Phishing Phishers Verfolgung von Identitätsbetrügern und Geldwäschern

Ordnungsmerkmale

erschienen in: <kes> 2007^#3, Seite 41

Rubrik: BSI Forum

Schlagwort: Phishing

Zusammenfassung: Dieser Artikel stellt ein Verfahren vor, das Phishing-Attacken proaktiv bekämpft und auf dem Kerngedanken basiert, Phishing-Datenbanken mit eigens für eine betrügerische Seite erstellten, virtuellen Zugangsdaten (Phoneytokens) zu füllen.

Autor: Von Dominik Birk, Sebastian Gajek und Felix Gröbert, Ruhr Universität Bochum, Maximillian Dornseif, Universität Mannheim

Bisher sind den Autoren im Kampf gegen Phishing nur passive Ansätze bekannt. Dieser Beitrag präsentiert ein Framework, das Dienstanbietern helfen soll, den Kampf gegen Phishing aktiv zu beginnen, mit dem Ziel, den Phishing-Kreislauf zu enttarnen. Das Prinzip: Wer sich mit eigens für Phishing-Sites erstellten Zugangsdaten (sog. Phoneytoken) bei einer legitimen Website anmeldet, wird als Phisher erkannt und kann auf ein virtuelles System umgeleitet werden, das die Web-Anwendung simuliert. Einerseits reduziert diese Methode die Erfolgswahrscheinlichkeit der Phisher, weil der Aufwand linear mit der Menge der gültigen Zugangsdaten als auch Phoneytoken steigt. Andererseits wird ein Profil der Phisher aus charakteristischen Daten erstellt. Dabei erhält der Betreiber neben den netzwerkbasierten Charakteristika auch Informationen darüber, für welche Zwecke das "gephischte" Konto benutzt wird und welche Mittelsmänner eingesetzt werden (z. B. Adressat einer Phishing-Banküberweisung).

Wird in einem weiteren Anmeldevorgang (z. B. mit gültigen Zugangsdaten, die aus einem Phishing-Angriff stammen) oder in einem Transaktionsversuch ein Nutzer erkannt, der einem Phishing-Profil entspricht, so können alle Transaktionen blockiert und weiterführende forensische Analysen in Angriff genommen werden. Zudem unterstützt die Analyse das strafrechtliche Vorgehen gegen die Hintermänner.

Identifikation von Betrügern

Dieser Vorgang ist in vier Phasen einzuteilen (vgl. Abb. 1):

Locken mit virtuellen Zugangsdaten: Hierbei wird das Prinzip der Geldmarkierung der realen Welt mittels so genannter Phishing Honeytokens (Phoneytokens) auf die digitale Welt übertragen. Ein Phoneytoken ist ein virtuelles Zugangsdatum, das aus Informationen besteht, die der Phisher erfragt (z. B. auf einer Phishing-Seite). Dem "Verteidiger" ermöglicht der Phoneytoken, einen potenziellen Phisher zu überführen. Dafür muss er sich mit einem Phoneytoken gegenüber dem richtigen System authentifizieren.
Simulation der Webanwendung: Das vorgestellte virtuelle System Phishing Honeypot (Phoneypot) imitiert das Originalsystem und gaukelt dem Phisher vor, er habe es mit der Originalanwendung zu tun. Tatsächlich werden aber netzwerk-, browser- und surfspezifische Informationen über den Phisher gesammelt.
Analyse der Daten und Ableitung der Angreiferprofile: Aus den ermittelten Daten lassen sich drei Arten von Besuchern der Website definieren – der definitive Phisher, der potenzielle Phisher und der Nicht-Phisher. Der definitive Phisher ist durch den Gebrauch von Phoneytokens als Phisher eindeutig identifiziert. Der potenzielle Phisher wird verdächtigt, ein Angreifer zu sein, weil es Korrelationen mit dem Profil eines definitiven Phishers gibt. Der Nicht-Phisher repräsentiert den legitimen Benutzer. Er hegt keine kriminellen Absichten.
Unterstützung aktiver und passiver Schutzmaßnahmen: Um mit den gewonnenen Informationen Phishing zu bekämpfen, werden die Daten einerseits zur Unterstützung polizeilicher und strafrechtlicher Ermittlungen genutzt. Andererseits ermöglichen die Phishing-Profile, den Dienstanbietern präventive Anti-Phishing-Maßnahmen zu ergreifen: Bevor Nutzer legitimiert werden, eine Transaktion auf dem Server auszuführen, wird geprüft, ob sie einem definitiven oder potenziellen Phisher ähneln.

Abbildung 1: Architektur des Anti-Phishing-Systems "Phoneypot"

Fallstudie im Bankenumfeld

Für das folgende Beispiel wird angenommen, dass ein Phisher einen Angriff auf eine Bank eingeleitet hat, auf der das Framework des Phoneypots bereits implementiert wurde (Abb. 1). Um Phisher und ihren Täterkreis aufzudecken, geht die Bank dann wie folgt vor:

Schritt 1: Ein Phishing-Server wird durch ein Phishing-Report-Netzwerk (z. B. www.phishreport.net oder www.phishtank.com) oder anhand von Bounces (der Phishing-Mails) entdeckt und gemeldet. Alternativ kann durch Reverse-Engineering von Phishing-Malware die Zieladresse des Phishing-Servers ermittelt werden.
Schritt 2: Nach der Analyse der Webseite werden entsprechende Phoneytokens erstellt und an den Phoneytoken-Sender übergeben, der das Formular auf dem Phishing-Server mit Phoneytokens füllt.
Schritt 3: Nutzt der Phisher ein Phoneytoken, um sich auf der Webseite der Bank anzumelden, wird er auf den Phoneypot weitergeleitet, der in Analogie zu einem Honeypot die eigentliche Bankanwendung simuliert. Der Phoneypot dient dem Zweck, Daten über den Nutzer des Phoneytokens zu sammeln und analysiert sowohl netzwerk- als auch transaktionsbezogene Informationen seines Nutzers.
Schritt 4: Nutzt der Phisher zu einem späteren Zeitpunkt gültige Zugangsdaten, die er aus einem Phishing-Angriff erschlichen hat, kann er als potenzieller Phisher identifiziert werden, vorausgesetzt, es besteht eine entsprechende Ähnlichkeit mit einem Angreiferprofil. Auch in diesem Schritt wird der Phisher an den Phoneypot weitergeleitet, seine Transaktion simuliert und sein Systemverhalten profiliert.

Das Framework

Phoneytokens

Die für jede Anwendung maßgeschneiderten Phoneytokens sind der Hauptbestandteil des vorgestellten Frameworks. Sie sind das Lockmittel und daher ist ihre Qualität und Art der Präsenz in einer Phishing-Datenbank maßgebend für den Erfolg des Verfahrens. Phoneytokens dürfen sich nicht von regulären Eingaben betrogener Nutzer unterscheiden. Sie müssen in Bezug auf die betroffene Webanwendung und die lokalen Umstände der eigentlichen Opfer generiert werden.

Auch wenn der Phisher allein durch das Phoneytoken keine Rückschlüsse auf den Echtheitsgehalt ziehen kann, könnte er durch die Art der Übertragung des Phoneytokens auf seine Herkunft schließen. Eine ungewöhnlich große Anzahl von erschlichenen Zugangsdaten wird beim Phisher Misstrauen erwecken. Ein nicht zu vernachlässigender Aspekt ist auch der Zeitpunkt der Übertragung, die je nach Land, Surfverhalten und Hauptlesezeit der E-Mails beachtet werden muss.

Der Phoneypot

Der Phoneypot simuliert den betroffenen Internet-Dienst mit der Absicht, forensische Daten zu sammeln und Angreiferprofile der Phisher zu erstellen. Genauer gesagt, trägt der Phoneypot Daten zusammen, die dabei helfen, die Strategien von Identitätsbetrügern, Geldwäschern und Phishing-Simulanten kennenzulernen. Ein Phoneypot soll folgende Anforderungen und Eigenschaften erfüllen:

Störungsunempfindlichkeit und Isolation: Um die Verletzung der Sicherheit zu verhindern und die Stabilität der bestehenden Web-Anwendung sicherzustellen, müssen minimale Modifikationen an der Web-Anwendung vorgenommen werden. Ein Phisher, der auf den Phoneypot umgeleitet wurde, ist nicht in der Lage, von dort auf das Originalsystem zu gelangen.
Nicht-Differenzierbarkeit: Ein Angreifer darf den Phoneypot nicht vom Originalsystem unterscheiden können, um nicht vorzeitig seine Handlung abzubrechen. Eine wichtige Voraussetzung für die Nicht-Differenzierbarkeit ist daher das genaue Nachbilden der Originalfunktionen.
Beweiserfassung: Der Verkehr von und zum Phoneypot wird mit Blick auf seine forensische Analyse gespeichert. Die Untersuchung der gesammelten Informationen sollte durch mehrere, unabhängige Parteien vollzogen werden, um den maximalen Erfahrungswert zu erhalten.
Einbruchsvorbeugung: Ein Angreifer, der als definitiver Phisher identifiziert wurde, darf keine weiteren Transaktionen auf dem Originalsystem ausführen. Durch das Erstellen von Angreiferprofilen können wir im Idealfall erreichen, dass der Phisher bei allen Anmeldeversuchen, sei es mit gültigen Zugangsdaten oder Phoneytokens, erkannt und umgehend auf den Phoneypot umgeleitet wird.
Scoring-Unterstützung: Bankanwendungen setzen oftmals Scoring-Systeme ein, um zu unterscheiden, wie riskant oder legitim eine Transaktion ist. Der Phoneypot ist in der Lage, genau diesem Scoring-System weitere Hinweise zu liefern, die zur Erkennung von illegalen Transaktionen beitragen können.

Forensische Analyse

Die vom Phoneypot gesammelten Daten werden dazu benutzt, potenzielle Phisher, die sich mit verschiedenen Zugangsdaten einloggen, zu erkennen und die "Phishiness" zu berechnen. Dies ist ein Wert, der die Wahrscheinlichkeit angibt, dass es sich bei der bestehenden Verbindung um die eines definitiven Phishers handelt. Um Angriffsprofile von Phishern zu generieren kommen Standardverfahren des passiven Host-Fingerprintings zum Einsatz. Das vorgestellte Framework benutzt hierfür Charakteristika der ISO/OSI-Layer 3 bis 7 und servicespezifische Daten, die zusätzlich Informationen zur Verfolgung von Finanzkurieren und Vertrauten liefern.

Alle Fingerprintingmethoden auf den verschiedenen Layern ergeben zusammen ein Angreiferprofil für einen spezifischen Phisher. Dieses Profil wird auf zwei verschiedene Arten genutzt: Zum einen bestimmen lernende, automatische Mechanismen die Phishiness einer Verbindung, zum anderen arbeiten forensische Analytiker mit den aufgezeichneten Profilen und nutzen einzelne entscheidende Charakteristika in Gerichtsverfahren.

Um einen potenziellen Phisher von einem legitimierten Anwender zu unterscheiden, wird angenommen, dass die spezifischen Charakteristika von normalen Anwendern sich in der Regel kaum unterscheiden. Studien belegen, dass zum Beispiel Nutzer von Bankanwendungen meist ihre Überweisungen zu einer bestimmten Uhrzeit und von einem bestimmten Ort aus tätigen.

Sicherheitsbetrachtung

Phisher sind nicht komplett hilflos gegenüber Phoneytokens und Phoneypots. Daher soll im Folgenden diskutiert werden, mit welchen Gegenmaßnahmen beim Einsatz des Frameworks zu rechnen ist. Hat ein Phisher erkannt, dass es sich bei vielen seiner Zugangsdaten um Phoneytokens handelt, sehen die Autoren zwei Möglichkeiten, mit denen er zurückschlagen kann:

Der Phisher analysiert den Netzwerkverkehr von Benutzern zum Phishing-Server, entdeckt den Phoneytoken-Sender und leitet eine Denial-of-Service-Attacke ein. Jedoch können hier wiederum Gegenmaßnahmen eingeleitet werden, was charakteristisch für das "Wettrüsten" im Kampf gegen Phishing ist.
Der Phisher nutzt Nonces während seiner Aufbauphase: Er könnte beispielsweise einen Text verschlüsseln und diesen als Nonce in einer Phishing-Mail benutzen. Folglich werden alle Anfragen zum Phishing-Server eindeutig identifiziert. Gegen diese Strategie würde man mehr Phishing-Mails sammeln, um eine geeignete Menge an Phoneytokens übersenden zu können.

Ein Phoneypot, der das Prinzip der Nicht-Differenzierbarkeit vollkommen erfüllt, ist für den Phisher unsichtbar und kann nicht entlarvt werden; allerdings steigt dadurch der Komplexitätsgrad der Anwendung. Der Grad der Nicht-Differenzierbarkeit hängt daher vom Aufwand der Implementierung ab. Folglich lässt sich die Möglichkeit der Phoneypot-Erkennung in zwei Kategorien klassifizieren: Schwächen in der Implementierung und nicht-vorhandene externe Ereignisse. Schwächen in der Implementierung treten auf, wenn das Verhalten der Originalsoftware nicht ausreichend kopiert und simuliert wurde. Zeitmangel und fehlende Erfahrung seitens der Entwickler könnten mögliche Gründe dafür sein.

Phishing provoziert externe Ereignisse wie beispielsweise den Fluss des Geldes. Diese Ereignisse können nicht vollständig simuliert werden, da sie letztendlich das einzige Ziel des Phishers sind. Der Phisher kann erkennen, dass sein Geld niemals den geplanten Zielort erreicht – dann ist es jedoch bereits zu spät. Denn es wurde ein Angreiferprofil erstellt und eine Spur zum entsprechenden Finanzkurier, eventuell sogar zum entsprechenden Vertrauten, gelegt. Eine realistische Gegenmaßnahme des Phishers könnte sein, die Web-Anwendung zuerst zu testen. Allerdings fordert so eine Maßnahme Zeit und Aufwand. Es gibt daher in manchen Fällen gute Gründe dafür, eine kritische Transaktion zuzulassen.

Trotz allem sehen die Autoren in der Phoneypot-Technik einen entscheidenden Vorteil für den Kampf gegen Phishing: Auch wenn ein Phoneypot langfristig erkannt werden könnte, sammelt er doch bis zum Zeitpunkt seiner Entdeckung wichtige Informationen. Es ist zu erwarten, dass Phisher bei Erkennung eines Phoneypots in Zukunft vorsichtiger sein oder die geschützte Web-Anwendung aufgrund unnötig hoher Risiko- und Investitionskosten meiden.

Fazit

Das hier vorgestellte Verfahren geht gegen Identitätsdiebstahl aktiv vor. Indem markierte Identitäten in die Phishing-Datenbank eingetragen werden, können Phisher an deren Gebrauch erkannt werden. Eine Simulation der Web-Anwendung ermöglicht dabei, identitätsbezogene Informationen des Phishers zu gewinnen; diese unterstützen weiterführende Untersuchungen und Gegenmaßnahmen auf polizeilicher und strafrechtlicher Ebene.

zurück zum Inhalt
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2007^#3, Seite 41
tag:kes.info,2007:art:2007-3-041