G DATA Software AG: Antivirus, Virenschutz, Virenscanner, Internet Security

Ihr Repertoire an Strategien scheint unüberschaubar zu sein. Phishingbetrüger nutzen heutzutage eine Vielzahl von Tricks für ihre illegalen Belange aus:

Plug and Play Phishing-Netzwerke

Es existieren in Paketen zusammengefasste Sammlungen an unterschiedlichsten Phishingwebseiten. Diese Pakete heißen etwa "Rockphish" oder "R11" und bieten die Möglichkeit, einen geknackten Webserver binnen Minuten zu einem Phishingserver umzufunktionieren. Durch Anlegen bestimmter Ordner oder Subdomains wurde in vielen Fällen versucht, die Webadresse der Zielinstitution nachzuahmen.

Phlashing

Hinter diesem neuen Begriff verbirgt sich ein Wortspiel aus Phishing und Flash. Angreifer nutzen hierbei Flashanimationen als Verschleierungstechnik gegenüber Antiphishingprogrammen. Antiphisingprogramme prüfen in der Regel die gesamten Textinhalte der Webseite auf explizite Merkmale. Zunächst versuchten die Kriminellen diese Überprüfung durch die Verwendung von Javascript zu erschweren. Bei dieser neusten Variante werden nun Shockwave Flash Animationen verwendet, die nicht so ohne weiteres von Drittprogrammen durchsucht werden können.

2-Faktor-Authentifizierung

Eine 2-Faktor-Authentifizierung ist im Prinzip ein sicheres Mittel, um Menschen gegenüber Computersystemen zu authentifizieren. Die Kombination von etwas, das man weiß (z.B. eine PIN) und etwas, das man besitzt (z.B. TAN oder ein bestimmtes Gerät) wird heutzutage flächendeckend von deutschen Banken eingesetzt.

Die Citibank setzt neben der PIN-Nummer eine sogenannte Token-Karte ein, die jede Minute ein neues Passwort mit einminütiger Gültigkeit erzeugt. Jeder Kunde der Bank besitzt eine solche Karte und nutzt sie bei der Authentifizierung gegenüber der Bank.

Mittels einer speziellen Man-in-the-Middle-Variante konnte die 2-Faktor-Authentifizierung der Citibank jedoch überlisten werden: Die Angreifer haben den nach einer Minute verfallenden Token-Schlüssel einfach innerhalb der Minute an den Bankserver weitergeleitet - und wurden erfolgreich im Namen des Opfers angemeldet.

Geknackte Bankseiten

Bisher benutzten die Betrüger stets eigene Server, auf denen sie die nachgeahmten Webseiten deponierten. Dass nun auch die Infrastrukturen von den Banken selbst für die Betrüge herhalten müssen, zeigt ein Fall vom März 2006: Ein Server der China Construction Bank (CCB) wurde von den Kriminellen geknackt. Anschließend speicherten sie Phishingseiten in verstecken Unterverzeichnissen des kompromittierten Systems.

XSS Schwachstellen

Beim Cross-Site-Scripting werden Informationen, die nicht vertrauenswürdig sind in eine Webseite eingefügt, die als vertrauenswürdig eingestuft wird. Auch diese Schwachstelle können Betrüger für Phishingzwecke ausnutzen. Besonders erschreckend ist hier zum Beispiel, dass einige leitende internationale Kreditinstitute seit mehr als zwei Jahren gegen derartige Angriffe anfällig sind - dabei wär doch gerade den Banken ein hohes Sicherheitsengagement zuzutrauen.

Phishing über soziale Netzwerke wie MySpace

Bisher wird nur ein kleiner Teil der Phishingangriffe über soziale Netzwerke ausgeführt. Zwar haben die Benutzerkonten hier keinen so großen Wert wie beispielsweise Bankkonten. Allerdings können diese meist hoch frequentierten Communities bestens für die Verbreitung von Malware, wie etwa Keyloggern, eingesetzt werden. Durch das hohe kriminelle Potential sei auch hier besondere Vorsicht geboten.

Netcraft hat eine Toolbar entwickelt, die vor Phishing-Webseiten warnt. Das kostenlose Plugin kann in den Internet Explorer oder in Firefox integriert werden. Die Netcraft-Community ist sehr aktiv und wenn ein Mitglied eine Phishing-Seite meldet, wird sie nach einer kurzen Prüfung in eine Sperrliste aufgenommen und alle Nutzer sind geschützt. So sind 2005 von Netcraft 41.000 Phishing-Seiten gemeldet worden. Seitdem wird ein kontinuierlicher Anstieg verzeichnet und die Zahlen steigen von Monat zu Monat. Im November 2006 wurden mehr Phishing-Domains zu der Liste hinzugefügt als im gesamten Vorjahr - insgesamt waren es bereits 135000. Und im Dezember hat sich diese Zahl auf 277000 Webseiten verdoppelt. Der Anstieg ist neben der Perfektion der besagten Techniken auf die automatisierte Verbreitung über Botnetze zurückzuführen. Anstatt die Seiten auf einem gecrackten Webserver zu hosten, werden Rechner aus einem Botnetz zum Webserver umfunktioniert. Eine zentrale Anlaufstelle verteilt die Anfragen auf noch aktive Rechner.

Das klassische Phishing, in dem man seine Daten in einem Webformular eingibt, spielt nur noch eine untergeordnete Rolle. Man-in-the-middle Technologien wie Redirector, Proxies und Keylogger sind momentan die wichtigste Ursache für Online-Diebstähle. Auf diese Weise ist Trickbetrügern der größte Online-Diebstahl der Geschichte gelungen. Kunden der schwedischen Nerdea-Bank wurden in den letzten 15 Monaten um mindestens 800.000 EUR betrogen.

Seien Sie also auf der Hut, nutzen Sie eine Anti-Phishing-Toolbar und halten Sie ihre Antivirenprogramm, das Betriebssystem und den Browser aktuell!

Weitere Informationen:

Phishing By The Numbers: 609,000 Blocked Sites in 2006 (engl.)

Phishing Attacks Continue to Grow in Sophistication (engl.)