Alle Beiträge von Dipl.-Ing. Sebastian Gajek

Allgemeine Hinweise

Die nachfolgenden Punkte werden auch als die "10 Gebote zum Schutz vor Phishing" bezeichnet. Um einen effektiven Schutz einzuhalten, muss die Reihenfolge der Regeln beachtet werden. Wichtig: Die Regeln 1 bis 3 müssen eingehalten werden; die restlichen Regeln können umgesetzt werden.

1. Pflegen Sie die Browser-Software regelmäßig mit aktuellen Sicherheits-Updates.

In den vergangenen Monaten haben Hersteller gängiger Browser maßgeblich ihre Produkte gegen Phishing-Angriffe resistenter gestaltet und browserspezifische Funktionen, welche von Phishern gerne ausgenutzt werden, eingeschränkt. Ein notwendiges Muss sind daher das Service Pack 2 für den Internet Explorer 6 (oder vergleichbare Updates anderer Browser), welches u.a. das Deaktivieren des Statuszeile durch Dritte untersagt und den Benutzer somit vertrauenswürdig über den Einsatz von SSL (Schlosssymbol in der Statuszeile) informiert. Der Gebrauch von SSL (kurz, ein kryptographisches Protokoll) sollte immer vorausgesetzt werden, wenn persönliche Informationen über das Internet übermittelt werden sollen, weil sie unter Umständen unverschlüsselt verschickt und als Folge manipuliert werden könnten.

2. Überprüfen Sie das Sicherheitszertifikat der Web-Seite.

Ein Doppelklick auf das Schlosssymbol in der Statuszeile öffnet ein Dialogfenster, welches Informationen über den Aussteller (Besitzer) der Webseite anzeigt. Das Digitale Zertifikat ähnelt einem Personalausweis, welche fälschungssicher die Identität des Ausstellers nachweist. Um sicherzustellen, dass sie auch tatsächlich auf der richtigen Seite ihre privaten Informationen übermitteln, müssen sie prüfen, ob

  1. der im Sicherheitszertifikat angegebene (Domain) Name mit dem Namen der von Ihnen angeforderten Web-Seite übereinstimmt.
  2. das Zertifikat von einer vertrauenswürdigen Partei (Zertifizierungsinstitution) ausgestellt wurde (wenn dem Browser die Zertifizierungsinstitution unvertraut ist, erscheint eine Fehlermeldung).
  3. das Zertifikat gültig ist.

Ist einer der Punkte nicht erfüllt, sollten Sie davon absehen persönliche Informationen an die Seite weiterzugeben, sie könnte gefälscht sein.

Die Regel kann nur wirkungsvoll eingesetzt werden, wenn Regel 1 erfüllt ist!

SSL Seiteninformationen

3. Überprüfen Sie, ob die Website gesichert ist, bevor kritische Daten eingegeben werden.

Die URL sollte mit "https://" und nicht nur mit "http://" starten. Beachten Sie, dass Phisher die Adresszeile fälschen könnten, so dass Sie unter Umständen eine gefälschte URL sehen könnten. Einen stärkeren Schutz erhalten Sie durch Regel 2.

4. Gehen Sie niemals über einen angebotenen Link zu der gewünschten Website, geben Sie stattdessen immer die entsprechende URL in den Browser ein.

Diese Regel hilft nicht gegen Pharming. Nutzen Sie die Regeln 1 bis 3, um Pharming-Angriffe aufzudecken. Diese Angriffe sind dadurch gekennzeichnet, dass bei der Überprüfung des Sicherheitszertifikates Unstimmigkeiten (z.B. das Zertifikat ist ungültig) entstehen.

5. Deaktivieren Sie Javascript im Browser

Um Cross-Site-Scripting zu vermeiden, und den Windows Skripting Hosts (WSH), sowie die Ausführung von ungewollten Skripten zu unterdrücken, sollte Java Script im Browser deaktiviert werden. Es ist nicht nachgewiesen, dass Phishing-Angriffe ohne den Einsatz von Javascript auskommen. Fakt ist, dass sie den Spielraum der möglichen Täuschungsangriffe eingrenzen. Nachteilig ist, dass moderne Webseiten selten ohne den Gebrauch von Javascript dargestellt werden können.

6. Öffnen Sie möglichst keine Mails von unbekannten Absendern

Wenn Sie dennoch Mails von unbekannten Absendern öffnen müssen, klicken Sie auf keine darin enthaltenen Links und bestätigen Sie niemals Kontonummern, Passwörter oder andere geheime Daten nach einer Mail-Aufforderung – entsprechende Institute oder Firmen würden ein solches Vorgehen aus Sicherheitsgründen nie wählen.

7. Verifizieren Sie auffällige Mails von vertrauten Adressaten (wie zum Beispiel der eigenen Bank) mit einem kurzen Anruf.

8. Schließen Sie den Browser, falls die gewünschte Website in der Regel eine Authentifizierung verlangt und plötzlich ohne eine solche auszukommen scheint.

9. Installieren Sie Webfilter, die ihren Sperrkatalog ständig um gefälschte Web-Seiten erweitern.

10. Setzen Sie aktuelle Anti-Virenprogramme und Firewalls ein.

Verwenden Sie die neuesten Signaturen. Der Schritt sollte selbstverständlich sein, wenn sie das Internet zur Weitergabe persönlicher Daten nutzen.

Phishing mit Frames reloaded

Totgesagte leben länger: Immer noch können Web-Seiten aufgrund von Browserfehlern Inhalte in Fenstern manipulieren, die nicht zu ihrer Domain gehören. Totgesagte leben länger: Immer noch können Webseiten Inhalte in Browser-Fenstern manipulieren, die nicht zu ihrer Domain gehören. So sollte etwa eine Heise-Seite keine Inhalte einer Online-Banking-Seite verändern können, die in einem anderen Fenster angezeigt wird. Phishing mit Frames reloaded weiterlesen