern der Phisher hat sich darauf verlassen, dass sicher eine ganze Reihe von ahnungslosen Empfängern bei dieser plumpen Masche ihre Daten herausrücken.

Nicht unerwähnt bleiben sollte auch die Vorgehensweise, per Telefon an die Kunden-Informationen zu gelangen. Hierbei wird das potenzielle Opfer in einer E-Mail (siehe Abb. 2) aufgefordert, eine bestimmte, sogar kostenfreie Nummer zu wählen, damit dann eine Überprüfung der Bank-Daten erfolgen kann. Im Zeitalter des digitalen Telefonierens können die so erbeuteten Daten ganz einfach elektronisch ausgewertet werden.

Abbildung 2: Phishing per Telefon

Aufgrund von Aufklärungsarbeit durch Banken, Behörden und Medien fallen aber mittlerweile immer weniger Kunden auf derartige Phishing-Mails herein. Außerdem werden Phishing-Domains immer schneller erkannt und gesperrt, wodurch die "Lebensdauer" der Link-Adressen drastisch zurückgeht. Nachdem viele Kunden E-Mails nur in den seltensten Fällen sofort nach Erhalt lesen, sondern die Abarbeitung der elektronischen Post in der Regel auf die Abendstunden verschieben, erfolgt dann nach Aufrufen des Links meist nur noch die Fehlermeldung "404 – Seite nicht gefunden" – und der Angriff geht ins Leere.

In Deutschland wurden von den Online-Banken zusätzlich neue Verfahren eingeführt, die das bestehende PIN-TAN-Verfahren um eine weitere Sicherheitsstufe ergänzen. Erwähnt werden soll hier das Verfahren der indizierten TAN, der iTAN: Der Kunde kann bei einer Überweisung nicht mehr eine beliebige TAN eingeben, sondern muss auf Aufforderung die zu einer bestimmten laufenden Nummer oder Index-Nummer gehörende TAN angeben, die er seiner jetzt durchnummerierten Liste entnehmen muss. Fängt ein Phisher nur TANs ab, kann er damit nichts mehr anfangen, da er die zugehörige Index-Nummer nicht kennt.

Noch einen Schritt weiter geht das mTAN- oder smsTAN-Verfahren. Hierbei wird die TAN nicht mehr einer Liste entnommen, sondern dem Kunden einmalig durch das Geldinstitut per SMS auf sein vorher angemeldetes Handy übertragen. Der Kunde gibt dann über das Internet diese auf einem zweiten, unabhängigen Weg erhaltene TAN ein, um eine Überweisung zu legitimieren.

Trotz all dieser Verfahren bleibt als Hauptproblem nach wie vor die oft grenzenlose Naivität der Online-Bankkunden. Ein besonders erschreckendes Beispiel: Es gibt Phishing-Mails, die einen Link zu einer angeblichen Bank-Seite enthalten, auf der der Kunde nicht nur seine PIN und eine TAN, sondern sogar 10 TAN eingeben soll. Ein Kunde hat, nachdem er sieben solcher E-Mails erhalten hatte, jedesmal den Link aufgerufen und der Reihe nach dann 70 TAN eingegeben.

Phishing – neue Methoden

Die Phisher haben sich unterdessen schon wieder etwas Neues einfallen lassen: Es wird mit allen Mitteln versucht, ahnungslosen Internet-Nutzern ein Trojanisches Pferd unterzuschieben. Mit diesem Schadprogramm werden die Aktivitäten des Nutzers kontrolliert, insbesondere wenn er Bankgeschäfte tätigt.

Einige dieser Trojanischen Pferde schalten sich dabei in den Überweisungsvorgang ein und modifizieren kurz vor dem Versenden das Zielkonto und den Betrag. Ein solcher "Man-In-The-Middle-Angriff" kann natürlich die meisten Sicherheitsvorkehrungen aushebeln, da der Angreifer den Datenverkehr zwischen Nutzer und Bank kontrolliert und die Eingaben beliebig modifizieren kann.

Andere Trojanische Pferde begnügen sich mit dem Aufzeichnen der Eingaben des Nutzers (sog. Keylogger), um sie dann an einen Server ins Ausland weiterzuleiten, der die Kundendaten samt PIN und TAN sammelt. Mit diesen Daten können anschließend Überweisungen getätigt werden.

Die Einfallswege dieser Trojanischen Pferde sind sehr unterschiedlich: Ein bevorzugter Weg ist die Versendung von Massen-Mails mit dem Trojanischen Pferd als Dateianhang, das sich dann nach dem Doppelklick auf dem Rechner einnistet. Beliebt sind hierbei angeblich völlig überhöhte Rechnungen der Telekom mit dem angeblichen Namen "rechnung.pdf", die in Wirklichkeit noch zusätzlich die Erweiterung ".exe" aufweisen und damit nach dem Anklicken in der Regel sofort ausgeführt werden.

Im Rahmen der aktuellen Fußballweltmeisterschaft sind per E-Mail auch schon angebliche Spielpläne der FIFA aufgetaucht, die eine selbstextrahierende Datei "googlebook.exe" enthalten sollen. In Wirklichkeit ist diese aber ein Trojanisches Pferd zum Ausspähen von Informationen und übermittelten Transaktionsdaten. Andere Trojanische Pferde gelangen über ActiveX-Controls beim Besuch von Internet-Seiten auf den Rechner, wenn das Ausführen von aktiven Inhalten – hier ActiveX – durch den Browser erlaubt wird.

Der dritter Weg geht über Sicherheitsschwachstellen der Betriebssysteme, die durch den Anwender noch nicht beseitigt ("gepatched") worden sind. Beliebt ist hierbei ganz aktuell die Schwachstelle im Microsoft Betriebssystem Windows, die unter Verwendung des Grafikformats Windows Metafile (WMF) ausgenutzt wird. Hier kommt es zu einer Infektion des Rechners durch speziell präparierte Bilder auf Internet-Seiten (Einzelheiten zur Schwachstelle unter:  www.bsi.bund.de/av/texte/windowswmf.htm).

Erschwert wird die Erkennung und Bekämpfung dieser Trojanischen Pferde durch eine Reihe von "Vorsichtsmaßnahmen", welche die Phisher ergriffen haben. So erfolgt keine massenhafte Versendung mehr, sondern es werden gezielt nur wenige Adressaten angesprochen. Damit sinkt die Wahrscheinlichkeit, dass aufmerksame Empfänger den Braten riechen und diese Dateien an die Hersteller von Viren-Schutzsoftware zwecks Update der Viren-Signaturen senden. Zunehmend wird auch nicht mehr das komplette Trojanische Pferd übermittelt, dessen Analyse dann Hinweise auf mögliche Angriffsziele und Download-Server ergeben kann. Vielmehr kommen so genannte Downloader zum Einsatz, die erst nach einiger Zeit von bestimmten Servern, die nur kurzzeitig das eigentliche Trojanische Pferd beherbergen, dieses auf den Rechner des ahnungslosen Benutzers laden.

Finanzagenten

Auch die Banken haben mittlerweile Vorkehrungen getroffen und verzögern Auslandsüberweisungen, insbesondere nach Ost-Europa, um einige Tage, damit ein eventuell Geschädigter sich melden kann und somit die Transaktion verhindert wird. Die Phisher sitzen nunmehr auf einem Berg von PIN und TAN und können die Überweisungen nicht mehr direkt auf die Konten nach Russland, Rumänien, Estland et cetera vornehmen. Aber auch darauf haben die Phisher bereits reagiert: Es werden so genannte Finanzagenten (engl.: Money Mules) dazwischengeschaltet.

Um den kriminellen Hintergrund zu verschleiern, hat eine solche Finanzagentur in die Voraussetzungen für ihre Geldsammelaktivität noch zusätzlich aufgenommen, dass der Bewerber in der Lage sein muss, "2–5 kg schwere Pakete zu schleppen". Aber diese "Schleppleistung" wird nie in Anspruch genommen werden.

Die Finanzagenten sind Strohmänner, die über ein Konto in Deutschland verfügen müssen. Auf diese Konten werden von den Phishern mit den erbeuteten Kundendaten sowie den zugehörigen PIN und TAN innerdeutsche Überweisungen ausgeführt. Der Finanzagent muss dann sofort nach Eingang das Geld abheben und mittels einer Western-Union-Überweisung beim nächsten Postamt das Geld direkt ins Ausland schicken. Zwar ist diese Art der direkten Überweisung nicht billig, aber eben auch sicher. Für die Mühe erhält der Finanzagent dann eine Provision in Höhe von 5–10 % der Summe.

Solch ein Strohmann handelt sich aber Probleme mit gleich drei Parteien ein: Die geschädigten Banken fordern nämlich das erbeutete Geld von ihm zurück, da es sich um eine betrügerische Überweisung handelt. Außerdem hat er sich mit der Weiterleitung der Geldwäsche schuldig gemacht. Das größte Problem sind aber die Phisher selbst, die bei Unregelmäßigkeiten und zu langsamen Überweisungen sehr unangenehm werden können. Manchmal bleibt es nur bei verbalen Drohungen, aber es kann auch zu Übergriffen kommen, da die Hintermänner der Phisher überwiegend zum Bereich der organisierten Kriminalität gehören.

Bekämpfung

Das Schlüsselelement zur Bekämpfung der Phisher ist ihr "Geschäftsmodell". Um dieses zu zerstören, muss gemeinsam vorgegangen werden:

• Empfänger von Phishing-Mails dürfen nicht mehr darauf reagieren. Sie sollten entsprechende Mails einfach löschen. Denn ohne Rücklauf auf die Phishing-Mails gibt es auch keine Daten zum Plündern von Konten.
• Werden Fake-Seiten bekannt, sind diese durch den zuständigen Registrar umgehend zu sperren. Ein unerfahrener Online-Kunde, das Ziel der Phisher, gerät damit nicht in Gefahr seine Daten einzugeben. Dies erfordert ein gemeinsames Handeln aller Beteiligten, damit Kriminelle nicht auf kooperationswillige Registrare ausweichen können.
• Registrare müssen Fake-Seiten aber nicht nur sperren: Sie müssen auch die Daten der Auftraggeber solcher Seiten sowie deren Online-Zugangsdaten den zuständigen Behörden melden, damit diese den Urheber feststellen und dingfest machen können.
• Internet -und Cyber-Kriminalität kennen keine nationalen Grenzen. Zur wirkungsvollen Bekämpfung der Phisher ist daher die weltweite Zusammenarbeit der entsprechenden Behörden erforderlich, ebenso wie die schrittweise Eingrenzung "rechtsfreier Regionen".
• Organisatorisch empfiehlt sich die Einrichtung spezieller Kontaktstellen bei den Finanzdienstleistern zur Meldung von Phishing-Vorkommnissen. Gleichzeitig können diese Kontaktstellen eine erste Beratung betroffener Phishing-Opfer leisten.
• Die Entwicklung von Behörden mit einer Spezialisierung auf Cyber-Kriminalität und Phishing sowie der Ausbau der Auslandskontakte sind weitere Optionen, um insbesondere international agierende Phishing-Banden wirkungsvoll zu bekämpfen.

Zukünftige Entwicklung

Es ist zu erwarten, dass verstärkt Trojanische Pferde eingesetzt werden, da diese schwerer zu erkennen sind als millionenfach versandte E-Mails, insbesondere dann, wenn diese Schadprogramme gezielter hinsichtlich der Opfer programmiert werden.

Phishing hat sich gemausert vom reinen PIN- und TAN-Klau zum Einsammeln von allen Informationen, mit denen man auf betrügerische Art und Weise zu Geld kommen kann. Auf einem Server, der zum Einsammeln von Daten über Trojanische Pferde genutzt wurde, liefen innerhalb von vier Tagen insgesamt rund 770 000 Datensätze auf. Eingesammelt wurde alles, was die Opfer per HTTPS gesendet hatten. Dies waren Bankdaten (PIN, TAN, Kontonummer, Bankleitzahl, ...), Kreditkartendaten aus E-Shopping-Angeboten, die Login-Daten von eBay-Accounts und auch Zugangsdaten zu Mailboxen.

Auch die Angriffsziele werden sich verändern. Die Geldinstitute reagieren immer rascher auf Phishing-Angriffe durch schnelleres Abschalten von Fake-Seiten, verzögern beziehungsweise verhindern sogar Überweisungen ins Ausland und führen neue Sicherheitsmechanismen für Online-Banking ein. Damit wird die Arbeit der Phisher sehr erschwert, was zur Folge hat, dass sie sich neue Opfer aussuchen. Es ist daher abzusehen, dass die Angriffe sich zunehmend auf den Bereich E-Commerce verlagern werden, wobei durchaus auch mittelständische Unternehmen betroffen sein können, die über keine IT-Sicherheitsabteilungen verfügen.

Auch Anwendungen im E-Government-Bereich sind für Phisher zunehmend von Interesse. Hier wird gerade der Identitätsmissbrauch zunehmen, da damit betrügerische Manipulationen schnell möglich sind. Bis Opfer endlich einen Verdacht entkräften können, vergeht meist genügend Zeit, damit die Täter ihre Schäfchen ins Trockene bringen können.

Fazit

Phishing ist in einem Wandel begriffen, sowohl in den verwendeten Werkzeugen als auch den Angriffszielen: vom Versenden von massenhaften E-Mails hin zum Einsatz von gezielt gestreuten Trojanischen Pferden – vom Einsammeln von Kunden-Daten, um damit Geldbeträge von Banken abzuziehen, hin zum "Identitätsdiebstahl", mit erheblichen Problemen für die Opfer. Um dem wirksam zu begegnen, ist eine Verfolgung der Täter nicht nur in Deutschland oder Europa, sondern weltweit dringend erforderlich.

zurück zum Inhalt
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2006^#3, Seite 35