Von Moritz Jäger, tecChannel.de
Spam- und Phishing-Mails sind Standard in jedem Postfach. Laut Craig Spiezle, Director Strategy and Industry Relations für Windows Live, sind 90 Prozent der täglich verschickten Mails unerwünscht. Ebenso stetig wächst der Anteil an Phishing-Mails, die Anwender um sensible Daten, wie etwa Kreditkartennummer oder Online-Banking-TANs, bringen wollen.
Doch lassen sich mit persönlichen Daten anderer wirklich solche Summen erzielen, dass man davon leben kann? Yohai Einav, bei der Sicherheitsfirma RSA zuständig für den Bereich Online Fraud, sagt ja. Die Szene hat sich massiv weiterentwickelt. Aus den Hackern, die nur zum Spaß in fremde Systeme eindrangen, entwickelten sich organisierte kriminelle Strukturen, die auf Gewinn aus sind. Das bestätigt auch Spiezle. Ungezielte Phishing-Angriffe sind inzwischen überholt, die nächste Stufe ist sogenanntes Spear-Phishing. Dabei konzentriert sich der Angriff auf eine gewisse Personengruppe, etwa die Kunden einer Bank, um diese dann gezielt ihrer persönlichen Daten zu berauben.
Die Daten werden aber nicht nur im Internet abgefangen, sondern auch in der "wirklichen" Welt. Dazu reicht es, einen Scanner an einem Geldautomaten anzubringen, der die Daten der EC- oder Kreditkarten mit ausliest. Die Gefahr, entdeckt zu werden, ist hier zwar größer, dennoch kommt die Methode so oft vor, dass auch das Landeskriminalamt regelmäßig davor warnt.
Im Anhang zu diesem Artikel haben wir zudem einen Überblick über die wichtigsten Fachbegriffe und Ausdrücke zusammengestellt.
Phishing als Geschäftsmodell
Im Internet haben sich zahlreiche Online-Börsen für geraubte Daten etabliert, quasi ein illegales Gegenstück zu eBay. Sicherheitsexperte Enav sagt, eines der größten Probleme sei, die Seiten zu finden. Sie lassen sich meist nicht einfach ergoogeln, sondern sind nur mit Kontakten und Recherchen zu finden. Hat man eine der Seiten gefunden, erschließt sich von dieser aus oft ein Netzwerk aus Underground-Sites. Die Schwierigkeit liegt dann allerdings im Beobachten, so Enav. Im Durchschnitt bleibt eine Seite etwa sechs Monate online, danach zieht sie um oder wird offline genommen.
Zum Einsatz kommen größtenteils Forensysteme, auf denen zahlungswillige Käufer nahezu alle illegalen Dienstleistungen erhalten, die das Internet bietet. Das beginnt beim Verkauf von personenbezogenen Daten, etwa Ausweisnummern, Geburtsdaten und Ähnlichem, geht über die obligatorischen Kreditkartennummern und endet bei kompletten Identitäten.
Auch die notwendige Hardware zum Erstellen gefälschter Karten und Ausweise wird hier gehandelt, ebenso sogenannte Drops, das sind sichere Orte, an die sich mit gestohlenem Geld gekaufte Ware liefern lässt.
Technische Kenntnisse unnötig
Auch Hacker, Cracker und Virenschreiber bieten ihre Dienste an. So kann ein Kunde beispielsweise komplette Bot-Netze mieten. Diese lassen sich beispielsweise wiederum zum massenhaften Versenden von neuen Phishing-E-Mails oder für Denial-of-Service-Attacken gegen Webserver nutzen. Aber auch Jobangebote werden über die einzelnen Webseiten verteilt. Oft werden sichere Bankkonten gesucht, mit deren Hilfe das gestohlene Geld gewaschen werden kann.
Einen Großteil der angebotenen Ware machen zudem Trojaner, Keylogger und andere Schadsoftware aus. Die Malware ist teilweise hoch entwickelt, so nutzt ein angebotener Virus beispielsweise polymorphe Technologien, um sich vor Antivirensoftware zu verstecken. Ebenso besitzt die Malware spezielle Routinen, die gezielt auf Online-TANs reagieren. Tippt ein Nutzer diese Nummern ein, fängt die Software die Nummer ab. Gleichzeitig erhält der User eine Fehlermeldung, dass diese TAN bereits benutzt wurde, und er bitte eine andere versuchen solle.
Per Online-Verbindung werden die gesammelten Daten anschließend an den Besitzer des Virus übertragen. Dieser kann den Datensatz selbst nutzen oder erneut zum Verkauf anbieten. Dass es sich dabei um einen einträglichen Geschäftszweig handelt, zeigt das professionelle Angebot des Virenautors. Denn zu jedem der einzelnen Viren erhält der Kunde eine sechsmonatige Support-Phase, in der er sich mit Problemen an den Verkäufer wenden kann.
Vertrauen gegen Vertrauen
Die Foren basieren auf dem Prinzip von Vertrauen und Reputation. Neue Mitglieder werden mit Argwohn betrachtet, kann sich doch hinter jedem ein Polizist oder ein Angestellter einer Sicherheitsfirma verbergen. Im Normalfall haben diese Nutzer nur wenige Zugriffsrechte. Erst nach einigen erfolgreichen Transaktionen werden sie zu einem "vertrauenswürdigen" Nutzer. Die Mitglieder sind sich ihres illegalen Treibens sehr wohl bewusst, Misstrauen regiert daher die Communities.
Um dieses zu reduzieren, bieten einige Seiten sogar Treuhanddienste für den Geldtransfer an. Das Geld für die angeforderten Artikel wird dabei einem vertrauenswürdigen Dritten, meist dem Forenbetreiber, überwiesen. Dieser informiert dann den Verkäufer, dass die Summe eingetroffen ist, woraufhin dieser wiederum die verkauften Daten überträgt.
Sobald der Käufer den Eingang der Ware bestätigt, erhält der Verkäufer das Geld. Dabei fließt allerdings selten reales Geld. Oft kommt eine anonymere Stellvertreterwährung. Besonders beliebt ist die Micropayment-Lösung E-Gold. Diese setzt im Gegensatz zu anderen Online-Zahlungsmethoden, beispielsweise PayPal, nicht auf eine Währung, sondern sichert das im Umlauf befindliche Geld mit Gold und anderen Edelmetallen. Laut einem Spezialisten der Sicherheitsfirma Symantec ist E-Gold besonders beliebt, da der Transfer unmittelbar stattfindet. Die Firma hat ihren Sitz zudem auf der Karibikinsel Nevis, was Verfolgung von Transaktionen schwer macht.
Training und Sozialkontakte inklusive
Die einzelnen Foren vernachlässigen auch die soziale Komponente nicht. So existiert meist ein Unterbereich, in dem sich die Mitglieder einfach unterhalten oder über die neuesten Nachrichten aus der Szene diskutieren. Oft betreiben die Boards nebenbei noch einen oder mehrere IRC-Chatserver, in denen neben Angeboten auch Alltägliches besprochen wird.
Zudem kümmern sie sich neben dem eigentlichen Verkauf um den "Nachwuchs". Nahezu jede Seite enthält eine Tutorial-Sektion, in der erfahrene Nutzer ihr Wissen an neue Mitglieder weitergeben.
Das sorgt zwar für eine größere Konkurrenz unter den Mitgliedern, allerdings wird das nur zu gern in Kauf genommen. Denn auch hier geht es um Reputation. Eine gut geschriebene Anleitung kann den Bekanntheitsgrad des Erstellers deutlich steigern. Außerdem kann sich der Autor damit eine Art Loyalität neuer und künftiger Phisher sichern. Beide Aspekte kommen anschließend wieder dem Autor bei seinen Geschäften zugute.
So schützen Sie sich
Dennoch können Sie Maßnahmen ergreifen, um Ihr Geld zu schützen. Ihr Betriebssystem und Ihre Software sollten ständig auf dem aktuellsten Stand sein, denn Viren und Keylogger schleichen sich zum größten Teil durch Sicherheitslücken ein. Zusätzlich gehört ein Virenscanner mit aktuellen Signaturen auf jeden PC.
Bleiben Sie misstrauisch, vor allem im Internet. Niemand verschenkt einfach Geld oder Gegenstände. Banken und Sparkassen werden Sie nie per Mail nach Ihren Zugangsdaten fragen. Sollten Sie die Meldung erhalten, dass eine TAN bereits benutzt wurde, Sie aber vom Gegenteil überzeugt sind, dann wenden Sie sich sofort an die Notfallnummer Ihrer Bank. Nutzen Sie nie Links, um auf die Seite Ihrer Bank zu gehen, sondern tippen Sie die Adresse ein oder verwenden Sie ein Bookmark.
Achten Sie zudem auf die SSL-Verschlüsselung der Seite und prüfen Sie das ausgestellte Zertifikat. Jede Bank hat ein nur für sie ausgestelltes Sicherheitszertifikat eines Herstellers. Darin ist neben dem genauen Namen der Organisation auch die Gültigkeitsdauer angegeben. Die Zertifikate kommen dabei nicht vom Server der Bank, sondern werden vom Aussteller, beispielsweise VeriSign, direkt ausgeliefert. So ist sichergestellt, dass das Zertifikat nach dem Ablauf nicht mehr verwendet wird.
Prüfen Sie regelmäßig die Auszüge Ihrer verschiedenen Konten. So können Sie zwar den Schaden nicht verhindern, im Notfall aber früh einschreiten. Informieren Sie auch hier Ihre Bank, wenn verdächtige Transaktionen stattfinden.
Mit der Arbeitsgruppe Identitätsschutz im Internet e.V. (a-i3) hat sich eine unabhängige Organisation gebildet, die rund um Themen zum Identitätsschutz im Internet informiert. An dem Projekt sind Wissenschaftler mehrerer Universitäten beteiligt. Neben Hilfe und Neuigkeiten zum Thema Phishing finden Sie dort auch die aktuell kursierenden Phishing-Mails, Hintergrundartikel zum Thema und einen Überblick über die Schutzmaßnahmen.
In der Artikelserie "Zehn mal zehn goldene IT-Regeln" beschäftigen wir uns im dritten Teil ebenfalls mit der Sicherheit im Internet.
Sicherheit für den Browser
Die Entwickler der beiden meistgenutzten Browser Firefox und Internet Explorer offerieren mittlerweile zusätzlichen Schutz für die Nutzer. So hat Microsoft bereits eine Erweiterung seiner IE-Toolbar bereitgestellt, die Phishing-Seiten erkennen soll. Das Problem ist, dass die Erkennung auf Signaturen beruht. Solange also die Signatur für eine Seite noch nicht eingespielt ist, kann der Internet Explorer auch nichts erkennen. Die kommende Version 7 des IE wird diesen Schutz standardmäßig integriert haben.
Firefox bietet derzeit verschiedene Lösungen an. Eine der Bekanntesten ist die Sidebar PAPS (Personal Anti-Phishing-Sidebar). Diese nutzt keine Signatur, sondern verlässt sich auf die SSL-Verschlüsselung der Webseite. Zudem sind die wichtigsten Online-Banking-Seiten direkt abrufbar. Grundsätzlich ist die Lösung nicht schlecht, inzwischen treten allerdings auch immer häufiger verschlüsselte Phishing-Sites auf, was den Schutz aushebelt. Beide Lösungen können also keinen hundertprozentigen Schutz bieten, sind aber zumindest eine zusätzliche Sicherheitsinstanz.
Ein weiteres Problem in Browsern sind Cross-Site-Scripting-Sicherheitslücken. Sind mehrere Fenster geöffnet, können Angreifer dadurch von einer Webseite aus die Inhalte in anderen Browser-Fenstern oder -Tabs beeinflussen. Deswegen sollten Sie beim Online-Banking grundsätzlich nur genau dieses Fenster offen haben.
Fazit
Phishing ist eine aktuelle Bedrohung und wird auch in Zukunft ein Thema sein. Denn je mehr sich Geschäftsprozesse in das Internet verlagern, desto mehr Geld ist dort zu holen. Auch kann jeder mit genügend Startkapital ein eigenes Phishing-Unternehmen realisieren, wenn er die richtigen Kontakte hat. Derzeit konzentrieren sich Phisher vor allem auf die USA.
Aber das ist dennoch kein Grund für Panikmache. Phisher sind auf die Mitarbeit ihrer Opfer angewiesen, egal ob diese aktiv einen Link klicken und Daten eingeben oder passiv ein Software-Update nicht einspielen. Und genau an diesem Punkt kann man durch gesundes Misstrauen ansetzen und den Betrügern das Geschäft vermiesen.