Kampf dem Phishing/Pharming

Die Arbeitsgruppe A-I3.org

Die Arbeitsgruppe Identitätsschutz im Internet (A-I3) ist eine interdisziplinäre Einrichtung, die sich der Problematik des Identitätsmissbrauchs im Internet in allen Erscheinungsformen widmet.

Zu den Aufgaben der Arbeitsgruppe gehört die Koordination und Förderung von Forschungsprojekten im Bereich des Identitätsmissbrauchs im Internet sowie die Information der Fachöffentlichkeit und der breiten Öffentlichkeit über diese Problematik. Außerdem werden Lösungen der Probleme diskutiert und der Öffentlichkeit zur Verfügung gestellt.

Die A-I3 wurde im Mai 2005 von Forschern der Ruhr-Universität Bochum gegründet. Die Gründungsmitglieder sind:

Prof. Dr. Georg Borges, Dipl.-Ing. Sebastian Gajek, Prof. Dr. Jörg Schwenk, Dr. Christoph Wegener und Dipl.-Jurist Dennis Werner.

Die Arbeitsgruppe A-I3.org gibt zahlreiche Tipps im Kampf gegen Phishing und Pharming.

Was ist Phishing?

Phishing umschreibt die Gruppe von Angriffen, die beabsichtigen mit gefälschten E-Mail Informationen, den Benutzer auf einen Angreifer-Server zu leiten. Phishing-Mails sehen wie vertraute Nachrichten aus, beinhalten aber in der Regel trügerische Hyperlinks, die auf einen falschen Web-Server referenzieren, der die tatsächliche Seite imitiert. Im Gegensatz zu Spam nutzen Phishing-Mails ein Vertrauensverhältnis aus, d.h. der Empfänger glaubt vom eigentlichen Aussteller diese Nachricht erhalten zu haben. Ursache dieses Angriffs ist eine fehlende Authentifizierungsmöglichkeit im SMTP Protokoll, so dass die E-Mail Header manipuliert werden können, und der Angreifer Nachrichten unter falschen Namen verschicken kann.
Phishing gibt es bislang in unterschiedlichen Ausprägungen, die in fünf Angriffsebenen kategorisiert werden können:

Code
Level 0
Benutzer erhält vertraute E-Mail mit Formularfeldern zur Eingabe seiner persönlichen Daten
 
Level 1
Benutzer erhält vertraute E-Mail, die zu einer gefälschten Seite führt, die nicht dem Original gleicht 

Level 2
Benutzer erhält vertraute E-Mail, die zu einer gefälschten Seite führt, die dem Original gleicht 

Level 3
Benutzer erhält vertraute E-Mail, die zu einer gefälschten Seite führt, die dem Original gleicht und die GUI nachbildet
  
Level 4
Benutzer erhält vertraute E-Mail, die Malware (z.B. Trojaner, Würmer, Viren) enthält

Eine Phishing E-Mail ist allein nicht schädlich (außer sie beinhaltet bösartigen Anhang, Level 4). Der Schaden tritt erst in Kombination mit einem Visual Spoofing Angriff auf. Befindet sich der Benutzer einmal auf der falschen Web-Seite, so können seine privaten Daten, wie z.B. Benutzername, Passwort oder Kontonummer belauscht werden.

Die oben genannte Definition von Phishing kann um ein Schema erweitert werden, so dass auch neue Varianten des Phishings (z.B. Pharming) erfasst werden. Eine verallgemeinerte Definition von Phishing sei dann:

Phishing ist eine moderne Form des Trickbetruges (im Internet), die unter Ausnutzung eines vorgetäuschten Vertrauensverhältnisses dem Benutzer suggeriert, er kommuniziere mit einem gewünschten Dienst und mittels einer authentischen Applikation.

Dadurch ergibt sich ein Angriffsschema, das aus zwei elementaren Phasen besteht. In der ersten Phase wird der Benutzer auf eine gefälschte Web-Seite gelockt, diese Phase wird als Trägerphase bezeichnet. Die zweite Phase ist der tatsächliche Angriff; der Benutzer befindet sich auf der gefälschten Web-Seite und gibt unwissentlich seine persönlichen Daten an den Angreifer weiter. Die Phase wird als Täuschungphase bezeichnet. Es ist zu betonen, dass nicht nur der Inhalt einer Web-Seite nachgebildet werden kann, sondern unter Umständen auch Teile des User Interfaces eines Web-Browsers, die die eigentlichen Verbindungs- und Sicherheitsinformationen kaschieren. Wie weit des Maß der Fälschung reicht, hängt vom Angreifer ab.

Berücksichtigt man das oben erwähnte Angriffsschema, so sind beispielsweise folgende Angriffstechniken möglich:
  
Trägerphase
  • E-Mail Spoofing/Scam (Auch als Phishing-Mail bekannt.)
  • URL Obfuscation (Verschleierung der URL)
  • Homographische Attacken (Gebrauch von Internationale Domain Namen, so dass der Benutzer einen vermeintlich echten Domain Namen glaubt zu sehen)
  • Cross-Site-Scripting
  • DNS Spoofing (Fälschung von DNS-Einträgen, auch als Pharming bezeichnet, Auflösung von Domain Namen IP-Adressen)
  • ARP Spoofing (ähnlich DNS-Spoofing, Fälschung von ARP-Tabellen, Auflösung von MAC IP-Adressen.)
 Täuschungsphase
  • Frame Spoofing (Nur ein Teil des Web Browser, genauer Frame, wird nachgebildet. Die Verbindungs- und Sicherheitsindikatoren des User Interfaces bleiben unberücksichtigt)
  • Visual Spoofing (Neue Variante des Web Spoofings mit Fokus auf Fälschung der Sicherheitsindikatoren. Der Benutzer glaubt in einer SSL-Umgebung zu sein.)
  • Doppelgänger Window Attack (Nachbildung eines Applikations-Fensters, das zur Authentifikation eines Benutzers auffordert, um Zugang zum WLAN zu erlangen.)
     


traeger.jpg


Phishing ist ein moderner Internetangriff, der bekannte Angriffstechniken neu kombiniert. Diese Techniken nutzen hauptsächlich Altlasten des Internets aus, wo durch sie schwierig zu kontrollieren sind. Schlussfolgernd kann zusammengefasst werden, dass aufgrund dieser modularen Struktur von Phishing-Angriffen, es schwierig sein wird, alle Varianten des Phishings mit einer einzigen Gegenmaßnahmen abzudecken. Viel mehr ist es sinnvoll, Sicherheitsmaßnahmen auf die einzelne, oben beschriebenen Phasen zu beziehen.



Was ist Pharming?

Als Pharming ( oder auch DNS-Spoofing ) bezeichnet man eine Attacke, bei der ein Angreifer die IP Adresse eines bekannten Domain Namen durch seine eigene ersetzt. Voraussetzung ist der Zugang zu einem DNS Server eines Providers. Alle Anfragen an diese Domain werden nun an die gefälschte IP Adresse weitergeleitet. Hinter dieser IP Adresse verbergen sich oft gefälschte Webseiten der Original-Domain, die den Nutzer dazu verleiten, seine Benutzerdaten und Passwörter einzugeben.

dnscachepoisoning.jpg


Das Pharming ist daher eine sehr effektive Möglichkeit, um Internetnutzer auf gefälschte Seiten zu leiten und dort eine Phishing Attacke durchzuführen. Der Erfolg des Angreifers wird signifikant verbessert, weil er gezielt Dienste umleiten kann und von keiner Benutzerinteraktivität abgängig ist. Im Vergleich zu Phishing ist er nicht angewiesen, dass Benutzer auf gefälschte E-Mails reagieren. Auch die manuelle Eingabe der URL hilft dem Benutzer nicht, sich vor diesen Angriffen zu schützen. Sie laufen auf rein technischer Ebene ab: Der Angreifer kompromittiert die Infrastruktur des Internets.

Weil das Internet aus einer (baumartigen) Hierarchie von Domain Name Services (DNS) besteht, stehen dem Angreifer eine Vielzahl von Knoten zur Verfügung, die er kompromittieren kann. Man kann sich den Angriff so vorstellen, dass im Straßenverkehr die Beschilderung durch den  Angreifer verändert wurde, so dass ein Autofahrer glaubt, er fährt in die richtige Richtung, obwohl er in die falsche gelenkt wurde. Ein Domain Name Server würde die Aufgaben eines Straßenschildes erfüllen.
Die Ursachen für Pharming-Angriffe sind Schwachstellen in DNS-Servern, welche z.B. nicht ausreichend geschützt sind oder Fehler in der DNS-Software (z.B. BIND) haben. Als Schutzmaßnahme hilft hier nur die Empfehlung an DNS-Administratoren, ihre zu wartenden Server ausreichend zu schützen und die aktuellste DNS-Software zu nutzen.


Quelle: A-I3.org
 
Drucken Zurück