Phishing - (und Gegenmaßnahmen)
Transcription
Phishing - (und Gegenmaßnahmen)
Phishing (und Gegenmaßnahmen) Andreas Potratz, Tajinder Dhillon Universität Salzburg PS: Kryptographie & IT-Sicherheit A.Potratz, T.Dhillon Phishing Inhalt Geschichte/Definition Social Engineering Phishing Phishing-Techniken Phishing-eMails Phishing-Websites Versteckte/getarnte Links Pharming Cross-Site-Scripting Schutzmaßnahmen Userverhalten Technische Maßnahmen Statistiken Verbreitung Schaden Quellen A.Potratz, T.Dhillon Phishing Phishing Definition Phishing ist die Internet-Variante des ”Social Engineering”, wobei versucht wird, unter Vorspiegelung einer falschen Identität an vertrauliche Informationen einer anderen Person zu gelangen. A.Potratz, T.Dhillon Phishing Social Engineering Anfragen per Telefon oder Brief bei Firmen (Kundendaten/Passwörter) bei Privatpersonen (”Enkeltrick”) Psychologische Faktoren dabei... Hilfsbereitschaft / Vertrauen Angst (Mahnung, Security-Warning) Respekt vor Autorität (Behördenbriefe) ”Dumpster-Diving” Restmüll nach Kredikartenbelegen, Kassenbons, Abrechnungen durchsuchen und die darin enthaltenen Daten auswerten A.Potratz, T.Dhillon Phishing Social Engineering Anfragen per Telefon oder Brief bei Firmen (Kundendaten/Passwörter) bei Privatpersonen (”Enkeltrick”) Psychologische Faktoren dabei... Hilfsbereitschaft / Vertrauen Angst (Mahnung, Security-Warning) Respekt vor Autorität (Behördenbriefe) ”Dumpster-Diving” Restmüll nach Kredikartenbelegen, Kassenbons, Abrechnungen durchsuchen und die darin enthaltenen Daten auswerten A.Potratz, T.Dhillon Phishing Social Engineering Anfragen per Telefon oder Brief bei Firmen (Kundendaten/Passwörter) bei Privatpersonen (”Enkeltrick”) Psychologische Faktoren dabei... Hilfsbereitschaft / Vertrauen Angst (Mahnung, Security-Warning) Respekt vor Autorität (Behördenbriefe) ”Dumpster-Diving” Restmüll nach Kredikartenbelegen, Kassenbons, Abrechnungen durchsuchen und die darin enthaltenen Daten auswerten A.Potratz, T.Dhillon Phishing Angriffe über das Internet (ab dem Jahr 2000) Phishing durch... eMails ”gefälschte” Websites Malware (Trojaner, Key-Logger) Pharming (DNS-Manipulationen) zum Ausspähen von... Zugangsdaten/Passwörtern Kreditkarteninformationen Online-Banking-Daten A.Potratz, T.Dhillon Phishing Angriffe über das Internet (ab dem Jahr 2000) Phishing durch... eMails ”gefälschte” Websites Malware (Trojaner, Key-Logger) Pharming (DNS-Manipulationen) zum Ausspähen von... Zugangsdaten/Passwörtern Kreditkarteninformationen Online-Banking-Daten A.Potratz, T.Dhillon Phishing Phishing vs. Social Engineering Phishing bietet offensichtliche Vorteile... Automatisierung der Anfragen große Anzahl potentieller Opfer ist einfach zu erreichen weitgehende Anonymität der Täter Sicherheitslücken im Datenverkehr können ausgenutzt werden mehr Varianten, um die eigentlichen Anliegen zu verschleiern A.Potratz, T.Dhillon Phishing Phishing-eMails Enthalten als Absender zumeist... Banken, Versicherungen Internet-Provider Administratoren eines ”Social Networks” Anwälte, Inkassounternehmen Lotterien, Gewinnspiele, Jobangebote Behörden vertrauenswürdige eMail-Kontakte (Freunde) Enthalten immer einen Link zu einer Phishing-Website oder Malware-Attachments, die Manipulationen am eigenen Rechner vornehmen. A.Potratz, T.Dhillon Phishing Phishing-eMail (Beispiel) A.Potratz, T.Dhillon Phishing Phishing-Websites Werden von Betrügern eingerichtet und... sind detailgetreue Nachbildungen einer ”offiziellen” Website verwenden leicht zu verwechselnde URL-Namen, z.B.: http://www.barclays.co.uk (Barclays Bank) http://www.barclays.bank.co.uk (Phishing-URL) fordern den User zur Eingabe vertraulicher Daten auf sind die am häufigsten vorkommende Phishing-Variante liegen oft auf Servern in Ländern, in denen eine Strafverfolgung schwierig ist (Russland, China, ...) Frage: Wie schaffe ich es nun, dass möglichst viele Personen auf meiner Phishing-Website landen ? A.Potratz, T.Dhillon Phishing Phishing-Websites (Beispiel) A.Potratz, T.Dhillon Phishing Verschleierte URL-Adressen Ausnutzen des Unicode-Zeichensatzes URL codiert angeben: http://%77%77%77%2e%50%68%69%73%68%69%6e%67%2e%63%6f%6d wird zu: http://www.phishing.com außerdem: Unicode-Zeichen sehen oft identisch aus, besitzen aber unterschiedliche Code-Werte (z.b. kyrillisches und lateinisches ”a”) Verwendung des @-Symbols normal bei Websites genutzt, die ein direktes Login ermöglichen ohne direktes Login werden Zeichen links vom ”@” ignoriert Zeichen rechts vom ”@” werden als normale URL-Adresse behandelt, z.B.: http://www.citybank.com/update@120.2.43.102/upd.pl A.Potratz, T.Dhillon Phishing Verschleierte URL-Adressen Ausnutzen des Unicode-Zeichensatzes URL codiert angeben: http://%77%77%77%2e%50%68%69%73%68%69%6e%67%2e%63%6f%6d wird zu: http://www.phishing.com außerdem: Unicode-Zeichen sehen oft identisch aus, besitzen aber unterschiedliche Code-Werte (z.b. kyrillisches und lateinisches ”a”) Verwendung des @-Symbols normal bei Websites genutzt, die ein direktes Login ermöglichen ohne direktes Login werden Zeichen links vom ”@” ignoriert Zeichen rechts vom ”@” werden als normale URL-Adresse behandelt, z.B.: http://www.citybank.com/update@120.2.43.102/upd.pl A.Potratz, T.Dhillon Phishing Verschleierte URL-Adressen Ausnutzen des Unicode-Zeichensatzes URL codiert angeben: http://%77%77%77%2e%50%68%69%73%68%69%6e%67%2e%63%6f%6d wird zu: http://www.phishing.com außerdem: Unicode-Zeichen sehen oft identisch aus, besitzen aber unterschiedliche Code-Werte (z.b. kyrillisches und lateinisches ”a”) Verwendung des @-Symbols normal bei Websites genutzt, die ein direktes Login ermöglichen ohne direktes Login werden Zeichen links vom ”@” ignoriert Zeichen rechts vom ”@” werden als normale URL-Adresse behandelt, z.B.: http://www.citybank.com/update@120.2.43.102/upd.pl A.Potratz, T.Dhillon Phishing Verschleierte URL-Adressen Überlange URLs passen nicht in die Statuszeile und sind damit nicht auf einen Blick zu kontrollieren: http://www.visa.com:UserSession=2f6q9uuu88312264trzzz55884495 &useroption=SecurityUpdate&StateLevel=GetFrom@61.252.126.191/ verified_by_visa.html Codierte URLs Zahlenwerte der IP-Adresse werden hexadezimal oder oktal codiert angegeben: okt: http://0322.0206.0241.0043 hex: http://0xd2.0x86.0xa1.0x23 , wird übersetzt zu: 210.134.161.35 A.Potratz, T.Dhillon Phishing http://0xD286A123 Verschleierte URL-Adressen Überlange URLs passen nicht in die Statuszeile und sind damit nicht auf einen Blick zu kontrollieren: http://www.visa.com:UserSession=2f6q9uuu88312264trzzz55884495 &useroption=SecurityUpdate&StateLevel=GetFrom@61.252.126.191/ verified_by_visa.html Codierte URLs Zahlenwerte der IP-Adresse werden hexadezimal oder oktal codiert angegeben: okt: http://0322.0206.0241.0043 hex: http://0xd2.0x86.0xa1.0x23 , wird übersetzt zu: 210.134.161.35 A.Potratz, T.Dhillon Phishing http://0xD286A123 Verschleierte URL-Adressen Überlange URLs passen nicht in die Statuszeile und sind damit nicht auf einen Blick zu kontrollieren: http://www.visa.com:UserSession=2f6q9uuu88312264trzzz55884495 &useroption=SecurityUpdate&StateLevel=GetFrom@61.252.126.191/ verified_by_visa.html Codierte URLs Zahlenwerte der IP-Adresse werden hexadezimal oder oktal codiert angegeben: okt: http://0322.0206.0241.0043 hex: http://0xd2.0x86.0xa1.0x23 , wird übersetzt zu: 210.134.161.35 A.Potratz, T.Dhillon Phishing http://0xD286A123 Verschleierte URL-Adressen Überlange URLs passen nicht in die Statuszeile und sind damit nicht auf einen Blick zu kontrollieren: http://www.visa.com:UserSession=2f6q9uuu88312264trzzz55884495 &useroption=SecurityUpdate&StateLevel=GetFrom@61.252.126.191/ verified_by_visa.html Codierte URLs Zahlenwerte der IP-Adresse werden hexadezimal oder oktal codiert angegeben: okt: http://0322.0206.0241.0043 hex: http://0xd2.0x86.0xa1.0x23 , wird übersetzt zu: 210.134.161.35 A.Potratz, T.Dhillon Phishing http://0xD286A123 Verschleierte URL-Adressen Ersetzung von ”Text-Links” oder Schaltflächen durch Grafiken das anklicken eines Bildbereiches löst einen Link aus: <html> <head> <title> Image mapping explained </title> <head> <body> <img src="c:/adresse.jpg" width="200" height="30" border="0" usemap="#Map"> <map name="Map"> <area shape="rect" coords="50,10,150,20" href="http://Hackerseite.com"> </map> </body> </html> A.Potratz, T.Dhillon Phishing Verschleierte URL-Adressen Ersetzung von ”Text-Links” oder Schaltflächen durch Grafiken das anklicken eines Bildbereiches löst einen Link aus: <html> <head> <title> Image mapping explained </title> <head> <body> <img src="c:/adresse.jpg" width="200" height="30" border="0" usemap="#Map"> <map name="Map"> <area shape="rect" coords="50,10,150,20" href="http://Hackerseite.com"> </map> </body> </html> A.Potratz, T.Dhillon Phishing Verschleierte URL-Adressen Künstliches Browserfenster wird angezeigt kann von unachtsamen Usern leicht übersehen werden... A.Potratz, T.Dhillon Phishing Hidden Frames Im HTML-Code der Seite werden 2 Frames definiert: 1. Frame (sichtbar) enthält die Informationen und Inhalte einer offiziellen Website 2. Frame (im Hintergrund) beinhaltet Schadcode, der Eingaben protokolliert und an den ”Phisher” weitersendet A.Potratz, T.Dhillon Phishing Grafische Ersetzungen / Image-Overlays A.Potratz, T.Dhillon Phishing Pharming Umleitung mittels Adress-Manipulation... durch ”hacken” eines DNS-Servers werden alle Zugriffe auf eine andere Website umgeleitet durch Malware-Programme, die lokal gespeicherte DNS-Einträge überschreiben ist durch Anti-Spyware-Programme nicht zu erkennen, da anscheinend ja zur gewünschten Website verbunden wurde betrifft sämtliche Rechner, die diese DNS-Einträge zur URL-Auflösung verwenden A.Potratz, T.Dhillon Phishing Pharming (Beispiel) A.Potratz, T.Dhillon Phishing Cross-Site-Scripting (XSS) Cross-Site-Scripting eine offizielle Website wird ”infiziert” und dort ein Script (Java, VB, ...) im HTML-Code der Seite eingebettet beim Aufruf der Website wird das Script geladen, ausgeführt und der User auf eine Phishing-Website umgeleitet A.Potratz, T.Dhillon Phishing Schutz vor Phishing-Attacken Im Wesentlichen das Zusammenspiel aus 2 Komponenten: 1 Problembewußtsein seitens der User und entsprechendes Verhalten bei der Verwendung des Internets 2 Softwarekomponenten, die den User dabei unterstützen Phishing-Angriffe zu erkennen A.Potratz, T.Dhillon Phishing Grundsätzliche Massnahmen gegen Phishing Checkliste Virenscanner & Firewall verwenden Schutzsoftware regelmäßig aktualisieren HTML-Darstellung für eMails deaktivieren Funktionalität des Webbrowsers einschränken Links per Hand eingeben oder aus ”Favoriten” verwenden sichere Passwörter verwenden Browseranzeigen beachten (Symbolleisten/Zertifikate) Passworteingaben nur bei SSL-Verbindungen verdächtige Links meiden eMails von unbekannten Absendern nicht öffnen/ausführen A.Potratz, T.Dhillon Phishing Browser-Einstellungen Deaktivieren von... Pop-Up’s Java-Runtime-Unterstützung ActiveX-Steuerelementen auto-play/auto-execute für Multimedia-Komponenten Cookie-Speicherung Ausserdem... Download-Files vor der Ausführung immer auf Viren prüfen Sicherheits-PlugIn’s verwenden A.Potratz, T.Dhillon Phishing Sicheres Online-Banking Statt der Verwendung von TANs besser... iTAN (ein bestimmter Index wird abgefragt) mTAN (Code wird auf’s Handy geschickt) HBCI (Homebanking-Computer-Interface) evtl. mit separatem Chipkartenleser A.Potratz, T.Dhillon Phishing Technische Maßnahmen Erkennung von Phishingsites-/eMails durch... Blacklists (regelmäßige Aktualisierung nötig) Scannen und Filtern von eMail-Inhalten Prüfen auf verschleierte Links und Weiterleitungen Sicherheits-Zertifikate für Websites Web-Anbieter: Scannen auf veränderte Inhalte Anzeige im Browser durch... Adressleiste/Toolbar (grün/rot eingefärbt) Popup-Fenster (abgelaufene Zertifikate/Warnungen) URL-Anzeige (evtl. mit SSL-Symbol) A.Potratz, T.Dhillon Phishing Erkennen von verdächtigen Seiten / Links Hilfestellungen durch den Browser: Hervorhebung des Domainnamens Sicherheitsmerkmale in der Adressleiste Anzeige der tatsächlichen Link-Adresse A.Potratz, T.Dhillon Phishing Erkennen von verdächtigen Seiten / Links Hilfestellungen durch den Browser: Prüfen von Websites und Sicherheitszertifikaten Blockieren von bekannten Phishing-Websites A.Potratz, T.Dhillon Phishing Sicherheitslücken bei Websites A.Potratz, T.Dhillon Phishing Verteilung nach Geographie und Themen (2010) A.Potratz, T.Dhillon Phishing Phishing in Deutschland (2006-2010) Angezeigte Phishingfälle: Schadenssumme in Mio. Euro: A.Potratz, T.Dhillon Phishing Verzichten Sie bewusst auf Online-Aktivitäten ? A.Potratz, T.Dhillon Phishing Sicherheitssoftware bei Privatrechnern A.Potratz, T.Dhillon Phishing Quellenangaben Quellen www.wikipedia.de www.bsi.bund.de www.bitkom.org www.owasp.org www.a-i3.org www.apwg.org www.ibm.com www.microsoft.com www.technicalinfo.net www.symantec.de www.kaspersky.com A.Potratz, T.Dhillon Phishing Vielen Dank für’s Zuhören... :) A.Potratz, T.Dhillon Phishing