Phishing - (und Gegenmaßnahmen)

Transcription

Phishing - (und Gegenmaßnahmen)
Phishing
(und Gegenmaßnahmen)
Andreas Potratz, Tajinder Dhillon
Universität Salzburg
PS: Kryptographie & IT-Sicherheit
A.Potratz, T.Dhillon
Phishing
Inhalt
Geschichte/Definition
Social Engineering
Phishing
Phishing-Techniken
Phishing-eMails
Phishing-Websites
Versteckte/getarnte Links
Pharming
Cross-Site-Scripting
Schutzmaßnahmen
Userverhalten
Technische Maßnahmen
Statistiken
Verbreitung
Schaden
Quellen
A.Potratz, T.Dhillon
Phishing
Phishing
Definition
Phishing ist die Internet-Variante des ”Social Engineering”,
wobei versucht wird, unter Vorspiegelung einer falschen Identität
an vertrauliche Informationen einer anderen Person zu gelangen.
A.Potratz, T.Dhillon
Phishing
Social Engineering
Anfragen per Telefon oder Brief
bei Firmen (Kundendaten/Passwörter)
bei Privatpersonen (”Enkeltrick”)
Psychologische Faktoren dabei...
Hilfsbereitschaft / Vertrauen
Angst (Mahnung, Security-Warning)
Respekt vor Autorität (Behördenbriefe)
”Dumpster-Diving”
Restmüll nach Kredikartenbelegen, Kassenbons, Abrechnungen
durchsuchen und die darin enthaltenen Daten auswerten
A.Potratz, T.Dhillon
Phishing
Social Engineering
Anfragen per Telefon oder Brief
bei Firmen (Kundendaten/Passwörter)
bei Privatpersonen (”Enkeltrick”)
Psychologische Faktoren dabei...
Hilfsbereitschaft / Vertrauen
Angst (Mahnung, Security-Warning)
Respekt vor Autorität (Behördenbriefe)
”Dumpster-Diving”
Restmüll nach Kredikartenbelegen, Kassenbons, Abrechnungen
durchsuchen und die darin enthaltenen Daten auswerten
A.Potratz, T.Dhillon
Phishing
Social Engineering
Anfragen per Telefon oder Brief
bei Firmen (Kundendaten/Passwörter)
bei Privatpersonen (”Enkeltrick”)
Psychologische Faktoren dabei...
Hilfsbereitschaft / Vertrauen
Angst (Mahnung, Security-Warning)
Respekt vor Autorität (Behördenbriefe)
”Dumpster-Diving”
Restmüll nach Kredikartenbelegen, Kassenbons, Abrechnungen
durchsuchen und die darin enthaltenen Daten auswerten
A.Potratz, T.Dhillon
Phishing
Angriffe über das Internet (ab dem Jahr 2000)
Phishing durch...
eMails
”gefälschte” Websites
Malware (Trojaner, Key-Logger)
Pharming (DNS-Manipulationen)
zum Ausspähen von...
Zugangsdaten/Passwörtern
Kreditkarteninformationen
Online-Banking-Daten
A.Potratz, T.Dhillon
Phishing
Angriffe über das Internet (ab dem Jahr 2000)
Phishing durch...
eMails
”gefälschte” Websites
Malware (Trojaner, Key-Logger)
Pharming (DNS-Manipulationen)
zum Ausspähen von...
Zugangsdaten/Passwörtern
Kreditkarteninformationen
Online-Banking-Daten
A.Potratz, T.Dhillon
Phishing
Phishing vs. Social Engineering
Phishing bietet offensichtliche Vorteile...
Automatisierung der Anfragen
große Anzahl potentieller Opfer ist einfach zu erreichen
weitgehende Anonymität der Täter
Sicherheitslücken im Datenverkehr können ausgenutzt werden
mehr Varianten, um die eigentlichen Anliegen zu verschleiern
A.Potratz, T.Dhillon
Phishing
Phishing-eMails
Enthalten als Absender zumeist...
Banken, Versicherungen
Internet-Provider
Administratoren eines ”Social Networks”
Anwälte, Inkassounternehmen
Lotterien, Gewinnspiele, Jobangebote
Behörden
vertrauenswürdige eMail-Kontakte (Freunde)
Enthalten immer einen Link zu einer Phishing-Website oder
Malware-Attachments, die Manipulationen am eigenen Rechner
vornehmen.
A.Potratz, T.Dhillon
Phishing
Phishing-eMail (Beispiel)
A.Potratz, T.Dhillon
Phishing
Phishing-Websites
Werden von Betrügern eingerichtet und...
sind detailgetreue Nachbildungen einer ”offiziellen” Website
verwenden leicht zu verwechselnde URL-Namen, z.B.:
http://www.barclays.co.uk
(Barclays Bank)
http://www.barclays.bank.co.uk (Phishing-URL)
fordern den User zur Eingabe vertraulicher Daten auf
sind die am häufigsten vorkommende Phishing-Variante
liegen oft auf Servern in Ländern, in denen eine
Strafverfolgung schwierig ist (Russland, China, ...)
Frage: Wie schaffe ich es nun, dass möglichst viele Personen auf
meiner Phishing-Website landen ?
A.Potratz, T.Dhillon
Phishing
Phishing-Websites (Beispiel)
A.Potratz, T.Dhillon
Phishing
Verschleierte URL-Adressen
Ausnutzen des Unicode-Zeichensatzes
URL codiert angeben:
http://%77%77%77%2e%50%68%69%73%68%69%6e%67%2e%63%6f%6d
wird zu: http://www.phishing.com
außerdem: Unicode-Zeichen sehen oft identisch aus, besitzen
aber unterschiedliche Code-Werte (z.b. kyrillisches und
lateinisches ”a”)
Verwendung des @-Symbols
normal bei Websites genutzt, die ein direktes Login
ermöglichen
ohne direktes Login werden Zeichen links vom ”@” ignoriert
Zeichen rechts vom ”@” werden als normale URL-Adresse
behandelt, z.B.:
http://www.citybank.com/update@120.2.43.102/upd.pl
A.Potratz, T.Dhillon
Phishing
Verschleierte URL-Adressen
Ausnutzen des Unicode-Zeichensatzes
URL codiert angeben:
http://%77%77%77%2e%50%68%69%73%68%69%6e%67%2e%63%6f%6d
wird zu: http://www.phishing.com
außerdem: Unicode-Zeichen sehen oft identisch aus, besitzen
aber unterschiedliche Code-Werte (z.b. kyrillisches und
lateinisches ”a”)
Verwendung des @-Symbols
normal bei Websites genutzt, die ein direktes Login
ermöglichen
ohne direktes Login werden Zeichen links vom ”@” ignoriert
Zeichen rechts vom ”@” werden als normale URL-Adresse
behandelt, z.B.:
http://www.citybank.com/update@120.2.43.102/upd.pl
A.Potratz, T.Dhillon
Phishing
Verschleierte URL-Adressen
Ausnutzen des Unicode-Zeichensatzes
URL codiert angeben:
http://%77%77%77%2e%50%68%69%73%68%69%6e%67%2e%63%6f%6d
wird zu: http://www.phishing.com
außerdem: Unicode-Zeichen sehen oft identisch aus, besitzen
aber unterschiedliche Code-Werte (z.b. kyrillisches und
lateinisches ”a”)
Verwendung des @-Symbols
normal bei Websites genutzt, die ein direktes Login
ermöglichen
ohne direktes Login werden Zeichen links vom ”@” ignoriert
Zeichen rechts vom ”@” werden als normale URL-Adresse
behandelt, z.B.:
http://www.citybank.com/update@120.2.43.102/upd.pl
A.Potratz, T.Dhillon
Phishing
Verschleierte URL-Adressen
Überlange URLs
passen nicht in die Statuszeile und sind damit nicht auf einen
Blick zu kontrollieren:
http://www.visa.com:UserSession=2f6q9uuu88312264trzzz55884495
&useroption=SecurityUpdate&StateLevel=GetFrom@61.252.126.191/
verified_by_visa.html
Codierte URLs
Zahlenwerte der IP-Adresse werden hexadezimal oder oktal
codiert angegeben:
okt: http://0322.0206.0241.0043
hex: http://0xd2.0x86.0xa1.0x23
,
wird übersetzt zu: 210.134.161.35
A.Potratz, T.Dhillon
Phishing
http://0xD286A123
Verschleierte URL-Adressen
Überlange URLs
passen nicht in die Statuszeile und sind damit nicht auf einen
Blick zu kontrollieren:
http://www.visa.com:UserSession=2f6q9uuu88312264trzzz55884495
&useroption=SecurityUpdate&StateLevel=GetFrom@61.252.126.191/
verified_by_visa.html
Codierte URLs
Zahlenwerte der IP-Adresse werden hexadezimal oder oktal
codiert angegeben:
okt: http://0322.0206.0241.0043
hex: http://0xd2.0x86.0xa1.0x23
,
wird übersetzt zu: 210.134.161.35
A.Potratz, T.Dhillon
Phishing
http://0xD286A123
Verschleierte URL-Adressen
Überlange URLs
passen nicht in die Statuszeile und sind damit nicht auf einen
Blick zu kontrollieren:
http://www.visa.com:UserSession=2f6q9uuu88312264trzzz55884495
&useroption=SecurityUpdate&StateLevel=GetFrom@61.252.126.191/
verified_by_visa.html
Codierte URLs
Zahlenwerte der IP-Adresse werden hexadezimal oder oktal
codiert angegeben:
okt: http://0322.0206.0241.0043
hex: http://0xd2.0x86.0xa1.0x23
,
wird übersetzt zu: 210.134.161.35
A.Potratz, T.Dhillon
Phishing
http://0xD286A123
Verschleierte URL-Adressen
Überlange URLs
passen nicht in die Statuszeile und sind damit nicht auf einen
Blick zu kontrollieren:
http://www.visa.com:UserSession=2f6q9uuu88312264trzzz55884495
&useroption=SecurityUpdate&StateLevel=GetFrom@61.252.126.191/
verified_by_visa.html
Codierte URLs
Zahlenwerte der IP-Adresse werden hexadezimal oder oktal
codiert angegeben:
okt: http://0322.0206.0241.0043
hex: http://0xd2.0x86.0xa1.0x23
,
wird übersetzt zu: 210.134.161.35
A.Potratz, T.Dhillon
Phishing
http://0xD286A123
Verschleierte URL-Adressen
Ersetzung von ”Text-Links” oder Schaltflächen durch Grafiken
das anklicken eines Bildbereiches löst einen Link aus:
<html>
<head> <title> Image mapping explained </title> <head>
<body>
<img src="c:/adresse.jpg" width="200" height="30" border="0" usemap="#Map">
<map name="Map">
<area shape="rect" coords="50,10,150,20" href="http://Hackerseite.com">
</map>
</body>
</html>
A.Potratz, T.Dhillon
Phishing
Verschleierte URL-Adressen
Ersetzung von ”Text-Links” oder Schaltflächen durch Grafiken
das anklicken eines Bildbereiches löst einen Link aus:
<html>
<head> <title> Image mapping explained </title> <head>
<body>
<img src="c:/adresse.jpg" width="200" height="30" border="0" usemap="#Map">
<map name="Map">
<area shape="rect" coords="50,10,150,20" href="http://Hackerseite.com">
</map>
</body>
</html>
A.Potratz, T.Dhillon
Phishing
Verschleierte URL-Adressen
Künstliches Browserfenster wird angezeigt
kann von unachtsamen Usern leicht übersehen werden...
A.Potratz, T.Dhillon
Phishing
Hidden Frames
Im HTML-Code der Seite werden 2 Frames definiert:
1. Frame (sichtbar) enthält die Informationen und Inhalte einer
offiziellen Website
2. Frame (im Hintergrund) beinhaltet Schadcode, der Eingaben
protokolliert und an den ”Phisher” weitersendet
A.Potratz, T.Dhillon
Phishing
Grafische Ersetzungen / Image-Overlays
A.Potratz, T.Dhillon
Phishing
Pharming
Umleitung mittels Adress-Manipulation...
durch ”hacken” eines DNS-Servers werden alle Zugriffe auf
eine andere Website umgeleitet
durch Malware-Programme, die lokal gespeicherte
DNS-Einträge überschreiben
ist durch Anti-Spyware-Programme nicht zu erkennen, da
anscheinend ja zur gewünschten Website verbunden wurde
betrifft sämtliche Rechner, die diese DNS-Einträge zur
URL-Auflösung verwenden
A.Potratz, T.Dhillon
Phishing
Pharming (Beispiel)
A.Potratz, T.Dhillon
Phishing
Cross-Site-Scripting (XSS)
Cross-Site-Scripting
eine offizielle Website wird ”infiziert” und dort ein Script (Java, VB,
...) im HTML-Code der Seite eingebettet
beim Aufruf der Website wird das Script geladen, ausgeführt und
der User auf eine Phishing-Website umgeleitet
A.Potratz, T.Dhillon
Phishing
Schutz vor Phishing-Attacken
Im Wesentlichen das Zusammenspiel aus 2 Komponenten:
1 Problembewußtsein seitens der User und entsprechendes
Verhalten bei der Verwendung des Internets
2
Softwarekomponenten, die den User dabei unterstützen
Phishing-Angriffe zu erkennen
A.Potratz, T.Dhillon
Phishing
Grundsätzliche Massnahmen gegen Phishing
Checkliste
Virenscanner & Firewall verwenden
Schutzsoftware regelmäßig aktualisieren
HTML-Darstellung für eMails deaktivieren
Funktionalität des Webbrowsers einschränken
Links per Hand eingeben oder aus ”Favoriten” verwenden
sichere Passwörter verwenden
Browseranzeigen beachten (Symbolleisten/Zertifikate)
Passworteingaben nur bei SSL-Verbindungen
verdächtige Links meiden
eMails von unbekannten Absendern nicht öffnen/ausführen
A.Potratz, T.Dhillon
Phishing
Browser-Einstellungen
Deaktivieren von...
Pop-Up’s
Java-Runtime-Unterstützung
ActiveX-Steuerelementen
auto-play/auto-execute für Multimedia-Komponenten
Cookie-Speicherung
Ausserdem...
Download-Files vor der Ausführung immer auf Viren prüfen
Sicherheits-PlugIn’s verwenden
A.Potratz, T.Dhillon
Phishing
Sicheres Online-Banking
Statt der Verwendung von TANs besser...
iTAN (ein bestimmter Index wird abgefragt)
mTAN (Code wird auf’s Handy geschickt)
HBCI (Homebanking-Computer-Interface)
evtl. mit separatem Chipkartenleser
A.Potratz, T.Dhillon
Phishing
Technische Maßnahmen
Erkennung von Phishingsites-/eMails durch...
Blacklists (regelmäßige Aktualisierung nötig)
Scannen und Filtern von eMail-Inhalten
Prüfen auf verschleierte Links und Weiterleitungen
Sicherheits-Zertifikate für Websites
Web-Anbieter: Scannen auf veränderte Inhalte
Anzeige im Browser durch...
Adressleiste/Toolbar (grün/rot eingefärbt)
Popup-Fenster (abgelaufene Zertifikate/Warnungen)
URL-Anzeige (evtl. mit SSL-Symbol)
A.Potratz, T.Dhillon
Phishing
Erkennen von verdächtigen Seiten / Links
Hilfestellungen durch den Browser:
Hervorhebung des Domainnamens
Sicherheitsmerkmale in der Adressleiste
Anzeige der tatsächlichen Link-Adresse
A.Potratz, T.Dhillon
Phishing
Erkennen von verdächtigen Seiten / Links
Hilfestellungen durch den Browser:
Prüfen von Websites und Sicherheitszertifikaten
Blockieren von bekannten Phishing-Websites
A.Potratz, T.Dhillon
Phishing
Sicherheitslücken bei Websites
A.Potratz, T.Dhillon
Phishing
Verteilung nach Geographie und Themen (2010)
A.Potratz, T.Dhillon
Phishing
Phishing in Deutschland (2006-2010)
Angezeigte Phishingfälle:
Schadenssumme in Mio. Euro:
A.Potratz, T.Dhillon
Phishing
Verzichten Sie bewusst auf Online-Aktivitäten ?
A.Potratz, T.Dhillon
Phishing
Sicherheitssoftware bei Privatrechnern
A.Potratz, T.Dhillon
Phishing
Quellenangaben
Quellen
www.wikipedia.de
www.bsi.bund.de
www.bitkom.org
www.owasp.org
www.a-i3.org
www.apwg.org
www.ibm.com
www.microsoft.com
www.technicalinfo.net
www.symantec.de
www.kaspersky.com
A.Potratz, T.Dhillon
Phishing
Vielen Dank für’s Zuhören... :)
A.Potratz, T.Dhillon
Phishing