Phishing Phishers Verfolgung von Identitätsbetrügern und Geldwäschern

Ordnungsmerkmale

erschienen in: <kes> 2007#3, Seite 41

Rubrik: BSI Forum

Schlagwort: Phishing

Zusammenfassung: Dieser Artikel stellt ein Verfahren vor, das Phishing-Attacken proaktiv bekämpft und auf dem Kerngedanken basiert, Phishing-Datenbanken mit eigens für eine betrügerische Seite erstellten, virtuellen Zugangsdaten (Phoneytokens) zu füllen.

Autor: Von Dominik Birk, Sebastian Gajek und Felix Gröbert, Ruhr Universität Bochum, Maximillian Dornseif, Universität Mannheim

Bisher sind den Autoren im Kampf gegen Phishing nur passive Ansätze bekannt. Dieser Beitrag präsentiert ein Framework, das Dienstanbietern helfen soll, den Kampf gegen Phishing aktiv zu beginnen, mit dem Ziel, den Phishing-Kreislauf zu enttarnen. Das Prinzip: Wer sich mit eigens für Phishing-Sites erstellten Zugangsdaten (sog. Phoneytoken) bei einer legitimen Website anmeldet, wird als Phisher erkannt und kann auf ein virtuelles System umgeleitet werden, das die Web-Anwendung simuliert. Einerseits reduziert diese Methode die Erfolgswahrscheinlichkeit der Phisher, weil der Aufwand linear mit der Menge der gültigen Zugangsdaten als auch Phoneytoken steigt. Andererseits wird ein Profil der Phisher aus charakteristischen Daten erstellt. Dabei erhält der Betreiber neben den netzwerkbasierten Charakteristika auch Informationen darüber, für welche Zwecke das "gephischte" Konto benutzt wird und welche Mittelsmänner eingesetzt werden (z. B. Adressat einer Phishing-Banküberweisung).

Wird in einem weiteren Anmeldevorgang (z. B. mit gültigen Zugangsdaten, die aus einem Phishing-Angriff stammen) oder in einem Transaktionsversuch ein Nutzer erkannt, der einem Phishing-Profil entspricht, so können alle Transaktionen blockiert und weiterführende forensische Analysen in Angriff genommen werden. Zudem unterstützt die Analyse das strafrechtliche Vorgehen gegen die Hintermänner.

Identifikation von Betrügern

Dieser Vorgang ist in vier Phasen einzuteilen (vgl. Abb. 1):

[Illustration]
Abbildung 1: Architektur des Anti-Phishing-Systems "Phoneypot"

Fallstudie im Bankenumfeld

Für das folgende Beispiel wird angenommen, dass ein Phisher einen Angriff auf eine Bank eingeleitet hat, auf der das Framework des Phoneypots bereits implementiert wurde (Abb. 1). Um Phisher und ihren Täterkreis aufzudecken, geht die Bank dann wie folgt vor:

Das Framework

Phoneytokens

Die für jede Anwendung maßgeschneiderten Phoneytokens sind der Hauptbestandteil des vorgestellten Frameworks. Sie sind das Lockmittel und daher ist ihre Qualität und Art der Präsenz in einer Phishing-Datenbank maßgebend für den Erfolg des Verfahrens. Phoneytokens dürfen sich nicht von regulären Eingaben betrogener Nutzer unterscheiden. Sie müssen in Bezug auf die betroffene Webanwendung und die lokalen Umstände der eigentlichen Opfer generiert werden.

Auch wenn der Phisher allein durch das Phoneytoken keine Rückschlüsse auf den Echtheitsgehalt ziehen kann, könnte er durch die Art der Übertragung des Phoneytokens auf seine Herkunft schließen. Eine ungewöhnlich große Anzahl von erschlichenen Zugangsdaten wird beim Phisher Misstrauen erwecken. Ein nicht zu vernachlässigender Aspekt ist auch der Zeitpunkt der Übertragung, die je nach Land, Surfverhalten und Hauptlesezeit der E-Mails beachtet werden muss.

Der Phoneypot

Der Phoneypot simuliert den betroffenen Internet-Dienst mit der Absicht, forensische Daten zu sammeln und Angreiferprofile der Phisher zu erstellen. Genauer gesagt, trägt der Phoneypot Daten zusammen, die dabei helfen, die Strategien von Identitätsbetrügern, Geldwäschern und Phishing-Simulanten kennenzulernen. Ein Phoneypot soll folgende Anforderungen und Eigenschaften erfüllen:

Forensische Analyse

Die vom Phoneypot gesammelten Daten werden dazu benutzt, potenzielle Phisher, die sich mit verschiedenen Zugangsdaten einloggen, zu erkennen und die "Phishiness" zu berechnen. Dies ist ein Wert, der die Wahrscheinlichkeit angibt, dass es sich bei der bestehenden Verbindung um die eines definitiven Phishers handelt. Um Angriffsprofile von Phishern zu generieren kommen Standardverfahren des passiven Host-Fingerprintings zum Einsatz. Das vorgestellte Framework benutzt hierfür Charakteristika der ISO/OSI-Layer 3 bis 7 und servicespezifische Daten, die zusätzlich Informationen zur Verfolgung von Finanzkurieren und Vertrauten liefern.

Alle Fingerprintingmethoden auf den verschiedenen Layern ergeben zusammen ein Angreiferprofil für einen spezifischen Phisher. Dieses Profil wird auf zwei verschiedene Arten genutzt: Zum einen bestimmen lernende, automatische Mechanismen die Phishiness einer Verbindung, zum anderen arbeiten forensische Analytiker mit den aufgezeichneten Profilen und nutzen einzelne entscheidende Charakteristika in Gerichtsverfahren.

Um einen potenziellen Phisher von einem legitimierten Anwender zu unterscheiden, wird angenommen, dass die spezifischen Charakteristika von normalen Anwendern sich in der Regel kaum unterscheiden. Studien belegen, dass zum Beispiel Nutzer von Bankanwendungen meist ihre Überweisungen zu einer bestimmten Uhrzeit und von einem bestimmten Ort aus tätigen.

Sicherheitsbetrachtung

Phisher sind nicht komplett hilflos gegenüber Phoneytokens und Phoneypots. Daher soll im Folgenden diskutiert werden, mit welchen Gegenmaßnahmen beim Einsatz des Frameworks zu rechnen ist. Hat ein Phisher erkannt, dass es sich bei vielen seiner Zugangsdaten um Phoneytokens handelt, sehen die Autoren zwei Möglichkeiten, mit denen er zurückschlagen kann:

Ein Phoneypot, der das Prinzip der Nicht-Differenzierbarkeit vollkommen erfüllt, ist für den Phisher unsichtbar und kann nicht entlarvt werden; allerdings steigt dadurch der Komplexitätsgrad der Anwendung. Der Grad der Nicht-Differenzierbarkeit hängt daher vom Aufwand der Implementierung ab. Folglich lässt sich die Möglichkeit der Phoneypot-Erkennung in zwei Kategorien klassifizieren: Schwächen in der Implementierung und nicht-vorhandene externe Ereignisse. Schwächen in der Implementierung treten auf, wenn das Verhalten der Originalsoftware nicht ausreichend kopiert und simuliert wurde. Zeitmangel und fehlende Erfahrung seitens der Entwickler könnten mögliche Gründe dafür sein.

Phishing provoziert externe Ereignisse wie beispielsweise den Fluss des Geldes. Diese Ereignisse können nicht vollständig simuliert werden, da sie letztendlich das einzige Ziel des Phishers sind. Der Phisher kann erkennen, dass sein Geld niemals den geplanten Zielort erreicht – dann ist es jedoch bereits zu spät. Denn es wurde ein Angreiferprofil erstellt und eine Spur zum entsprechenden Finanzkurier, eventuell sogar zum entsprechenden Vertrauten, gelegt. Eine realistische Gegenmaßnahme des Phishers könnte sein, die Web-Anwendung zuerst zu testen. Allerdings fordert so eine Maßnahme Zeit und Aufwand. Es gibt daher in manchen Fällen gute Gründe dafür, eine kritische Transaktion zuzulassen.

Trotz allem sehen die Autoren in der Phoneypot-Technik einen entscheidenden Vorteil für den Kampf gegen Phishing: Auch wenn ein Phoneypot langfristig erkannt werden könnte, sammelt er doch bis zum Zeitpunkt seiner Entdeckung wichtige Informationen. Es ist zu erwarten, dass Phisher bei Erkennung eines Phoneypots in Zukunft vorsichtiger sein oder die geschützte Web-Anwendung aufgrund unnötig hoher Risiko- und Investitionskosten meiden.

Fazit

Das hier vorgestellte Verfahren geht gegen Identitätsdiebstahl aktiv vor. Indem markierte Identitäten in die Phishing-Datenbank eingetragen werden, können Phisher an deren Gebrauch erkannt werden. Eine Simulation der Web-Anwendung ermöglicht dabei, identitätsbezogene Informationen des Phishers zu gewinnen; diese unterstützen weiterführende Untersuchungen und Gegenmaßnahmen auf polizeilicher und strafrechtlicher Ebene.