AVANTEC Know-how

Wie Hacker vorgehen, Teil 5

In der Vergangenheit wurden Attacken hauptsächlich vom Internet her durchgeführt: Es wurden Schwachpunkte in Applikationen und schlecht konfigurierten Firewalls ausgenutzt, um ins interne Netz einzudringen. In den letzten Jahren mehrten sich entsprechende Angriffe über WLAN und durch Trojaner. Und neuerdings häufen sich Bedrohungen via Instant Messaging oder via Phishing.


Phishing und Fraudhacker5

Phishing resp. Fraud ist nicht einfach Spam, sondern es handelt sich um eine gezielte kriminelle Aktion. Fraud-Mails täuschen eine falsche Herkunft vor und fordern die Benutzer dazu auf, gewisse Daten freiwillig anzugeben, in der Meinung, es handle sich um eine korrekte Anfrage. So fordern Sie z.B. gefälschte Mails von Ihrer Bank dazu auf, Ihre Account-Daten zu verifizieren und dabei auch gleich Passworte und Kreditkartennummern anzugeben. Verschiedene Techniken werden angewandt, um die Empfänger in die Irre zu führen:


  • Mittels einfachem Mail-Spoofing wird als Absenderadresse eine korrekte Adresse beispielsweise der betroffenen Bank verwendet, natürlich ergänzt um offizielle Logos und korrekte Links.

  • Meist besteht der wichtigste Teil einer Phishing-Mail aus einer URL, die angewählt werden soll. Dazu gibt es verschiedene Methoden, diese korrekt aussehen zu lassen: Es wird eine ähnliche Domain gewählt wie die offizielle, z.B. www.citybank.com oder www-citibank.com, statt korrekt www.citibank.com. Oder aber durch Subdomains, wie z.B. www.citibank.com.hackerbank.com.

  • Oft zeigt der Text der URL in der Mail auf eine korrekte Seite, wie z.B. loginupdate.mybank.com, während der eigentliche darunter liegende Link auf eine ganz andere Seite zeigt. Mailclients, welche diese URL anzeigen, wenn mit dem Mauszeiger darüber gefahren wird, werden folgendermassen ausgetrickst: Ganz offiziell kann dem eigentlichen Link eine Login-/Passwort-Information vorangestellt werden mit dem Format http://username:passwort@domain. Ein Link kann nun also folgendermassen aussehen: www.mybank.com:loginupdate ----(at)www.hackerbank.com. Da aber die meisten Mailclients lediglich den Beginn dieser Zeile darstellen können, wähnt sich der Benutzer sicher.

  • Natürlich lässt sich zur Verschleierung eines Hosts auch dessen IP-Adresse in der URL einbinden. Oder aber diese IP-Adresse wird in harmlos aussehende Dezimalzahlen umgerechnet und dann landen Sie z.B. mit http://3267307590 bei www.avantec.ch (194.191.40.70 = 194*2563+191*2562 +40*256 +70).

  • Gewisse Phishing-Attacken informieren den Empfänger, dass ein gewisser Betrag von seiner Kreditkarte abgebucht wurde und liefern dazu einen Link zur Überprüfung, der keine Informationen enthält, aber dafür einen Trojaner/Keylogger auf dem Computer des Opfers installiert.

  • Raffinierten Fraudsters gelingt es auch, eine offizielle Bankenwebsite anzuwählen mit einigen korrekten Frames, aber in einem der Frames erscheint eine gefälschte Seite (Cross-Domain-Zugriffe resp. Frame-Spoofing). Da sogar das Eingabefeld die korrekte URL enthält, sind diese Seiten sehr schwierig zu erkennen. Nutzen Sie die aktuellste Version Ihres Browsers.

  • Neuste Phishing-Mails warnen sogar selbst vor Phishing und geben Tipps ab, wie Phishing erkannt werden kann, um dann ganz frech die Leserschaft zur Überprüfung der Daten auf eine gefälschte Site zu locken.

Auf jeden Fall benötigen Sie eine effiziente Antispam-Software, welche sowohl Spam- als auch Phishing/Fraud-Mails erkennt und blockiert. Ergänzende Schutzmassnahmen bietet Websense: Eine der Kategorien blockiert bekannte Fraud-Sites, Sites mit Spyware/Trojanern usw. Sie können sich also persönlich dagegen schützen, aber wie schützt sich eine Bank dagegen, Opfer von Phishing-Mails in ihrem Namen zu werden? Folgende Massnahmen sind möglich:


  • Warnung und Aufklärung der Kontoinhaber.

  • Über Analyse der Webserver-Logfiles lässt sich bei einer Häufung von so genannten Referers Rückschlüsse ziehen auf die Zugriffe über gefälschte Sites, und diese lassen sich dynamisch umleiten auf eine Warnseite.

  • Am besten fahren diejenigen Banken, die einen dedizierten Anti-Fraud-Dienst bei einem spezialisierten Unternehmen abonnieren: Diese Anbieter verfügen über ein Netzwerk von «Honeypot»-Mail-accounts, welche Spam- und Fraud-Mails empfangen (bei Symantec Brightmail beispielsweise 2 Mio. Accounts). Alle diese empfangenen Mails werden nun verglichen mit den von der Bank benutzten Domains. Wenn Mails gefunden werden, welche die Absenderadresse dieser Bank tragen, so wird dieser Kunde sofort informiert.

Grundsätzlich gilt: Misstrauen Sie allen Links, die Sie zur Eingabe von vertraulichen Angaben auffordern und überprüfen Sie diese immer. Banken würden ihre Kunden nie per E-Mail dazu auffordern, diese Angaben einzugeben, genausowenig, wie Microsoft ihren Kunden per E-Mail einen Patch zusenden würde. Um sicher zu gehen, sollten Sie die Website Ihrer Bank immer nur durch manuelle Eingabe der URL oder durch das Anwählen eines Bookmarks aufrufen.



Lesen Sie weitere Artikel zum Vorgehen von Hackern im Bereich Know-how.

 

 

© 2005 AVANTEC AG - Verwendung der Texte nur mit ausdrücklicher Genehmigung der AVANTEC AG.