Phishing: Kleine Banken geraten zunehmend ins Visier

Rund 3000 aktive Phishing-Seiten machte die Anti-Phishing Working Group für den Monat April aus. Damit wurde zwar ein leichter Rückgang gegenüber dem Vormonat verzeichnet, aber die Qualität der Phishing-Attacken scheint sich zu ändern. Zu diesem Ergebnis kommt zumindest Sicherheitsspezialist Websense , der das Basismaterial für die Anti-Phishing-Working Group liefert.

Phishing: Kleine Banken geraten zunehmend ins Visier weiterlesen

SSL

Was ist SSL?

SSL (&Secure Socket Layer) ist ein Sicherheitsstandard, der ursprünglich von der Firma Netscape speziell zum Schutz des World Wide Web (WWW) entwickelt wurde. Informationen zur Technik finden Sie z.B. bei Wikipedia oder im Buch „Sicherheit und Kryptographie im Internet“ von J. Schwenk.

Wie erkenne ich, ob eine Webseite SSL-verschlüsselt übertragen wurde?

Die Kommunikation zwischen Ihnen und dem Server ist verschlüsselt, wenn ein geschlossenes Vorhängeschloss als Symbol in der unteren Browserleiste auftaucht. Dies ist bei allen Browsern der Fall. Ist das Vorhängeschloss geöffnet, oder ist es nicht vorhanden, so werden die Daten ungeschützt übertragen. In diesem Fall dürfen keine Passwörter, PINs, TANs oder Kreditkartennummern eingegeben werden.

Wie erkenne ich, ob eine Webseite wirklich vom gewünschten Server (z.B. einem Onlinebanking-Server) stammt?

Auch hier hilft SSL weiter. Nach einem Doppelklick auf das Schlosssymbol öffnet sich ein Informationsfenster.

SSL Seiteninformationen

In diesem Fenster werden Informationen zum Zertifikat (eine Art elektronischer Ausweis) angezeigt, den man für SSL benötigt. Der Name, der hier hinter „Ausgestellt für“ steht, muss mit dem Namen der Webseite identisch sein, die Sie aufgerufen haben.

Wer stellt solche Zertifikate aus?

Es gibt eine Reihe von Firmen, die sich auf die Ausstellung von SSL-Zertifikaten spezialisiert haben. Diese Firmen überprüfen in der Regel sehr sorgfältig, wem die Web-Adresse gehört, bevor sie ein solches Zertifikat ausstellen. Es gibt aber auch die Möglichkeit, Zertifikate selbst zu erzeugen. Dies kann von Hackern dazu ausgenutzt werden, eine SSL-geschützte Verbindung zum Hackerserver aufzubauen. Sie können einen solchen Versuch an der folgenden Warnmeldung erkennen (die für die verschiedenen Browser unterschiedliche aussehen kann).

SSL Fehlermeldung

Sollte Ihr Browser Ihnen diesen oder einen ähnlichen Warnhinweis geben, sollten Sie sicherheitshalber auf „Nein“, „Abbrechen“ oder „Zurück“ klicken.

Schützt SSL auch gegen Pharming?

Ja, SSL kann auch gegen Pharming schützen. Ein Angreifer kann beim Pharming zwar die Zuordnung des Servernamens (z.B. www.musterbank.de) zu einer IP-Adresse ändern, er kann aber nicht das SSL-Zertifikat für www.musterbank.de fälschen. Sie erhalten in diesem Fall eine Warnmeldung ähnlich wie oben dargestellt.

Phishing-IQ-Test: Finde die echten und falschen Mails

Phishing-Mail von echten Mails zu unterscheiden wird mittlerweile immer schwieriger. Allerdings machen es Banken und Online-Shops dem Kunden auch nicht gerade einfach. 

So geriet etwa kürzlich ein echte PayPal-Kunden-Mail in den Verdacht, von Passwort-Fischern zu stammen. Um dem Anwender ein wenig Gelegenheit zum Trainieren zu geben, hat der E-Mail-Provider MailFrontier einen zweiten Phishing-IQ-Test veröffentlicht.

Phishing-IQ-Test: Finde die echten und falschen Mails weiterlesen

Allgemeine Hinweise

Die nachfolgenden Punkte werden auch als die "10 Gebote zum Schutz vor Phishing" bezeichnet. Um einen effektiven Schutz einzuhalten, muss die Reihenfolge der Regeln beachtet werden. Wichtig: Die Regeln 1 bis 3 müssen eingehalten werden; die restlichen Regeln können umgesetzt werden.

1. Pflegen Sie die Browser-Software regelmäßig mit aktuellen Sicherheits-Updates.

In den vergangenen Monaten haben Hersteller gängiger Browser maßgeblich ihre Produkte gegen Phishing-Angriffe resistenter gestaltet und browserspezifische Funktionen, welche von Phishern gerne ausgenutzt werden, eingeschränkt. Ein notwendiges Muss sind daher das Service Pack 2 für den Internet Explorer 6 (oder vergleichbare Updates anderer Browser), welches u.a. das Deaktivieren des Statuszeile durch Dritte untersagt und den Benutzer somit vertrauenswürdig über den Einsatz von SSL (Schlosssymbol in der Statuszeile) informiert. Der Gebrauch von SSL (kurz, ein kryptographisches Protokoll) sollte immer vorausgesetzt werden, wenn persönliche Informationen über das Internet übermittelt werden sollen, weil sie unter Umständen unverschlüsselt verschickt und als Folge manipuliert werden könnten.

2. Überprüfen Sie das Sicherheitszertifikat der Web-Seite.

Ein Doppelklick auf das Schlosssymbol in der Statuszeile öffnet ein Dialogfenster, welches Informationen über den Aussteller (Besitzer) der Webseite anzeigt. Das Digitale Zertifikat ähnelt einem Personalausweis, welche fälschungssicher die Identität des Ausstellers nachweist. Um sicherzustellen, dass sie auch tatsächlich auf der richtigen Seite ihre privaten Informationen übermitteln, müssen sie prüfen, ob

  1. der im Sicherheitszertifikat angegebene (Domain) Name mit dem Namen der von Ihnen angeforderten Web-Seite übereinstimmt.
  2. das Zertifikat von einer vertrauenswürdigen Partei (Zertifizierungsinstitution) ausgestellt wurde (wenn dem Browser die Zertifizierungsinstitution unvertraut ist, erscheint eine Fehlermeldung).
  3. das Zertifikat gültig ist.

Ist einer der Punkte nicht erfüllt, sollten Sie davon absehen persönliche Informationen an die Seite weiterzugeben, sie könnte gefälscht sein.

Die Regel kann nur wirkungsvoll eingesetzt werden, wenn Regel 1 erfüllt ist!

SSL Seiteninformationen

3. Überprüfen Sie, ob die Website gesichert ist, bevor kritische Daten eingegeben werden.

Die URL sollte mit "https://" und nicht nur mit "http://" starten. Beachten Sie, dass Phisher die Adresszeile fälschen könnten, so dass Sie unter Umständen eine gefälschte URL sehen könnten. Einen stärkeren Schutz erhalten Sie durch Regel 2.

4. Gehen Sie niemals über einen angebotenen Link zu der gewünschten Website, geben Sie stattdessen immer die entsprechende URL in den Browser ein.

Diese Regel hilft nicht gegen Pharming. Nutzen Sie die Regeln 1 bis 3, um Pharming-Angriffe aufzudecken. Diese Angriffe sind dadurch gekennzeichnet, dass bei der Überprüfung des Sicherheitszertifikates Unstimmigkeiten (z.B. das Zertifikat ist ungültig) entstehen.

5. Deaktivieren Sie Javascript im Browser

Um Cross-Site-Scripting zu vermeiden, und den Windows Skripting Hosts (WSH), sowie die Ausführung von ungewollten Skripten zu unterdrücken, sollte Java Script im Browser deaktiviert werden. Es ist nicht nachgewiesen, dass Phishing-Angriffe ohne den Einsatz von Javascript auskommen. Fakt ist, dass sie den Spielraum der möglichen Täuschungsangriffe eingrenzen. Nachteilig ist, dass moderne Webseiten selten ohne den Gebrauch von Javascript dargestellt werden können.

6. Öffnen Sie möglichst keine Mails von unbekannten Absendern

Wenn Sie dennoch Mails von unbekannten Absendern öffnen müssen, klicken Sie auf keine darin enthaltenen Links und bestätigen Sie niemals Kontonummern, Passwörter oder andere geheime Daten nach einer Mail-Aufforderung – entsprechende Institute oder Firmen würden ein solches Vorgehen aus Sicherheitsgründen nie wählen.

7. Verifizieren Sie auffällige Mails von vertrauten Adressaten (wie zum Beispiel der eigenen Bank) mit einem kurzen Anruf.

8. Schließen Sie den Browser, falls die gewünschte Website in der Regel eine Authentifizierung verlangt und plötzlich ohne eine solche auszukommen scheint.

9. Installieren Sie Webfilter, die ihren Sperrkatalog ständig um gefälschte Web-Seiten erweitern.

10. Setzen Sie aktuelle Anti-Virenprogramme und Firewalls ein.

Verwenden Sie die neuesten Signaturen. Der Schritt sollte selbstverständlich sein, wenn sie das Internet zur Weitergabe persönlicher Daten nutzen.

Arbeitsgruppe Identitätsschutz im Internet