Was ist Phishing?
Florian WeimerDer Begriff "Phishing" wird in den Medien und von Fachleuten für völlig unterschiedliche Angriffsverfahren verwendet. Das führt zur Verwirrung und manchmal gar dazu, daß die Wirksamkeit von Gegenmaßnahmen völlig falsch eingeschätzt wird. Dieser Artikel versucht, die verschiedenen Angriffe grob in drei Gruppen einzuteilen.
Mimikry
Die erste Variante läßt sich am besten mit dem Begriff "Mimikry" beschreiben. Für sie wurde der Begriff "Phishing" ursprünglich eingeführt. Ein Angriff gliedert sich im wesentlichen in vier Schritte:
Der Angreifer erstellt ein täuschend ähnliches Abbild eines anderen Internet-Angebots (z.B. Homebanking-Webseiten einer großen Bank) und verschafft sich einen oder mehrere Webserver, über die er seine Version ins Netz stellen kann.
Er verleitet das Opfer, diese Webseite zu nutzen, zum Beispiel durch den Versand von E-Mail-Nachrichten, die auf seine Version verlinken und so das Opfer dorthin locken sollen.
Das Opfer gibt, in der Annahme, es handle sich um den Dienst, den es kennt, für den Angreifer wertvolle Information preis. Das kann zum Beispiel die Benutzerkennung sein, die zur Nutzung des Dienstes notwendig ist, oder auch weitere Daten wie TANs beim der in Deutschland üblichen Umsetzung von Online-Banking.
Der Angreifer nutzt die Information, um das Opfer zur schädigen. Er führt zum Beispiel eine Überweisung auf ein Konto eines Komplizen durch. Der Schaden wird in der Regel vom Diensteanbieter (der Bank) übernommen, so daß letztlich er der Geschädigte ist.
Erfolgsversprechend sind diese Angriffe vor allem deshalb, weil die gefälschten Webseiten visuell nicht von den Originalen unterscheidbar sind, wenn der Angreifer halbwegs sorgfältig vorgeht. Mit einigem technischem Sachverstand ist es zwar möglich, festzustellen, daß die Webseite wahrscheinlich nicht zum erwarteten Anbieter gehört. Aber nur wenige Nutzer besitzen gerade bei massentauglichen Angeboten wie Online-Banking die entsprechenden Kenntnisse.
Trotzdem scheint der direkte Schaden, der in Deutschland durch solche Angriffe entsteht, eher gering zu sein. Wahrscheinlich betrachten die Nutzer (auch dank der Berichterstattung) nicht nur die Webseite an sich, sondern ziehen intuitiv bei ihrer Einschätzung auch die Weise in Betracht, auf der sie zu ihr gelangt sind. Die meisten Menschen vergessen auch nicht, daß sie in einem leicht verruchten Stadtviertel sind, sobald sie etwas oder jemanden Attraktives sehen. Die von Heise Online immer wieder monierten Rechtschreibfehler in den Lock-Nachrichten mögen ebenfalls dazu beitragen. ("Vor allem die Phishing-Versuche lenken noch durch sprachliche Grausamkeiten die Aufmerksamkeit auf sich." Neue Phishing-Wellen
, Heise Online, 2005-07-19).
Auf der anderen Seite gibt es inzwischen auch ziemlich ausgeklügelte Detektionsverfahren für diese Angriffsart. Deren Betrieb kostet freilich einiges, so daß diese Angriffe letztlich doch einigen Schaden bei den Diensteanbietern anrichten.
Allgemein wirksame Maßnahmen zur Prävention scheint es nicht zu geben (vielleicht neben Mikromarken, aber das paßt vielen Anbietern nicht ins Konzept). Viele Firmen und auch Entwickler freier Software arbeiten an Verfahren, die den Nutzern im Webbrowser signalisieren sollen, wenn er die ausgetretenen Pfade im Internet verläßt und sich auf gefährliches Terrain begibt. Ob weitere Sicherheitswarnungen den Nutzern wirklich weiterhelfen, darf bezweifelt werden. Eine technische Durchsetzung liefe auf eine Segmentierung des Internets hinaus in die guten Stadtviertel (die den großen Anbietern gehören) und den — möglicherweise — verruchten (in welchen mangels Anbieter-Unterstützung auch dieser Artikel liegen würde).
In Deutschland stehen wir dank des TAN-Verfahrens außerdem beim Online-Banking ziemlich weit oben auf der Leiter der möglichen Gegenmaßnahmen, aber dazu mehr in einem weiteren Artikel.
Blendwerk
In der Gruppe "Blendwerk" versucht der Angreifer, das Opfer bei der üblichen Nutzung eines Dienstes zu stören, auf technischer Ebene und — grob gesagt — durch Manipulation der Internet-Infrastruktur. Möglich wird dies, weil viele der grundlegenden Internet-Protokolle (wie DNS und BGP) im Kern sehr alt sind und unter heutzutage nicht mehr realistischen Annahmen über die Bedrohungslage entwickelt wurde.
DNS (der Dienst, der für Menschen lesbare Domainnamen wie www.enyo.de umsetzt in etwas, daß das Internet tatsächlich in seinen technischen Untiefen verarbeiten kann) ist nach heutigen Maßstäben komplett unsicher. Das entdeckten Anfang des Jahres ein paar Leute und lancierten den Begriff "Pharming", um Angriffe auf DNS zusammenzufassen, die Phishing-ähnliche Ziele hatten. Wenn der Angreifer das DNS manipuliert (bzw. die Systeme, die das Opfer verwendet, blendet, so sie eine fehlerhafte Sicht auf das DNS bekommen), entfällt der beim Mimikry erwähnte Schritt des Lockens. Wahrscheinlich macht dies die Angriffe wesentlich erfolgversprechender.
Nachdem einmal der Begriff Pharming geprägt wurde, achteten viele Leute verstärkt auf DNS-Anomalien und entdeckten tatsächlich etwas, das nach diesem Blendwerk aussah. Aus meiner Sicht wurde aber nie wirklich nachgewiesen, daß es sich wie behauptet um gezielte Angriffe im Phishing-Kontext handelte, so daß Pharming an sich bislang zu keinem direkten Schaden führte. Allerdings wird auch dieser Aspekt einem weiteren Artikel vorbehalten bleiben müssen.
Eine Detektion solchen Blendwerks ist vergleichsweise einfach und inzwischen gar nicht mehr so teuer, da sie wesentlich weniger personalintensiv ist als die ständige Weiterentwicklung der Verfahren, die Mimikry aufdecken.
Trojanische Pferde
Zur letzten Gruppe, dem trojanischen Pferd. Hierbei schleust der Angreifer ein selbstgeschriebenes Programm (häufig verkürzt "Trojaner" genannt) auf dem Rechner des Opfers ein, das dann den eigentlichen Angriff durchführt.
Wie gelangt das Programm auf den Rechner? Dafür gibt es im Prinzip zwei Wege:
Das Opfer installiert es selbst ("come and get"). Das klingt schwieriger als es ist, die meisten Computernutzer installieren laufend irgendwelche Zusatzsoftware, wenn sie glauben, daß sie die versprochenen Funktionen benötigen. Sie haben überhaupt keine Chance zu prüfen, ob die Software neben dem Versprochenen weitere Dinge macht, insbesondere wenn die Schadfunktion zeitverzögert aktiviert wird.
Der Angreifer findet eine Schwachstelle auf dem Rechner des Opfers, dringt über diese in den Rechner ein und installiert das Trojanische Pferd ("scan and sploit"). Aufgrund einiger zwar immer noch recht kruden Maßnahmen seitens der Software-Hersteller wird dieser Ansatz immer schwieriger. In der Vergangenheit war er aber äußerst erfolgreich.
Was kann solch ein trojanisches Pferd alles durchführen? Es kann alle Benutzereingaben und die Bildschirmausgabe mitschneiden und an den Angreifer weiterreichen. Verschlüsselte SSL-Verbindungen können problemlos vor der Verschlüsselung abgehorcht werden. Dem Benutzer kann vorgegaukelt werden, daß er mit einem ihm wohlbekannten Dienst (das gängige Beispiel ist wieder die Online-Banking-Anwendung der Hausbank) interagiert, während er die ganze Zeit in Wirklichkeit mit dem Angreifer bzw. dessen Software kommuniziert. Mit trojanischen Pferde kann letztlich all das durchgeführt werden, was durch Mimikry und Blendwerk ermöglicht wird, aber noch viel mehr.
Die meisten erfolgreichen Online-Banking-Angriffe in Deutschland erfolgen über Trojanische Pferde wie "Ash" (vgl. Bundesamt für Sicherheit in der Informationstechnik, Viren-Beschreibung PWSteal.Bankash.E, März 2005). Im Grunde sind wir dadurch schon in der schlimmstmöglichen Situation: Wenn Diensteanbieter und Nutzer nicht den eingesetzten Computern vertrauen können (weil die angezeigten Kontonummern und Beträge vielleicht gar nicht stimmen), ist das Kind nicht nur bereits in den Brunnen gefallen, es hat auch schon aufgehört, im Wasser zu strampeln. Es gibt zwar eine Reihe von Maßnahmen, die die Symptome in Einzelfällen lindern, aber das ist nicht zuletzt der Unerfahrenheit der Angreifer zuzuschreiben und nicht einer grundsätzlichen Überlegenheit unsererseits. Hier liegt folglich die wirkliche Herausforderung im Bereich "Phishing".
Was können wir ändern, um die Installation von trojanischen Pferde zu erschweren? Die Möglichkeit, selbst Programme zu installieren, ist letztlich das, was einen Computer von einem Fernseher unterscheidet. Das Abschaffen dieser Flexibilität erscheint daher undenkbar, auch wenn so trojanische Pferde unterbunden werden. Ein anderer Ansatz könnte das beschränken, was das Trojanische Pferd nach der Installation machen kann. Das ist aber schwierig, da viele Nutzer Programme wollen, die sich z.B. in den Webbrowser einklinken (diverse Toolbars von Google, Netcraft und vielen anderen tun dies). Auch hätten wir dann den Effekt, daß auf dem selben Bildschirm Programme angezeigt werden, denen der Benutzer tunlichst unterschiedliches Vertrauen entgegen bringen sollte. Da selbst ohne böswillige Absicht die Benutzerführung vieler (auch beliebter) Programme sehr verwirrend ist, glaube ich nicht, daß diese Lösung vielversprechend ist. Benutzer brauchen klare Signale, um intuitiv Sicherheit einschätzen zu können, sonst sind sie allzuleicht in die Irre zu führen.
Auf der anderen Seite liegt noch ein weiter Weg vor uns, um die Angriffe über "scan and sploit" endgültig loszuwerden. Es ist aus meiner Sicht auch höchst fraglich, ob überhaupt eine hinreichende Nachfrage nach sicherer Software besteht. Sicherheit hat ihren Preis, die Entwicklung sicherer und robuster Software ist sehr aufwendig. Selbst bei freier Software schlagen sich diese Kosten in der Bindung von Kapazitäten nieder, so daß populäre Funktionen nicht so schnell implementiert werden können. Ich hege aber die Hoffnung, daß wir uns langsam einem Zustand annähern, bei dem die Softwarequalität zwar nicht berauschend ist, aber immerhin so gut, daß der menschliche Faktor, d.h. die mehr oder wenige fahrlässige Installation von Software, in Zukunft die Hauptrolle spielen wird (von vereinzelten Vorfällen abgesehen). Leider macht dies die Verteidigung nicht gerade einfacher.
Was also tun? Fürs erste liegt die große Herausforderung darin, die Information zusammenzuführen, die verschiedene Firmen und Organisationen über aktuelle Bedrohungen gesammelt haben und meist als Geschäftsgrundlage und Wettbewerbsvorteil betrachten. Nur so können wir ein Überblick über die Lage gewinnen und gemeinsam gegen den Untergrund bestehen. Da unsere Netze, Rechner, Software, Dienste und Nutzer angegriffen werden, besitzen wir zwangsläufig einen deutlichen Vorsprung — es ist unser Terrain. Wir dürfen ihn aber nicht dadurch verspielen, indem wir strategische Informationen aus kurzfristigen betriebswirtschaftlichen Erwägungen heraus zurückhalten, wie das weltweit und leider auch in Deutschland üblich ist. Der Untergrund ist sehr erfahren darin, Information zu verbreiten. Wenn wir es ihm darin nicht gleichtun, haben wir auf lange Sicht keine Chance.
Revisions
2005-07-23 14:00: veröffentlicht