Unterstützung bei der Erkennung von Phishing-Seiten durch

Transcription

Unterstützung bei der Erkennung
von Phishing-Seiten durch Anzeige
der Kurzform der URL
Durchführung einer Onlinestudie zur Evaluierung der Effektivität des URL-Pruning
Diplomarbeit von Roland Emil Borza
8. April 2014
.
Unterstützung bei der Erkennung von Phishing-Seiten durch Anzeige der Kurzform der URL
Durchführung einer Onlinestudie zur Evaluierung der Effektivität des URL-Pruning
Vorgelegte Diplomarbeit von Roland Emil Borza
Prüfer: Prof. Dr. rer. nat. Melanie Volkamer
Betreuer: Arne Renkema-Padmos MSc
Tag der Einreichung:
Erklärung zur Diplomarbeit
Hiermit versichere ich, die vorliegende Diplomarbeit ohne Hilfe Dritter nur mit den angegebenen Quellen und Hilfsmitteln angefertigt zu haben. Alle Stellen, die aus Quellen
entnommen wurden, sind als solche kenntlich gemacht. Diese Arbeit hat in gleicher oder
ähnlicher Form noch keiner Prüfungsbehörde vorgelegen.
Darmstadt, den 8. April 2014
(Vorname und Nachname)
1
Danksagung
Ich bedanke mich herzlich bei meinen beiden Betreuern Prof. Melanie Volkamer und Arne RenkemaPadmos für ihre Unterstützung während der Bearbeitung dieses spannenden Themas. Besonders möchte
ich mich auch bei Paul Gerber für seine Unterstützung bei statistischen Fragestellungen bedanken.
Mein Dank gilt auch meinen Freunden und meiner Familie für die Hilfe bei der Rekrutierung der
Teilnehmer für die Onlinestudie und für das Korrekturlesen meiner Arbeit.
2
Zusammenfassung
Das Phishing stellt sowohl für Internetnutzer als auch für die betroffenen Unternehmen ein erhebliches
Risiko dar. Alleine beim Online-Banking wurden in Deutschland im Jahr 2012 Schäden in zweistelliger
Millionenhöhe registriert. Die Unternehmen und Softwareanbieter haben das Risiko erkannt. Sie reagieren darauf mit unterschiedlichen Sicherheitslösungen. Manche versuchen das Phishing automatisch zu
erkennen und den Nutzer vor einem Phishing-Angriff zu schützen. Solche Sicherheitslösungen Erkennen
einen Phishing-Angriff jedoch erst dann zuverlässig, wenn die beim Angriff verwendete URL bereits als
Phishing-URL registriert wurde. Daher ist es notwendig, dass Internetnutzer sich bei neuen PhishingAngriffen selbst schützen. Das in aktuellen Browsern implementierte Domain Highlighting erleichtert
dem Internetnutzer das Erkennen von Phishing-URLs durch das optische Hervorheben des Domänennamens in der URL. Der komplizierte Aufbau von URLs erschwert den Internetnutzern das Erkennen
von Phishing-Angriffen jedoch zusätzlich. In dieser Diplomarbeit wird ein Verfahren untersucht, dass
dieses Problem aufgreift. Beim hier untersuchten URL-Pruning wird die URL in einer verkürzten Form
dargestellt, indem nicht sicherheitsrelevante Teile der URL ausgeblendet werden. Die Ergebnisse der
durchgeführten Onlinestudie zeigen, dass das URL-Pruning dem Internetnutzer bei der Erkennung von
Phishing-URLs im Vergleich zum Domain Highlighting effektiver hilft.
3
Inhaltsverzeichnis
1. Einleitung
12
1.1. Problemstellung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.2. Motivation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.3. Aufbau der Arbeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2. Phishing
2.1.
2.2.
2.3.
2.4.
14
Definitionen und Vorgehensweise . . . . . . . . . . . .
Von Phishing betroffene Unternehmen und Branchen
Schadenspotenzial von Phishing . . . . . . . . . . . . .
Kategorisierung von Verschleierungstechniken . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
3. Vorhandene Ansätze zur Erkennung von Phishing
3.1. Vorhandene Techniken im Browser .
3.1.1. Hinweise und Warnungen . .
3.1.2. Toolbars und Browser Plugins
3.2. Wissen Vermitteln . . . . . . . . . . . .
3.2.1. Textbasiert . . . . . . . . . . . .
3.2.2. Teachable Moments . . . . . .
3.2.3. Spiele . . . . . . . . . . . . . . .
3.3. Vereinfachte Darstellung der URL . .
3.3.1. Domain Highlighting . . . . .
3.3.2. URL-Pruning bei iOS . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
14
15
17
18
21
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
4. Studie Domain Highlighting (Lin et al.)
4.1. Fragestellung . . . . . . . . . . . . . . .
4.2. Studiendesign . . . . . . . . . . . . . .
4.2.1. Teilnehmer . . . . . . . . . . .
4.2.2. Vorbereitung der Teilnehmer .
4.2.3. Auswahl der Webseiten . . . .
4.2.4. Verwendetes System . . . . . .
4.2.5. Versuchsablauf . . . . . . . . .
4.3. Auswertung der Studie . . . . . . . . .
4.3.1. Metrik . . . . . . . . . . . . . .
4.3.2. Quantitative Analyse . . . . .
4.3.3. Qualitative Analyse . . . . . .
4.3.4. Ergebnis . . . . . . . . . . . . .
12
13
13
21
21
23
24
24
24
26
27
27
28
29
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
5. URL-Pruning
5.1. Design . . . . . . . . . . . . . . . . . . . . . . . . . .
5.2. Analyse der Vor- und Nachteile des URL-Pruning
5.2.1. Exkurs: Cognitive Load Theorie . . . . . .
5.2.2. Vorteile des URL-Pruning . . . . . . . . . .
5.2.3. Nachteile des URL-Pruning . . . . . . . . .
29
29
29
30
30
30
31
31
31
32
33
33
34
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
34
35
35
36
37
4
6. Studiendesign
39
6.1. Hypothesen und Annahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6.1.1. Demographische Merkmale der Teilnehmer . . . . . . . . . . . . . .
6.1.2. Definition von Phishing . . . . . . . . . . . . . . . . . . . . . . . . . .
6.1.3. Nutzerorientierte Kategorisierung von Verschleierungstechniken .
6.1.4. Metrik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6.1.5. Effektivität des URL-Pruning . . . . . . . . . . . . . . . . . . . . . . .
6.1.6. Voraussetzungen des URL-Pruning bezüglich der Nutzer . . . . . .
6.2. Wahl der geeigneten Form: Onlinestudie . . . . . . . . . . . . . . . . . . . .
6.3. Tool für die Onlinestudie: SoSci Survey . . . . . . . . . . . . . . . . . . . . .
6.4. Auswahl der Webseiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6.4.1. Legitime Seiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6.4.2. Phishing-Seiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6.5. Technische Umsetzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6.6. Mapping von https und Extended Validation . . . . . . . . . . . . . . . . . .
6.7. Einschränkungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6.8. Studienaufbau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6.8.1. Begrüßung und Anweisungen . . . . . . . . . . . . . . . . . . . . . .
6.8.2. Erster Fragenblock . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6.8.3. Zwischenfragen nach der ersten Phase . . . . . . . . . . . . . . . . .
6.8.4. Zweiter Fragenblock . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6.8.5. Zwischenfragen nach der zweiten Phase . . . . . . . . . . . . . . .
6.8.6. Kontrollfrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6.8.7. Bekanntheitsgrad der Unternehmen . . . . . . . . . . . . . . . . . .
6.8.8. Demographische Angaben . . . . . . . . . . . . . . . . . . . . . . . .
6.8.9. Abschluss der Studie . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6.9. Konfiguration von SoSci Survey . . . . . . . . . . . . . . . . . . . . . . . . .
6.9.1. Gruppeneinteilung . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6.9.2. Randomisierung der Fragen . . . . . . . . . . . . . . . . . . . . . . .
6.10.Ethik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
7. Evaluierung der Studie
57
7.1. Teilnehmer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7.1.1. Rekrutierung . . . . . . . . . . . . . . . . . . . . . . . . . .
7.1.2. Demographische Merkmale . . . . . . . . . . . . . . . . .
7.2. Analyse der Daten und Diskussion . . . . . . . . . . . . . . . . . .
7.2.1. Hypothesentest . . . . . . . . . . . . . . . . . . . . . . . . .
7.2.2. Annahmen und Voraussetzungen bezüglich der Nutzer
7.3. Zusammenfassung der Ergebnisse . . . . . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
8. Zukünftige Arbeiten
8.1.
8.2.
8.3.
8.4.
8.5.
Anhang
Weitere Vereinfachung der Darstellung . . . . . . .
Empfehlung für die Auswahl von Domänennamen
Bedienbarkeit . . . . . . . . . . . . . . . . . . . . . .
URL-Pruning bei Phishing-Nachrichten . . . . . . .
Verbesserung der Effektivität . . . . . . . . . . . . .
39
39
39
40
40
41
42
43
43
43
43
45
47
48
48
49
50
51
52
53
53
53
54
54
54
55
55
55
56
57
57
58
60
60
66
71
72
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
72
72
72
72
73
74
5
Abbildungsverzeichnis
2.1.
2.2.
Top 100 der im Jahr 2013 am häufigsten von Phishern angegriffenen Organisationen nach
Kategorien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
In der ersten Jahreshälfte 2013 am häufigsten von Phishern angegriffenen Organisationen
nach Branche . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Warnung des Phishing-Filters im Internet Explorer 11 . . . .
Phishing-Warnung der Netcraft Toolbar . . . . . . . . . . . . .
Deutsche Version der Anti-Phishing Landing Page der APWG
Domain Highlighting in aktuellen Browsern . . . . . . . . . .
Darstellung der Adressleiste im iPhone . . . . . . . . . . . . .
.
.
.
.
.
22
23
25
28
28
5.1.
5.2.
URL-Pruning für Webseiten ohne Verschlüsslung sowie mit SSL- und mit EV-SSL-Zertifikat .
Erklärung der Komponenten einer URL am Beispiel des Anti-Phishing Phil . . . . . . . . . . .
35
36
6.1.
6.2.
6.3.
6.4.
6.5.
6.6.
6.7.
6.8.
Top 9 Browser in Deutschland von Januar bis Dezember 2013 . . . . . . . . . .
Darstellung der Internetadresse in unterschiedlichen Browsern . . . . . . . . .
Mixed Content Warnung bei T-Mobile . . . . . . . . . . . . . . . . . . . . . . . . .
Sicherheitshinweise bei der Deutschen Bank (oben) und der Postbank (unten)
Beispiel einer Frage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Entscheidungsgrundlage: Bereiche von Webseiten . . . . . . . . . . . . . . . . .
Anweisung in der zweiten Phase auf die Adressleiste zu achten . . . . . . . . .
Entscheidungsgrundlage: URL Bereiche . . . . . . . . . . . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
47
48
49
49
51
52
53
54
7.1.
7.2.
7.3.
7.4.
7.5.
7.6.
Beispiel eines Aushangs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Wahrscheinlichkeit für korrekte Entscheidung für die Gruppen H und P je Webseitentyp . . .
Wahrscheinlichkeit für falsche Entscheidung für die Gruppen H und P je Webseitentyp . . . .
Wahrscheinlichkeit für unsichere Entscheidung für die Gruppen H und P je Webseitentyp . .
Histogramm der Anzahl korrekter Entscheidungen in Abhängigkeit vom Nutzertyp . . . . . .
Wahrscheinlichkeit für korrekte Entscheidung für Gruppe H und P und Voraussetzung 1 je
Webseitentyp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
57
61
63
65
68
Begrüßung der Teilnehmer . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Anweisungen vor der ersten Phase . . . . . . . . . . . . . . . . . . . . . . .
Beispiel einer Frage in der ersten Phase . . . . . . . . . . . . . . . . . . . .
Sicherheit bei den Entscheidungen während der ersten Phase . . . . . .
Entscheidungsgrundlage: offene Texteingabe nach Phase 1 . . . . . . . .
Entscheidungsgrundlage: Bereiche von Webseiten nach Phase 1 . . . . .
Erklärung der Adressleiste und Anweisungen zur zweiten Phase . . . . .
Beispiel einer Frage in der ersten Phase . . . . . . . . . . . . . . . . . . . .
Sicherheit bei den Entscheidungen während der zweiten Phase . . . . .
Entscheidungsgrundlage: offene Texteingabe nach Phase 2 . . . . . . . .
Entscheidungsgrundlage: Bereiche der Adressleiste nach Phase 2 . . . .
Kontrollfrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Fragen nach Bekanntheit der in der Studie verwendeten Unternehmen
Demographische Merkmale der Teilnehmer . . . . . . . . . . . . . . . . . .
Abschluss der Studie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Verabschiedung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
76
76
77
78
78
79
80
81
82
82
83
83
84
85
86
86
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
17
3.1.
3.2.
3.3.
3.4.
3.5.
A.1.
A.2.
A.3.
A.4.
A.5.
A.6.
A.7.
A.8.
A.9.
A.10.
A.11.
A.12.
A.13.
A.14.
A.15.
A.16.
.
.
.
.
.
16
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
69
6
B.1.
B.2.
B.3.
B.4.
B.5.
B.6.
B.7.
B.8.
B.9.
B.10.
B.11.
B.12.
B.13.
B.14.
B.15.
B.16.
Screenshot der legitimen Webseite der Deutschen Bank
Screenshot der legitimen Webseite von Ebay . . . . . . .
Screenshot der legitimen Webseite von XING . . . . . . .
Screenshot der legitimen Webseite von Youtube . . . . .
Screenshot der legitimen Webseite von Dropbox . . . . .
Screenshot der legitimen Webseite von T-Mobile . . . .
Screenshot der legitimen Webseite von Zalando . . . . .
Screenshot der legitimen Webseite Facebook . . . . . . .
Screenshot der Phishing-Seite von Facebook . . . . . . .
Screenshot der Phishing-Seite der Postbank . . . . . . .
Screenshot der Phishing-Seite von Twitter . . . . . . . .
Screenshot der Phishing-Seite von Lovefilm . . . . . . .
Screenshot der Phishing-Seite von Paypal . . . . . . . . .
Screenshot der Phishing-Seite von Amazon . . . . . . . .
Screenshot der Phishing-Seite von Outlook . . . . . . . .
Screenshot der Phishing-Seite von Flickr . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
7
Tabellenverzeichnis
2.1.
Aufbau einer Internetadresse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
18
4.1.
Matrix des metrischen Maßes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
31
5.1.
Nachteilige URLs am Beispiel von Kreditinstituten . . . . . . . . . . . . . . . . . . . . . . . . . .
38
6.1.
6.2.
6.3.
6.4.
Legitime Webseiten der Studie von Lin et al. . . . . . . . . . . . . . . . . . .
Legitime Webseiten der Studie in Deutschland . . . . . . . . . . . . . . . . .
Phishing-Webseiten Lin et al. Studie und Studie in Deutschland . . . . . .
URLs der Phishing-Webseiten Lin et al. Studie und Studie in Deutschland
.
.
.
.
44
44
45
46
7.1.
7.2.
7.3.
7.4.
7.5.
7.6.
Teilnehmeranzahl und Altersstruktur der Teilnehmer . . . . . . . . . . . . . . . . . . . . . . . . .
Häufigkeitsverteilung der Geschlechter absolut (in Prozent) . . . . . . . . . . . . . . . . . . . .
Häufigkeitsverteilung der Zugehörigkeit zur IT-Branche absolut (in Prozent) . . . . . . . . . .
Häufigkeitsverteilung der Schulbildung absolut (in Prozent) . . . . . . . . . . . . . . . . . . . .
Häufigkeitsverteilung der Benutzung von Firefox absolut (in Prozent) . . . . . . . . . . . . . .
F- und p-Werte mit partiellen Effektstärken der demografischen Merkmale (Verfahren: MANOVA mit AV: Alter, Geschlecht, Zugehörigkeit zur IT-Branche, UV: Gruppe) . . . . . . . . . .
F- und p-Werte mit dazugehörigen partiellen Effektgrößen (Verfahren: ANOVA mit Messwiederholung auf beiden Innersubjektfaktoren für korrekte Entscheidungen) . . . . . . . . . . . .
Wahrscheinlichkeit für korrekte Entscheidung für beide Gruppen sowie kumuliert in Abhängigkeit von der Phase für legitime und Phishing-Seiten . . . . . . . . . . . . . . . . . . . . . . . .
F- und p-Werte mit dazugehörigen partiellen Effektgrößen (Verfahren: ANOVA mit Messwiederholung auf beiden Innersubjektfaktoren für falsche Entscheidungen) . . . . . . . . . . . . .
Wahrscheinlichkeit für falsche Entscheidung für beide Gruppen und kumuliert in Abhängigkeit von der Phase für legitime und Phishing-Seiten . . . . . . . . . . . . . . . . . . . . . . . . .
F- und p-Werte mit dazugehörigen partiellen Effektgrößen (Verfahren: ANOVA mit Messwiederholung auf beiden Innersubjektfaktoren für unsichere Entscheidungen) . . . . . . . . . . .
Wahrscheinlichkeit für unsichere Entscheidung für beide Gruppen und kumuliert in Abhängigkeit von der Phase für legitime und Phishing-Seiten . . . . . . . . . . . . . . . . . . . . . . . .
Prozentuale Anteile der Probanden, welche die URL bei der Entscheidung miteinbeziehen
(offene Frage / Auswahlfrage Option "B") . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
58
58
59
59
59
7.7.
7.8.
7.9.
7.10.
7.11.
7.12.
7.13.
B.1.
B.2.
B.3.
B.4.
B.5.
B.6.
B.7.
Wahrscheinlichkeit für korrekte, unsichere und falsche Entscheidung
(legitime Webseite Deutschen Bank) . . . . . . . . . . . . . . . . . . . .
(legitime Webseite Ebay) . . . . . . . . . . . . . . . . . . . . . . . . . . .
(legitime Webseite XING) . . . . . . . . . . . . . . . . . . . . . . . . . . .
(legitime Webseite Youtube) . . . . . . . . . . . . . . . . . . . . . . . . .
(legitime Webseite Dropbox) . . . . . . . . . . . . . . . . . . . . . . . . .
(legitime Webseite T-Mobile) . . . . . . . . . . . . . . . . . . . . . . . . .
(legitime Webseite Zalando) . . . . . . . . . . . . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
60
60
62
62
64
65
65
66
. . . . . . . . . . . . . . .
88
. . . . . . . . . . . . . . .
89
. . . . . . . . . . . . . . .
90
. . . . . . . . . . . . . . .
91
. . . . . . . . . . . . . . .
92
. . . . . . . . . . . . . . .
93
. . . . . . . . . . . . . . .
94
8
B.8.
B.9.
B.10.
B.11.
B.12.
B.13.
B.14.
B.15.
B.16.
(legitime Webseite Facebook) . . . . . . . . . . . . . . . . . . . . . . . .
(Phishing-Seite Facebook) . . . . . . . . . . . . . . . . . . . . . . . . . .
(Phishing-Seite Postbank) . . . . . . . . . . . . . . . . . . . . . . . . . .
(Phishing Seite Twitter) . . . . . . . . . . . . . . . . . . . . . . . . . . . .
(Phishing-Seite Lovefilm) . . . . . . . . . . . . . . . . . . . . . . . . . . .
(Phishing-Seite Paypal) . . . . . . . . . . . . . . . . . . . . . . . . . . . .
(Phishing-Seite Amazon) . . . . . . . . . . . . . . . . . . . . . . . . . . .
(Phishing-Seite Outlook) . . . . . . . . . . . . . . . . . . . . . . . . . . .
(Phishing-Seite Flickr) . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
95
. . . . . . . . . . . . . . .
96
. . . . . . . . . . . . . . .
97
. . . . . . . . . . . . . . .
98
. . . . . . . . . . . . . . .
99
. . . . . . . . . . . . . . . 100
. . . . . . . . . . . . . . . 101
. . . . . . . . . . . . . . . 102
. . . . . . . . . . . . . . . 103
9
Listings
6.1. Einteilung in Gruppen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6.2. Randomisierung der Fragen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
55
55
10
Abkürzungsverzeichnis
ANOVA Varianzanalyse
API Application Programming Interface
APWG Anti-Phishing Working Group
AV abhängige Variable
BKA Bundeskriminalamt
BKA Bundeskriminalamt
BSI Bundesamt für Sicherheit in der Informationstechnik
CHI ACM Conference on Human Factors in Computing Systems
CLT Cognitive Load Theory
CMU Carnegie Mellon University
CUPS CyLab Usable Privacy and Security Laboratory
EV-SSL Extended Validation Secure Socket Layer
GIMP GNU Image Manipulation Program
IE Internet Explorer
IPC Internet Policy Committee
MANOVA multivariate Varianzanalyse
PIN Persönliche Identifikationsnummer
SecUSo Security, Usability and Society
TAN Transaktionsnummer
URL Uniform Resource Locator
UV unabhängige Variable
11
1 Einleitung
Das Thema Phishing ist nicht neu. Bereits im Januar 1996 tauchte das Wort in Verbindung mit gestohlenen AOL-Passwörtern in der Hacker-Szene auf [APW]. Seitdem hat sich, begünstigt durch mehrere
Entwicklungen, die Anzahl von Phishing-Angriffen vervielfacht.
Beispielsweise ist das Medium Internet zwischenzeitlich ubiquitär verfügbar. Begünstigt durch diese
Entwicklung steigen die Nutzerzahlen beim Online-Banking. Transaktionen über das Internet für online
bestellte Waren und Dienstleistungen weisen gleichermaßen steigende Tendenzen auf. Die Nutzerzahlen
sozialer Netzwerke nehmen ebenfalls zu.
Die Industrialisierung und Internationalisierung des Phishing führen zu einer rasanten Zunahme der
Angriffszahlen. Auf Grund der vielfältigen Möglichkeiten im Internet hat sich das Phishing zu einer gut
organisierten kriminellen Industrie mit Rollenverteilung, Spezialisierung auf bestimmte Aufgaben und
eigenen Märkten für gestohlene Daten entwickelt [Ram10]. Da das Internet keine Ländergrenzen kennt,
ist das Phishing zu einem weltweiten Problem geworden, das keine physikalische Nähe zwischen Täter
und Opfer erfordert.
Das Phishing verursacht einen hohen finanziellen Schaden bei den Opfern. Die Anzahl der gemeldeten
Phishing-Fälle im Online-Banking in Deutschland hat sich von 2008 bis 2011 auf 6422 Fälle fast verdoppelt. Im Jahr 2012 hat das Bundeskriminalamt (BKA) auf Grund einer neuen Sicherungsmethode beim
Online-Banking erstmalig seit dem Beginn der Datenerhebung im Vergleich zum Vorjahr einen Rückgang
um 46% auf 3440 Fälle vermeldet1 . Gleichzeitig sank die Schadenssumme von 2011 von 25,7 Mio. Euro
auf 13,8 Mio. Euro im Jahr 2012. Das BKA konstatiert jedoch, dass die Täter auf die neue Sicherungsmethode reagiert haben und in der Lage sind, diese erfolgreich anzugreifen [Bun13]. Die Anti-Phishing
Working Group (APWG) hat weltweit im gleichen Zeitraum (2011 bis 2012) eine Zunahme der PhishingAttacken um ca. 9% verzeichnet. Im ersten Halbjahr 2013 wurden 72758 Phishing-Attacken angegeben
(Rückgang zum Vorjahreszeitraum um ca. 28%) [AR13]. Der durch das Phishing verursachte finanzielle
Schaden bleibt, wenn auch rückläufig, auf einem hohen Niveau. Auch ist das Bedrohungspotential von
Phishing auf Grund der vielfältigen Möglichkeiten des Internets nach wie vor sehr hoch. Deshalb dürfen
die teils rückläufigen Zahlen nicht als Entwarnung gewertet werden.
1.1 Problemstellung
Die Softwarehersteller haben die Bedrohung durch das Phishing erkannt und versuchen seit 2005 mit
verschiedenen Lösungen dagegen vorzugehen.
Neben passiven Sicherheitsmechanismen wie Blacklists wurden auch Systeme entwickelt, die das
Mitwirken des Internetnutzers erfordern. Der Erfolg solcher Lösungen hängt jedoch eng mit der Nutzerfreundlichkeit des Systems und mit dem Wissensstand des Nutzers zusammen. Sind diese beiden
Voraussetzungen nicht oder nur mangelhaft erfüllt, können manche der von den Entwicklern als vielversprechend eingestuften Sicherheitsfeatures nicht ihr erwartetes Potential entfalten [ECH08].
Die in Browsern implementierten Sicherheitsmechanismen erkennen jedoch neue Angriffe meist mit
einer Verzögerung. Von dem Zeitpunkt, an dem Kriminelle einen Phishing-Angriff starten, bis zu dem
Zeitpunkt, an dem die Phishing Uniform Resource Locator (URL) den Softwareherstellern bekannt ist,
müssen sich die potentiellen Opfer selber schützen. Die beim Phishing verwendeten Webseiten werden
immer aufwändiger gestaltet und unterscheiden sich in ihrem äußeren Erscheinungsbild kaum von den
nachgeahmten legitimen Seiten. Potentielle Opfer können meist nur noch anhand der URL entscheiden,
ob sie sich auf einer legitimen oder auf einer Phishing-Seite befinden.
1
Eingesetzt wird das sog. mTan-Verfahren, bei dem für jede Online-Überweisung eine eigene Transaktionsnummer generiert und per SMS, also auf einem zweiten Kommunikationskanal, an den Kunden übermittelt wird.
12
Ein bereits in den meisten Browsern implementierter Sicherheitsmechanismus, der den Internetnutzer
bei der Erkennung von Phishing-URLs unterstützen soll, ist das Domain Highlighting.
1.2 Motivation
Beim Domain Highlighting ist der Internetnutzer bei seiner Entscheidung über die Legitimität einer Webseite mit der vollständigen URL konfrontiert. URLs können einen komplizierten Aufbau haben, was die
Erkennung von Phishing-Seiten erschwert. Daher wird eine weitere Vereinfachung der Darstellung der
URL vorgeschlagen. In dieser Arbeit soll die Effektivität des vorgeschlagenen Ansatzes in einer Onlinestudie überprüft und mit dem des Domain Highlighting verglichen werden.
1.3 Aufbau der Arbeit
Im ersten Kapitel erfolgt eine Einführung in das Thema. Die Problemstellung sowie die Zielsetzung der
vorliegenden Arbeit werden erläutert.
Das zweite Kapitel erklärt die Vorgehensweise beim Phishing, bietet eine Definition des Begriffs und veranschaulicht die mit dem Phishing verbundenen Risiken.
Im dritten Kapitel werden vorhandene Ansätze zur Erkennung von Phishing-Seiten vorgestellt.
Das vierte Kapitel stellt das Studiendesign und die Ergebnisse der Studie von [LGT+ 11] vor, auf dem das
Studiendesign der in dieser Arbeit durchgeführten Onlinestudie aufbaut.
Im fünften Kapitel wird das Design des hier untersuchten Ansatzes zur Verbesserung der Erkennung von
Phishing-URLs, des URL-Pruning, erläutert.
Das sechste Kapitel beinhaltet die Fragestellungen, die mit der durchgeführten Onlinestudie untersucht
werden und beschreibt detailliert das Studiendesign.
Im siebten Kapitel erfolgt die Evaluierung der Studie und die Diskussion der Ergebnisse.
Im achten Kapitel erfolgt ein Ausblick auf mögliche zukünftige Arbeiten.
Der Anhang enthält den Fragenkatalog der Onlinestudie sowie die Screenshots der in der Studie verwendeten Webseiten.
Die beiliegende CD enthält die erhobenen Daten der Studie sowie die Daten zu den vorgenommenen
Auswertungen.
13
2 Phishing
In diesem Kapitel erfolgt eine Erklärung des Begriffs "Phishing". Die beschriebenen Aspekte des Begriffs
Phishing umfassen die Vorgehensweise der Kriminellen beim Phishing, eine Übersicht der vom Phishing betroffenen Unternehmen, sowie die verschiedenen Ausprägungen des Schadenspotenzials durch
Phishing-Angriffe.
2.1 Definitionen und Vorgehensweise
Für das Wort Phishing gibt es verschiedene Definitionen. Ursprünglich wurde das Wort im Jahr 1996 geprägt, als Hacker geklaute AOL-Benutzerkonten mit diesem Wort referenzierten. Das Wort Phishing wird
als Analogie für das Versenden von E-Mails, mit dem Zweck Fische im See der Internetnutzer zur Herausgabe von Passwörtern und Finanzdaten zu ködern, verwendet [APW]. Phishing ist der betrügerische
Versuch von Cyberkriminellen, mit Hilfe von gefälschten E-Mails unter Vortäuschung falscher Tatsachen
Internetnutzer zur Herausgabe von persönlichen Daten zu bewegen, um diese Informationen für eigene Zwecke zu nutzen [Phi][Arb14]. In einer Definition des BSI handelt es sich beim Wort Phishing um
eine Zusammensetzung der beiden englischen Wörter "password" und "fishing". Dies steht symbolisch
für das fischen nach Passwörtern [BSI]. Betrüger begnügen sich aber nicht mehr mit der Erlangung von
Benutzername/Passwort Kombinationen. Grundsätzlich können neben den genannten Beispielen alle Daten, die sich dazu eignen, im Online-Verkehr Handlungen im Namen des Betroffenen vorzunehmen, von
Phishing betroffen sein [Arb14].
Beim Phishing werden die E-Mails massenhaft an ein breites Publikum versendet (sog. Spam).1 Dies
geschieht in der Annahme, dass ein prozentualer Anteil der Empfänger tatsächlich Kunden des für den
Phishing-Versuch verwendeten Unternehmens sind. Dabei eignen sich solche Unternehmen am besten,
die über eine entsprechend hohe Kundenanzahl verfügen2 .
Die typische Vorgehensweise beim Phishing wird im Folgenden anhand eines Beispiels verdeutlicht,
bei dem ein Angreifer versucht Daten von Bankkunden zu erlangen:
• Der Angreifer versendet zunächst eine Nachricht beispielsweise in Form einer E-Mail (weitere mögliche Kanäle sind SMS, soziale Netzwerke, Instant-Messaging etc.), die beim Empfänger den Eindruck erwecken soll, dass sie von einem vertrauenswürdigen Geschäftspartner, in diesem Fall einer
Bank, stammte. Dabei wird die E-Mail zweckgemäß präpariert, d. h. sowohl Design und Inhalt
als auch der Header werden täuschend echt gestaltet. In dieser E-Mail wird der Empfänger unter
einem plausiblen Vorwand dazu aufgefordert, auf einen Link zu klicken, um beispielsweise seine
Kontodaten zu aktualisieren. Dabei ist der Link meist gut getarnt. So stimmt zwar der Linktext,
also der Text, den das Opfer sieht, jedoch verbirgt sich dahinter ein anderes, vom Angreifer vorgegebenes Linkziel. Eine andere beliebte Möglichkeit der Tarnung der tatsächlichen URL besteht
darin, sie hinter einem Bild zu verstecken, auf dem ein beliebiger Text eingeblendet wird.
• Klickt das Opfer auf den Link in der E-Mail, landet es auf einer vorher vom Angreifer präparierten Seite. Diese sieht der echten Seite des Unternehmens, in diesem Beispiel der Webseite der
Bank, täuschend ähnlich. Dem Betroffenen wird eine Eingabemaske präsentiert, in der dieser in
vermeintlich sicherer Umgebung seine persönlichen Daten eintragen soll. Diese können neben der
klassischen Kombination aus Passwort und Benutzernamen beispielsweise auch Persönliche Identifikationsnummer (PIN), Transaktionsnummer (TAN) sowie Bilddateien seiner eigenen Unterschrift
umfassen.
1
2
Als Spam werden unerwünschte auf elektronischem Weg übertragene Nachrichten bezeichnet, die meist einen werbenden
Charakter aufweisen.
Vgl. Kap. 2.2 Von Phishing betroffene Unternehmen und Branchen auf S. 15.
14
• Das Ziel des Betrügers ist das Erlangen von kritischen Daten des Opfers, mit denen er die Identität
des selbigen annehmen kann. Fällt das Opfer auf den Phishing-Versuch herein, ist der Täter in der
Lage, Handlungen im Namen des Opfers vorzunehmen. In diesem Beispiel wäre der Betrüger nach
dem Erlangen persönlicher Daten des Opfers fähig, Finanzgeschäfte zu Lasten des ahnungslosen
Betroffenen zu tätigen3 . Eine weitere Möglichkeit der Verwertung für den Kriminellen bieten sich
beispielsweise im Handel mit den erlangten Daten [Gud14][Ram10].
Für den zunehmenden Erfolg des Phishing ist die Perfektion der versandten Nachrichten und der verwendeten Webseiten ausschlaggebend. Die E-Mails und die den Originalen nachempfundenen Webseiten
waren zu den Anfängen des Phishing teils leicht für das Opfer als Betrugsversuch erkennbar. Sie waren
meist in einem gebrochenen Deutsch verfasst, da die oftmals aus dem Ausland stammenden Täter die
entsprechenden Texte durch automatische Übersetzungswerkzeuge ins Deutsche übersetzt haben. Aktuelle Phishing-Versuche weisen einen hohen Grad an Professionalität auf und sind kaum noch vom Opfer
als solche zu erkennen. Teilweise werden auch E-Mail-Nachrichten versandt, die eine persönliche Anrede
mit dem Namen des Opfers enthalten. Diese erschweren das Erkennen des Phishing-Versuchs zusätzlich.
Auch bei der Wahl des Kommunikationskanals sind Betrüger einfallsreich. Neben der E-Mail zählen
auch SMS Phishing (Smishing) und Instant-Messenger-Phishing zu dem Arsenal verwendeter Kanäle.
Bei letzterem haben Betrüger bereits Zugriff auf einige Instant-Messaging-Benutzerkonten und versenden von diesen an alle Kontakte des Adressbuches eine entsprechende Phishing-Nachricht. Das Opfer
ist eher bereit auf einen Link in dieser Nachricht zu klicken, da diese vermeintlich von einem Freund
stammt. Eine weitere neuartige Form des Phishing, stellt das sog. Voice-Phishing (Vishing) dar, bei der
Kriminelle über Internettelefonie versuchen, an die persönlichen Daten der Opfer zu gelangen [Ram10].
Weitere denkbare Verbreitungswege für Phishing-Angriffe sind neben den genannten auch soziale Netzwerke oder Suchmaschinen. In den Jahren 2011 bis 2013 wurden von Kaspersky als die zwei häufigsten
Verbreitungskanäle die E-Mail (12,09%) und der Browser (87,91%) identifiziert [Kas13].
Neben der im Beispiel beschriebenen Form des Phishing gibt es auch weitere Ausprägungen. Teilweise ist bereits in der als HTML-Mail gestalteten E-Mail, also im ersten Schritt, ein entsprechendes
Formular zur Eingabe persönlicher Daten enthalten. In diesem Fall entfällt die Umleitung auf eine manipulierte Webseite. Weiterhin ist es möglich, dass bereits in der E-Mail oder später auf der gefälschten
Webseite versucht wird, ein Schadprogramm auf dem Rechner des Betroffenen zu installieren, welches
die sensiblen Daten ohne bewusste Mitwirkung des Opfers ausspäht und an die Betrüger weiterleitet
[Arb14].
Beim sogenannten Spear-Phishing werden Nachrichten an einen eng begrenzten Adressatenkreis versendet, beispielsweise an Mitarbeiter eines Unternehmens [KK14]. Die Vorgehensweise beim SpearPhishing ist ähnlich, wie im oben beschriebenen Beispiel. Allerdings nutzen die Betrüger in diesem Fall
bei der Gestaltung von Nachrichten spezifische Informationen aus, die lediglich auf den Adressatenkreis
zutreffen. Die Motivation in diesem Fall ist das Schaffen eines verstärkten Vertrauensverhältnisses zu den
Opfern [Arb14].
2.2 Von Phishing betroffene Unternehmen und Branchen
Soziale Netzwerke wie Facebook und Twitter erfreuen sich immer größerer Beliebtheit. Bei Facebook
stiegen die Nutzerzahlen in Deutschland seit Januar 2010 laut einer Schätzung von 5,75 Mio. auf mittlerweile ca. 27 Mio. Mitglieder innerhalb der letzten vier Jahre, wobei die Tendenz einen weiteren Anstieg vermuten lässt [sta14]. Auch andere Soziale Netzwerke, wie Google+ (ca. 6,7 Mio. aktive Nutzer in
Deutschland im März 2013 [Sch13]; ca. 9,9 Mio. aktive Nutzer im Februar 2014 [Cir14]) und Xing(13,76
Mio. Nutzer im Q3 2013 weltweit bzw. 6,72 Mio. in der D-A-CH Region laut eigenem Quartalsbericht
[XIN13][sta13c]) sind bei den Internetnutzern sehr beliebt [Bug14]. Neben sozialen Netzwerken neh3
Das BKA berichtete 2012 von einer neuen Schadsoftware , die die Infektion des zum Online-Banking benutzten PCs für
einen erfolgreichen Angriff auf das mTAN-Verfahren (Zusenden der TAN über eine SMS) nicht mehr voraussetzt [Bun13].
15
men auch die Nutzerzahlen beim Online-Banking zu. Der Anteil der der wahlberechtigten Bevölkerung
in Deutschland, die Online-Banking nutzt, belief sich im Juni 2013 laut einer repräsentativen Umfrage
im Auftrag des Bankenverbandes auf 45% [ban13]. Auch der Transaktionsdienstleister PayPal kann in
Deutschland auf eine siebenstellige Kundenbasis zurückgreifen [iWB12].
Daher ist es folgerichtig, dass Betrüger gerade bei diesen Branchen versuchen, mit Phishing Geld
zu verdienen, zumal sie mit einfachen Mitteln ein breites Publikum erreichen können. Die von Kaspersky erfassten beliebtesten Phishing-Ziele weltweit im März 2013 sind in Abbildung 2.1 zu sehen4
[Gud14]. Neben sozialen Netzwerken und Banken zählen hierzu unter anderem auch Mobilfunk und
Internetanbieter, Online-Shops, Internet-Auktionshäuser sowie E-Mail und Instant-Messaging-Systeme.
Abbildung 2.1.: Top 100 der im Jahr 2013 am häufigsten von Phishern angegriffenen Organisationen
nach Kategorien Quelle: Kaspersky [Gud14]
Laut den Ergebnissen einer Umfrage der APWG, zu sehen in Abbildung 2.2, sind ähnliche Ziele vom
Phishing betroffen [AR13]. Allerdings fällt bei den laut APWG 720 am häufigsten von Phishing betroffenen Unternehmen der Anteil der Sozialen Netzwerke deutlich geringer aus. Demgegenüber ist der Anteil
von Banken, Onlineshops und Transaktionsdienstleistern wie Paypal höher. Zusammenfassend lassen sich
zwei Kategorien von persönlichen Daten identifizieren, auf die es Betrüger abgesehen haben: Solche, die
für das Opfer ein finanzielles Risiko darstellen und solche, die den Verlust von Zugangsdaten zu sozialen
Netzwerken zur Folge haben.
4
"Das Kategorien-Ranking der von Phishern angegriffenen Organisationen wird auf Grundlage der Alarme der AntiPhishing-Komponente auf den Computern der Teilnehmer des Kaspersky Security Network (KSN) erstellt. Das AntiPhishing-Modul erkennt alle Phishing-Links, die Anwender aufrufen, wobei die Links in einer Spam-Mitteilung oder im
Internet platziert sein können." [Gud14].
16
Abbildung 2.2.: In der ersten Jahreshälfte 2013 am häufigsten von Phishern angegriffenen Organisationen nach Branche Quelle: APWG [AR13]
2.3 Schadenspotenzial von Phishing
Das Phishing stellt sowohl ein Risiko für die Opfer dar, als auch für die Unternehmen, deren Webseiten
angegriffen werden. Ferner kann man anhand der angegriffenen Branche zwischen einem sozialen und
einem finanziellen Risiko für das Opfer unterscheiden. Im Folgenden werden die vom Phishing ausgehenden Risiken und das daraus resultierende Schadenspotenzial beschrieben.
Risiken für das Opfer: Haben es Betrüger auf persönliche Daten finanzieller Art abgesehen (beispielsweise Zugangsdaten zu Online-Banking, -Shops und Transaktionsdienstleister), besteht für das Opfer ein
unmittelbares finanzielles Risiko. Im Fall des Verlustes von Zugangsdaten zu sozialen Netzwerken kommt
es für das Opfer meist auch zum Verlust von vertraulichen Informationen. Diese lassen sich nicht in monetären Größen messen. Zugangsdaten zu sozialen Netzwerken und E-Mail-Konten ermöglichen es dem
Betrüger, die Kommunikation des Opfers heimlich zu überwachen und zu manipulieren. Dadurch hat der
Kriminelle die Möglichkeit, Handlungen im Namen des Opfers vornehmen, die zu einem mittelbaren finanziellen Schaden führen. Oftmals sind E-Mail-Konten mit anderen Diensten des Nutzers verknüpft und
bieten mittelbaren Zugang auf eine breit gefächerte Palette von weiteren Inhalten (Soziale Netzwerke,
Instant-Messaging-Dienste, Cloudspeicher und teilweise auch Kreditkartendaten) [Gud14].
Risiken für betroffene Unternehmen: Unternehmen, die Phishing-Attacken zum Opfer fallen, haben
ebenfalls mit vielfältigen Folgen zu kämpfen [Ram10][Arb14]. Zunächst entstehen Kosten für die Betreuung von betroffenen Kunden. Diese werden oftmals in Form von höheren Beiträgen an die Kunden
weitergereicht. Schließlich treten betroffene Unternehmen einem Dilemma entgegen, wenn sie über das
Geschäftsverhältnis mit ihren Kunden zu entscheiden haben. Sind diese bereits Opfer einer PhishingAttacke geworden, ist die Wahrscheinlichkeit, dass sich dies wiederholt, bei solchen Kunden höher. Viele
Unternehmen sind aber auch auf Grund ihres Angebots abhängig vom Medium Internet. Ist das Vertrauen
der Kunden in dieses Medium durch häufige Phishing-Angriffe erschüttert, kann dies bei den betroffenen
Unternehmen zu geschäftlichen Einbußen führen. Unternehmen, deren Geschäftsmodell hauptsächlich
oder ausschließlich auf dem Internet basiert, sind sehr anfällig gegenüber solchen Imageschäden. Ferner
setzen viele Unternehmen unter anderem aus Kostengründen auf die Kommunikation mit ihren Kunden
mittels E-Mails. Hegen Kunden Misstrauen gegenüber der Authentizität von legitimen E-Mails und ignorieren diese, müssen betroffene Unternehmen auf die Kostenvorteile dieser Kommunikationsmethode
verzichten und auf andere kostenintensivere Kanäle für Mitteilungen an ihre Kunden zurückgreifen.
17
Das Risiko durch Phishing wird immer höher, da sich auf Grund der in Kapitel 2.1 beschriebenen
immer raffinierteren Vorgehensweise der Täter Phishing-Seiten anhand ihres äußeren Erscheinungsbildes
kaum noch von legitimen Seiten unterscheiden lassen. Den Opfern verbleibt meist nur noch die URL als
zuverlässiges Unterscheidungsmerkmal von legitimen und Phishing-Seiten.
2.4 Kategorisierung von Verschleierungstechniken
Bevor die verschiedenen beim Phishing verwendeten Verschleierungstechniken der URL erläutert werden, wird zunächst der Aufbau einer URL erklärt. Die Internetadresse besteht aus mehreren Teilen, die
an einem Beispiel verdeutlicht werden sollen. In Tabelle 2.1 ist eine typische Internetadresse zu sehen.
Das verwendete Schema, in diesem Fall https, steht voran. Das Schema definiert den weiteren Aufbau
der Adresse. Als nächstes folgt das Trennzeichen "://". Zwischen diesem und dem ersten "/" steht die
eigentliche Internetadresse der aufgerufenen Seite. Es sind mehrstufige Subdomänen möglich, jedoch
können diese auch fehlen. Alles, was nach dem ersten "/" kommt ist optional. Das wichtigste Element
der URL ist der Domänenname inklusive der Top Level Domain5 .
https
Schema
Tabelle 2.1.: Aufbau einer Internetadresse (URL)
://
signin.
ebay.de
/ws/eBayISAPI.dll?Sig...
Trennzeichen Subdomäne Domänenname Pfad
In der Literatur finden sich verschiedene Einteilungen von Verschleierungstechniken zur Manipulation
der URL wieder. Drei davon werden im Folgenden vorgestellt. Dies soll zum besseren Verständnis der
Manipulationsmöglichkeiten der URL beim Phishing dienen. Es verdeutlicht aber auch, dass die einzelnen Definitionen der Kategorien teils nicht alle Möglichkeiten der Manipulation berücksichtigen.
Lin et al. schlagen folgende vier Phishing-Kategorien vor [LGT+ 11]:
• Similar-names attacks sind Attacken, welche Internetadressen verwenden, die ähnlich zu dem Namen der legitimen Webseite klingen.
Ein Beispiel hierfür ist amazon.checkingoutbooksonline.ca. Diese URL scheint dem Original,
www.amazon.ca sehr ähnlich, allerdings unterscheiden sich die beiden in der Second Level Domain
(bestellungabschliessenbuecheronline gegenüber amazon).
• IP-address attacks sind solche Attacken, die anstatt des Domänennamens eine für den Nutzer kryptisch erscheinende IP Adresse verwenden.
Ein Beispiel hierfür ist https://192.168.111.112/login statt https://www.facebook.com/
login.
• Letter substitution attacks ersetzen einen oder mehrere Zeichen in der URL mit ähnlich aussehenden
Zeichen, die für den Internetnutzer auf den ersten Blick kaum zu unterscheiden sind.
Beispielsweise kann in www.paypal.de der Buchstabe "l" durch die Zahl "1" ersetzt werden, wodurch diese URL entsteht: www.paypa1.de.
• Complex URL attacks sind Attacken, die die gesamte Breite der Adressleiste des Browsers ausnutzen
oder unsinnige Zeichenketten enthalten, und so versuchen, den Nutzer zu verwirren.
Ein Beispiel hierfür isthttp://login.flickr.net/config/login?.src=flickr/... statt http:
//login.yahoo.com/config/login?.src=flickr/.
5
Diese Definition erhebt keinen Anspruch auf Vollständigkeit, sondern soll lediglich als Leitfaden für die vorliegende Arbeit
dienen. Eine weiterführende Definition des Aufbaus der URL findet sich unter [BL94].
18
Eine etwas andere Einteilung findet sich bei Garera et al. wieder [GPCR07]. Hier wird ebenfalls in vier
Kategorien eingeteilt:
• Typ 1: Verschleierung des Host6 mit einer IP Adresse. Der Name des betroffenen Unternehmens
taucht im Pfad auf Beispiel: http://210.80.154.30/test3/sparkasse.de/sparkasse.html.
• Typ 2: Verschleierung des Host mit einer anderen Domäne. Der Domänenname sieht gültig aus, der
Name des betroffenen Unternehmens taucht im Pfad auf. Dabei wird eine Umleitung nachgeahmt
Beispiel: http://2-mad.com/sparkasse.de/index.html.
• Typ 3: Verschleierung mit langen Hostnamen. Der Host besteht aus mehreren langen und teils
unsinnigen Wörtern und Subdomänen und enthält den Namen des betroffenen Unternehmens Beispiel: http://sparkasse.de.redirector.webservices.aktuell.lasord.info/.
• Typ 4: Domäne unbekannt oder falsch geschrieben. Hier besteht kein Zusammenhang zu dem
betroffenen Unternehmen oder der Name ist falsch geschrieben Beispiel: http://mujweb.cz/
Cestovani/iom3/SignIn.html?r=7785 oder http://sparrkasse.de/Cestovani/iom3/SignIn.
html?r=7785.
In einem aktuellen Forschungsprojekt an der TU Darmstadt wurde eine erneute Kategorisierung von
Phishing-Attacken vorgenommen [BC14]. Dabei wurden folgende acht Kategorien identifiziert:
• Subdomänen: Die Betrüger benutzen Subdomänen, welche ähnlich zu oder identisch mit dem Domänennamen des angegriffenen Unternehmens sind. Beispiel: paypal.xyz.com.
• IP-Adresse: Die Betrüger machen sich nicht die Mühe, eine Domäne zu registrieren, sondern verwenden stattdessen eine IP Adresse, auf welche sie Zugriff haben. Beispiel: https://192.168.
111.112/login.
• Unsinnige Domänennamen: Die Betrüger registrieren einen unsinnigen Domänennamen, der zwar
manchmal einen Markennamen enthält, meistens aber keinen Bezug zu der Angegriffenen Webseite
hat. Beispiel: www.xpla.net.
• Vertrauenswürdige Domänennamen ohne Bezug zum Original: Hierbei werden wichtig klingende
Domänennamen registriert, die helfen sollen, das Vertrauen des Internetnutzers zu gewinnen. Beispiel: secure-login.de oder security-update.com.
• Ähnliche und irreführende Domänennamen: Hierbei registrieren die Betrüger Domänen, welche sich
nur sehr wenig vom Original unterscheiden. Sie zielen dabei beispielsweise auf Tippfehler ab. Für
das Original paypal.com wird beispielsweise paypel.com registriert. Ein anderer Ansatz ist die
Modifikation des ursprünglichen Domänennamens, sodass dieser den Markennamen enthält. Für
facebook.com kann facebook-login.com als Beispiel genannt werden. Schließlich wird auch das
einfache Vertauschen von Buchstaben zu dieser Kategorie gezählt. Dies macht es dem Internetnutzer beispielsweise bei tiwtter.com statt twitter.com auf den ersten Blick schwer, den Fehler zu
erkennen.
• Homograph Attacken: Diese wurden bereits oben beschrieben. Eine weitere Möglichkeit des Ersetzens bietet sich in der Verwendung anderer Zeichensätze, wie beispielsweise dem kyrillischen
Alphabet [GG02].
• Tiny URLs: Tiny URLs sind über entsprechende Dienste verfügbar. Diese bieten eine Umleitung
von sehr kurzen URLs auf URLs beliebiger Länge. Sie sind vor allem bei der Kommunikation über
Instant-Messaging-Dienste sehr beliebt. Da sie keinen Hinweis auf die sich dahinter verbergende
6
Bei dieser Definition wird unter Host der Teil der URL zwischen "http://" und dem ersten "/" verstanden.
19
Webseite bieten, werden sie auch von Betrügern genutzt, zumal der ahnungslose Nutzer keinen
Verdacht schöpft, wenn er eine entsprechende URL von einem vermeintlichen Freund zugeschickt
bekommt.
• Getarnte URLs: Eine weitere durch Kriminelle genutzte Möglichkeit der Verschleierung bietet sich
in der Integration eines "@" an geeigneter Stelle in der URL. Die Adresse http://paypal.com@
google.com wird beispielsweise auf http://google.com umgeleitet.
Tiny URLs und getarnte URLs können lediglich Nutzer täuschen, welche nach dem Aufruf der PhishingSeite die Adressleiste nicht kontrollieren.
Vergleicht man die Kategorisierung von Lin et al. und Garera et al. so fällt auf, dass bei Lin et al. der
Typ 4 von Garera et al. nicht berücksichtigt wurde. Bei Garera et al. werden die letter substitution attacks
nicht aufgeführt. Bei der zuletzt vorgestellten Kategorisierung von Manipulationstechniken erfolgt im
Vergleich zu den beiden anderen eine detailliertere Einteilung in sieben Kategorien.
20
3 Vorhandene Ansätze zur Erkennung von Phishing
In der Praxis existierten mehrere Ansätze zur Erkennung von Phishing. Diese lassen sich in folgende drei
Kategorien einteilen:
• Ansätze zur automatischen Erkennung von Phishing, welche den Zugriff auf Phishing-Seiten ohne
Mitwirkung des Internetnutzers erkennen
• Ansätze, die dem Internetnutzer Wissen vermitteln, welches ihm ermöglicht, Phishing-Versuche
selbst zu erkennen
• Ansätze, welche die Darstellung der URL in der Adressleiste vereinfachen, um dem Internetnutzer
die Erkennung von Phishing zu erleichtern
Gemäß dem Fokus dieser Arbeit werden im Folgenden lediglich Ansätze vorgestellt, welche auf die
Erkennung von Phishing anhand der URL setzen.
3.1 Vorhandene Techniken im Browser
In aktuellen Browsern sind Sicherheitsmechanismen implementiert, welche Phishing-Angriffe automatisch erkennen und den Nutzer durch Hinweise und Warnungen über den Phishing-Versuch informieren.
Toolbars und Browser Plugins verwenden ebenfalls Sicherheitsmechanismen zur automatischen Erkennung von Phishing und bieten dem Internetnutzer zusätzliche Informationen zur Beurteilung der Legitimität von Webseiten.
3.1.1 Hinweise und Warnungen
Anbieter von Webbrowsern haben ein grundsätzliches Interesse daran, dass ihre Produkte dem Nutzer
Sicherheit beim Besuch des Internets bieten. Schließlich ist Sicherheit für den Anwender ein wichtiges
Entscheidungskriterium bei der Auswahl des Browsers. Daher wurden bereits 2005 erste Schutzmechanismen gegen Phishing-Angriffe entwickelt.
Im September 2005 wurden im Microsoft Entwicklerblog erstmalig entsprechende Bestrebungen angekündigt, einen neuartigen Phishing-Filter im Internet Explorer (IE) 7 einzuführen [Sha05][Cor05].
Dieser überprüft in mehreren Schritten, ob es sich bei der aufgerufenen URL um einen Phishing-Versuch
handelt und warnt den Nutzer falls eine Phishing-URL erkannt wird. Der Filter wurde bis zur aktuellen Browser-Generation beibehalten und weiterentwickelt1 [Mic]. Auf Nutzerseite wird die aufgerufene
URL mit einer Liste vertrauenswürdiger Seiten abgeglichen. Wenn die aufgerufene URL nicht in dieser
Liste enthalten ist, überprüft eine nicht näher beschriebene Heuristik die URL auf für Phishing-URLs
typische Merkmale. Stellt die Heuristik fest, dass es sich um eine Phishing-URL handeln könnte, wird
diese serverseitig mit einer Liste bekannter Phishing-URLs abgeglichen und das Ergebnis an den Client
geschickt. Wird im letzten Schritt eine Übereinstimmung gefunden, bekommt der Benutzer eine starke
Warnung (rot) zu sehen (siehe Abbildung 3.1). Er hat aber dennoch die Möglichkeit, die ursprünglich
aufgerufene Seite zu besuchen. Bei negativem Ergebnis erhält der Besucher auf Grund der Heuristik
(zweiter Schritt der Prüfung) einen Hinweis (gelb), dass es sich bei der besuchten Seite möglicherweise um eine Phishing-Seite handelt. Er wird zur Vorsicht ermahnt und hat die Möglichkeit, die Seite als
Phishing-Versuch zu melden.
1
Mittlerweile werden unter der Bezeichnung SmartScreen-Filter verschiedene Technologien vereint, die unter anderem
auch vor dem Download von Malware warnen.
21
Abbildung 3.1.: Warnung des Phishing-Filters im Internet Explorer 11
Ähnliche Mechanismen bieten auch die Browser Chrome von Google sowie Mozilla von Firefox. Bei
Chrome heißt die Technik zur Erkennung von Phishing Safe-Browsing und wurde im Jahr 2008 mit der
ersten Version des Browsers eingeführt, nachdem bereits zuvor seit 2006 die Nutzer bei dubiosen Suchergebnissen von der hauseigenen Suchmaschine (Google) eine entsprechende Warnung zu sehen bekamen
[Pro08]. Google identifiziert bereits beim Durchsuchen des Internets nach neuen Inhalten verdächtige
Seiten. Wird eine Webseite als potenziell bösartig eingestuft, dann wird sie in eine Liste bösartiger Seiten aufgenommen, die bei Bedarf alle 30 Minuten mit einer entsprechenden Liste des Endanwenders
synchronisiert wird [PMM+ 07]. Eine zweistufige Differenzierung zwischen Hinweisen und Warnungen
erfolgt bei Chrome nicht. Hingegen ist auch hier ein Besuch der Seite auf eigenes Risiko möglich. Auch
wird vor Malware entsprechend gewarnt [Goo].
Mozilla nutzt im Webbrowser Firefox seit 2006 die von Google bereitgestellte Liste von verdächtigen
Seiten. Diese ist über die Safe Browsing Application Programming Interface (API) öffentlich zugänglich
[Pro08][Moz06]. Die Liste wird ähnlich dem Vorgehen bei Chrome jede halbe Stunde mit der clientseitigen Liste synchronisiert. Ein entsprechender Malware Schutz wurde ebenfalls implementiert [Moz].
Ähnlich wie bei den anderen Browsern blendet Firefox eine Warnung ein, wenn der Internetnutzer
eine gemeldete Phishing-Seite besucht. Auch hier hat der Benutzer die Möglichkeit, die Warnung zu
ignorieren und die Webseite trotzdem zu besuchen.
Zusammenfassend ist festzustellen, dass alle gängigen Browser entsprechenden Schutz vor Phishing
bereitstellen. Jedoch wird der Nutzer je nach Gestaltung der Warnung unter Umständen dazu verleitet,
die potentiell betrügerische Seite trotzdem zu besuchen. In einer Studie der Effektivität von Schutzmechanismen im Browser wurde bestätigt, dass die Nutzer dazu neigen, Hinweise im IE im Gegensatz zu
Warnungen häufiger zu ignorieren [ECH08].
Die Schutzmechanismen der Browser können einen Phishing-Angriff erst zu dem Zeitpunkt zuverlässig
erkennen, wenn die Phishing-URL als solche bekannt ist. Vom Zeitpunkt des Auftretens eines Angriffs bis
zum Zeitpunkt der zuverlässigen Erkennung des Angriffs durch den Browser muss der Nutzer sich selber
schützen. Daher sind Sicherheitsmechanismen notwendig, die ihm das Erkennen von Phishing-URLs
erleichtern. Das in dieser Arbeit untersuchte URL-Pruning verfolgt genau dieses Ziel.
22
3.1.2 Toolbars und Browser Plugins
Neben den bereits in den Browsern integrierten Mechanismen zur Erkennung von Phishing existieren
noch unzählige Toolbars und Plugins, die einem ähnlichen Zweck dienen. In Abb. 3.2 ist beispielhaft die
Netcraft Toolbar zu sehen, die als Plugin für Firefox, Chrome und Opera erhältlich ist.
Abbildung 3.2.: Phishing-Warnung der Netcraft Toolbar
Diese bietet verschiedene Zusatzinformationen zur besuchten Webseite und warnt den Nutzer vor
verdächtigen Seiten. Links in der Toolbar hat der Nutzer über das Netcraft Menü die Möglichkeit,
verdächtige Seiten zu melden. Die Netcraft Toolbar bietet beispielsweise folgende zusätzlichen Informationen:
• Risk Rating: zeigt grafisch an, ob die besuchte Seite vertrauenswürdig ist.
• Erstmaliges in Erscheinungstreten der Seite: Wurde die Domäne erst vor kurzem registriert, handelt
es sich womöglich um einen Phishing-Versuch.
• Popularität unter allen Toolbar Nutzern: Wird die Seite von wenigen Nutzern der Toolbar besucht,
dann ist die Popularität niedrig (die angezeigte Zahl ist hoch oder es ist kein Ranking der Seite
verfügbar, wie in Abb. 3.2 zu sehen). Dies deutet ebenfalls auf einen Phishing-Versuch hin.
• Site Report: Hier kann sich der Nutzer detaillierte Informationen zur besuchten Seite anzeigen
lassen (beispielsweise technische Details zu den Namensservern, zur Verschlüsselung etc.).
• Domäneninhaber: Hier wird der Inhaber der Domäne angezeigt. Stimmt dieser nicht mit dem
Namen des Unternehmens, dessen Webseite besucht wird, überein, könnte es sich ebenfalls um
einen Phishing-Versuch handeln.
Solche Toolbars arbeiten mit ähnlichen Mechanismen zur Erkennung von Phishing, wie die in den
Browsern integrierten Lösungen. Sie können im Zweifelsfall dem Nutzer zusätzliche Informationen
zur Beurteilung von fragwürdigen Seiten bieten. In einer Evaluation von Anti-Phishing-Tools aus dem
Jahr 2006 wurden elf verschiedene Toolbars und integrierte Lösungen auf ihre Leistung untersucht2
[ZECH06]. Dabei schnitten alle Tools entweder bei der Erkennung von Phishing-Seiten oder bei der
korrekten Kategorisierung von legitimen Seiten schlecht ab. Viele verwenden eigene Blacklists zur Erkennung von Phishing-Seiten und arbeiten zusätzlich mit Heuristiken. Zhang et al. vermuten eine positive Korrelation zwischen den Erkennungsraten von Phishing-Seiten (diese lag für viele der Tools unter
2
Getestet wurden jeweils 100 gemeldete Phishing-Seiten. Als Quellen dienten APWG und PhishTank.
23
60%) und der Länge der Blacklists und deren Aktualisierungsrate. Das einzige Tool im Testfeld, welches
nur mit einer Heuristik auskam (SpoofGuard), erkannte auch über 90% der Phishing-Seiten, allerdings
kam es bei diesem Tool auch zu einer hohen Rate an "false positives". Dies sind legitime Webseiten, die
fälschlicherweise als Phishing-Seiten eingestuft werden.
Für das Verständnis und die richtige Einschätzung der von den Toolbars zusätzlich angezeigten Informationen muss der Internetnutzer über zusätzliches Wissen verfügen. Das URL-Pruning setzt ein solches
Wissen nicht voraus.
3.2 Wissen Vermitteln
Eine wichtige Kategorie von Ansätzen zur Erkennung von Phishing stellt den Internetnutzer in den Mittelpunkt. Die im Folgenden vorgestellten Ansätze sollen den Nutzer über das vom Phishing ausgehende
Risiko aufklären und ihm Wissen vermitteln, um Phishing-Angriffe selbst erkennen zu können.
3.2.1 Textbasiert
Eine Möglichkeit der Vermittlung von Wissen bieten entsprechende Informationsseiten. Diese werden
beispielsweise von Unternehmen wie Microsoft [Mic14b][Mic14a], Ebay[Eba14] und PayPal[Pay14b]
bereitgestellt, aber auch von Institutionen, wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) [Bun14b][Bun14a]. Neben allgemeinen Sicherheitstipps zum Verhalten im Internet bieten
diese Seiten auch Informationen darüber, wie Phishing funktioniert und wie entsprechende PhishingVersuche anhand der URL zu erkennen sind. Weiterhin wird meist empfohlen, nicht auf Links aus E-Mails
zu klicken, sondern die Adresse des Unternehmens, dessen Internetpräsenz man besuchen möchte, direkt in der Adressleiste des Browsers einzutippen und sich vor Eingabe von persönlichen Daten über
die korrekte Adresse zu vergewissern. Mitunter werden die Informationen durch konkrete Beispiele
legitimer und Phishing-URLs verdeutlicht. Das BSI setzt auf Bilder, die bei den legitimen Seiten die
Sicherheitsmerkmale verdeutlichen und die Erkennungsmerkmale von Phishing-Seiten hervorheben.
3.2.2 Teachable Moments
Internetnutzer sind nach einem Phishing-Angriff besonders aufnahmefähig für Informationen über Phishing. Dieses Phänomen wird "Teachable Moment" genannt und ist auch in anderen Gefahrensituationen
zu beobachten. So wird dies beispielsweise bei der Raucherentwöhnung sowie bei der HIV Prävention ausgenutzt [MEL03]. Die im Folgenden vorgestellten Ansätze nutzen teachable moments, um den
Internetnutzern Wissen zur Erkennung von Phishing-Angriffen zu vermitteln.
Anti-Phishing Landing Page am Beispiel der APWG
Wird eine als Phishing-Versuch bestätigte Webseite vom Webhoster gesperrt, bekommen alle Besucher,
die nach dem Zeitpunkt der Sperrung auf einen Link in einer Phishing-Nachricht klicken, eine leere
Seite oder eine Fehlerseite angezeigt. Statt Ihnen einen entsprechenden Warnhinweis oder eine leere
Seite im Browser anzuzeigen, wird dieser Teachable Moment genutzt, um sie auf eine "Landing Page"
umzuleiten. Die Anti-Phishing Working Group (APWG) bietet eine solche Seite an, die an Stelle einer
404 Seite erscheint3 [KCM09]. Vom Phishing-Versuch betroffene Unternehmen haben die Möglichkeit,
eine Umleitung auf die Landing Page einzurichten.
3
Kann eine Webseite vom Browser nicht gefunden werden, so wird der Fehler 404 angezeigt, der besagt, dass die Webseite
nicht verfügbar ist.
24
Der Vorteil dieser Lösung für die betroffenen Unternehmen liegt darin, dass sie lediglich eine Umleitung einrichten müssen, nachdem die betroffene Seite gesperrt wird4 . Da die Landing Page von der
APWG betrieben wird, ist kein entsprechendes Knowhow seitens der Unternehmen auf dem Gebiet der
Informationsvermittlung über Phishing notwendig. Dies bietet betroffenen Unternehmen die Möglichkeit, ohne den Einsatz eigener Ressourcen mit geringem Aufwand ihren Kunden Wissen über das Thema
Phishing zu vermitteln.
Die Landing Page entstand während eines Forschungsprojektes in einer Zusammenarbeit des Internet
Policy Committee (IPC) der APWG mit dem CyLab Usable Privacy and Security Laboratory (CUPS) der
Carnegie Mellon University (CMU). Während mehrerer Iterationen wurde der Inhalt der Seite und ihr
äußeres Erscheinungsbild getestet und verbessert. Das Ergebnis in der deutschen Übersetzung ist in Abb.
3.3 zu sehen. Die Seite klärt den Besucher darüber auf, dass er beinahe Opfer eines Phishing-Versuchs
geworden ist und erklärt im Comic Stil die Vorgehensweise der Betrüger. Darüber hinaus bietet sie für den
unfreiwilligen Besucher eine Auswahl an Sicherheitstipps zum Schutz vor Phishing. Bei der Entwicklung
der Seite wurde darauf geachtet, dass die Informationen in möglichst knapper jedoch eindeutiger Form
dargeboten werden. Dies ermöglicht eine einfache Übersetzung der Seite in andere Sprachen.
Abbildung 3.3.: Deutsche Version der Anti-Phishing Landing Page der APWG
Die Seite wurde bereits innerhalb der ersten sechs Monate ab Oktober 2008 über 70.000 mal besucht.
Im gleichen Zeitraum wurden 3.917 Seiten auf die Landing Page umgeleitet. Diese Zahlen sprechen
für den Erfolg des Ansatzes. Zudem werden tatsächlich diejenigen über das Phishing aufgeklärt, die im
Zweifelsfall tatsächlich potentielle Opfer darstellen.
Um die Effizienz dieses Ansatzes weiter zu steigern, ist anstelle der Landing Page eine Lösung denkbar,
die dem Besucher anhand eines Spiels das Wissen vermittelt5 . Dies erfordert vom Betroffenen einen
höheren Zeiteinsatz und sollte lediglich optional für interessierte Leser angeboten werden, um zunächst
den Zuspruch unter den Besuchern zu untersuchen.
4
5
Auf den Seiten der APWG werden entsprechende Anleitungen zur Einrichtung der Umleitung für Apache und Windows
Webserver bereitgestellt, die in beiden Fällen sehr einfach umzusetzen ist. [Ant].
Vgl. Kap. 3.2.3 Anti-Phishing Phil auf S. 26.
25
Anti-Phishing Landing Page in Deutschland
Die Anti-Phishing Landing Page der APWG wurde in mehrere Sprachen übersetzt. Jedoch wurde die
Effizienz im Rahmen der Entwicklung der Seite lediglich an U. S. Amerikanischen Bürgern getestet.
Daher besteht die Frage, ob die im Comic Stil präsentierte Seite auch deutsche Bürger ansprechen würde
oder ob es evtl. einer Lokalisierung der Seite auf Grund verschiedener Kulturkreise bedarf. Um diese
Frage zu beantworten, wurde von der Forschungsgruppe Security, Usability and Society (SecUSo) der
TU Darmstadt in mehreren Laborstudien die Effizienz von verschiedenen Ansätzen mit dem der APWG
verglichen [VSBK13].
In der initialen Studie sollten die Teilnehmer die APWG Landing Page beurteilen. Die Ergebnisse zeigten deutlich, dass dieser grundsätzlich vielversprechende Ansatz in dieser Form für Deutschland weniger
geeignet ist, da die Teilnehmer auf Grund der vielen Bilder und Informationen die Seite als verwirrend empfanden, sowie die Partnerorganisationen (APWG, CyLab) nicht kannten. In weiteren iterativen
Studien wurden folgende zwei zentralen Fragestellungen untersucht:
1. Welcher Titel ist für die deutsche Version der Landing Page am wirksamsten?
2. Welche Institution ist als Betreiber einer solchen Seite in Deutschland geeignet?
Die Studien ergaben, dass der Titel Sicherheitswarnung in Kombination mit einem offiziellen Design
des BSI bei den Teilnehmern die ansprechendste Wirkung erzielt. In weiterer Forschungsarbeit soll untersucht werden, welche Inhalte sich für die Seite am Besten eignen.
3.2.3 Spiele
Neuere Ansätze zur Vermittlung von relevantem Wissen zur Erkennung von Phishing werden in Form
von Spielen angeboten. Diese sorgen beim Lernenden für zusätzliche Motivation und kombinieren zur
Steigerung der Effektivität beim Lernprozess Techniken der Lernwissenschaften mit dem Faktor Spaß.
Quiz: Beispiel PayPal
Eine besondere Form der Wissensvermittlung bietet das Quiz von PayPal[Pay14a]. Hier werden dem
Nutzer insgesamt fünf Fragen gestellt, die sehr einfach gehalten sind und mit ja oder nein beantwortet
werden müssen. Nach jeder Frage wird dem Nutzer unabhängig von seiner Antwort in einer kurzen
Erklärung das Wissen in Textform vermittelt. Das Quiz stellt in dieser Form eine Zwischenstufe zwischen
rein textbasierter Darbietung und einem tatsächlichen Spiel dar. Es ist auf Grund der Altersstruktur von
PayPal Kunden für Erwachsene besser geeignet, da es seriöser ist, als ein tatsächliches Spiel. Es verknüpft
die Lerninhalte mit einer zusätzlichen Motivation.
Anti-Phishing Phil
Ein im englischen Sprachraum bekanntes Onlinespiel nennt sich Anti-Phishing Phil [SMK+ 07]. Auf dem
Konzept von Anti-Phishing Phil basierend wurden weitere Spiele für den heimischen PC und für mobile
Endgeräte entwickelt [AC11][ALS12].
Das Spiel besteht aus vier Runden die jeweils zwei Minuten dauern. Der Protagonist des Spiels ist Phil,
ein kleiner Fisch, der in seiner Heimatbucht, dem InterWeb Bay, nach Nahrung sucht, um zu wachsen.
Die Nahrung wird ihm in Form von Würmern angeboten, hinter denen sich URLs von legitimen und
Phishing-Seiten verbergen. Phil muss sich im Laufe des Spiels entscheiden, welche Würmer er isst und
welche er lieber liegen lässt. Zu Beginn jeder Runde hat er drei Leben. Isst Phil einen Wurm hinter dem
sich eine legitime URL verbirgt oder lehnt eine Phishing-URL ab, bekommt er dafür Punkte. Wenn er
26
eine legitime URL ablehnt, werden von seiner verbleibenden Zeit zehn Sekunden abgezogen. Isst Phil
einen Wurm, hinter dem sich eine Phishing-URL befindet, verliert er ein Leben. Die letzten beiden Fälle
sind parallel zur Realität gestaltet worden. Für den Internetnutzer ist es der riskanteste Fall, wenn seine
Identität auf einer Phishing-Seite gestohlen wird. Besucht er eine legitime Seite jedoch nicht, weil er
einen Betrugsversuch dahinter vermutet, dann entsteht ihm dadurch kein direkter Schaden. Zu Beginn
jeder Runde bekommt Phil einige Tipps von seinem erfahrenen Vater, welche die URL sowie die URLManipulationstechniken beim Phishing erklären. Seinen Vater kann Phil bei Unsicherheiten während der
Runden um Rat bitten. Zum Abschluss der einzelnen Runden werden die getroffenen Entscheidungen
in einer Liste zusammengefasst und jede URL mit einem kurzen Satz erklärt. Das Spiel vermittelt so die
verschiedenen Kategorien der Verschleierung der URL und lehrt den Spieler, im Zweifelsfall bei Google
nachzuschauen, wie die URL der legitimen Seite lautet [SMK+ 07].
Anti-Phishing Education App für mobile Endgeräte
Motiviert durch das Spiel Anti-Phishing Phil wurde zuletzt auch in Deutschland eine App für mobile
Endgeräte mit Android Betriebssystem entwickelt [BC14]. Das Ziel dieser App ist das Vermitteln von
Lerninhalten, die in zwei Phasen präsentiert werden. Die erste Phase enthält allgemeine Informationen,
um das Sicherheitsbewusstsein des Spielers zu erhöhen. Diese sollen aufzeigen, warum man einer EMail nicht trauen kann und worauf man bei Webseiten zur Prüfung der Legitimität achten muss. In der
zweiten Phase, die ihrerseits in sieben Level unterteilt ist, werden dem Spieler zunächst Manipulationstechniken der URL präsentiert. Danach muss er eine URL auf ihre Legitimität untersuchen und seine
Entscheidung eingeben. Zusätzlich muss der Spieler nach einer korrekten Antwort den Domänennamen
kennzeichnen, um zu überprüfen, ob er das Konzept des Aufbaus einer URL verstanden hat. Die Schwierigkeitsstufe steigert sich mit höheren Leveln. Das Bewertungssystem ist ähnlich dem bei Anti-Phishing
Phil beschriebenen. Der Nutzer hat eine begrenzte Anzahl von Leben. Für richtige Antworten bekommt
er Punkte, für falsche werden ihm Punkte abgezogen und je nach der Konsequenz der falschen Antwort
verliert er auch ein Leben6 . Im Anschluss an die zweite Phase folgen zwei weitere Level, die den Unterschied zwischen unverschlüsselten und verschlüsselten Webseiten erklären und schließlich dem Nutzer
Verhaltenstipps für den Fall geben, falls er die Legitimität einer Webseite trotz seines Wissens nicht sicher
beurteilen kann.
3.3 Vereinfachte Darstellung der URL
Im Folgenden werden Sicherheitsmechanismen von Browsern vorgestellt, die dem Nutzer durch die vereinfachte Darstellung der URL das Erkennen von Phishing erleichtern. Der Nutzer muss gleichzeitig über
das Wissen verfügen, um die dargestellte URL richtig zu interpretieren.
3.3.1 Domain Highlighting
Unter Domain Highlighting versteht man das visuelle Hervorheben von relevanten Teilen der Internetadresse in der URL Leiste des Browsers.
Das Domain Highlighting nutzt den Aufbau der URL aus, um Phishing-Versuche leichter erkennbar zu
machen. Es soll dem Internetnutzer dabei helfen, Manipulationen der URL zu erkennen, indem relevante
Teile der URL in schwarzer Schrift und irrelevante Teile in grau dargestellt werden. Die verschiedenen
Browser setzen dies unterschiedlich um.
6
Hier wird ähnlich wie bei Anti-Phishing Phil dem Spieler dann ein Leben abgezogen, wenn er eine Phishing-URL nicht
erkennt, oder obwohl er sie erkannt hat, den Domänennamen in der URL nicht richtig markiert.
27
Wie in Abb. 3.4 zu sehen ist, wird im Internet Explorer und in Firefox lediglich der Domänenname
hervorgehoben, während in Chrome auch vorhandene Subdomains in schwarz dargestellt werden. Diese
Darstellung bedeutet für den Nutzer, dass er, sofern er auf die hervorgehobenen Bereiche achtet und ihm
der tatsächliche Domänenname bekannt ist, einen Phishing-Versuch leichter enttarnen kann. Der Effekt
des Domain Highlighting wurde in einer Studie untersucht [LGT+ 11]. Dabei wurde ein positiver Effekt
auf die Erkennungsraten von Phishing-Seiten nachgewiesen7 .
Abbildung 3.4.: Domain Highlighting in aktuellen Browsern
Der in dieser Arbeit untersuchte Ansatz soll die Effektivität des Domain Highlighting durch eine weitere
Vereinfachung der Darstellung der URL steigern.
3.3.2 URL-Pruning bei iOS
Beim aktuellen Betriebssystem iOS der Firma Apple werden Teile der URL, welche nicht sicherheitsrelevant sind, komplett ausgeblendet. Wie man in Abbildung 3.5 sehen kann, sieht die Adressleiste je
nachdem, ob eine Seite verschlüsselt ist oder nicht, unterschiedlich aus8 .
Abbildung 3.5.: Darstellung der Adressleiste im iPhone
Im Falle von unverschlüsselten Seiten und Seiten mit einfachem SSL-Zertifikat wird lediglich der Domänenname angezeigt. Liegt eine Seite mit einem EV-SSL-Zertifikat vor, so erscheint nur noch der Name
des Zertifikatsinhabers9 . Auf eine Anzeige der URL wird in diesem Fall komplett verzichtet. Der Nutzer hat die Möglichkeit, sich mit einem Klick auf die Adressleiste die gesamte URL anzeigen zu lassen.
Inwiefern dieser Ansatz zum Erkennen von Phishing beiträgt, wurde nach hiesigem Kenntnisstand bislang nicht untersucht. Es ist davon auszugehen, dass diese Vereinfachung der Darstellung von URLs dem
Nutzer das Erkennen von Unregelmäßigkeiten in der URL erleichtert.
Das in dieser Arbeit untersuchte URL-Pruning weist Ähnlichkeiten zu der bei iOS eingesetzten Technik
auf. Der Domänenname wird beim hier untersuchten URL-Pruning jedoch immer in der Adressleiste
angezeigt.
7
8
9
Vgl. Kap. 4.3 Auswertung der Studie auf S. 31.
Die Screenshots wurden mit einem aktuellen iPhone 5 mit installiertem iOS 7.0.4 gemacht.
Weiterführend zu SSL- und EV-SSL-Zertifikaten vgl. Kap. 6.6 auf S. 48 sowie [tha14].
28
4 Studie Domain Highlighting (Lin et al.)
Im Jahr 2011 wurde von Lin et al. eine Studie[LGT+ 11] im Rahmen der ACM Conference on Human
Factors in Computing Systems (CHI) veröffentlicht, die sich mit Domain Highlighting befasst. Die Studie
von Lin et al. dient als Wegweiser für das Design der in dieser Arbeit durchgeführten Studie. An dieser
Stelle werden die Fragestellung, das Studiendesign und die Ergebnisse der Studie von Lin et al. erläutert.
4.1 Fragestellung
In 2011 war das sogenannte "Domain Highlighting" bereits in einigen Browsern implementiert. Die Umsetzung in den aktuellen Browser-Generationen wurde bereits in Kapitel 3.3.1 Domain Highlighting auf
Seite 27 vorgestellt.
Damit Domain Highlighting Internetnutzern tatsächlich bei der Erkennung von Phishing hilft, müssen
zwei Annahmen erfüllt sein:
1. Internetnutzer Prüfen beim Aufruf einer Webseite den hervorgehobenen Domänennamen der aufgerufenen Seite im Rahmen ihres alltäglichen Surfverhaltens, um die Legitimität der Seite zu beurteilen.
2. Internetnutzer wissen, wie ein legitimer Domänenname aussieht. Bei ihrer Entscheidung über die
Legitimität eines Domänennamens greifen sie auf ihr Allgemeinwissen über das Internet, ihre
Annahme, wie ein wohlgeformter Domänenname aussehen sollte und auf ihre Erfahrungen mit
einzelnen Webseiten zurück.
2011 gab es wenige Untersuchungen, ob diese Annahmen für den durchschnittlichen Internetnutzer
zutreffen. Daher untersuchten Lin et al. die Effektivität des Domain Highlighting bei der Unterstützung
des Nutzers zur Erkennung von Phishing. Im Mittelpunkt stand die Frage, ob diese Technik tatsächlich
das Potenzial erreicht, welches es in sich birgt.
4.2 Studiendesign
Die Studie wurde als Laborstudie unter kontrollierten Bedingungen durchgeführt. Den Teilnehmern wurden jeweils 16 Internetseiten (acht legitime Seiten und acht Phishing-Seiten) in zwei Phasen gezeigt,
wobei die Reihenfolge der Seiten zwischen den zwei Phasen der Studie randomisiert wurde. In der ersten Phase wurden die Teilnehmer vor die Aufgabe gestellt, zu beurteilen, wie sicher ihnen jede Seite
erscheint. Im zweiten Abschnitt der Studie wurden die Teilnehmer instruiert, sich bei ihrer Entscheidung
über die Sicherheit der gezeigten Seiten auf die Adressleiste des Browsers zu fokussieren.
4.2.1 Teilnehmer
Die Teilnehmerzahl belief sich auf 22 Personen (17 männlich, fünf weiblich, Durchschnittsalter 27,7
Jahre, durchschnittliche PC Nutzung pro Woche ca. 47 Stunden). Diese wurden aus dem Kreis der Universitätsangehörigen der University of Calgary in Kanada rekrutiert, da die Forscher hier tätig waren. Ihr
Aufwand wurde mit je 15$ CAD pro Teilnehmer kompensiert. Die Teilnehmer waren nicht auf dem Gebiet der IT-Sicherheit geschult. Alle Teilnehmer nutzten regelmäßig Online-Banking. 18 der Teilnehmer
kauften regelmäßig online ein, zwei gelegentlich, zwei gar nicht.
29
4.2.2 Vorbereitung der Teilnehmer
Um eine möglichst realitätsnahe Simulation des Surfverhaltens trotzt der vorliegenden Laborbedingungen zu erreichen, wurden die Teilnehmer weder über den eigentlichen Zweck der Studie, die Untersuchung der Effektivität von Domain Highlighting, noch über Phishing informiert. Dies hätte ihnen ein
zusätzliches überdurchschnittliches Wissen vermittelt, das von dem des alltäglichen Internetnutzers abweicht. Die Aufmerksamkeit wäre zu sehr auf das Domain Highlighting gelenkt worden und hätte somit
die Ergebnisse der Studie verfälscht.
Um der Problematik entgegenzutreten, dass beim alltäglichen Surfen Sicherheitsaspekte bestenfalls
hinter dem eigentlich verfolgten Ziel des Internetnutzers (Online-Banking, Einkaufen, Soziale Netzwerke, etc.) an zweiter Stelle stehen, wurde den Teilnehmern als Ziel der Studie die Untersuchung
allgemeiner visueller Unterstützungen (visual security aids) im Internet Explorer (IE) 8 genannt. Somit
waren sich die Teilnehmer dessen bewusst, dass sie die Vertrauenswürdigkeit der Internetseiten beurteilen sollen, es war aber ihnen überlassen, anhand welcher Kriterien sie ihre Entscheidung treffen. Dadurch
trat das Ziel "Sicherheit" an Stelle des eigentlichen mit dem Besuch der Webseite verbundenen Zieles an
erste Stelle. Da die Sicherheit beim alltäglichen Surfen jedoch bestenfalls ein sekundäres Ziel ist, sind die
Ergebnisse der Studie lediglich als Best Case Szenario zu bewerten. Die in dieser Studie gemessene Effektivität des Domain Highlighting stellt somit eine obere Schranke für die Effektivität beim alltäglichen
Surfen dar.
4.2.3 Auswahl der Webseiten
Die in der Studie von Lin et al. verwendeten URLs der legitimen Seiten sind in Tabelle 6.1 auf Seite 44
zu sehen. Die Phishing-Seiten befinden sich in Tabelle 6.4 auf Seite 46.
Die Auswahl der 16 Webseiten erfolgte anhand zweier Kriterien:
1. Bekanntheitsgrad: Die Teilnehmer sollten entweder die verwendeten Webseiten selbst kennen oder
Webseiten die ähnliche Dienste anbieten. Dabei wurden sowohl sehr beliebte als auch regional
bekannte Webseiten verwendet, welche bei einem typischen Aufenthalt im Internet von den Teilnehmern der Studie zur Erfüllung bestimmter Bedürfnisse besucht werden. Sofern einzelne Seiten
den Teilnehmern unbekannt waren, wurde das Konzept der jeweiligen Seite während der Studie
kurz erklärt und anhand eines Beispielszenarios verdeutlicht.
2. Häufig betroffene Branchen: Die Seiten wurden auf Grundlage entsprechender Statistiken über häufig von Phishing betroffene Unternehmen und Branchen ausgewählt. Die meisten ausgesuchten
Webseiten waren Login-Seiten, die den Nutzer zur Eingabe von Benutzernamen und Passwort auffordern.
Bei den verwendeten Webseiten wurde lediglich bei den Phishing-Seiten die URL entsprechend angepasst. Inhaltlich waren die Seiten gut gemachten Phishing-Seiten nachempfunden, bei denen es sich
ebenfalls um perfekte Kopien der Originale handelt. Die Seiten wurden über einen Proxy Server aufgerufen. Dieser lieferte die Phishing-Seiten aus dem Cache und leitete bei den legitimen Seiten auf die
Originale um.
4.2.4 Verwendetes System
Es wurde ein PC mit Windows XP als Betriebssystem und der IE 8 als Browser verwendet. Alle Teilnehmer
der Studie benutzten bei ihren alltäglichen Online-Aktivitäten regelmäßig den IE.
30
4.2.5 Versuchsablauf
Die Studie dauerte pro Teilnehmer ca. 45 Minuten. Im Einführungsinterview wurde die Erfahrung des
Teilnehmers mit dem PC im Allgemeinen, seine vorhergehenden Erfahrungen mit ähnlichen Webseiten
und sein Wissen in Bezug auf Sicherheitsaspekte festgehalten. Dabei wurde die Frage untersucht, ob
entsprechende Vorkenntnisse Einfluss auf das spätere Abschneiden in der Studie haben.
In den zwei Phasen der Studie wurden den Teilnehmern 16 Internetseiten gezeigt, deren Vertrauenswürdigkeit sie beurteilen sollten. Im ersten Abschnitt erfolgten keine speziellen Anweisungen. Im
zweiten Abschnitt sollten sich die Teilnehmer auf die Adressleiste konzentrieren. Wurden zwischen der
ersten und der zweiten Phase unterschiedliche Entscheidungen getroffen, konnte dies auf das Domain
Highlighting zurückgeführt werden.
Für die Beurteilung der Vertrauenswürdigkeit wurde eine Fünf-Punkte-Skala verwendet. Während die
Teilnehmer die Webseiten beurteilten, wurden sie zum lauten Denken aufgefordert, um so ihre Entscheidungsgrundlagen festzuhalten.
Im Ausgangsinterview wurde den Teilnehmern das Domain Highlighting erklärt und ihnen Fragen zu
dieser Technik gestellt, um Bekanntheit und Verständnis der Funktionsweise zu prüfen und Verbesserungsvorschläge zu sammeln.
4.3 Auswertung der Studie
Im Folgenden werden die bei der Studie von Lin et al. verwendeten Methoden zur Auswertung der Daten
sowie die Ergebnisse der Studie präsentiert.
4.3.1 Metrik
Aus der Studie ergaben sich pro Teilnehmer zwei Datensätze mit jeweils 16 Daten aus den beiden Phasen.
Die zur Beurteilung der Webseiten verwendete Fünf-Punkte-Skala wurde zum Zweck der Auswertung
aufbereitet, wobei jeweils die ersten beiden und die letzten beiden Punkte zusammengefasst wurden.
Somit ergab sich für die Bewertung der Vertrauenswürdigkeit der einzelnen Seiten folgende Skala:
• Der Proband hält die Seite für unsicher (1-2 Punkte)
• Der Proband ist sich unsicher (3 Punkte)
• Der Proband hält die Seite für vertrauenswürdig (4-5 Punkte)
Die einzelnen Entscheidungen wurden mit der tatsächlichen Vertrauenswürdigkeit der Webseiten in
Verhältnis gesetzt, wobei sich vier mögliche Fälle unterscheiden lassen. Die sich daraus ergebende Matrix
ist in Tabelle 4.1 zu sehen.
Tabelle 4.1.: Matrix des metrischen Maßes
Entscheidung des Teilnehmers
Seite ist sicher Seite ist unsicher
Legitim
Korrekt:sicher
Falsch:unsicher
Typ der Seite
Betrügerisch Falsch:sicher
Korrekt:unsicher
Der prozentuale Anteil richtiger Entscheidungen ergibt sich aus der Summe der folgenden zwei Fälle:
• Korrekt:sicher liegt vor, wenn der Proband eine legitime Seite als sicher eingestuft hat.
31
• Korrekt:unsicher liegt vor, wenn der Proband eine betrügerische Seite als unsicher eingestuft hat.
Der prozentuale Anteil der falschen Entscheidungen ergibt sich aus der Summe der übrigen zwei Fälle:
• Falsch:sicher liegt vor, wenn der Proband eine betrügerische Seite als sicher eingestuft hat. Dies ist
gleichzeitig die Maßeinheit für die Anfälligkeit des Teilnehmers für Phishing.
• Falsch:unsicher liegt vor, wenn der Proband eine legitime Seite als unsicher eingestuft hat. Dies
hat zur folge, dass die Seite, obwohl sie legitim ist, nicht mehr besucht wird. Während dies einen
unerwünschten Nebeneffekt darstellt, liegt in diesem Fall kein Sicherheitsrisiko vor.
4.3.2 Quantitative Analyse
Für die quantitative Analyse der Daten wurden folgende drei Fragen formuliert:
Gibt es einen Unterschied bei der Beurteilung der Webseiten für die Kategorien korrekte Entscheidungen, falsche Entscheidungen, falsch:sicher, und falsch:unsicher
1. unabhängig davon, ob den Teilnehmern der Hinweis gegeben wurde, sich auf die Adressleiste
zu konzentrieren? Mit dieser Frage wird erfasst, ob das Domain Highlighting effektiver genutzt
werden kann, wenn der entsprechende Hinweis erfolgt.
2. unabhängig davon, ob die Webseiten legitim oder betrügerisch sind?
3. unabhängig von der verwendeten Art der Verschleierungstechnik1 ?
Die durchgeführten Hypothesentests im Rahmen der Varianzanalyse zeigten, dass für korrekte und
unsichere Entscheidungen ein signifikanter Unterschied bei der Beurteilung zwischen legitimen und betrügerischen Seiten vorliegt. Demgegenüber konnte kein signifikanter Unterschied zwischen den beiden
Phasen festgestellt werden.
Für falsche Entscheidungen lag ebenfalls ein signifikanter Unterschied zwischen den legitimen und
den betrügerischen Seiten vor. Während es jedoch für betrügerische Seiten einen messbaren Unterschied
zwischen den beiden Phasen gab, war dies für legitime Seiten nicht der Fall.
Vergleiche der prozentualen Anteile an richtigen und falschen Entscheidungen zwischen den beiden
Phasen brachten folgende Ergebnisse:
• Für legitime Seiten gab es keine signifikanten Unterschiede der Anteile an richtigen und falschen
Beurteilungen durch die Teilnehmer zwischen den beiden Phasen.
• Für die betrügerischen Seiten hat sich der Anteil an richtigen Beurteilungen (korrekt:unsicher) von
25% auf 34% gesteigert, wobei gleichzeitig der Anteil an falsch beurteilten betrügerischen Seiten
von 57% auf 44% sank.
Bezüglich der dritten o. g. Frage wurde festgestellt, dass bis auf die Ausnahme der IP-Adressen-Attacke
bei allen anderen Phishing-Techniken ähnliche Verbesserungen bei der Erkennung zwischen den beiden
Phasen gemessen wurden und auch insgesamt ähnliche Erkennungsraten vorlagen. Die IP-Adressen Attacke wurde zwar von den Probanden etwas öfter als die anderen Techniken als Phishing-Versuch enttarnt,
jedoch fielen immerhin noch 36% der Teilnehmer trotz des Hinweises, auf die Adressleiste zu achten,
auf den Betrugsversuch herein.
1
Vgl. Kap 2.4 Kategorisierung von Verschleierungstechniken auf S. 18.
32
4.3.3 Qualitative Analyse
Während der qualitativen Auswertung der gesammelten Informationen wurden drei Typen von Internetnutzern identifiziert, wobei die Übergänge zwischen den drei Gruppen fließend sind. Typ A (neun
der Teilnehmer) gründete seine Entscheidung bezüglich der Vertrauenswürdigkeit einer Internetseite
lediglich auf den Inhalt und verzichtete auf Miteinbeziehung der Adressleiste und anderer Sicherheitsmerkmale außerhalb des Inhaltsfensters. Typ B untersuchte übereinstimmend die Adressleiste, prüfte den
Umfang der von ihm verlangten Informationen sowie Sicherheitsmerkmale. Der Inhalt der Seite wurde
von Typ B (sieben der Teilnehmer) zwar auch beachtet, um die Vertrautheit mit der Marke festzustellen,
allerdings stellte es nicht die einzige Entscheidungsgrundlage zur Beurteilung der Vertrauenswürdigkeit
von Webseiten dar. Typ AB (sechs der Teilnehmer) war eine Mischung aus den beiden Typen A und B
und variierte die Entscheidungsgrundlage im Verlauf der Studie.
Auf die Frage im Abschlussinterview, ob Domain Highlighting den Teilnehmern bekannt ist, antwortete
ein Großteil der Teilnehmer, dass ihnen der hervorgehobene Domänenname überhaupt nicht bewusst
aufgefallen war.
4.3.4 Ergebnis
Zwischen den beiden Phasen gab es keine signifikanten Unterschiede bei der Beurteilung legitimer Seiten. Die Forscher erklären dieses Ergebnis damit, dass die Probanden bei ihrer Entscheidung während
der ersten Phase nicht auf die Adressleiste und den Domänennamen geachtet haben. Sie beurteilten die
Seiten anhand der Seiteninhalte, die sich nicht von den Originalen unterschieden. Während der zweiten Phase konnten sie sich bei der Erkennung von Phishing-Seiten auf Grund des Hinweises auf die
Adressleiste zu achten verbessern.
Domain Highlighting bietet eine geringfügige Verbesserung für den Internetnutzer bei der Erkennung
von Phishing. Die Implementierung ist jedoch in den gängigen Browsern bereits umgesetzt und die Technik ist sehr simpel, sodass sie bei der Implementierung sehr geringe Kosten verursacht. Während sie
alleinig nicht zur flächendeckenden Erkennung von Phishing geeignet ist, bietet sich einiges an Verbesserungspotential.
Probanden des Typs B und AB konnten sich in der zweiten Phase im Gegensatz zu Probanden des
Typs A bei der korrekten Beurteilung von Phishing-Seiten verbessern. Es hat sich gezeigt, dass sogar
Teilnehmer der Studie des Typs B und AB Schwierigkeiten damit haben, betrügerische Seiten anhand
des Domänennamens zu erkennen, obwohl sie die Adressleiste des Browsers gründlich untersuchen.
Dies liegt an dem fehlenden Wissen über Phishing und Verschleierungstechniken. Typ A Teilnehmer, die
nach Meinung von Lin et al. vom Bildungsaspekt her den größten Teil der Internetnutzer repräsentieren,
können die Information, die ihnen das Domain Highlighting bietet, noch weniger nutzen. Daher bietet
es sich an, in zukünftigen nutzerorientierten Ansätzen auf die Schulung der Internetnutzer zu setzen,
damit Techniken wie das Domain Highlighting ihr Potenzial besser entfalten können.
Daneben schlagen die Autoren vor, die Information, die das Domain Highlighting bietet, in einer anderen Art und Weise darzustellen, um so möglicherweise die Aufmerksamkeit des Internetnutzers vom
Inhalt der Seite weg und zu dieser Information hin zu lenken.
Auch die Komplexität von URLs stellt für den Internetnutzer eine ernstzunehmende Hürde bei der
Beurteilung der Vertrauenswürdigkeit von Webseiten dar. Daran knüpft der hier verfolgte Ansatz an, der
die Komplexität der URL durch die Reduktion des für den Nutzer sichtbaren Teils auf ein notwendiges
Minimum reduziert.
33
5 URL-Pruning
Lin et al. haben ein Problem des Domain Highlighting erkannt. Dieses liegt in dem mitunter komplexen Aufbau von URLs. Daher schlagen sie vor, entweder ausschließlich den Domänennamen in einem
dedizierten Bereich des Browsers zusätzlich anzuzeigen oder unnötige Informationen in der URL auszublenden. Phishing-URLs wie paypal.xpla.de und xpla.de/paypal erschweren es dem Nutzer, den
Phishing-Versuch zu erkennen. Die Beschränkung der Anzeige der URL auf den Domänennamen erleichtert die Erkennung von solchen Phishing-Versuchen. Dieser Ansatz wurde bereits in einer Studie von
Renkema-Padmos et al. untersucht [RPVR14]. Der Vorschlag ist eine Erweiterung des bereits in Kapitel
3.3.2 auf Seite 28 vorgestellten, von Apple bei iOS eingesetzten URL-Pruning. Die Ergebnisse der Studie
von Renkema-Padmos et al. konnten auf Grund von Problemen mit dem Umfragetool nicht ausgewertet
werden. Daher wird dieser Ansatz im Rahmen der vorliegenden Arbeit erneut untersucht.
5.1 Design
Im Folgenden wird zunächst erklärt, welche Elemente der URL beim hier untersuchten URL-Pruning
ausgeblendet werden.
Beim Domain Highlighting, wie es aktuell in Firefox und IE umgesetzt wird, wird bereits der Domänenname, das wichtigste Element der URL in Bezug auf die Authentizität einer Webseite, optisch
hervorgehoben1 . Da es jedoch dem Besucher einer Internetseite für seine Entscheidung der Vertrauenswürdigkeit dieser Seite keinen Zusatznutzen bietet, wenn ihm die aktuelle Subdomain und der Pfad in
der Adressleiste angezeigt werden, könnten diese Elemente ohne negativen Effekt ausgeblendet werden. Konkret stellt sich die Frage, welche minimale Informationen der Internetnutzer benötigt, um eine
legitime Seite von einer Phishing-Seite unterscheiden zu können. Ausgehend von den Elementen der
URL aus Tabelle 2.1 auf S. 18, wird hier das folgende Vorgehen für die Anzeige einer kurzen URL beim
URL-Pruning vorgeschlagen:
• Folgende Elemente, welche keinen sicherheitsrelevanten Zusatznutzen bieten, werden ausgeblendet:
– Subdomänen: Diese bieten zwar dem Betrachter einen Zusatznutzen bei der Navigation, jedoch können sie das Erkennen von Phishing-Versuchen erschweren. Für den Nutzer ist beispielsweise die URL amazon.xpla.de schwer als Phishing-Versuch zu erkennen, da sie den
Namen des Unternehmens Amazon enthält. In gekürzter Form als xpla.net ist dies nicht
mehr der Fall.
– Pfad: Der Pfad kann ebenfalls andere relevante Informationen enthalten, jedoch keine sicherheitsrelevante. Er kann ebenso wie Subdomänen die Erkennung von Phishing-Versuchen
erschweren. Die URL xpla.de/amazon.de enthält gegenüber der gekürzten Form xpla.de
den Namen des Unternehmens.
– www: Viele Seiten verzichten bereits auf das Einbinden in die URL, da es keine relevanten
Informationen für den Betrachter bietet.
• Folgende Elemente werden hingegen weiterhin angezeigt:
– Domänenname2 : Dieser enthält bei einer legitimen Seite meist den Namen der besuchten Webseite und ist damit das wichtigste Kriterium, um über die Vertrauenswürdigkeit einer Webseite
1
2
Vgl. Kap. 3.3.1 Domain Highlighting auf S. 27.
Bestehend aus der Second Level Domain und dem Landeskürzel (TLD). Vgl. Kap. 2.4 Kategorisierung von Verschleierungstechniken auf S. 18.
34
zu entscheiden. Während sich Subdomänen und der Pfad von Betrügern beliebig verändern
lassen, sofern sie Zugriff auf eine beliebige Domäne haben, hat lediglich der Domäneninhaber
Kontrolle über die legitime Domäne.
– Schema: Das Schema definiert den weiteren Aufbau der Internetadresse und zeigt dem Benutzer, ob die Kommunikation zur Webseite verschlüsselt ist (https) oder nicht (http).
– Verschlüsselung: Bei einer verschlüsselten Verbindung (https) kann zwischen einem einfachen
SSL-Zertifikat und einem Extended Validation Secure Socket Layer (EV-SSL)-Zertifikat unterschieden werden3 . In aktuellen Browsern wird bei einer mit EV-SSL-Zertifikat gesicherten
Verbindung der Name des Zertifikatsinhabers optisch hervorgehoben der URL vorangestellt.
Da diese Informationen relevant für die Sicherheit der Verbindung sind, werden sie beibehalten. Der Internetnutzer kann daran erkennen, welche Verschlüsselung bei der Übertragung
seiner (Login-)Daten verwendet wird, was ein Entscheidungskriterium für das das Übermitteln von Daten über das Internet darstellt.
Abbildung 5.1 zeigt beispielhaft die Darstellung von URLs für die drei verschiedenen Sicherheitsstufen (unverschlüsselt, SSL und EV-SSL) vor (links) und nach dem URL-Pruning (rechts). Wie bereits
anhand der Abbildung zu erkennen, ist mit dem hier vorgeschlagenen Ansatz eine deutlich kürzere Darstellung von URLs möglich. Die Vor- und Nachteile diese Methode für andere Ansätze, sowie für den
Internetnutzer und für Browseranbieter, werden im Folgenden vorgestellt.
Abbildung 5.1.: URL-Pruning für Webseiten ohne Verschlüsslung sowie mit SSL- und mit EV-SSL-Zertifikat
5.2 Analyse der Vor- und Nachteile des URL-Pruning
Im Folgenden werden die Vor- und Nachteile des URL-Pruning erläutert. Zunächst erfolgt ein Exkurs in
die Cognitive Load Theory (CLT), um die Vorteile des URL-Pruning gegenüber anderen Ansätzen zur
Erkennung von Phishing im Anschluss zu verdeutlichen.
5.2.1 Exkurs: Cognitive Load Theorie
Die CLT versucht, die verschiedenen Belastungen des Lernenden beim Lernprozess zu erklären [Swe10].
Dabei wird davon ausgegangen, dass jeder Lernende über ein Arbeitsgedächtnis und ein Langzeitgedächtnis für Informationen verfügt. Das Ziel beim Lernen ist die Übertragung von Informationen vom
Arbeits- in das Langzeitgedächtnis. Die Herausforderung liegt in der Beschaffenheit des Arbeitsgedächtnisses. Dieses kann lediglich eine begrenzte Anzahl an Informationen für eine kurze Zeit speichern. Bei
dieser Theorie werden drei verschiedene Arten von Belastungen während des Lernens unterschieden,
die den Lernprozess positiv oder negativ beeinflussen können:
Intrinsic cognitive load (intrinsische kognitive Belastung): Diese wird durch die Komplexität des Lerninhaltes an sich bestimmt. Je komplexer die zu lernende Information ist, desto höher ist die intrinsische kognitive Belastung. Die individuelle intrinsische kognitive Belastung wird durch die vorliegende
3
Vgl. Kap. 6.6 Mapping von https und Extended Validation auf S. 48.
35
Lernaufgabe und den Wissensstand des Lernenden bestimmt. Sie kann entweder durch das Ändern der
Aufgabe, d. h. des Lerninhaltes oder durch Veränderung des Kenntnisstandes beeinflusst werden.
Extraneous cognitive load (extrinsische kognitive Belastung): Diese ist durch die Art und Weise der Präsentation der Lerninhalte bestimmt. Dabei gibt es verschiedene Effekte, die das Lernen je nach Ausgestalten der Inhalte behindern oder fördern können.
Germane cognitive load (lernbezogene kognitive Belastung): Die lernbezogene kognitive Belastung hängt
von den Ressourcen des Lernenden, d. h. von der individuellen Kapazität seines Arbeitsgedächtnisses ab.
Sie kann ebenfalls durch verschiedene Faktoren beeinflusst werden. Ist die Motivation des Lernenden
hoch, ist dieser bereit, mehr seiner verfügbaren Ressourcen für den Lernprozess bereitzustellen, d. h.
sein Arbeitsgedächtnis voll auszunutzen. Der Anteil des begrenzten Arbeitsgedächtnisses, der für die
lernbezogene kognitive Belastung verfügbar ist, kann durch Verringerung der extrinsischen kognitiven
Belastung erhöht werden. Letztere ist bei der Gestaltung der Lernmaterialien möglichst gering zu halten,
um so den Gesamtprozess zu optimieren.
5.2.2 Vorteile des URL-Pruning
Durch das URL-Pruning ergeben sich folgende Vorteile:
Bei Ansätzen, die auf die Bildung und Aufklärung rund um das Phishing aufbauen: Durch die kurze
Darstellung wird die Komplexität der URL reduziert. Dies bedeutet für die Vermittlung von Wissen im
Kontext der CLT eine Reduktion der intrinsischen kognitiven Belastung für den Lernenden. Beispielsweise wird beim Lernspiel Anti-Phishing Phil nach der ersten Runde in insgesamt vier Schritten erklärt, wie
eine URL grundsätzlich aufgebaut ist und dass der Domänenname am wichtigsten ist, um Betrugsversuche zu erkennen. In Abbildung 5.2 ist der letzte Schritt zu sehen, in dem lediglich Beispiele für legitime
und betrügerische URLs gezeigt werden. Hier wird deutlich, dass die Vermittlung dieses Wissens beim
Abbildung 5.2.: Erklärung der Komponenten einer URL am Beispiel des Anti-Phishing Phil
Einsatz von URL-Pruning obsolet wird. Statt dem Nutzer den mitunter komplexen Aufbau einer URL zu
vermitteln, kann der Lerninhalt darauf beschränkt werden, dass der angezeigte Domänenname im Ide36
alfall den Namen der besuchten Webseite bzw. des Unternehmens enthalten sollte. Die Beispiele können
auf legitime Domänennamen beschränkt werden.
Die in Kapitel 2.4 auf Seite 18 vorgestellte Kategorisierung von Verschleierungstechniken von [BC14]
erfolgte im Rahmen der Entwicklung des in Kapitel 3.2.3 auf Seite 27 vorgestellten Lehrspiels. Von den
insgesamt acht Kategorien von Verschleierungstechniken werden sechs durch die Lerninhalte des Spiels
abgedeckt. Durch Einsatz des URL-Pruning entfällt die Erklärung von Subdomänen-Attacken, da diese
bei der verkürzten Darstellung nicht mehr in der Adressleiste angezeigt werden. Auch bei diesem Spiel
ist die Erklärung des komplizierten Aufbaus der URL und aller damit verbundenen Lerninhalte nicht
mehr notwendig.
Für die Entscheidung der Vertrauenswürdigkeit einer Webseite: Der Internetnutzer bekommt lediglich
den Domänennamen zu sehen. Da Domänennamen von legitimen Webseiten meist sehr kurz sind, wird
der Nutzer bei seiner Entscheidung nicht durch irrelevante Teile der URL abgelenkt oder in die Irre
geführt. Er sieht lediglich den für seine Entscheidung relevanten Teil der URL und kann den Domänennamen schneller untersuchen.
Implementierung: Das URL-Pruning ist sehr leicht zu implementieren. Im Safari auf iPhone und iPad
wird es bereits in ähnlicher Form eingesetzt. In Firefox und IE ist das Domain Highlighting ebenfalls
schon implementiert. Hier müssen die Bestandteile der URL, die aktuell beim Domain Highlighting in
grauer Schrift dargestellt werden, komplett ausgeblendet werden. Das Schema muss jedoch beibehalten
werden.
Darstellung: Auf mobilen Endgeräten ist der für die Darstellung von URLs vorhandene Platz bauartbedingt beschränkt. Obwohl die Displays bei aktuellen Geräten immer hochauflösender werden, muss eine
Mindestgröße für die Schrift eingehalten werden, damit die dargestellten Informationen noch gut lesbar
sind. Umso wichtiger ist es, auf dieser beschränkten Fläche wichtige Informationen optimal anzuzeigen.
Da sich der Ansatz des URL-Pruning auf die Anzeige der für den Nutzer wichtigsten Informationen bezüglich der Vertrauenswürdigkeit einer Webseite beschränkt, kann dieser Platz auch optimal ausgenutzt
werden.
5.2.3 Nachteile des URL-Pruning
Eine Voraussetzung des URL-Pruning und Domain Highlighting ist, dass der Nutzer den Domänennamen
des Unternehmens, dessen Webseite er besucht, kennt. Damit der Internetnutzer den Domänennamen
mit dem Namen des von der Webseite angebotenen Dienstes bzw. des Dienstanbieters vergleichen kann,
sollten diese beiden Namen im Idealfall übereinstimmen. Gerade bei Kreditinstituten weist der Domänenname einen mitunter komplizierten und heterogenen Aufbau unter den verschiedenen Filialen ein
und desselben Instituts auf. Dies wird in Tabelle 5.1 verdeutlicht. Für Filialen der Sparkasse wird teils die
Stadt vorangestellt, teils nicht. Manchmal werden Teile des Konstrukts abgekürzt. Ähnlich ist es bei den
Filialen der Volksbank, wobei diese nicht immer den Ortsnamen enthalten. Ist ein Nutzer jedoch mit dem
URL-Pruning vertraut und hat entsprechende Kenntnisse über den Aufbau einer legitimen URL, wird er
sparkasse.de, volksbank.de oder commerzbank.de in der Adressleiste erwarten. Er könnte die URLs
aus der Tabelle als Betrugsversuch ablehnen. Diese Wirkung wird abgemildert, da der Besucher sich im
Zweifelsfall durch Recherche (beispielsweise durch einen Anfruf bei dem entsprechenden Kreditinstitut)
über die Authentizität der Webseite vergewissern kann.
Allerdings bieten legitime URLs, die einen komplizierten Aufbau aufweisen, auch jenseits des URLPruning eine zusätzliche unnötige Angriffsfläche beispielsweise für das in Kapitel 2.1 auf Seite 14
beschriebene Spear-Phishing mit ähnlichen Domänennamen, da sie dem Betroffenen die Interpretation der URL und das Erkennen von Ungereimtheiten zusätzlich erschweren. Beispielsweise könnten
37
Tabelle 5.1.: Nachteilige URLs am Beispiel von Kreditinstituten
Domänenname
Kreditinsitut
sparkasse-darmstadt.de
spk-aschaffenburg.de
mbs-potsdam.de
berliner-sparkasse.de
sparkasse-ac.de
volksbanking.de
berliner-volksbank.de
myvoba.de
commerzbanking.de
Stadt- und Kreis-Sparkasse Darmstadt
Sparkasse Aschaffenburg-Alzenau
Mittelbrandenburgische Sparkasse in Potsdam
Landesbank Berlin AG
Sparkasse Aachen
Volksbank Darmstadt eG
Berliner Volksbank
Volksbank Bonn Rhein-Sieg eG
Commerzbank AG
Angreifer mit Domänennamen wie stadtsprakasse-aschaffenburg.de, hamburger-sparkasse.de,
sparkasse-berlin.de oder myvobank.de entsprechende Zielgruppen erreichen.
Aus diesen beiden Gründen sollten Unternehmen nach Möglichkeit stets kürzestmögliche einfache Domänennamen für ihre Webpräsenz wählen, die im Idealfall aus dem Namen des Unternehmens bestehen
und keine Abkürzungen sowie Bindestriche enthalten. Dies bietet für Unternehmen einen weiteren Vorteil: Je kürzer der legitime Domänenname gewählt wird, wie beispielsweise paypal.de, xing.com oder
amazon.de, desto geringer ist die Auswahl der Betrüger an potenziell zur missbräuchlichen Verwendung
verfügbaren Domänennamen4 .
Die im Folgenden vorgestellten Nachteile ergeben sich durch die kurze Darstellung der URL beim
URL-Pruning und treten beim Domain Highlighting nicht auf.
Ein Nachteil besteht darin, dass Nutzer, welche die lange Form der URL gewohnt sind, durch die kurze Darstellung zunächst verunsichert werden. Dem kann jedoch durch entsprechende Information der
Nutzer entgegengewirkt werden. Dies könnte nach der Installation oder dem Update des Browsers auf
eine Version, in der URL-Pruning unterstützt wird, geschehen. Beispielsweise könnte der Nutzer durch
einen abschaltbaren Hinweis beim Besuch einer Webseite auf das neue Feature hingewiesen werden. Ein
entsprechender Hinweis kann so aussehen: "Um Ihnen das Erkennen von betrügerischen Seiten zu erleichtern, wird ab sofort nur noch der Domänenname und nicht die vollständige Adresse der von Ihnen
besuchten Seite in der Adressleiste angezeigt. Bei Rechtsklick in die Adressleiste wird die vollständige Internetadresse eingeblendet." Neben diesem Hinweis kann interessierten Nutzern die Möglichkeit
angeboten werden, sich beispielsweise auf einer Informationsseite oder mit Hilfe eines Lernspiels über
Phishing und URL-Pruning zu informieren.
Die URL wird von manchen Nutzern als Bedienoberfläche zum Navigieren auf der Webseite genutzt. Da
beim URL-Pruning lediglich der Domänenname angezeigt wird, entfällt diese Möglichkeit für den Nutzer.
Dies muss bei der Implementierung des URL-Pruning beachtet werden. Eine Lösung besteht darin, dem
Nutzer bei einem Rechtsklick auf den Domänennamen die gesamte URL anzuzeigen.
4
Hier spielen zwei Aspekte eine Rolle: Einerseits bestehen für kurze Namen bereits auf Grund der Kürze recht wenige
Variationsmöglichkeiten für Betrüger. Andererseits wird die Anzahl freier Domänen mit jedem Phishing-Versuch rapide
abnehmen, da bereits verwendete Domänen dauerhaft gesperrt werden.
38
6 Studiendesign
Um die Effektivität des URL-Pruning bei der Beurteilung der Vertrauenswürdigkeit von Webseiten zu
untersuchen und mit der Effektivität des Domain Highlighting zu vergleichen wurde eine Studie durchgeführt. Im Folgenden werden Konzeption und Design der Studie detailliert beschrieben.
6.1 Hypothesen und Annahmen
Vor der Durchführung der Studie wurden Hypothesen und Annahmen formuliert, die im Folgenden vorgestellt werden. Die Studienteilnehmer wurden in zwei Gruppen aufgeteilt. Dies geschah um das Domain
Highlighting (Gruppe H) mit dem URL-Pruning (Gruppe P) vergleichen zu können. Die Teilnehmer beider Gruppen haben in zwei Phasen die Vertrauenswürdigkeit von jeweils acht legitimen Seiten und acht
Phishing-Seiten beurteilt. In der zweiten Phase erfolgte der Hinweis, sich bei der Entscheidung auf die
Adressleiste des Browsers zu konzentrieren.
6.1.1 Demographische Merkmale der Teilnehmer
Um zu überprüfen, wie gut die zufällige Verteilung der Teilnehmer auf die beiden Gruppen erfolgt ist,
wurde folgende Hypothese formuliert:
H0(Demographische Merkmale): Es gibt keine Unterschiede zwischen Probanden der Gruppe H und
der Gruppe P bezüglich des durchschnittlichen Alters, der Geschlechterverteilung, der Zugehörigkeit zur
IT-Branche und der Schulbildung.
6.1.2 Definition von Phishing
Auf Grund des hier untersuchten Ansatzes zur Erkennung von Phishing und in Anbetracht des Facettenreichtums des Begriffs Phishing wird in der vorliegenden Arbeit folgende Definition von Phishing
verwendet:
Phishing ist der Versuch von Kriminellen, die Opfer dazu zu bewegen, persönliche Informationen auf
einer manipulierten Webseite preiszugeben.
Bei dieser Definition spielt es keine Rolle, auf welchem Weg das Opfer auf die manipulierte Seite gelockt wird. (E-Mail, SMS, Instant-Messaging, Tippfehler etc.).
Folgende Annahmen sollen als Abgrenzung von anderen Phishing-Techniken gelten:
• Authentizität der URL: Es wird angenommen, dass die Betrüger die Anzeige der URL in der Adressleiste des Browsers nicht manipulieren können. Konkret heißt dies, dass der DNS Server korrekt
arbeitet und die richtige Adresse auflöst. Der Browser des Internetnutzers ist ebenfalls frei von
Schadsoftware, welche die angezeigte URL manipulieren könnte. Der Nutzer kann also davon ausgehen, dass er sich auf www.ebay.de befindet, wenn ihm diese URL in der Adressleiste angezeigt
wird.
• Art des Angriffs: Die betrügerische Webseite ist frei von Schadsoftware, die den PC des Opfers infiziert, um auf diesem Weg persönliche Informationen zu erlangen. Sie dient lediglich dem Erfassen
von persönlichen Daten.
39
6.1.3 Nutzerorientierte Kategorisierung von Verschleierungstechniken
Für die Entscheidung des Internetnutzers über die Legitimität einer Webseite ist der Domänenname
relevant. Die Kategorisierung von Verschleierungstechniken von Lin et al. berücksichtigt dies jedoch
nicht1 . Als Beispiel seien hier die beiden URLs http://www.easyweb.td-canadatrust.ca und http:
//www.meebo.webmessenger.com aus der kanadischen Studie genannt. Beide fielen in der Studie in die
Kategorie similar-name attack. Sowohl beim Domain Highlighting als auch beim URL-Pruning ist bei der
URL webmessneger.com der Name der Firma Twitter nicht mehr in dem hervorgehobenen Teil der URL
wiederzufinden. Hingegen enthält der Domänenname td-canadatrust.ca nach wie vor den Namen der
Bank TD Canada Trust. Ein Nutzer, der zwar weiß, dass der Domänenname den Namen des Anbieters
enthalten sollte, aber die genaue legitime URL nicht kennt, wird von zwar die erste URL als PhishingVersuch erkennen, jedoch die URL der Bank als legitim bewerten. Daher wird eine Kategorisierung von
Manipulationstechniken vorgeschlagen, die als Unterscheidungsmerkmal zwischen den Angriffstypen die
Schwierigkeit der Erkennung der Manipulation der URL anhand des Wissensstandes des Internetnutzers
bezüglich möglicher Manipulationstechniken zugrunde legt. Folgende vier Angriffstypen (im Folgenden
auch als Phishing-Typ, Webseitentyp und URL-Typ bezeichnet) werden definiert:
• Typ 1: Ist erfolgreich bei Nutzern, die die URL beim Surfen nicht überprüfen. Der Name des betroffenen Unternehmens taucht nicht in der URL auf, sondern es wird entweder ein zufälliger
Name oder eine IP-Adresse verwendet. Beispiele hierfür sind 192.168.111.112 bzw. xpla.net
statt twitter.com.
• Typ 2: Täuscht Nutzer, die zwar auf die URL achten, um zu prüfen, ob sie den Namen des betroffenen Unternehmens enthält, jedoch den korrekten Aufbau einer legitimen URL nicht kennen. Der
Name des Unternehmens ist bei diesem Typ entweder als Subdomain oder im Pfad in der URL
enthalten (twitter.webmessenger.com bzw. webmessenger.com/twitter.com).
• Typ 3: Ist bei denjenigen Nutzern erfolgreich, die zwar Wissen, das der Domänenname den Namen des Anbieters enthalten sollte, denen jedoch der richtige Name der besuchten Webseite unbekannt ist. Der Domänenname enthält zwar den Namen des betroffenen Unternehmens, jedoch auch
andere vertrauenerweckende zusätzliche Begriffe. (hotmailsecure.com oder postbank-onlinebanking.com)
• Typ 4: Täuscht Nutzer, die den Domänennamen lediglich oberflächlich prüfen. Bei der flüchtigen Überprüfung werden jedoch kleine Unterschiede nicht wahrgenommen.(paypa1.com bzw.
lovefi1m.de)
6.1.4 Metrik
Die in der Studie verwendete Fünf-Punkte-Skala auf die Frage "Stellen Sie sich vor, Sie besuchen die
Seite auf diesem Bild und nehmen Sie an, dass Sie über ein Benutzerkonto bei XYZ verfügen. Würden
Sie Ihr Passwort eingeben?" zur Beurteilung der Legitimität der Webseiten wurde für die Auswertung
folgendermaßen zusammengefasst:
• Der Teilnehmer würde sich nicht einloggen ("Nein", "Wahrscheinlich nicht")
• Der Teilnehmer ist sich unsicher ("Weiß nicht")
• Der Teilnehmer würde sich einloggen ("Ja", "Wahrscheinlich")
1
Vgl. Kap. 2.4 Kategorisierung von Verschleierungstechniken auf S. 18.
40
Anhand dessen ergaben sich in Abhängigkeit vom Webseitentyp drei Kategorien für Entscheidungen:
korrekt, unsicher und falsch. Korrekte und falsche Entscheidungen wurden analog zur Studie von Lin et
al. weiter in korrekt:sicher und korrekt:unsicher sowie falsch:sicher und falsch:unsicher untergliedert2 .
6.1.5 Effektivität des URL-Pruning
Um die Effektivität des URL-Pruning bei der Beurteilung der Vertrauenswürdigkeit von Webseiten zu
überprüfen und es mit dem Domain Highlighting zu vergleichen, wurden ähnlich zur Studie von Lin et
al. folgende Fragestellungen formuliert3 :
Gibt es einen Unterschied bei der Beurteilung der Webseiten für die Kategorien korrekte Entscheidungen, unsichere Entscheidung, falsche Entscheidungen, falsch:sicher, und falsch:unsicher
1. unabhängig davon, ob den Teilnehmern der Hinweis gegeben wurde, sich auf die Adressleiste zu
konzentrieren? (Mit dieser Frage ist die Effektivität des Domain Highlighting bzw. des URL-Pruning
anhand der unterschiedlichen Beurteilung der Vertrauenswürdigkeit von Webseiten zwischen den
beiden Phasen feststellbar.)
2. unabhängig davon, ob es sich um eine legitime Seite oder eine Phishing-Seite handelt?
3. unabhängig von der Art des Webseitentyps?
4. unabhängig davon, ob es sich um einen Teilnehmer der Gruppe H oder P handelt. (Mit dieser Fragestellung werden mögliche Unterschiede zwischen der Effektivität des Domain Highlighting und der
des URL-Pruning bezüglich der Beurteilung der Vertrauenswürdigkeit von Webseiten betrachtet.)
Aus diesen Fragen kann folgende Nullhypothese modelliert werden:
H0(Effektivität): Für die drei Stufen der abhängigen Variablen "Entscheidung" (korrekt, unsicher und
falsch) gibt es keinen Unterschied bei der Beurteilung der Vertrauenswürdigkeit von legitimen und
Phishing-Seiten unabhängig von der verwendeten Manipulationstechnik (Typ 1 bis 4), der Phase und
der Gruppenzugehörigkeit.
Bezüglich der Effektivität des URL-Pruning hinsichtlich des Webseitentyps (legitim und Phishing-Typ
1 - 4) wurden folgende Annahmen getroffen:
• Annahme 1: Die Wahrscheinlichkeit für korrekte Antworten bei legitimen Seiten ist bei Probanden
der Gruppe P im Vergleich zu Teilnehmern der Gruppe H mindestens genauso hoch oder höher.
Durch das URL-Pruning wird lediglich der Domänenname dargestellt. Durch diese Reduktion der
Informationen in der Adressleiste wird der Nutzer nicht durch durch andere Bestandteile der URL
abgelenkt und kann sich auf das Wesentliche konzentrieren.
• Annahme 2: Die Wahrscheinlichkeit für korrekte Antworten bei URLs des Typs I ist für die Probanden beider Gruppen identisch. Manipulationen dieses Typs sind am leichtesten zu erkennen, da die
URL in diesem Fall keinen Bezug zum Anbieter der legitimen Webseite hat.
• Annahme 3: Die Wahrscheinlichkeit für korrekte Antworten bei URLs des Typs II ist für Teilnehmer der Gruppe P im Vergleich zu Teilnehmern der Gruppe H höher. Durch das URL-Pruning wird
lediglich der Domänenname dargestellt. Da bei URLs des Typs II der Name des Anbieters der Webseite nicht im Domänennamen enthalten ist, sind Angriffe dieses Typs für Probanden der Gruppe P
leichter zu erkennen.
2
3
Vgl. Kap. 4.3.1 Metrik auf S. 31.
Vgl. Kap 4.3.2 Quantitative Analyse auf S. 32.
41
• Annahme 4: Die Wahrscheinlichkeit für korrekte Antworten bei URLs des Typs III ist für die Teilnehmer beider Gruppen identisch. Manipulationen dieses Typs sind ohne die Kenntnis des legitimen
Domänennamens sehr schwer zu erkennen.
• Annahme 5: Die Wahrscheinlichkeit für korrekte Antworten bei URLs des Typs IV ist für Probanden
der Gruppe P im Vergleich zu Teilnehmern der Gruppe H mindestens genau so hoch oder höher. Die
verkürzte Darstellung der URL begünstigt die Erkennung solcher Angriffe, da kleine Unterschiede
nicht zusätzlich durch die Länge der URL getarnt werden.
6.1.6 Voraussetzungen des URL-Pruning bezüglich der Nutzer
Damit das URL-Pruning dem Nutzer bei der Erkennung von Phishing hilft, müssen folgende Voraussetzungen erfüllt sein:
• Voraussetzung 1: Nutzer untersuchen im Rahmen ihrer alltäglichen Internetnutzung die URL.
• Voraussetzung 2: Nutzer wissen, dass der Domänenname als Bestandteil der URL das wichtigste
Entscheidungskriterium darstellt, um die Legitimität einer Webseite zu bestimmen.
• Voraussetzung 3: Nutzer kennen den genauen korrekten Domänennamen. Dies ist notwendig, um
Phishing-Angriffe des Typ 3 zu erkennen. Wenn ein Nutzer über kein Konto bei einer Webseite verfügt, dann ist es eher unwahrscheinlich, dass er den korrekten Domänennamen kennt. Die
Wahrscheinlichkeit, Opfer eines Phishing-Angriffs zu werden, ist in diesem Fall jedoch gering.
Diese Voraussetzungen sind identisch mit denen des Domain Highlighting. Das Domain Highlighting
setzt zusätzlich die Kenntnis über den Aufbau der URL voraus.
In der kanadischen Studie wurde nach Durchführung der Studie zwischen drei Nutzertypen unterschieden4 . Hier soll eine analoge Unterscheidung vorgenommen werden:
• Nutzertyp A: Diese Nutzer achten lediglich auf den Inhalt der Webseite, jedoch nicht auf die Adressleiste.
• Nutzertyp B: Diese Nutzer achten auf die Adressleiste und Sicherheitsindikatoren auf der Webseite.
Sie betrachten den Inhalt der Webseite lediglich, um den korrekten Domänennamen zu determinieren.
• Nutzertyp AB: Diese Nutzer sind eine Mischung des Typs A und B. Sie betrachten bei der Entscheidungsfindung sowohl den Inhalt einer Webseite als auch die Adressleiste.
Annahme 6: Für Nutzer des Typs B ist die Wahrscheinlichkeit für korrekte Entscheidungen höher, als
für Nutzer des Typs AB. Für Nutzer des Typs A ist diese Wahrscheinlichkeit am niedrigsten.
Diese Annahme untersucht die Frage, ob die Wahrscheinlichkeit für das korrekte Beurteilen der Vertrauenswürdigkeit von Webseiten bei Vorliegen der Voraussetzung 1 höher ist, als im konträren Fall.
Annahme 7: Für Nutzer, welche den korrekten Domänennamen kennen, ist die Wahrscheinlichkeit für
korrekte Entscheidungen höher, als für Nutzer, denen der korrekte Name unbekannt ist.
Diese Annahme untersucht die Frage, ob die Wahrscheinlichkeit für das korrekte Beurteilen der Vertrauenswürdigkeit von Webseiten bei Vorliegen der Voraussetzung 3 höher ist, als im konträren Fall.
4
Vgl. Kap. 4.3.3 Qualitative Analyse auf S. 33.
42
6.2 Wahl der geeigneten Form: Onlinestudie
Die Benutzerstudie wurde als Onlinestudie konzipiert, um einen breiten Kreis an Probanden zu erreichen
und eine hohe Repräsentativität der Stichprobe zu gewährleisten. Eine Laborstudie hätte sich weniger
für den hier verfolgten Zweck geeignet, da sie zum einen zeitaufwändiger gewesen wäre, zum anderen
der Kreis der Teilnehmer wesentlich kleiner ausgefallen wäre. Als angestrebtes Ziel wurde in Anlehnung
an ähnliche Studien die Anzahl von 150 bis 200 Teilnehmern pro Gruppe festgehalten [TJ07].
6.3 Tool für die Onlinestudie: SoSci Survey
Nach einer Recherche kamen als Lösungen für die Umsetzung der Onlinestudie zwei Umfrage-Tools in
die nähere Auswahl: SoSci Survey[SoS14] und SurveyMonkey[Sur14]. Auf Grund allgemeiner Erfahrungen aus vorhergehenden an der TU Darmstadt durchgeführten Umfragen und einer Evaluierung der
Funktionalität der beiden Lösungen fiel die Wahl auf SoSci Survey.
Die Entscheidung wurde durch mehrere Faktoren begünstigt. Das Tool lässt sich für rein wissenschaftliche Studien ohne Einschränkungen kostenlos nutzen. Im Gegensatz dazu beschränkt sich die Funktionalität von SurveyMonkey bei kostenloser Nutzung auf Grundfunktionen. SoSci Survey bietet eine
sehr umfangreiche Funktionalität, die stetig erweitert wird. Der Support erfolgt durch einen der Programmierer und Anfragen im Support-Forum werden in der Regel binnen Tagesfrist beantwortet. Die
Bedienbarkeit des Tools ist sehr einfach und auch ohne Vorkenntnisse schnell zu erlernen. Zudem wurde
nach der Einrichtung der Studie auf konzeptioneller Ebene die Implementierung eines für diese Studie
wichtigen Features erfolgreich getestet. Die Randomisierung der Fragen in beiden Teilen der Studie war
unabhängig voneinander möglich. Dies wäre bei SurveyMonkey nicht ohne erheblichem Mehraufwand
zu realisieren gewesen.
Aus Sicht des Datenschutzes ist zu bemerken, dass SoSci Survey seine Daten auf Servern in Deutschland speichert. Demzufolge gilt auch das deutsche Datenschutzrecht, welches im Vergleich zu anderen
Staaten einen hohen Stellenwert hat.
6.4 Auswahl der Webseiten
Ebenso, wie in der Studie von Lin et al., wurden 16 Webseiten anhand verschiedener Kriterien ausgewählt und den Teilnehmern zur Bewertung vorgelegt. Neben den beiden Auswahlkriterien Bekanntheitsgrad der Seite bzw. von ähnlichen Webseiten, sowie häufig durch Phishing betroffene Branchen, sollte
eine Vergleichbarkeit mit den Ergebnissen der kanadischen Studie gewährleistet werden. Die in Kapitel
2.2 auf Seite 15 von Kaspersky und APWG als populäre Ziele für Phishing-Angriffe identifizierten Branchen galten als Grundlage bei der Auswahl der Webseiten. Dabei wurde auf ein ausgewogenes Verhältnis
zwischen Webseiten mit finanziellem und sozialem Risiko beim Verlust persönlicher Daten geachtet. Da
die Studie in Deutschland durchgeführt wurde, waren entsprechende Anpassungen bei der Auswahl notwendig. Ein weiterer Grund für Änderungen bestand in der Tatsache, dass an Stelle der Laborstudie eine
Onlinestudie trat. Daher wurde auf die Auswahl regional bekannter Seiten verzichtet. Als Richtwert für
die Bekanntheit wurde die Top 500 Liste der Webseiten in Deutschland herangezogen [Ale13].
6.4.1 Legitime Seiten
In Tabelle 6.1 sind die bei der kanadischen Studie verwendeten URLs, sowie die zugehörigen Firmen und
eine kurze Erklärung der angebotenen Dienste zu sehen. Tabelle 6.2 listet die Auswahl der entsprechenden Seiten für die Studie in Deutschland auf. Da auf allen deutschen Seiten entsprechende Login-Daten
(Benutzername, E-Mail-Adresse, Kombination aus Filiale, Kontonummer / Kennwort bzw. PIN) verlangt
werden, wird auf eine Auflistung dieser Daten in Tabelle 6.2 verzichtet.
43
Tabelle 6.1.: Legitime Webseiten der Studie von Lin et al.
Nr.
URL (abbreviated here with ´...´)
Company / Description / Information requested
Royal Bank of Canada. Bank site’s log-in page. Requests user account credentials.
5
https://www1.royalbank.com/cgi-bin/rbaccess/
...
http://clothing.shop.ebay.com/i.html?_sacat=
11450&_nkw...
http://alumni.lib.ucalgary.ca:3048/login?
url=http://proquest.umi.com/...
https://www.google.com/accounts/
ServiceLogin?uilel=3&service=youtube...
https://auth.me.com/authenticate?service=...
6
http://websms.fido.page.ca/2way/
7
https://canada.frenchconnection.com/login.
htm?returnUrl=/...
http://www.facebook.com/r.php?invid=10000...
1
2
3
4
8
eBay. Online auction for posted items; browsing, purchasing and paying for various
items.
UC-library. University library login page to access online library services. Requests
user account credentials that could be used to access other university services.
Youtube. Video-sharing login page. Requests user account credentials.
Mobile Me. Login page to syncronize user devices, e.g., iPod, iPhone, iPad, and
laptop or desktop computer. Requests user account credentials.
Fido. Phone company login page for text messaging services. Requests user account
credentials.
French Connection. Clothes store log-in page for online shopping. Requests user
account credentials.
Facebook (invitation). Social network invitation sent by another person. Requests
user account credentials.
Tabelle 6.2.: Legitime Webseiten der Studie in Deutschland
Nr.
1
2
3
4
5
6
7
8
URL (hier abgekürzt mit ´...´)
Unternehmen / Beschreibung
https://meine.deutsche-bank.de/trxm/db/init.
do?logintab=iTAN&REQUEST=ClientS...
https://signin.ebay.de/ws/eBayISAPI.dll?
SignIn&ru=http%3A%2F%2Fwww.ebay.de%2F...
https://login.xing.com/login?dest_url=https%
3A%2F%2Fwww.xing.com%Fapp%2Fuser%3Fo...
https://accounts.google.com/ServiceLogin?
hl=de&passive=true&service=youtube&uilel=3&
continue=http%3A%2F%2Fw...
https://www.dropbox.com/s/
VPriz8EppElIxxWOwETR87Pe733ARlppUE3dx/
872keallz.yml
https://mein.t-mobile.de/cpc-sp/
Deutsche Bank Online Banking.
https://www.zalando.de/welcomenoaccount/
accessoires/sports-kapuzenpulloverdamen/?order=activation...
https://www.facebook.com/login.php?next=
http%3A%2F%2Fwww.facebook.com%2Fn%2F%
3Fevents%828F...
eBay. Online Auktionshaus für private und gewerbliche Anbieter und Kunden.
XING. Soziales Netzwerk für geschäftliche Kontakte.
Youtube. Videoportal Youtube des Unternehmens Google.
Dropbox. Cloudspeicher und Synchronisierungsdienst. Hier kann man PC, Laptop,
Tablet, Handy etc. miteinander synchronisieren und Inhalte mit anderen Nutzern
teilen.
T-Mobile. Mobilfunksparte der Telekom. Kundenseite, um auf Rechnungen zuzugreifen und Vertragsoptionen zu ändern.
Zalando. Online Schuh- und Bekleidungsshop.
Facebook (Einladung). Soziales Netzwerk. Einladung zu einem Event eines anderen Nutzers.
Im Folgenden werden die evtl. notwendigen Änderungen für jede Seite und URL aufgelistet:
• Nr. 1: Hier trat an Stelle der größten kanadischen Bank die größte Bank aus Deutschland, die
Deutsche Bank. Diese hat unter den Kreditinstituten in Deutschland mit Abstand die größte Bilanzsumme [Kuc13]. Die Länge der URL wurde durch das Anhängen von entsprechenden Zeichenketten
der in der kanadischen Studie verwendeten angepasst.
• Nr. 2: Keine Änderungen.
• Nr. 3: Hier wurde das aus Deutschland kommende und hierzulande bekannteste soziale Netzwerk
für Geschäftskontakte gewählt. Die in der kanadischen Studie verwendete Alumni-Seite oder ein
Pendant der TU Darmstadt wäre für die Onlinestudie auf Grund des niedrigen Bekanntheitsgrades
in Deutschland ungeeignet gewesen.
• Nr. 5: Ursprünglich wurde ein Dienst verwendet, der inzwischen iCloud heißt [App13]. Da sich
dieser Dienst jedoch auf Besitzer von Produkten des Unternehmens Apple beschränkt, erschien
hier die Auswahl von Dropbox besser geeignet. Dropbox bietet seine Dienste herstellerunabhängig
44
an [Dro13]. www.dropbox.com findet sich in Deutschland laut Alexa auf Platz 187 wieder, während
www.icloud.com auf Rang 1500 platziert ist. Somit ist von einer deutlich höheren Bekanntheit von
Dropbox auszugehen5 .
• Nr. 6: Die Login-Seite des kanadischen Mobilfunkanbieters Fido wurde durch das deutsche Pendant
T-Mobile ersetzt. T-Mobile ist als Tochterunternehmen der Deutschen Telekom hierzulande wohlbekannt. Hier wurde die URL entsprechend dem kanadischen Vorbild gekürzt, um die Vergleichbarkeit
der Studien zu gewährleisten.
• Nr. 7: Zalando ist der bekannteste deutsche Online Shop, der mittlerweile neben Schuhen ein
breites Sortiment an Bekleidung aller Art anbietet.
6.4.2 Phishing-Seiten
In Tabelle 6.3 sind die jeweiligen Namen und Beschreibungen der zu den Phishing-Webseiten gehörigen
Unternehmen für die kanadische Studie und die hier durchgeführte Studien aufgelistet.
Tabelle 6.3.: Phishing-Webseiten Lin et al. Studie und Studie in Deutschland
Nr.
9
10
11
12
13
14
15
16
Unternehmen und Beschreibung CHI
Unternehmen und Beschreibung Studie Deutschland
Facebook. Social network login page. Requests user account credentials.
Canada Trust Bank. Bank site’s log-in page. Requests
user account credentials.
Meebo. Login page. Requests user account credentials
for multiple social networking sites.
UC- Enrollment. For fee payment. Describes how to
pay tuition fees, but doesn’t require any personal information.
PayPal. Login page for payment of goods via bank /
credit cards. Requests account credentials.
Amazon. Online store for browsing and purchasing
books and other items.
Hotmail. E-mail/messaging login page. Requests user
account credentials.
Flickr. Photo-sharing login page that requests user account credentials.
Facebook. Soziales Netzwerk.
Postbank. Online-Banking.
Twitter. Mikroblog Seite und soziales Netzwerk.
Lovefilm. Online Videothek mit Video-on-Demand Angebot. Bietet Abo Pakete
für beide angebotenen Dienste.
PayPal. Transaktionsdiensleister für Onlinetransaktionen zum Bezahlen von
Gütern und Dienstleistungen.
Amazon. Online Shop für Bücher, Elektronik, etc.
Hotmail. Webmail- und Messaging-Zugang des Unternehmens Microsoft.
Flickr. Foto-Community des Unternehmens Yahoo.
Folgende Änderungen für die in Deutschland durchgeführte Studie wurden vorgenommen:
• Nr. 10: Hier trat an Stelle der Canada Trust Bank die Postbank. Da sowohl Postbank als auch die
Online Bank Comdirect bei den Entscheidungskriterien sehr nahe beieinander lagen, wird hier die
Entscheidung kurz erläutert. Die Postbank AG befindet sich, gemessen an der Bilanzsumme auf
Platz zehn der größten Kreditinstitute in Deutschland, während die Commerzbank AG Platz zwei
einnimmt [Kuc13]. Das Alexa Ranking der Webpräsenz beider Banken liegt auf einem ähnlichen
Niveau. Allerdings rufen 94,12% der Besucher die Login-Seite der Postbank auf, während es bei
der Comdirect lediglich 46,94% sind6 . Daher fiel die Entscheidung auf die Postbank.
5
6
Im Gespräch mit zwei Besitzern von Apple Geräten erläuterten diese, dass sie sich nicht auf der entsprechenden Seite einloggen. Der Dienst wird einmalig beim Einrichten eines neuen Gerätes mit eingerichtet und verlangt danach nicht mehr
die Eingabe von Login-Daten vom Benutzer. Bei Dropbox ist dies ähnlich. Da jedoch eine möglichst hohe Vergleichbarkeit
beider Studien erreicht werden sollte, wurde auf eine weitere Änderung der Auswahl verzichtet.
Die Zahlen stammen aus der erweiterten Statistik der beiden Seiten http://www.alexa.com/siteinfo/postbank.de
und http://www.alexa.com/siteinfo/comdirect.de. Zuletzt aufgerufen am 19. Dezember 2013.
45
• Nr. 11: Twitter ersetzt den Instant-Messaging-Dienst Meebo, der mittlerweile von Google akquiriert und eingestellt wurde [mee12]. Twitter ist ein in Deutschland bekannter Anbieter, um kurze
Textnachrichten zu versenden, soziale Netzwerke aufzubauen und Microblogs zu führen.
• Nr. 12: Lovefilm wurde als Ersatz für die kanadische Seite der Universität zum bezahlen der Semestergebühren gewählt. Die Wahl fiel auf Lovefilm, da dieses Unternehmen ebenfalls regelmäßig
zu zahlende Abonnements für den online Videoverleih und Video-on-Demand Dienste anbietet.
Lovefilm ist ein Unternehmen von Amazon und gehört zu den größten Anbietern entsprechender
Dienste in Europa.
• Nr. 13 und 14: Für diese Seiten wurden anstatt der kanadischen die deutsche Webpräsenz verwendet.
In Tabelle 6.4 sind die in den beiden Studien verwendeten URLs der Phishing-Seiten zu sehen. Unter
den Nummern mit dem jeweiligen Buchstabenzusatz "a" finden sich die Internetadressen der Originalseiten wieder. Der Buchstabe "b" steht für die daraus generierten Phishing-URLs. In der zweiten Spalte
finden sich die in Kapitel 6.1.3 auf Seite 40 definierten nutzerorientierten Phishing-Typen für die deutschen Webseiten wieder. Die URLs der in Kanada durchgeführten Studie wurden aus der Veröffentlichung
übernommen.
Tabelle 6.4.: URLs der Phishing-Webseiten Lin et al. Studie und Studie in Deutschland
Nr.
CHI Studie (lange URLs wurden mit ´...´
abgekürzt)
Studie Deutschland (lange URLs wurden mit ´...´ abgekürzt)
9a
9b
10a
http://www.facebook.com/login
http://192.168.111.112/login
https://easywebcpo.td.com/waw/idp/
login.htm?...
http://www.easyweb.td-canadatrust.
ca/
http://www.meebo.com/
http://www.meebo.webmessenger.com/
http://www.ucalgary.ca/registrar/
payment
http://www.uca1gary.ca/registrar/
payment
http://www.paypal.ca
http://www.paypa1.ca
http://www.amazon.ca/Golden-MeanAnnabel-Lyon...
http://www.amazon.ca.
checkingoutbookonline.ca/GoldenMean-Annabel-Lyon/...
http://login.live.com/login.srf?wa=
wsignin1.0...
http://login.hotmailsecure.com...
https://www.facebook.com/login
https://192.168.111.112/login
https://banking.postbank.de/rai/login
1
https://banking.postbank-online-banking.de
3
https://twitter.com/
https://twitter.webmessenger.com/
https://www.lovefilm.de/visitor/login_lf.html
2
https://www.lovefi1m.de/visitor/login_lf.html
4
https://www.paypal.de/webapps/mpp/privatkunden
https://www.paypa1.de/webapps/mpp/privatkunden
https://www.amazon.de/ap/signin/257-2652062-46...
4
10b
11a
11b
12a
12b
13a
13b
14a
14b
15a
15b
16a
16b
https://login.yahoo.com/config/
login?.src=flickr...
http://login.flickr.net/config/
login?.src=flickr...
https://www.amazon.de.bestellungabschliessenbuecheronline.de/
ap/signin/257-2652062-4677838?_en...
https://login.live.com/login.srf?wa=wsignin1.0&rpsnv=12&ct=
1389404213&rver=6.4.6456.0&wp=...
https://login.hotmailsecure.com/login.srf?wa=wsignin1.0&rpsnv=
12&ct=1389404213&rver=6.4.6456.0&wp=...
https://login.yahoo.com/config/login?.src=flickrsignin&.pc=
8190&.scrumb=0&.pd=c%3DH6T9XcS72e4m...
https://login.xpla.net/config/login?.src=flickrsignin&.pc=
8190&.scrumb=0&.pd=c%3DH6T9XcS72e4m...
PhishingTyp
2
3
2
Während der Auswahl der Pendants für die hier durchgeführte Studie wurden die URLs der in der kanadischen Studie verwendeten Webseiten, soweit dies nachvollzogen werden konnte, überprüft. Bei der
Recherche wurde die WayBackMachine eingesetzt, um die zu der Zeit der kanadischen Studie gebräuchliche URL der jeweiligen Webseite zu ermitteln. Im Rahmen dieser Überprüfung stellte sich heraus, dass
die URL mit der Nummern 13a(Lin et al.) bereits damals auf die Seite https://www.paypal.ca/ca/cgibin/webscr?cmd=_home umgeleitet wurde7 [Int11]. Da Betrüger, die einen Domänennamen registriert
7
D. h. konkret, dass der Besucher von Paypal genau diese (lange) Form der URL zu sehen bekam, statt der von Lin et al.
angegebenen (kurzen) paypal.ca.
46
haben, den genauen Pfad ohne Schwierigkeiten nachbilden können und für den Erfolg ihres PhishingVersuches auch würden, wurde für die deutsche Studie die lange Form der URL verwendet. Die Länge
der URLs wurde aus dem gleichen Grund für die Nummer 15b entsprechend dem Vorbild des Originals
angepasst.
6.5 Technische Umsetzung
Auswahl des Webbrowsers: Der für die Darstellung der getesteten Webseiten gewählte Browser sollte repräsentativ für die Umgebung, in der die Studie durchgeführt wurde, sein. Da in Deutschland Firefox die
größten Marktanteile hat (siehe Abbildung 6.1), wurde für das Erstellen von Screenshots eine neue Installation der am 11. Februar 2014 aktuellen Version Firefox 26.0 im Auslieferungszustand ohne Add-ons
verwendet. Es wurden lediglich die beiden Plugins Java und Shockwave Flash in der jeweils aktuellen
Version installiert. Die Screenshots wurden auf einem Windows 7 64 Bit Betriebssystem mit allen bis zu
diesem Datum verfügbaren Sicherheitsupdates gemacht.
Abbildung 6.1.: Top 9 Browser in Deutschland von Januar bis Dezember 2013 Quelle: StatCounter
[Sta13b]
In den drei beliebtesten (vgl. Abbildung 6.1) Browsern Deutschlands werden die Adresse sowie vorhandene SSL-Zertifikate unterschiedlich dargestellt. Die unterschiedliche Darstellung ist in Abbildung
6.2 zu sehen. In Chrome wird ein positiv geprüftes (einfaches) SSL-Zertifikat durch ein grünes Schloss
und dem Schema "https" in grüner Schriftfarbe angezeigt. Dies könnte einen Einfluss auf die Entscheidung der Teilnehmer haben, da in Firefox, ähnlich wie im Internet Explorer, keine entsprechende farbige
Hervorhebung gültiger Zertifikate stattfindet. Die Darstellung der EV-Zertifikate ist bei den drei Browsern ebenfalls unterschiedlich. Während im Internet Explorer (Microsoft) die gesamte Adressleiste mit
rechts positioniertem Namen des Zertifikatsinhabers grün hervorgehoben wird, beschränken sich Firefox
und Chrome auf die farblich grüne Hervorhebung des vorangestellten Namens des Zertifikatsinhabers.
Da bereits der in Deutschland meistverwendete Browser für die Screenshots ausgewählt wurde, blieben
entsprechende Anpassungen zur Wahrung der Repräsentativität aus.
47
Abbildung 6.2.: Darstellung der Internetadresse in unterschiedlichen Browsern
Screenshots statt Proxy: Für die Studie sollten die Teilnehmer eine Auswahl an Webseiten auf ihre Vertrauenswürdigkeit beurteilen. Da die in der kanadischen Studie verwendete Proxy-Lösung nicht in der
Umgebung von SoSci Survey umsetzbar war, wurden die verwendeten Seiten als Screenshots repräsentiert. Dies stellt eine einfache Möglichkeit dar, sowohl legitime Seiten als auch Phishing-Seiten zu
simulieren.
Bearbeitung der Screenshots: Für alle Webseiten wurde jeweils ein Bildschirmfoto des legitimen Pendants erstellt. Bei den Phishing-Seiten sowie für die Gruppe der Probanden mit den kurzen URLs wurde
äquivalent zur Studie von Lin et al. lediglich die URL im Bildbearbeitungsprogramm GNU Image Manipulation Program (GIMP) bearbeitet. Die Screenshots wurden in einer Auflösung von 1024x768 Bildpunkten erstellt, da immer noch ca. 10% der Internetnutzer in Deutschland diese Auflösung verwenden
[Kuh13][Sta13a].
6.6 Mapping von https und Extended Validation
Die für die Studie ausgewählten Webseiten bieten das Login alle über ein SSL-Zertifikat an8 .
Bei allen URLs wurde das https-Schema verwendet. Einige verfügten jedoch über ein ExtendedValidation-Zertifikat, welches in Firefox und auch in anderen Browsern durch visuelle Techniken hervorgehoben wird. Dies geschieht, da der Vergabe eines solchen Zertifikats eine strengere Überprüfung
der Identität und Autorität des Antragstellers in einem Standardverfahren vorhergeht [tha14]. Für die
Phishing-Seiten stellte sich nun die Frage, wie mit einem Standardzertifikat und mit einem EV-SSLZertifikat verfahren werden soll. Da Betrüger ohne größere Schwierigkeiten ein SSL-Zertifikat beschaffen
können, wurde für die Phishing-URLs das https-Schema beibehalten. Auf Grund der strengeren Vergabekriterien bei EV-SSL-Zertifikaten ist es Betrügern jedoch nur unter erheblichem Aufwand möglich, ein
solches Zertifikat für eine Phishing-Seite zu erhalten. Daher wurde bei der Umsetzung der PhishingSeiten der Unternehmen mit EV-SSL-Zertifikat dieses durch ein gewöhnliches SSL-Zertifikat ersetzt. Dies
geschah, indem die Screenshots entsprechend mit GIMP bearbeitet, und die optische Hervorhebung in
der Adressleiste des Browsers durch ein gewöhnliches "https" ersetzt wurde.
6.7 Einschränkungen
Auf Grund der durch die Screenshots bedingten statischen Webseiten traten einige Einschränkungen für
die Studie auf, deren Bedeutung und Lösungsansätze im Folgenden vorgestellt werden.
Kontrollkästchen "Eingeloggt bleiben": Bei Twitter, Ebay, Youtube und Dropbox ist der Haken im Kontrollkästchen, ob man eingeloggt bleiben möchte, standardmäßig gesetzt. Bei einigen Probedurchläufen
zeigte sich jedoch, dass dies die Teilnehmer irritiert. Sie gaben an, dass sie sich zwar auf den entsprechenden Seiten einloggen würden, allerdings nicht, wenn sie eingeloggt bleiben müssten. Begründet wurde
8
Einige der während der Auswahlphase besuchten Startseiten boten standardmäßig das Login über http unverschlüsselt
an, obwohl nach dem Login eine verschlüsselte Verbindung eingerichtet wird. Für den Nutzer heißt dies, dass seine
sensiblen Login-Daten im Klartext über das Internet übertragen werden, was ein erhebliches Sicherheitsrisiko darstellt.
Als Beispiele seien http://www.xing.com/de und http://www.zalando.de/ genannt. Letzterer hat irreführenderweise
einen deutlich sichtbaren Hinweis "Sichere Verbindung" von einem grünen Schloss untermalt unter dem Anmeldeknopf
plaziert. Stand: 14. Februar 2014.
48
diese Entscheidung mit der ubiquitären Verfügbarkeit der Ressource "Internet" (Beispielsweise Arbeitsplatz, Universität, Internetcafé) und den damit verbundenen Möglichkeiten des Missbrauchs, wenn man
vergisst, sich auszuloggen. Daher wurden die entsprechenden Haken in den Kontrollfeldern mit GIMP
entfernt.
Mixed content Warnung: Bei der Login-Seite von T-Mobile wurde durch einen Sicherheitsmechanismus des Browsers Firefox ein deutlich sichtbares Ausrufezeichen in der Adressleiste eingeblendet (siehe
Abbildung 6.3). Dies geschah, da einige Inhalte der Seite unverschlüsselt übertragen wurden. Das Ausrufezeichen führte im Testinterview in einem Fall zu einer Verunsicherung des Teilnehmers. Da dies jedoch
ein Fehler des Betreibers der Seite ist, den jeder Besucher zu sehen bekommt und der in der Realität
auftreten kann, wurden auf Grund der Repräsentativität der Studie keine Änderungen an dem Bild vorgenommen9 .
Abbildung 6.3.: Mixed Content Warnung bei T-Mobile
Aktuelle Sicherheitshinweise: Auf den Seiten der beiden Banken, Postbank und Deutsche Bank, waren im Content-Bereich am unteren Rand der Seite deutlich sichtbare Sicherheitshinweise auf aktuelle
Phishing-Versuche eingeblendet (siehe Abbildung 6.4). In den Vorversuchen waren einige der Teilnehmer
hierdurch ebenfalls verunsichert. Aus dem o. g. Grund wurde jedoch keine Nachbearbeitung der Seiten
vorgenommen.
Abbildung 6.4.: Sicherheitshinweise bei der Deutschen Bank (oben) und der Postbank (unten)
6.8 Studienaufbau
Im Folgenden wird der Aufbau der Studie vorgestellt. Dabei werden die verschiedenen Phasen der Studie
erläutert und die Konzeption der Fragen erklärt. Die Screenshots der gesamten Studie mit Fragenkatalog sind in Kapitel A auf Seite 75ff. zu finden. Wie bereits erläutert, wurden die Studienteilnehmer in
zwei Gruppen aufgeteilt, um das Domain Highlighting (Gruppe H) mit dem URL-Pruning (Gruppe P)
vergleichen zu können. Die Teilnehmer beider Gruppen haben in zwei Phasen die Vertrauenswürdigkeit
von jeweils acht legitimen Seiten und acht Phishing-Seiten beurteilt. In der zweiten Phase erfolgte der
Hinweis, sich bei der Entscheidung auf die Adressleiste des Browsers zu konzentrieren.
9
Der Fehler wurde von T-Mobile inzwischen behoben. Stand: 28. März 2014.
49
6.8.1 Begrüßung und Anweisungen
Zunächst bekamen die Teilnehmer die Begrüßungsseite zu sehen. Auf dieser wurde Ihnen der Zweck der
Studie kurz erklärt. Weiterhin wurde die voraussichtliche Dauer der Studie angegeben, sowie bei Bedarf Hinweise zur Verlosung und zum Datenschutz angezeigt10 . Analog zur Studie von Lin et al. erfolgte
kein Hinweis auf Phishing. Den Teilnehmern wurde lediglich mitgeteilt, dass sie an einer Studie teilnehmen, die die visuellen Unterstützungen des Webbrowsers zur Erkennung von nicht vertrauenswürdigen
Webseiten untersucht. Ein Hinweis auf die Adressleiste des Browsers blieb an dieser Stelle ebenfalls aus.
Die zweite Seite enthielt eine Erklärung zum Ablauf der Studie sowie einige Hinweise. Die Teilnehmer
sollten sich ohne fremde Hilfe entscheiden, ob sie sich auf den Internetseiten, die ihnen in den Bildern
gezeigt wurden, einloggen würden. Ein gezielter Hinweis, keine Suchmaschinen zu benutzen, erfolgte
nicht, da dies unter Umständen gerade das Gegenteil bewirkt hätte11 . Die Anweisungen auf der zweiten
Seite der Studie lauteten wie folgt:
"Die Studie ist in zwei Teile gegliedert. In beiden Teilen werden Ihnen Bilder von Internetseiten gezeigt, bei
denen Sie sich entscheiden sollen, ob Sie sich auf der jeweiligen Internetseite einloggen würden oder nicht.
Im Anschluss an beide Teile folgen einige kurze Fragen zu Ihren Antworten.
Wichtig! Für die angestrebten Verbesserungen ist es wichtig, dass Sie die Fragen ohne fremde Hilfe beantworten. Es kommt dabei nicht darauf an, ob Ihre Antworten „richtig“ sind. Unser Ziel ist die Entwicklung
von Verbesserungen, die Sie gerade bei Unsicherheiten unterstützen sollen. Es sind Kontrollfragen enthalten, die das automatisierte Ausfüllen des Fragebogens durch sogenannte Bots überprüfen. Diese enthalten die
Antwort bereits in der Fragestellung. Lesen Sie sich daher bitte die Fragen genau durch."
10
11
Um für eine hohe Motivation der Teilnehmer zu sorgen, wurde unter allen Teilnehmern ein 50€ Amazon Gutschein
verlost.
In den Probeinterviews zeigte sich, dass die Probanden im Rahmen ihres natürlichen Verhaltens bei der Überprüfung
der Authentizität von URLs teilweise dazu neigen, bei Google nachzuschauen. Dies ist zwar förderlich um Phishing zu
erkennen, nicht aber, um die hier gestellte Frage nach der Effektivität von kurzen URLs zu beantworten. Daher wurden die
Teilnehmer auch darauf hingewiesen, dass es unwichtig ist, ob sie die entsprechenden Seiten kennen, da die angestrebte
Verbesserung sie gerade in unsicheren Situationen unterstützen sollte.
50
6.8.2 Erster Fragenblock
Abbildung 6.5.: Beispiel einer Frage
Im ersten Fragenblock wurden den Teilnehmern die 16 Webseiten präsentiert. Die Fragestellung ist am
Beispiel der für PayPal erstellten Phishing-Seite in Abbildung 6.5 zu sehen. Die Fragestellung war für alle
51
Seiten gleich. Für die beiden Banken wurde nach den Testinterviews die Fragestellung angepasst, sodass
hier nach Kontonummer und PIN gefragt wurde. Die Fragestellung für die Beurteilung der Legitimität
der Webseiten lautete wie folgt:
"Stellen Sie sich vor, Sie besuchen die Seite auf diesem Bild und nehmen Sie an, dass Sie über ein Benutzerkonto bei XYZ verfügen. Würden Sie Ihr Passwort eingeben?"
6.8.3 Zwischenfragen nach der ersten Phase
Nach dem ersten Fragenblock folgten einige Zwischenfragen. Zunächst wurde danach gefragt, wie sicher
sich die Teilnehmer bei der Beantwortung der Fragen in der ersten Phase im Allgemeinen waren. Dies
wurde ebenfalls mit einer Fünf-Punkte-Skala realisiert. Die Antwortmöglichkeiten lauteten wie folgt:
"sehr unsicher", "unsicher", "neutral", "sicher" und "sehr sicher".
Im Folgenden wurden die Teilnehmer mit Antwortmöglichkeit in einem offenen Textfeld gefragt, wonach sie bei der Beantwortung der Fragen Ausschau gehalten haben bzw. worauf ihre Entscheidung im
Allgemeinen basiert, ob sie sich auf einer Internetseite einloggen. Die offene Eingabe wurde hier gewählt, da die Teilnehmer unvoreingenommen auf die Frage antworten sollten. Auf der folgenden Seite
wurde ein Bild mit verschiedenen hervorgehobenen Bereichen präsentiert (vgl. Abbildung 6.6).
Abbildung 6.6.: Entscheidungsgrundlage: Bereiche von Webseiten
Die Fragestellung war zu der vorherigen ähnlich. Die Teilnehmer sollten einen Bereich benennen, welcher bei Ihrer Entscheidung die größte Rolle spielt. Als Ausweichoption stand bei dieser Frage ein offenes
Eingabefeld zur Verfügung. Bei diesen beiden Fragen sollte vorrangig geprüft werden, ob die Teilnehmer
52
bereits im ersten Teil der Studie, also ohne vorherigem Hinweis, auf die Adressleiste des Browsers achten. Weiterhin ermöglichen die beiden Fragen die Evaluierung relevanter Entscheidungskriterien bei der
Beurteilung der Vertrauenswürdigkeit von Webseiten.
6.8.4 Zweiter Fragenblock
Vor der Beantwortung der nächsten Fragen erhielten die Teilnehmer Instruktionen zur Vorgehensweise
während der zweiten Phase. Anhand eines Bildes, in dem die Adressleiste des Browsers hervorgehoben
dargestellt wurde, erfolgte eine kurze Erklärung der Bedeutung der Adressleiste (vgl. Abbildung 6.7).
Die Teilnehmer wurden darauf hingewiesen, dass hier die Internetadresse der besuchten Seite angezeigt
wird und sie sich bei ihren Entscheidungen im nächsten Abschnitt auf die Adressleiste konzentrieren
sollen. Damit war die Aufmerksamkeit der Probanden vom Inhalt der Seite zur Adressleiste gelenkt. Die
folgenden Fragebogenseiten enthielten wieder die 16 Webseiten mit der Fragestellung, die bereits für den
ersten Block beschrieben wurde. Die Reihenfolge der Fragen war wiederum zufällig. Traten Unterschiede
zwischen den beiden Teilen der Studie auf, konnten diese für Gruppe H auf das Domain Highlighting
bzw. für Gruppe P auf die kurzen URLs zurückgeführt werden.
Abbildung 6.7.: Anweisung in der zweiten Phase auf die Adressleiste zu achten
6.8.5 Zwischenfragen nach der zweiten Phase
Im Anschluss an den zweiten Fragenblock wurden die Teilnehmer wieder gefragt, wie sicher sie sich
bei ihren Antworten waren und ob ihnen der Hinweis, auf die Adressleiste zu achten, geholfen hat. Für
die nächste Frage, wonach sie bei ihrer Entscheidung diesmal Ausschau gehalten haben, war wieder
ein offene Texteingabe vorgesehen. Anschließend wurde den Teilnehmern ein Bild (vgl. Abbildung 6.8)
mit hervorgehobenen Bereichen gezeigt. Diesmal waren lediglich Bereiche der Adressleiste markiert. Die
Teilnehmer sollten wieder angeben, auf welchen Bereich sie ihre Entscheidung stützen. Die Abbildung
war für beide Gruppen gleich. Die Frage lautete wie folgt:
"Welchen Bereich des Bildes betrachten Sie am häufigsten bei der Entscheidung, sich auf einer Internetseite
einzuloggen?"
Diese Fragen ermöglichen die Überprüfung, ob die Teilnehmer über entsprechendes Vorwissen verfügen, um die Phishing-URLs richtig zu interpretieren.
6.8.6 Kontrollfrage
Zu Beginn der Studie erfolgte ein Hinweis, dass einige Kontrollfragen zur Überprüfung auf das automatisierte Ausfüllen des Fragebogens durch Bots enthalten sind (vgl. Kapitel 6.8.1 Begrüßung und An53
Abbildung 6.8.: Entscheidungsgrundlage: URL Bereiche
weisungen auf S. 6.8.1). Der Fragebogen enthielt lediglich an dieser Stelle eine entsprechende Frage,
die allerdings zur Überprüfung der Aufmerksamkeit der Probanden diente. Die Antwort auf die Frage war bereits in der Fragestellung vorgegeben. Die Teilnehmer sollten das Wort "super" in die offene
Texteingabebox eintragen. Dies wurde durch die Frage getarnt, wie oft die Teilnehmer das Internet für
Finanzgeschäfte benutzen, wobei entsprechende Auswahlmöglichkeiten geboten wurden, um die Frage
"korrekt" zu beantworten12 .
6.8.7 Bekanntheitsgrad der Unternehmen
Für die in der Studie verwendeten Unternehmen und Dienste wurden den Teilnehmern jeweils die Logos
gezeigt. Sie wurden gefragt, ob sie das jeweilige Unternehmen kennen und ob sie über ein OnlineBenutzerkonto bei dem Unternehmen verfügen. Schließlich sollten die Probanden die Domänennamen
der einzelnen Unternehmen in ein Textfeld eintippen. Die insgesamt 45 Fragen, die auf einer Seite präsentiert wurden, sollten prüfen, ob die Teilnehmer die in der Studie verwendeten Unternehmen kennen.
Dies ermöglichte die Beantwortung der Frage, inwiefern die Teilnehmer über entsprechendes Wissen
verfügen, um die Korrektheit von Domänennamen beim URL-Pruning zu überprüfen. Es erfolgte der
Hinweis, dass es nicht darauf ankommt, den Domänennamen genau zu kennen, sondern dass eine Vermutung als Antwort ebenfalls reicht.
6.8.8 Demographische Angaben
Anschließend wurden die Teilnehmer nach Alter, Geschlecht, dem letzten erreichten Bildungsstand und
einer Zugehörigkeit zur IT-Branche gefragt13 . Auf Grund des Datenschutzes war die Angabe demographischer Daten optional. Um die Vertrautheit mit Firefox festzustellen, sollten die Teilnehmer angeben,
ob sie diesen Browser innerhalb der letzten Woche genutzt haben.
6.8.9 Abschluss der Studie
Zum Ausgang des Interviews wurden die Teilnehmer über den eigentlichen Zweck der Studie informiert
und hatten die Möglichkeit, ihre Teilnahme zu widerrufen. Weiterhin bot ein offenes Eingabefeld Raum
für Anregungen. Um interessierten Teilnehmern eine Einstiegshilfe in die Thematik zu geben, wurde
eine Informationsseite des BSI zum Thema Phishing verlinkt. Die Angabe der E-Mail-Adresse war sowohl
für die Teilnahme an der Verlosung des 50€ Amazon Gutscheins als auch für die Information über die
Ergebnisse der Studie optional möglich14 .
12
13
14
Da sich in den Probeinterviews gezeigt hat, dass die Fragestellung anfänglich zu komplex war (die Teilnehmer konnten
trotz sorgfältigem Durchlesen die Frage nicht korrekt beantworten), wurde die Fragestellung in mehreren Iterationen
entsprechend vereinfacht. Trotzdem kann eine falsche Antwort lediglich als Indikator für Unaufmerksamkeit dienen. Ob
diese tatsächlich vorliegt, kann lediglich durch weitere Prüfung der Antworten bestätigt werden.
Auf Grund technischer Schwierigkeiten wurden die Fragen nach dem Bildungsstand und nach der Zugehörigkeit zur
IT-Branche nach 102 Teilnehmern eingefügt.
Die E-Mail-Adresse wurde aus Datenschutzgründen getrennt von den Datensätzen der Studie gespeichert. SoSciSurvey
bietet diese Funktionalität standardmäßig an.
54
6.9 Konfiguration von SoSci Survey
Zu Beginn der Studie wurde die Einteilung in die beiden Gruppen H und P und die Randomisierung
der Fragen vorgenommen. Im Folgenden wird die Konfiguration dieser beiden Schritte in SoSci Survey
erklärt.
6.9.1 Gruppeneinteilung
Die Einteilung in die beiden Gruppen erfolgte mit Hilfe einer Urne, aus der ohne Zurücklegen Lose
gezogen wurden. Zu Beginn der Studie wurde die Urne mit zwei Losen aufgefüllt, einer für Gruppe
H und einer für Gruppe P. Jeder Teilnehmer der Studie erhielt ein Los und wurde der entsprechenden
Gruppe zugeteilt. War die Urne leer, wurde sie wieder mit zwei Losen für die beiden Gruppen befüllt.
Wenn ein Proband die Studie vor dem erreichen der letzten Seite verlassen hatte, wurde sein Los wieder
in die Urne zurückgelegt, um das Zählen von Aussteigern zu verhindern. Auf Grund dessen konnte der
Fall eintreten, dass die Urne kurzzeitig mehr als zwei Lose enthielt. Im gesamten Befragungszeitraum
sorgte das Verfahren für eine ausgeglichene Verteilung der Probanden auf beide Gruppen.
Das Listing 6.1 zeigt die Umsetzung in PHP. Dabei stellt der Parameter end sicher, dass lediglich dann
ein Los als endgültig gezogen gilt, wenn ein Teilnehmer auch tatsächlich die letzte Seite der Studie
erreicht hat.
1
2
3
4
5
6
7
8
urnDraw ( ’ t e i l n e h m e r ’ , ’ AB01 ’ , ’ end ’ ) ;
$ e r g e b n i s = v a l u e ( ’ AB01_01 ’ ) ;
i f ( $ e r g e b n i s == 1) {
goToPage ( A001 ) ;
} e l s e i f ( $ e r g e b n i s == 2) {
goToPage ( B001 ) ;
}
Listing 6.1: Einteilung in Gruppen
6.9.2 Randomisierung der Fragen
Analog zur Studie von Lin et al. wurde die Reihenfolge der Webseiten für beide Teile der Studie randomisiert. Dies geschah mit Hilfe von Arrays. In Listing 6.2 wird zunächst das Array $fragenA1 für die
Gruppe H und den ersten Teil der Studie mit den entsprechenden Fragen angelegt.
1
2
3
4
5
6
7
8
9
10
11
12
13
14
$fragenA1 = a r r a y (
’ A101 ’ ,
’ A102 ’ ,
’ A103 ’ ,
...
’ A116 ’
);
s h u f f l e ( $fragenA1 ) ;
r e g i s t e r V a r i a b l e ( ’ fragenA1 ’ ) ;
...
$ f r a g e = $fragenA1 [ 0 ] ;
question ( $frage ) ;
Listing 6.2: Randomisierung der Fragen
55
Die Fragen werden im zweiten Schritt mit der Funktion shuffle() zufällig gemischt und das Array für
alle weiteren Seiten des Fragebogens mit registerVariable() zur Verfügung gestellt. Auf den folgenden Seiten kann nun jeweils eine Frage aus dem Array, wie in Zeile 13 bis 14 des Listings dargestellt, ausgewählt
und angezeigt werden.
6.10 Ethik
Die an der TU Darmstadt geltenden ethischen und moralischen Grundsätze wurden bei der Durchführung
der Studie beachtet. Die Teilnehmer waren zu keinem Zeitpunkt einem tatsächlichen Risiko ausgesetzt,
Phishing-Opfer zu werden. Auf der Begrüßungsseite der Studie wurden sie darauf hingewiesen, dass ihre
Teilnahme freiwillig ist und dass sie jederzeit die Studie abzubrechen können. Die Angabe von persönlichen Daten war optional. Bei der Konzeption der Studie wurde der Grundsatz der Datensparsamkeit
beachtet. Ferner wurden die Teilnehmer darauf hingewiesen, dass die erhobenen Daten lediglich zweckgebunden zur Untersuchung der Fragestellung der Studie verwendet werden und eine Veröffentlichung
der Daten ausschließlich anonymisiert erfolgt. Mit der Verwendung von SoSci Survey wurde sichergestellt, dass die Daten der Studienteilnehmer dem deutschen Datenschutzrecht unterliegen. Die getrennt
erhobenen Kontaktdaten wurden zweckbestimmt verwendet und nach der Zweckerfüllung gelöscht15 .
Nach der Teilnahme an der Studie wurden die Teilnehmer über den eigentlichen Zweck der Studie aufgeklärt und hatten nochmals die Möglichkeit, ihre Teilnahme zu widerrufen. Zuletzt wurde ihnen über
einen Link die Möglichkeit geboten, sich auf der Webseite des BSI über Phishing zu informieren.
15
Die Kontaktdaten der Teilnehmer, die an den Ergebnissen der Studie interessiert sind, werden nach erfolgtem Versand
der Ergebnisse gelöscht. Dies erfolgt voraussichtlich im April 2014.
56
7 Evaluierung der Studie
Im Folgenden erfolgt die Evaluierung der in der Studie gesammelten Daten und die Diskussion der
Ergebnisse.
7.1 Teilnehmer
7.1.1 Rekrutierung
Die Teilnehmer der Studie sollten anhand ihrer demografischen Merkmale möglichst breit gefächert
sein, da das hier untersuchte URL-Pruning jedem Internetnutzer helfen soll, nicht nur dem technisch
versierten. Die Rekrutierung der Teilnehmer erfolgte auf verschiedenen Kanälen. Neben Flyern und Aushängen wurden Freunde und Bekannte auch direkt über E-Mails angesprochen. Im Internet erfolgten
Bekanntmachungen bei Facebook in verschiedenen Gruppen sowie in einem deutschlandweiten Forum
für Mountainbiker (ca. 9600 registrierte Nutzer) und in einem Berliner Blog (ca. 100 Besucher täglich). Über einen Freund konnte ein breiter potentieller Teilnehmerkreis mit einer Bekanntmachung
im Intranet eines Unternehmens mit ca. 6000 Mitarbeitern an verschiedenen Standorten angesprochen
werden.
Aushänge wurden an der TU Darmstadt, in Studentenwohnheimen und in Supermärkten verteilt. Die
Aushänge wurden, soweit öffentlich zugänglich, im gesamten Befragungszeitraum mehrfach kontrolliert
und im Bedarfsfall ersetzt. Zu den Facebook Gruppen zählten eine regionale Gruppe (ca. 2800 Mitglieder) sowie eine Darmstädter und eine Münchener Studentengruppe (ca. 400 bzw. ca. 1500 Mitglieder).
Die E-Mail an Freunde und Bekannte enthielt Anweisungen, sie nach dem Schneeballprinzip an weitere
Personen weiterzuleiten. Sie wurde auch über mehrere E-Mail-Verteiler versandt (Lehrerkollegium eines
Gymnasiums mit ca. 150 Mitgliedern, SecUSo Verteiler, Freiwillige Feuerwehr eines Ortes mit ca. 2000
Einwohnern, Verteiler eines Wohnkomplexes).
In Abb. 7.1 ist das Design des Aushangs zu sehen. Die versandte E-Mail war inhaltlich weitestgehend
Abbildung 7.1.: Beispiel eines Aushangs
mit dem Aushang identisch. Bei der Konzeption wurde darauf geachtet, die wichtigsten Informationen
in möglichst kurzer Form zu präsentieren. Neben der motivierenden Wirkung der Teilnahmemöglichkeit
an einer Studie zu einem aktuellen Thema wurde als zusätzlicher Anreiz ein Amazon Gutschein im Wert
von 50€ unter allen Teilnehmern verlost.
57
7.1.2 Demographische Merkmale
Insgesamt wurden die Antworten von 411 Teilnehmer der Studie ausgewertet1 . Diese haben die Studie vollständig ausgefüllt. Die Aufteilung der Teilnehmer auf die beiden Gruppen H und P sowie die
Altersstruktur der Probanden ist in Tabelle 7.1 zu sehen.
Auf die Gruppe H mit langen URLs entfielen 210 Teilnehmer, auf die Gruppe P 201. Die Frage nach
dem Alter war optional. 400 der Teilnehmer haben diese auch beantwortet. Die Altersstruktur zwischen
beiden Gruppen war sehr ähnlich. Das Durchschnittsalter betrug für die Gesamterhebung 34,7 Jahre.
Der Median war mit 31 Jahren etwas niedriger. Diese Werte unterschieden sich zwischen den beiden
Gruppen jeweils um 1 Jahr. Der jüngste Teilnehmer war 16 Jahre alt, der älteste 722 .
Tabelle 7.1.: Teilnehmeranzahl und Altersstruktur der Teilnehmer
Anzahl Teilnehmer
Angegeben
Mittelwert
Standardabweichung
Median
Jüngster
Ältester
Gesamt
H
P
411
400
34,73
13,74
31
16
72
210
203
35,23
13,44
31
16
72
201
197
34,21
14,06
30
16
71
Die absolute und relative Häufigkeit der Geschlechter wird in Tabelle 7.2 dargestellt. Diese Frage war
ebenfalls optional, wobei 405 der 411 Probanden entsprechende Angaben gemacht haben. Auch hier
ergaben sich zwischen den beiden Gruppen lediglich nicht signifikante Unterschiede in Höhe von 1,35%
bei den weblichen und 2,36% bei den männlichen Teilnehmern. Ungefähr ein Drittel der Probanden
waren weiblich, zwei Drittel männlich. Zwei Probanden der Gruppe P gaben "sonstiges" als Geschlecht
an.
Tabelle 7.2.: Häufigkeitsverteilung der Geschlechter absolut (in Prozent)
Angegeben
Männlich
Weiblich
Sonstiges
Gesamt
H
P
405
266 (65,70%)
137 (33,83%)
2 (0,49%)
208
139 (66,83%)
69 (33,17%)
0 (0,0%)
197
127 (64,47%)
68 (34,52%)
2 (1,02%)
Tabelle 7.3 zeigt die Verteilung der Teilnehmer anhand der Frage, ob sie in der IT-Branche arbeiten,
oder einen korrespondierenden Studiengang belegen3 .
Auch diese Frage war optional. Ca. ein Viertel der Teilnehmer haben einen entsprechenden ITHintergrund angegeben. Die Anzahl der Teilnehmer mit IT-Hintergrund unterschied sich zwischen beiden
Gruppen um einen Kandidaten.
1
2
3
Es erfolgten insgesamt 1104 Klicks auf die Seite der Umfrage, 526 Fragebögen wurden angefangen, davon 421 komplett ausgefüllt. Bei der Auswertung wurden die Teilnehmer der Testerhebung, verschiedene Testdatensätze, sowie ein
Widerruf der Teilnahme nicht berücksichtigt.
Aus rechtlichen Gründen war eine Teilnahme an der Studie erst ab 16 Jahren möglich.
Auf Grund technischer Schwierigkeiten wurde diese Frage nach 102 Teilnehmern eingefügt.
58
Tabelle 7.3.: Häufigkeitsverteilung der Zugehörigkeit zur IT-Branche absolut (in Prozent)
Angegeben
Ja
Nein
Gesamt
H
P
304
78 (25,66%)
226 (74,34%)
152
40 (26,32%)
112 (73,68%)
152
38 (25,00%)
114 (75,00%)
In Tabelle 7.4 sind die Häufigkeiten für die verschiedenen Stufen des zuletzt erreichten schulischen
Abschlusses zu sehen4 . Insgesamt verfügen ca. die Hälfte der Befragten über ein abgeschlossenes Hochschulstudium.
Tabelle 7.4.: Häufigkeitsverteilung der Schulbildung absolut (in Prozent)
Angegeben
Hauptschule
Realschule
Abitur
Studium
Sonstiges
Gesamt
H
P
303
11 (3,63%)
48 (15,84%)
95 (31,35%)
141 (46,53%)
8 (2,64%)
153
3 (1,96%)
26 (16,99%)
41 (26,80%)
79 (51,63%)
4 (2,61%)
150
8 (5,33%)
22 (14,67%)
54 (36,00%)
62 (41,33%)
4 (2,67%)
Ca. drei Viertel der Probanden nutzten regelmäßig den bei der Erstellung der Screenshots verwendeten
Browser Firefox (vgl. Tabelle 7.5). In Gruppe H war der Anteil der mit Firefox vertrauten Teilnehmer
etwas geringer als in der Experimentalgruppe P. Die Antwort auf diese Frage war obligatorisch, fünf
Teilnehmer wählten bei dieser Frage die Ausweichoption "weiß nicht".
Tabelle 7.5.: Häufigkeitsverteilung der Benutzung von Firefox absolut (in Prozent)
ja
nein
weiß nicht
Gesamt
H
P
299 (72,75%)
107 (26,03%)
5 (1,22%)
146 (69,52%)
62 (29,52%)
2 (0,95%)
153 (76,12%)
45 (22,39%)
3 (1,49%)
Um zu überprüfen, ob es bei der zufälligen Auswahl der Teilnehmer zwischen beiden Gruppen zu signifikant unterschiedlichen Verteilungen der einzelnen Merkmale gekommen ist, wurde eine multivariate
Varianzanalyse (MANOVA) mit den abhängigen Variablen (AV) Alter, Geschlecht und Zugehörigkeit zur
IT-Branche und der unabhängigen Variable (UV) Gruppe durchgeführt. Die Ergebnisse sind in Tabelle 7.6
zu sehen. Die Mittelwerte der drei demografischen Merkmale Alter, Geschlecht5 und Zugehörigkeit zur
IT-Branche weisen zwischen den beiden Gruppen H und P keine signifikanten Unterschiede auf. Daher
wird die Hypothese H0(Demographische Merkmale) beibehalten.
Da das demografische Merkmal der zuletzt erreichten schulischen Bildung nominal skaliert ist, ist die
für die anderen Merkmale durchgeführte MANOVA zur Prüfung von Mittelwertsunterschieden bei der
Verteilung ungeeignet. Daher wurde ein χ 2 -Homogenitätstest durchgeführt. Auf Grund des Ergebnisses
4
5
Auf Grund technischer Schwierigkeiten wurde diese Frage nach 102 Teilnehmern eingefügt.
Um eine dichotome Verteilung der Variable Geschlecht zu erreichen wurden die beiden Probanden, die "sonstiges" angegeben haben, nicht berücksichtigt.
59
Tabelle 7.6.: F- und p-Werte mit partiellen Effektstärken der demografischen Merkmale (Verfahren: MANOVA mit AV: Alter, Geschlecht, Zugehörigkeit zur IT-Branche, UV: Gruppe)
Alter
Geschlecht
Zugerhörigkeit zur IT-Branche
F
p
η2
0,020
0,227
0,282
0,888
0,634
0,596
0,000
0,001
0,001
(χ 2 =6,405, p=0,093) kann eine zufällige Unterscheidung der Häufigkeiten der Bildungsstufen zwischen
den beiden Gruppen angenommen werden6 .
7.2 Analyse der Daten und Diskussion
7.2.1 Hypothesentest
Die Kontrollfrage nach der zweiten Phase wurde von 63,75% (63,81% in Gruppe H und 63,75% in Gruppe P) der Kandidaten korrekt beantwortet. Dies deutet darauf hin, das ca. zwei drittel der Kandidaten
sich die Fragen der Studie aufmerksam durchgelesen haben.
Das Testen der Hypothese H0(Effektivität) erfolgte mit einer 2x5x2 Varianzanalyse (ANOVA) mit Messwiederholung. Die beiden Innersubjektfaktoren waren die Phase in der sich der Proband befindet (Phase
1 ohne Hinweis, auf die Adressleiste zu achten x Phase 2 mit entsprechendem Hinweis) sowie der Webseitentyp (legitim x vier Phishing-Typen). Der Zwischensubjektfaktor war die Gruppe (H x P). Die abhängige
Variable (AV) war die aggregierte Wahrscheinlichkeit einer korrekten bzw. unsicheren oder falschen Entscheidung. Im Folgenden werden die Ergebnisse der Tests vorgestellt. Bei der Betrachtung der korrekten
Entscheidungen erfolgt eine ausführliche Erklärung der verwendeten Testverfahren. Für falsche und unsichere Entscheidungen waren die Testverfahren identisch.
Korrekte Entscheidungen
Die signifikanten Ergebnisse der ANOVA für korrekte Entscheidungen sind in Tabelle 7.7 zu finden7 .
Tabelle 7.7.: F- und p-Werte mit dazugehörigen partiellen Effektgrößen (Verfahren: ANOVA mit Messwiederholung auf beiden Innersubjektfaktoren für korrekte Entscheidungen)
Innersubjekteffekte
Zwischensubjekteffekte
F
p
η2
Phase
Webseitentyp
Webseitentyp*Phase
Webseitentyp*Gruppe
121,993
62,411
26,076
6,433
0,000
0,000
0,000
0,000
0,230
0,132
0,060
0,015
Gruppe
7,728
0,006
0,019
Wie Tabelle 7.7 zeigt, zeigen sowohl die Innersubjektfaktoren als auch der Zwischensubjektfaktor
signifikante Effekte. Zusätzlich weisen auch die zwei Zweifachinteraktionen Webseitentyp*Phase und
6
7
Um die Voraussetzung des χ 2 -Tests zu erfüllen (alle erwarteten Zellenwerte müssen größer oder gleich fünf sein), wurden
die Angaben "sonstiges" bei dem Test nicht berücksichtigt.
Für Innersubjekteffekte die den Webseitentyp enthalten wurde eine Greenhouse-Geisser Korrektur angewandt, da der
Mauchly-Test auf Sphärizität signifikant war [RFHN10].
60
Webseitentyp*Gruppe signifikante Effekte auf. Die jeweiligen Effektstärken weisen bei Gruppe und Webseitentyp*Gruppe auf eher schwache, bei den anderen auf mittlere bis starke Effekte hin.
Im Folgenden werden die Unterschiede näher erläutert. Um die Effekte zwischen den Gruppen zu
untersuchen wurde eine MANOVA mit den UV der zehn Wahrscheinlichkeiten für eine korrekte Entscheidung (2 Phasen * 4+1 Webseitentypen) und der UV Gruppe durchgeführt8 . In Abbildung 7.2 sind
die Wahrscheinlichkeiten für eine korrekte Entscheidung für die fünf Webseitentypen (legitim und vier
Phishing-Typen) in Abhängigkeit von Gruppe und Phase mit den jeweiligen Konfidenzintervallen dargestellt9 .
Abbildung 7.2.: Wahrscheinlichkeit für korrekte Entscheidung für die Gruppen H und P je Webseitentyp
Annahme 1: Für die legitimen Seiten gab es für die erste Phase keine signifikanten Unterschiede zwischen den beiden Gruppen (F=1,501, p=0,221). In der zweiten Phase schnitt Gruppe P im Vergleich
zu Gruppe H signifikant besser ab (F=4,490, p=0,035). Der Unterschied in der zweiten Phase ist möglicherweise dadurch erklärbar, dass durch das URL-Pruning verwirrende Inhalte ausgeblendet werden,
was die Erkennung und Beurteilung von legitimen Domänennamen erleichtert.
Annahme 2: Für Phishing-Typ 1 gab es zwischen den beiden Gruppen in beiden Phasen keine signifikanten Unterschiede (F=0,408, p=0,523 für Phase 1 und F=0,213, p=0,644 für Phase 2). Dieser Typ
ist am leichtesten zu erkennen. Allerdings wurden in der ersten Phase immer noch ca. ein Drittel der
Teilnehmer getäuscht. In der zweiten Phase halbierte sich der Anteil der Getäuschten auf ca. ein Sechstel
der Teilnehmer.
Annahme 3: Bei Phishing-Typ 2 war die Wahrscheinlichkeit einer korrekten Entscheidung für Gruppe
P im Vergleich zu Gruppe H in beiden Phasen signifikant höher (F=8,740, p=0,003 für Phase 1 und
F=30,680, p=0,000 für Phase 2) Dies bestätigt die Annahme, dass bei diese Art der Manipulationstechnik der URL das URL-Pruning die Erkennung der Manipulation am effektivsten unterstützt.
Annahme 4: Bei Phishing-Typ 3 gab es in beiden Phasen keine signifikanten Unterschiede zwischen
den Gruppen (F=0,410, p=0,522 für Phase 1 und F=0,980, p=0,323 für Phase 2). Dieser Phishing-Typ
ist, wenn der Nutzer die genaue URL nicht kennt, sehr schwer zu erkennen. Dies bestätigen auch die
Ergebnisse aus Abb. 7.2.
Annahme 5: Für Phishing-Typ 4 schnitten die Probanden der Gruppe P in beiden Phasen signifikant besser ab, als Teilnehmer der Gruppe H (F=6,318, p=0,012 für Phase 1 und F=10,616, p=0,001 für Phase
2). Ähnlich wie bei der korrekten Beurteilung legitimer Seiten wird die Erkennung dieses Fehlertyps
möglicherweise durch die Vereinfachung der Darstellung begünstigt.
8
9
Auf die Untersuchung der Unterschiede zwischen den Webseitentypen wurde verzichtet, da Vergleiche von Daten des
selben Probanden unzulässig sind.
Für die Berechnung der Konfidenzintervalle wurde eine Bonferroni Korrektur für Mehrfachvergleiche angewandt.
61
In Tabelle 7.8 sind die Wahrscheinlichkeiten für korrekte Entscheidungen für legitime und PhishingSeiten in Abhängigkeit von der jeweiligen Phase zu sehen. In der ersten Zeile finden sich die Werte für
Gruppe H wieder, in der zweiten für Gruppe P, in der letzten für alle Probanden.
Tabelle 7.8.: Wahrscheinlichkeit für korrekte Entscheidung für beide Gruppen sowie kumuliert in Abhängigkeit von der Phase für legitime und Phishing-Seiten
Legitime Seiten
Gruppe H
Gruppe P
Gesamt
Phishing-Seiten
Phase 1
Phase 2
Phase 1
Phase 2
71,61%
74,63%
73,08%
71,67%
77,05%
74,30%
51,37%
58,52%
54,87%
61,90%
72,57%
67,12%
Korrekt:sicher: Insgesamt lag die Wahrscheinlichkeit für eine korrekte Entscheidung im Falle einer legitimen Webseite über alle Probanden bei 73,08% für Phase 1 und 74,30% in Phase 2. Wie man sehen
kann, gab es zwischen beiden Phasen für die Wahrscheinlichkeit von korrekt:sicheren Entscheidungen
kaum Unterschiede für Gruppe H. Die absolute Differenz der Wahrscheinlichkeit für korrekte Entscheidungen betrug zwischen beiden Gruppen in der ersten Phase 3,02%, in der zweiten Phase 5,38%. Dies
unterstützt die Annahme, dass das URL-Pruning bei legitimen Seiten zu einer besseren Einschätzung
dieser führt, wenn auf die Adressleiste geachtet wird, da beim URL-Pruning im Gegensatz zum Domain
Highlighting störende Elemente einer URL komplett ausgeblendet werden. Somit wird der Internetnutzer
auch nicht durch unsinnig lange legitime URLs verwirrt.
Korrekt:unsicher: Die Absolute Differenz der Wahrscheinlichkeit für das korrekte Erkennen einer
Phishing-Seite betrug zwischen beiden Phasen 12,34% bei der Gesamtbetrachtung aller Probanden
(10,53% für Gruppe H, 14,05% für Gruppe P). Wurden in Phase 1 im Schnitt ca. die Hälfte der PhishingSeiten korrekt erkannt, so waren es in der zweiten Phase ca. zwei Drittel (54,87% in Phase 1, 67,12%
in Phase 2). Auch hier gab es zwischen beiden Gruppen Unterschiede. Bereits in Phase 1 betrug die absolute Differenz der Wahrscheinlichkeit für das korrekte Erkennen von Phishing-Seiten zwischen beiden
Gruppen bei 7,15%. Diese stieg in der zweiten Phase auf 10,67%.
Falsche Entscheidungen
Die signifikanten Ergebnisse der ANOVA für falsche Entscheidungen sind in Tabelle 7.9 zu finden10 .
Tabelle 7.9.: F- und p-Werte mit dazugehörigen partiellen Effektgrößen (Verfahren: ANOVA mit Messwiederholung auf beiden Innersubjektfaktoren für falsche Entscheidungen)
Innersubjekteffekte
Zwischensubjekteffekte
10
F
p
η2
Phase
Webseitentyp
Webseitentyp*Phase
Webseitentyp*Gruppe
112,335
47,911
26,959
6,587
0,000
0,000
0,000
0,000
0,215
0,105
0,062
0,016
Gruppe
13,063
0,000
0,031
62
Wie in Tabelle 7.9 zu sehen ist, zeigen sowohl die Innersubjektfaktoren als auch der Zwischensubjektfaktor signifikante Effekte. Zusätzlich weisen auch die zwei Zweifachinteraktionen Webseitentyp*Phase
und Webseitentyp*Gruppe signifikante Effekte auf. Die jeweiligen Effektstärken weisen bei Gruppe und
Webseitentyp*Gruppe auf eher schwache, bei den anderen auf mittlere bis starke Effekte hin.
Die Unterschiede werden im Folgenden näher erläutert. Um die Effekte zwischen den Gruppen zu untersuchen wurde eine MANOVA mit den UV der zehn Wahrscheinlichkeiten für eine falsch Entscheidung
(2 Phasen * 4+1 Webseitentypen) und der UV Gruppe durchgeführt. In Abbildung 7.3 sind die Wahrscheinlichkeiten für eine falsche Entscheidung für die fünf Webseitentypen (legitim und vier PhishingTypen) in Abhängigkeit von Gruppe und Phase mit den jeweiligen Konfidenzintervallen dargestellt11 .
Abbildung 7.3.: Wahrscheinlichkeit für falsche Entscheidung für die Gruppen H und P je Webseitentyp
Annahme 1: Für die legitimen Seiten gab es für die erste Phase keine signifikanten Unterschiede zwischen den beiden Gruppen (F=1,619, p=0,204). In der Zweiten Phase schnitt Gruppe P signifikant besser ab (F=4,429, p=0,036). Der Unterschied in der zweiten Phase ist möglicherweise erneut dadurch
erklärbar, dass durch das URL-Pruning verwirrende Inhalte ausgeblendet werden, was die Erkennung
und Beurteilung von legitimen Domänennamen erleichtert.
Annahme 2: Für Phishing-Typ 1 gab es zwischen den beiden Gruppen in beiden Phasen keine signifikanten Unterschiede (F=0,095, p=0,758 für Phase 1 und F=0,204, p=0,651 für Phase 2). Dieser Typ
ist am leichtesten zu erkennen. Allerdings wurden in der ersten Phase immer noch ca. ein Drittel der
Teilnehmer getäuscht. In der zweiten Phase erkannten nur noch 12,38% der Probanden in Gruppe H
und 10,95% der Teilnehmer in Gruppe P diese Art der Manipulation der URL nicht.
Annahme 3: Bei Phishing-Typ 2 war die Wahrscheinlichkeit einer falschen Entscheidung für Gruppe
H in beiden Phasen signifikant höher im Vergleich zu Gruppe P (F=10,942, p=0,001 für Phase 1 und
F=43,909, p=0,000 für Phase 2) In beiden Gruppen konnte die Wahrscheinlichkeit für eine falsche
Entscheidung zwischen Phase 1 und Phase 2 deutlich gesenkt werden. Für Gruppe H betrug die Differenz
der Wahrscheinlichkeit für falsche Entscheidungen zwischen beiden Phasen 11,11%, für Gruppe P lag
sie bei 19,24%. Dies unterstützt erneut die Annahme, dass bei Angriffen des Typ 2 das URL-Pruning die
Erkennung der Manipulation am effektivsten erleichtert.
Annahme 4: Bei Phishing-Typ 3 gab es in beiden Phasen keine signifikanten Unterschiede zwischen
den Gruppen (F=0,395, p=0,530 für Phase 1 und F=2,413, p=0,121 für Phase 2). Die Betrachtung von
Abbildung 7.3 unterstützt die Annahme, dass dieser Phishing-Typ selbst beim Fokus der Probanden auf
die Adressleiste am schwersten zu erkennen ist, da man den genauen Domänennamen kennen muss.
Einerseits waren die Wahrscheinlichkeiten falscher Entscheidungen in beiden Gruppen unabhängig von
der Phase recht hoch (für Gruppe H in Phase 1 45,48%, in Phase 2 43,03% und für Gruppe P in Phase
11
63
1 43,33% gegenüber 36,35% in Phase2). Andererseits waren die absoluten Differenzen zwischen beiden
Phasen für diesen Angriffstyp im Vergleich zu den Anderen Typen am geringsten (2,45% für Gruppe H,
6,98% für Gruppe P) Sowohl das Domain Highlighting als auch das URL-Pruning helfen möglicherweise
bei der Erkennung dieser Manipulationstechnik am wenigsten.
Annahme 5: Für Phishing-Typ 4 schnitten die Teilnehmer der Gruppe P in beiden Phasen signifikant
besser ab, als Probanden der Gruppe H (F=6,208, p=0,013 für Phase 1 und F=17,247, p=0,000 für
Phase 2). Die Annahme, dass die Erkennung dieses Fehlertyps durch die Vereinfachung der Darstellung
begünstigt wird, wird wiederum unterstützt.
In Tabelle 7.10 sind die Wahrscheinlichkeiten für falsche Entscheidungen für legitime und PhishingSeiten in Abhängigkeit von der jeweiligen Phase zu sehen. In der ersten Zeile finden sich die Werte für
Gruppe H wieder, in der zweiten für Gruppe P, in der letzten für alle Probanden.
Tabelle 7.10.: Wahrscheinlichkeit für falsche Entscheidung für beide Gruppen und kumuliert in Abhängigkeit von der Phase für legitime und Phishing-Seiten
Legitime Seiten
Gruppe H
Gruppe P
Gesamt
Phase 1
23,39%
20,46%
21,96%
Phase 2
22,74%
17,72%
20,29%
Phishing-Seiten
Phase 1
42,38%
35,01%
38,78%
Phase 2
32,98%
20,15%
26,70%
Falsch:unsicher: Die Wahrscheinlichkeit, dass eine legitime Webseite als Phishing-Versuch eingestuft
wird, lag über alle Probanden bei 21,96% für Phase 1 und 20,29% in Phase 2. Zwischen den beiden Phasen gab es kaum Unterschiede für Gruppe H. Die absolute Differenz der Wahrscheinlichkeit für falsche
Entscheidungen zwischen beiden Gruppen lag in Phase 1 bei 2,93%, in Phase 2 bei 5,02%.
Falsch:sicher: Dies ist die Wahrscheinlichkeit dafür, Phishing-Opfer zu werden. In der Gesamtbetrachtung betrug die Differenz dieser Wahrscheinlichkeit zwischen beiden Phasen 12,07%. Während in der
ersten Phase 38,78% der Phishing-Seiten nicht erkannt wurden, waren es in der zweiten Phase nur noch
ca. ein Viertel(26,70%). Die absolute Differenz der Wahrscheinlichkeit falscher Entscheidungen zwischen
den beiden Gruppen lag in Phase 1 bei 7,37%, in Phase 2 bei 12,83%. Demzufolge ist die relative Wahrscheinlichkeit, Phishing-Opfer zu werden für Gruppe P im Vergleich zu Gruppe H um 39,36% niedriger.
Die absolute Differenz der Wahrscheinlichkeit einer falschen Entscheidung zwischen beiden Phasen betrug 9,40% für Gruppe H und 14,86% für Gruppe P. Diese Differenzen zwischen den Phasen messen
gleichzeitig die Effektivität der beiden Verfahren Domain Highlighting und URL-Pruning. Die Differenz
der Wahrscheinlichkeiten zwischen beiden Gruppen in der zweiten Phase zeigt auch den Unterschied
zwischen der Effektivität des Domain Highlighting im Vergleich zum URL-Pruning. Wohlgemerkt können
diese Werte lediglich als eine obere Grenze für die Effektivität des URL-Pruning betrachtet werden, da
der Fokus der Teilnehmer gezielt auf die Sicherheit gelenkt wurde. Die Sicherheit ist bei der alltäglichen
Internetnutzung bestenfalls ein sekundäres Ziel.
Unsichere Entscheidungen
Die signifikanten Ergebnisse der MANOVA für unsichere Entscheidungen sind in Tabelle 7.11 zu finden12 .
Wie in Tabelle 7.11 dargestellt, zeigen der Innersubjektfaktoren Webseitentyp und die Zweifaktorinteraktion Webseitentyp*Phase signifikante Effekte. Die jeweiligen Effektstärken weisen auf eher schwache Effekte hin. Zwischen den Gruppen (F=1,478, p=0,225) und zwischen beiden Phasen (F=0,122,
P=0,727) gab es keine signifikante Unterschiede.
12
64
Tabelle 7.11.: F- und p-Werte mit dazugehörigen partiellen Effektgrößen (Verfahren: ANOVA mit Messwiederholung auf beiden Innersubjektfaktoren für unsichere Entscheidungen)
Innersubjekteffekte
Webseitentyp
Webseitentyp*Phase
F
p
η2
9,621
8,137
0,000
0,000
0,023
0,020
In Abbildung 7.4 sind die Wahrscheinlichkeiten für eine unsichere Entscheidung für die fünf Webseitentypen (legitim und vier Phishing-Typen) in Abhängigkeit von Gruppe und Phase mit den jeweiligen
Konfidenzintervallen dargestellt13 .
Abbildung 7.4.: Wahrscheinlichkeit für unsichere Entscheidung für die Gruppen H und P je Webseitentyp
Wie zu sehen ist, liegen die Wahrscheinlichkeiten für unsichere Entscheidungen für alle betrachteten
Fälle im einstelligen Prozentbereich. Auch hier zeigt sich, dass der Phishing-Typ 3 am schwierigsten zu
erkennen ist. Die Wahrscheinlichkeiten einer unsicheren Entscheidung ist für Phishing-Typ 3 im Vergleich
zu den anderen Webseitentypen am höchsten.
In Tabelle 7.12 sind die Wahrscheinlichkeiten für eine unsichere Entscheidungen für beide Gruppen
sowie kumuliert getrennt nach Phasen und legitimen und Phishing-Seiten zu sehen. Auffällig dabei sind
die geringen Differenzen zwischen dem höchsten und dem niedrigsten Wert. Diese liegen bei unter 2,5%
unabhängig von der Gruppe, der Phase und dem Webseitentyp. Zwischen den beiden Phasen ist eine
leichte Steigerung bei allen Wahrscheinlichkeiten außer bei der Wahrscheinlichkeit von Gruppe H für
Phishing-Seiten aufgetreten.
Tabelle 7.12.: Wahrscheinlichkeit für unsichere Entscheidung für beide Gruppen und kumuliert in Abhängigkeit von der Phase für legitime und Phishing-Seiten
Legitime Seiten
Gruppe H
Gruppe P
Gesamt
13
Phishing-Seiten
Phase 1
Phase 2
Phase 1
Phase 2
5,00%
4,91%
4,96%
5,60%
5,22%
5,41%
6,25%
6,47%
6,36%
5,12%
7,28%
6,17%
65
7.2.2 Annahmen und Voraussetzungen bezüglich der Nutzer
Internetnutzer schauen auf die URL
Um zu untersuchen, ob Internetnutzer bei ihrer Entscheidung über die Vertrauenswürdigkeit einer Webseite die URL mit einbeziehen (Voraussetzung 1), wurde die offene Frage sowie die Auswahlfrage nach
Phase 1 ausgewertet14 .
Bei der Auswertung der offenen Frage wurde die Gruppe der Teilnehmer, welche auf die URL achten
nach folgenden Regeln bestimmt:
• Bei Angaben, welche die Stichwörter URL, Domänenname, Adressleiste, https enthalten wurden
sie zu dieser Gruppe gezählt.
• Probanden die lediglich Aufbau der Seite, Verschlüsselung und Schlosssymbol angegeben haben,
wurden nicht zu dieser Gruppe gezählt.
Teilnehmer, die lediglich auf das Schlosssymbol bzw. auf die Verschlüsselung achten, wurden deswegen
nicht gezählt, da sich das Schlosssymbol beispielsweise im IE auf der rechten Seite der Adressleiste
befindet und die EV-Verschlüsselung durch eine grüne Färbung der Adressleiste signalisiert wird. Weder
das Schlosssymbol noch die Verschlüsselung gehören zur URL. Hingegen ist das Schema ein Bestandteil
der URL.
In Tabelle 7.13 sind die Anteile der Probanden zu sehen, welche bei der Entscheidung, ob eine Webseite
legitim ist oder nicht, die URL als Entscheidungskriterium miteinbeziehen.
Tabelle 7.13.: Prozentuale Anteile der Probanden, welche die URL bei der Entscheidung miteinbeziehen
(offene Frage / Auswahlfrage Option "B")
Insgesamt
Offen
Auswahl
Gruppe H
Offen
Auswahl
Gruppe P
Offen
Auswahl
Insgesamt
54,26%
68,86%
51,90%
68,10%
56,72%
69,65%
nicht IT-Branche
IT-Branche
42,22%
78,21%
62,22%
88,46%
41,07%
77,50%
60,71%
90,00%
43,36%
78,95%
63,72%
86,84%
männlich
weiblich
62,03%
38,97%
77,82%
50,74%
58,27%
39,13%
74,10%
55,07%
66,14%
38,81%
81,89%
46,27%
Demnach achten anhand der offenen Texteingabe 54,01% der Teilnehmer auf die URL. Anhand der
Auswahlfrage nach Phase 1 wählten 68,86% der Teilnehmer die Option B, also die Adressleiste. Diese
Zahlen können lediglich als Best-Case-Szenario gewertet werden, da während der Studie kein Zeitdruck
bestand und die Sicherheit das primäre Ziel der Probanden war. In der Realität ist die Sicherheit jedoch
bestenfalls ein sekundäres Ziel. Dies bedeutet jedoch auch, dass mindestens ein Drittel bis die Hälfte der
Probanden sich der Bedeutung der URL als entscheidungsrelevantes Kriterium für die Legitimität einer
Webseite nicht bewusst ist.
Männliche Teilnehmer achten eher auf die Adressleiste, als weibliche. Dies heißt gleichzeitig, dass für
weibliche Teilnehmer das Risiko, Phishing-Opfer zu werden, höher ist.
In der Gruppe der Probanden mit IT-Background haben 77,50% bzw. 90,00% auf die URL geachtet.
Dies zeigt, dass die Zugehörigkeit zur IT-Branche kein Garant für ein entsprechendes Bewusstsein für die
Relevanz der URL für die Legitimität einer Webseite ist.
14
Vgl. Abb. 6.6 auf S. 52.
66
Internetnutzer entscheiden anhand des Domänennamens
Um zu Überprüfen, ob Nutzer wissen, dass der Domänenname als Bestandteil der URL das wichtigste und
möglicherweise einzige Kriterium ist, um die Legitimität einer Webseite zu beurteilen (Voraussetzung 2),
wurde die Auswahlfrage nach der zweiten Phase ausgewertet15 . Demnach wählten 36,01% der Teilnehmer die Option E, also den Domänennamen. Im Gegenzug bedeutet dies, dass knapp zwei Drittel der
Nutzer nicht wissen, worauf sie in der URL achten müssen. Insgesamt 31,63% der Teilnehmer gaben bei
der Frage, worauf sie bei ihrer Entscheidung, sich auf einer Webseite einzuloggen, achten, die Optionen
A und C, also das Schlosssymbol und das Schema (https) an. Dies sind zwar relevante Sicherheitsmerkmale, um zu überprüfen, ob die Webseite verschlüsselt ist, allerdings würden diese Teilnehmer trotzdem
Opfer eines Phishing-Angriffs werden, da die Verschlüsselung nicht über den Domänennamen aussagt
und auch Betrüger sich einfache SSL-Zertifikate ohne großen Aufwand besorgen können. 13,14% der
Teilnehmer gaben Option B an, also die Anzeige des Zertifikatsinhabers bei EV-SSL-Zertifikaten. Dies ist
jedoch nur bei Internetseiten mit EV-SSL-Zertifikat ein verlässliches Kriterium für die Einschätzung der
Legitimität.
Wahrscheinlichkeit korrekter Entscheidungen in Abhängigkeit vom Nutzertyp
Um zu überprüfen, ob die Wahrscheinlichkeit korrekter Entscheidungen bei der Beurteilung der Legitimität von Webseiten sich zwischen den in Kap. 6.1.6 auf S. 42 definierten Nutzertypen unterscheidet
und die Annahme 6 zutrifft, wurde eine Einteilung der Nutzer in die drei Nutzertypen anhand der ersten
offenen Frage nach Phase 1 nach folgenden Regeln vorgenommen:
• Nutzertyp A: Probanden wurden zu dieser Gruppe gezählt, wenn sie mit ihren Angaben die Inhalte
der Seiten beschrieben. Teilnehmer mit Angaben wie "Ob ich die Seite Kenne" und "Erfahrung"
wurden auch zu diesem Nutzertyp gezählt. Beispielsweise wurden folgende Angaben gemacht:
– "Desing-Wirkung Ausstrahlung."
– "Allgemeiner Eindruck der Seite."
– "Struktur, Inhalt, Erfahrung."
– "Gefühl."
• Nutzertyp B: Zu dieser Gruppe wurden nur Probanden gezählt, wenn sie explizit die Adressleiste,
die URL (oder Teile davon wie https oder Subdomain) oder den Domänennamen als Entscheidungskriterium angegeben haben. Probanden die den Inhalt der Seite lediglich zur Prüfung des
Domänennamens heranziehen und neben der URL auch andere Sicherheitsmerkmale betrachten,
wurden ebenfalls zu diesem Nutzertyp gezählt. Folgende Angaben wurden beispielsweise gemacht:
– "Ob die Verbindung verschlüsselt ist und die Domain korrekt."
– "Ob die angezeigte Domain mit dem Dienst übereinstimmt / ob es Fehlermeldungen zum
SSL-Zertifikat gibt."
– "Https in Adresszeile; Möglichst wenig Angaben einzugeben; Keine Kontonummer einzugeben"
• Nutzertyp AB: Probanden wurden zu dieser Gruppe gezählt, wenn sie sowohl Angaben zum Inhalt
und zum Design der Seite machten, als auch Entscheidungskriterien des Nutzertyps B bei ihrer
Entscheidung in Betracht zogen. Folgende Angaben wurden beispielsweise gemacht:
– "Allgemeine Stimmigkeit der angezeigten Seite, Adresse und Seitenaufbau."
15
67
– "Auf das Sicherheitsschloss, Rechtschreibung, ob die Internetseite so aussieht wie sonst auch."
– "Optischer Eindruck sowie Adresszeile."
Die Häufigkeitsverteilung der drei Nutzertypen ist in Abbildung 7.5 zu sehen. Auf der Horizontalen Achse sieht man die Anzahl insgesamt korrekt bewerteter Webseiten (korrekt:sicher und korrekt:unsicher). Auf der Vertikalen Achse sieht man die absolute Anzahl Probanden farblich nach Nutzertyp getrennt.
Abbildung 7.5.: Histogramm der Anzahl korrekter Entscheidungen in Abhängigkeit vom Nutzertyp
Lediglich 4,38% der Teilnehmer beurteilten alle Seiten korrekt. Wie zu erkennen ist, sind die Häufigkeiten der Probanden des Nutzertyps B bei hoher Anzahl korrekt bewerteter Seiten höher und nehmen
mit abnehmender Anzahl korrekter Entscheidungen ab. Für Teilnehmer des Nutzertyps A ist eine entgegengesetzte Tendenz zu erkennen. Mit abnehmender Anzahl korrekter Entscheidungen nehmen die
Häufigkeiten des Nutzertyps A zu. Eine ähnliche Tendenz ist für Probanden des Nutzertyps AB zu beobachten, jedoch mit einer Linksverschiebung. Dies bestätigt die Annahme, dass die Wahrscheinlichkeit für
korrekte Entscheidungen für Nutzertyp B höher als für Nutzertyp AB ist und für Nutzertyp AB höher als
für Typ A (Annahme 6). Betrachten Nutzer im Entscheidungsfindungsprozess die Adressleiste, ist ihre
Wahrscheinlichkeit die Legitimität einer Webseite korrekt einzuschätzen höher.
Die Überprüfung, ob Annahme 6 zutrifft, wurde auch anhand der Auswahlfrage nach der ersten Phase
vorgenommen16 . Hier kann jedoch nicht zwischen Teilnehmern des Typs B und AB unterschieden werden, da die Frage lediglich eine Auswahloption zuließ. Der Vergleich erfolgt damit zwischen Probanden,
die bei der Beurteilung der Legitimität einer Webseite auf die URL achten (Typ B und AB) und denen, die
nicht auf die URL achten (Typ A). Die Unterscheidung, ob jemand auf die URL achtet oder nicht, erfolgte
anhand der Auswahlfrage. zu Typ B und AB wurden alle diejenigen Probanden gezählt, welche bei dieser
Frage Option B, also die Adressleiste gewählt haben (Voraussetzung 1 erfüllt). Alle Teilnehmer, welche
in der Auswahlfrage eine andere Option gewählt haben, wurden zu Typ A gezählt (Voraussetzung 1
nicht erfüllt). In Abbildung 7.6 sind die Wahrscheinlichkeiten für Phase 1 für die beiden Gruppen H und
P in Abhängigkeit der Erfüllung von Voraussetzung 1 (0=nicht erfüllt, 1=erfüllt) unterschieden nach
Webseitentypen (legitim und Phishing-Typ 1 - 4) zu sehen.
Wie man erkennen kann, gibt es bei URLs der Typen 1, 2 und 4 deutliche Unterschiede für die Wahrscheinlichkeit einer korrekten Entscheidung. Trifft Voraussetzung 1 zu (Nutzertyp B und AB), dann beträgt die absolute Differenz der Wahrscheinlichkeit für korrekte Entscheidungen im Vergleich zu Nutzertyp A 20-40%. Für legitime Seiten und Phishing-Seiten des Typs 3 ist eine deutlich geringere absolute
Differenz der Wahrscheinlichkeit für korrekte Entscheidungen zwischen den Nutzertypen B und AB im
16
68
Abbildung 7.6.: Wahrscheinlichkeit für korrekte Entscheidung für Gruppe H und P und Voraussetzung 1
je Webseitentyp
Vergleich zu Nutzertyp A zu beobachten (12-16%). Phishing-Typ 3 ist sowohl mit Domain Highlighting
als auch mit URL-Pruning sehr schwer zu erkennen.
Zusammenfassend lässt sich festhalten, dass die Ergebnisse der Auswertung der Auswahlfrage Annahme 6 unterstützen. Achten Nutzer auf die URL, ist ihre Wahrscheinlichkeit für die korrekte Beurteilung
der Legitimität einer Webseite höher.
Nutzer kennen den korrekten Domänennamen
Um die dritte Voraussetzung des URL-Pruning zu überprüfen, wurden die offenen Texteingaben bezüglich
der Frage ausgewertet, in der die Probanden die Internetadressen der in den Screenshots gezeigten
Unternehmen angeben sollten. Dies geschah mit Hilfe folgender Regeln:
• Die URLs wurden darauf untersucht, ob sie den korrekten Domänennamen beispielsweise (tmobile.de), oder einen von dem Dienstanbieter registrierten Domänennamen (beispielsweise
t-mobile.com oder telekom.de) enthalten. Solche URLs wurden als korrekt gewertet.
• Großschreibung sowie Tippfehler (ein Komma statt einem Punkt) wurde als korrekt gewertet (TMobile,de).
• Schreibweisen mit und ohne Bindestrich wurden dann als Korrekt gewertet, wenn die angegebene
Domäne vom gleichen Dienstanbieter oder von einem Markenschutzdienstleister wie Markmonitor
registriert war.
• Für die zuvor genannten URLs wurden alle möglichen Kombinationen von http:// und https://
sowie vorangestelltem www als korrekt gewertet.
• Offensichtlich mit Zuhilfenahme einer Suchmaschine erlangte URLs wie beispielsweise https://
meine.deutsche-bank.de/trxm/db/ wurden nicht gewertet.
Die grundsätzliche Prämisse bei der Entscheidung, ob eine URL als korrekt gezählt werden kann,
lautete wie folgt: Könnte der Teilnehmer im Zweifelsfall mit seinem Wissen die richtige Webseite finden
oder würde er einem potenziellen Phishing-Versuch zum Opfer fallen.
Bei der Berechnung der nun folgenden Wahrscheinlichkeiten wurden lediglich Probanden berücksichtigt, die angegeben haben, über ein Benutzerkonto bei dem der URL entsprechenden Unternehmen zu
69
verfügen. Dies geschah aus dem Grund, dass es sehr unwahrscheinlich ist Phishing-Opfer zu werden,
wenn man über kein Benutzerkonto bei dem betroffenen Unternehmen verfügt.
93,32% der Probanden (92,09% in Gruppe P und 94,54% in Gruppe H) kennen den Domänennamen,
wenn sie über ein Benutzerkonto bei einer Webseite verfügen. 94,57% der Teilnehmer mit IT-Hintergrund
(94,57% in Gruppe P und 94,57% in Gruppe H) kennen den Domänennamen, wenn sie über ein Benutzerkonto bei einer Webseite verfügen. 91,90% der Probanden, die nicht in der IT-Branche arbeiten,
(89,58% in Gruppe P und 94,22% in Gruppe H) kennen den Domänennamen, wenn sie über ein Benutzerkonto bei einer Webseite verfügen. 93,43% der männlichen Teilnehmer (92,35% in Gruppe P und
94,51% in Gruppe H) kennen den Domänennamen, wenn sie über ein Benutzerkonto bei einer Webseite
verfügen. 92,59% der weiblichen Probanden (91,92% in Gruppe P und 93,26% in Gruppe H) kennen den
Domänennamen, wenn sie über ein Benutzerkonto bei einer Webseite verfügen.
Diese Zahlen zeigen deutlich, dass Voraussetzung 3 ebenfalls erfüllt ist. Über 90% der Nutzer, die über
ein Benutzerkonto bei einer Webseite verfügen, kennen auch den korrekten Domänennamen.
Bei legitimen Webseiten ist es jedoch unumgänglich, den exakten Domänennamen der aufgerufenen
Seite zu kennen. Ist dieser dem Teilnehmer nicht bekannt und er gibt einen anderen ebenfalls vom
Dienstanbieter bzw. Unternehmen registrierten Domänennamen an (beispielsweise deutschebank.de
statt deutsche-bank.de), dann wird er im Zweifelsfall auf den Besuch einer legitimen Seite verzichten,
da er ihr misstraut. Um zu untersuchen, wie viele Teilnehmer den exakten Domänennamen kennen,
wurden die offenen Texteingaben bezüglich der Frage ausgewertet, in der die Probanden die Internetadressen der in den Screenshots gezeigten Unternehmen angeben sollten. Die Auswertung erfolgte für
die legitimen Webseiten mit Ausnahme von Youtube, da hier nicht nach der Login-Seite sondern nach
der Seite des Unternehmens Youtube gefragt wurde. Dies geschah mit Hilfe folgender Regeln:
• Die URLs wurden darauf untersucht, ob sie den im Screenshot gezeigten Domänennamen beispielsweise (t-mobile.de) enthalten. Solche URLs wurden als korrekt gewertet.
• Großschreibung wurde ebenfalls als korrekt gewertet (T-Mobile.de).
• Tippfehler wurden dann als korrekt gewertet, wenn sie außerhalb des Domänennamens auftraten
(beispielsweise fehlender Doppelpunkt http//).
• Für die zuvor genannten URLs wurden alle möglichen Kombinationen von http:// und https://
sowie vorangestelltem www als korrekt gewertet.
• Offensichtlich mit Zuhilfenahme einer Suchmaschine erlangte URLs wie beispielsweise https://
meine.deutsche-bank.de/trxm/db/ wurden nicht gewertet.
Die Wahrscheinlichkeit einer korrekten Entscheidung bei legitimen Webseiten beträgt 73,11% (74,63%
für Gruppe P und 71,61% für Gruppe H) in der ersten Phase und 74,36% (77,05% für Gruppe P und
71,67% für Gruppe H) in der zweiten Phase.
Betrachtet man nur Probanden, die über ein Benutzerkonto bei der Webseite verfügen, dann beträgt
Wahrscheinlichkeit einer korrekten Entscheidung bei legitimen Webseiten 87,55% (89,13% für Gruppe
P und 85,97% für Gruppe H) in der ersten Phase und 83,96% (84,58% für Gruppe P und 83,33% für
Gruppe H) in der zweiten Phase.
Die Wahrscheinlichkeit einer korrekten Entscheidung bei legitimen Webseiten, wenn der Teilnehmer
sowohl über ein Benutzerkonto bei der Webseite verfügt, als auch den korrekten Domänennamen kennt,
beträgt 87,08% (89,91% für Gruppe P und 84,25% für Gruppe H) in der ersten Phase und 85,51%
(87,67% für Gruppe P und 83,36% für Gruppe H) in der zweiten Phase.
An diesen Ergebnissen sieht man, dass Probanden, die über ein Benutzerkonto verfügen, in 87,08%
der Fälle legitimen Webseiten nicht misstrauen würden. Lediglich 12,92% dieser Probanden würden eine
legitime Seite womöglich nicht besuchen.
70
7.3 Zusammenfassung der Ergebnisse
Die Ergebnisse der Onlinestudie zeigen, dass durch die vereinfachte Darstellung der URL beim URLPruning die Effektivität bei der Erkennung von Phishing-URLs im Vergleich zum Domain Highlighting
gesteigert werden kann. Beim URL-Pruning tritt der Nachteil des komplizierten Aufbaus von URLs, der
dem Internetnutzer das Erkennen von Phishing erschwert, nicht auf. Die Wahrscheinlichkeit für korrekte Entscheidungen ist für Teilnehmer der Gruppe P bei den Phishing-Typen 2 und 4 im Vergleich zu
Kandidaten der Gruppe H signifikant höher. Für die beiden anderen Phishing-Typen gibt es zwischen
beiden Gruppen keine signifikanten Unterschiede für die Wahrscheinlichkeit korrekter Entscheidungen.
Achten Teilnehmer auf die Adressleiste, dann ist die Wahrscheinlichkeit für korrekte Entscheidungen bei
legitimen Webseiten für Probanden der Gruppe P im Vergleich zur Kontrollgruppe höher.
Wenn Teilnehmer auf die URL achten, dann ist die Wahrscheinlichkeit korrekter Entscheidungen im
Vergleich zu Probanden, die nicht auf die URL achten deutlich höher.
Insgesamt achten ca. zwei Drittel der Teilnehmer auf die URL. Auf den Domänennamen basieren
lediglich ca. ein Drittel der Probanden in ihre Entscheidung über die Legitimität einer Webseite. Daher
stellt sich für zukünftige Arbeiten die Frage, wie man Internetnutzer dazu bewegen kann, auf die URL
und innerhalb der URL auf den Domänennamen zu achten, wenn sie die Entscheidung treffen, sich
einzuloggen.
71
8 Zukünftige Arbeiten
8.1 Weitere Vereinfachung der Darstellung
Eine Möglichkeit, die Darstellung beim URL-Pruning weiter zu vereinfachen, ist der Verzicht auf die Anzeige des Schemas. Gerade bei mobilen Geräten mit begrenzter Anzeigeoberfläche würde der Verzicht
auf das Schema zu einer Platzersparnis führen. Die Unterscheidung, ob eine Verbindung unverschlüsselt ist oder ob sie über ein SSL- bzw. EV-SSL-Zertifikat gesichert wird, kann in den Browsern Firefox,
Chrome und IE anhand des Schloss Symbols bzw. der Anzeige des Namens des Zertifikatsinhabers vorgenommen werden1 . Diese Sicherheitsindikatoren im Zusammenhang mit dem Schema bieten dem Nutzer
redundante Informationen in Bezug auf die Frage, ob eine Webseite verschlüsselt ist oder nicht. Allerdings werden diese Informationen im Gegensatz zu den anderen beiden Browsern beim IE nach der
URL angezeigt. Eine einheitliche Darstellung in allen drei Browsern wäre optimal für die Gestaltung
von Lehrmaterial zur Vermittlung der Bedeutung dieser Sicherheitsmerkmale. Das Fehlen des Schemas
könnte Nutzer, die die aktuelle Darstellung mit Schema gewohnt sind, verunsichern. Auf Grund der
Diskrepanz bei der Darstellung zwischen den Browsern und dem eventuell notwendigen Vorwissen zur
richtigen Interpretation der Darstellung des Verschlüsselungsstatus einer Webseite wurde in dieser Arbeit zunächst das Schema beibehalten. Inwiefern der Verzicht auf die Anzeige des Schemas sich auf
die Beurteilung der Vertrauenswürdigkeit von Webseiten Auswirkt müsste jedoch zunächst untersucht
werden.
8.2 Empfehlung für die Auswahl von Domänennamen
Kurze und prägnante Domänennamen bieten wenig Raum für Manipulation zum Zweck des Phishing.
Dagegen erhöhen sie die Wahrscheinlichkeit korrekt:sicherer Entscheidungen, selbst wenn der Besucher den Domänennamen nicht kennt. Daher müssten entsprechende Leitsätze definiert werden, die die
Auswahl von Domänennamen, welche weniger für Phishing-Angriffe anfällig sind, begünstigen. Diese
Regeln sollten auch Empfehlungen enthalten, welche weiteren Domänennamen zu registrieren sind, um
die Wahrscheinlichkeit von Phishing-Angriffen zu minimieren.
8.3 Bedienbarkeit
Bei dem hier verwendeten Studiendesign wurden die Webseiten statisch als Bilder präsentiert. In einer
realen Umgebung hat der Nutzer jedoch die Möglichkeit, den Inhalt und die Sicherheitsmerkmale einer
Webseite näher zu Untersuchen, in dem er beispielsweise das Zertifikat einer verschlüsselten Verbindung
überprüft oder die Links zu Impressum und Datenschutzerklärung aufruft. Eine weitere Beschränkung
durch die Verwendung von Bildern bestand darin, dass es dem Benutzer nicht möglich war, sich mit
einem Rechtsklick in die Adressleiste die gesamte URL anzeigen zu lassen. Daher müsste in einer zukünftigen Arbeit das URL-Pruning implementiert werden, um eine realitätsnähere Studie durchzuführen und
die Benutzerfreundlichkeit des URL-Pruning in der Praxis testen zu können.
8.4 URL-Pruning bei Phishing-Nachrichten
Bei der hier vorgestellten Lösung des URL-Pruning für Browser wurde der Aspekt ausgegrenzt, dass die
besuchte Seite Schadsoftware enthält und der Nutzer somit bereits beim Aufruf der Webseite einem
1
vgl. Abb. 6.2 auf S. 48.
72
potentiellen Risko ausgesetzt ist. Daher ist es für den Internetnutzer wichtig, einen Phishing-Versuch
möglichst früh zu erkennen, um das potentielle Risiko zu minimieren. Daher müssten in einem ersten
Schritt solche Kanäle bestimmt werden, bei denen das URL-Pruning umsetzbar ist. Eine Möglichkeit
bietet sich beispielsweise bei E-Mail-Clients, da das Angebot recht überschaubar ist. 63% der Nutzer
Weltweit verwendeten Outlook, 31% Apple Mail[sta13c]. Eine Umsetzung des URL-Pruning für dieser
beiden Anbieter würde somit bereits 94% der Nutzer von E-Mail-Clients erreichen. Die Umsetzbarkeit des
URL-Pruning für weitere Verbreitungswege des Phishing, wie Webmail, SMS, soziale Netzwerke und Foren müsste zunächst geprüft werden, bevor anhand von Studien die Effektivität des Ansatzes untersucht
wird.
8.5 Verbesserung der Effektivität
Wie die Ergebnisse der Studie zeigen, achten 31% bis 49% der Teilnehmer bei ihrer Entscheidung sich
einzuloggen, nicht auf die Adressleiste. Weiterhin wurde gezeigt, dass trotz des URL-Pruning immer
noch 25%(bei Phishing-Typ 1, 2, 4) bis 47%(bei Phishing-Typ 3) der Teilnehmer auf Phishing-Angriffe
hereinfallen würden, obwohl sie auf die Adressleiste achten. Daher stellt sich die Frage, wie man die
Effektivität bei der Erkennung von Phishing-Seiten steigern kann. Grundsätzlich besteht immer dann
ein erhöhtes Risiko, Opfer eines Phishing-Versuchs zu werden, wenn eine zuvor nicht besuchte Seite die
Eingabe von persönlichen Informationen verlangt. Dies könnte ausgenutzt werden, um dem Phishing
entgegenzuwirken. Die Domänennamen von Webseiten, bei denen bereits ein Login erfolgt ist, werden
durch den Browser in einer Liste gespeichert. Ruft der Nutzer nun eine neue Seite auf und klickt in
ein Login Feld, dann wird der Domänenname mit der Liste der zuvor gespeicherten Domänennamen
abgeglichen. Wird beim Abgleich kein Treffer erzielt, dann wird der Nutzer darauf aufmerksam gemacht,
dass er sich auf einer für ihn neuen Seite befindet. Dies kann beispielsweise durch das hervorheben des
Domänennamens in der Adressleiste mittels zusätzlicher visueller Reize und einem Hinweis auf das akute
Risiko, Phishing-Opfer zu werden, geschehen.
73
Anhang
A. Studie mit Fragenkatalog
A.1.
A.2.
A.3.
A.4.
A.5.
A.6.
A.7.
A.8.
A.9.
Begrüßung und Anweisungen zur ersten Phase
Erster Fragenblock . . . . . . . . . . . . . . . . .
Zwischenfragen nach der ersten Phase . . . . .
Anweisungen zur zweiten Phase . . . . . . . . .
Zweiter Fragenblock . . . . . . . . . . . . . . . .
Zwischenfragen nach der zweiten Phase . . . .
Bekanntheitsgrad der Unternehmen . . . . . . .
Demographische Merkmale . . . . . . . . . . . .
Abschluss der Studie . . . . . . . . . . . . . . . .
75
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
B. Screenshots der in der Studie verwendeten Webseiten
B.1. Screenshots der legitimen Seiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
B.2. Screenshots der Phishing-Seiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
76
77
78
80
81
82
84
85
86
87
88
96
74
A Studie mit Fragenkatalog
Auf den folgenden Seiten sind die Screenshots der gesamten Studie mit den Anweisungen und Fragen
zu finden.
75
A.1 Begrüßung und Anweisungen zur ersten Phase
Abbildung A.1.: Begrüßung der Teilnehmer
Abbildung A.2.: Anweisungen vor der ersten Phase
76
A.2 Erster Fragenblock
Abbildung A.3.: Beispiel einer Frage in der ersten Phase
77
A.3 Zwischenfragen nach der ersten Phase
Abbildung A.4.: Sicherheit bei den Entscheidungen während der ersten Phase
Abbildung A.5.: Entscheidungsgrundlage: offene Texteingabe nach Phase 1
78
Abbildung A.6.: Entscheidungsgrundlage: Bereiche von Webseiten nach Phase 1
79
A.4 Anweisungen zur zweiten Phase
Abbildung A.7.: Erklärung der Adressleiste und Anweisungen zur zweiten Phase
80
A.5 Zweiter Fragenblock
Abbildung A.8.: Beispiel einer Frage in der ersten Phase
81
A.6 Zwischenfragen nach der zweiten Phase
Abbildung A.9.: Sicherheit bei den Entscheidungen während der zweiten Phase
Abbildung A.10.: Entscheidungsgrundlage: offene Texteingabe nach Phase 2
82
Abbildung A.11.: Entscheidungsgrundlage: Bereiche der Adressleiste nach Phase 2
Abbildung A.12.: Kontrollfrage
83
A.7 Bekanntheitsgrad der Unternehmen
Abbildung A.13.: Fragen nach Bekanntheit der in der Studie verwendeten Unternehmen
84
A.8 Demographische Merkmale
Abbildung A.14.: Demographische Merkmale der Teilnehmer
85
A.9 Abschluss der Studie
Abbildung A.15.: Abschluss der Studie
Abbildung A.16.: Verabschiedung
86
B Screenshots der in der Studie verwendeten Webseiten
Im Folgenden sind die in der Studie verwendeten Screenshots der Webseiten zu sehen (acht legitime und
acht Phishing-Seiten). In den Abbildungen ist in der oberen Adressleiste die URL der Gruppe H zu sehen
(Domain Highlighting), in der unteren die der Gruppe P (URL-Pruning).
In den zugehörigen Tabellen ist die Wahrscheinlichkeit für eine korrekte, unsichere und falsche Entscheidung für beide Phasen und beide Gruppen und die Gesamtwahrscheinlichkeit zu finden.
87
B.1 Screenshots der legitimen Seiten
Tabelle B.1.: Wahrscheinlichkeit für korrekte, unsichere und falsche Entscheidung
(legitime Webseite Deutschen Bank)
Korrekt
Gruppe H
Gruppe P
Gesamt
Unsicher
Falsch
Phase 1
Phase 2
Phase 1
Phase 2
Phase 1
Phase 2
63,33%
65,67%
64,48%
69,52%
78,61%
73,97%
9,52%
7,96%
8,76%
3,33%
4,48%
3,89%
27,14%
26,37%
26,76%
27,14%
16,92%
22,14%
Abbildung B.1.: Screenshot der legitimen Webseite der Deutschen Bank
88
(legitime Webseite Ebay)
Korrekt
Gruppe H
Gruppe P
Gesamt
Unsicher
Falsch
Phase 1
Phase 2
Phase 1
Phase 2
Phase 1
Phase 2
84,76%
87,56%
86,13%
81,43%
82,59%
82,00%
3,33%
1,99%
2,68%
4,29%
4,98%
4,62%
11,90%
10,45%
11,19%
14,29%
12,44%
13,38%
Abbildung B.2.: Screenshot der legitimen Webseite von Ebay
89
(legitime Webseite XING)
Korrekt
Gruppe H
Gruppe P
Gesamt
Unsicher
Falsch
Phase 1
Phase 2
Phase 1
Phase 2
Phase 1
Phase 2
72,86%
76,62%
74,70%
78,10%
79,10%
78,59%
5,24%
5,97%
5,60%
3,81%
3,98%
3,89%
21,90%
17,41%
19,71%
18,10%
16,92%
17,52%
Abbildung B.3.: Screenshot der legitimen Webseite von XING
90
(legitime Webseite Youtube)
Korrekt
Gruppe H
Gruppe P
Gesamt
Unsicher
Falsch
Phase 1
Phase 2
Phase 1
Phase 2
Phase 1
Phase 2
70,00%
72,14%
71,05%
72,38%
76,12%
74,21%
5,24%
5,47%
5,35%
8,10%
4,48%
6,33%
24,76%
22,39%
23,60%
19,52%
19,40%
19,46%
Abbildung B.4.: Screenshot der legitimen Webseite von Youtube
91
(legitime Webseite Dropbox)
Korrekt
Gruppe H
Gruppe P
Gesamt
Unsicher
Falsch
Phase 1
Phase 2
Phase 1
Phase 2
Phase 1
Phase 2
70,95%
75,62%
73,24%
70,00%
80,60%
75,18%
3,81%
5,47%
4,62%
8,10%
7,46%
7,79%
25,24%
18,91%
22,14%
21,90%
11,94%
17,03%
Abbildung B.5.: Screenshot der legitimen Webseite von Dropbox
92
(legitime Webseite T-Mobile)
Korrekt
Gruppe H
Gruppe P
Gesamt
Unsicher
Falsch
Phase 1
Phase 2
Phase 1
Phase 2
Phase 1
Phase 2
56,19%
58,71%
57,42%
47,62%
52,24%
49,88%
6,19%
6,97%
6,57%
9,52%
6,97%
8,27%
37,62%
34,33%
36,01%
42,86%
40,80%
41,85%
Abbildung B.6.: Screenshot der legitimen Webseite von T-Mobile
93
(legitime Webseite Zalando)
Korrekt
Gruppe H
Gruppe P
Gesamt
Unsicher
Falsch
Phase 1
Phase 2
Phase 1
Phase 2
Phase 1
Phase 2
75,24%
82,09%
78,59%
71,43%
83,58%
77,37%
5,24%
2,49%
3,89%
5,24%
4,98%
5,11%
19,52%
15,42%
17,52%
23,33%
11,44%
17,52%
Abbildung B.7.: Screenshot der legitimen Webseite von Zalando
94
(legitime Webseite Facebook)
Korrekt
Gruppe H
Gruppe P
Gesamt
Unsicher
Falsch
Phase 1
Phase 2
Phase 1
Phase 2
Phase 1
Phase 2
79,52%
78,61%
79,08%
82,86%
83,58%
83,21%
1,43%
2,99%
2,19%
2,38%
4,48%
3,41%
19,05%
18,41%
18,73%
14,76%
11,94%
13,38%
Abbildung B.8.: Screenshot der legitimen Webseite Facebook
95
B.2 Screenshots der Phishing-Seiten
(Phishing-Seite Facebook)
Korrekt
Gruppe H
Gruppe P
Gesamt
Unsicher
Falsch
Phase 1
Phase 2
Phase 1
Phase 2
Phase 1
Phase 2
65,71%
62,69%
64,23%
84,76%
83,08%
83,94%
2,38%
3,98%
3,16%
2,86%
5,97%
4,38%
31,90%
33,33%
32,60%
12,38%
10,95%
11,68%
Abbildung B.9.: Screenshot der Phishing-Seite von Facebook
96
(Phishing-Seite Postbank)
Korrekt
Gruppe H
Gruppe P
Gesamt
Unsicher
Falsch
Phase 1
Phase 2
Phase 1
Phase 2
Phase 1
Phase 2
52,38%
47,76%
50,12%
53,33%
44,78%
49,15%
7,14%
7,46%
7,30%
6,19%
8,46%
7,30%
40,48%
44,78%
42,58%
40,48%
46,77%
43,55%
Abbildung B.10.: Screenshot der Phishing-Seite der Postbank
97
(Phishing-Seite Twitter)
Korrekt
Gruppe H
Gruppe P
Gesamt
Unsicher
Falsch
Phase 1
Phase 2
Phase 1
Phase 2
Phase 1
Phase 2
46,19%
54,73%
50,36%
44,76%
66,67%
55,47%
4,76%
7,96%
6,33%
7,14%
13,93%
10,46%
49,05%
37,31%
43,31%
48,10%
19,40%
34,06%
Abbildung B.11.: Screenshot der Phishing-Seite von Twitter
98
(Phishing-Seite Lovefilm)
Korrekt
Gruppe H
Gruppe P
Gesamt
Unsicher
Falsch
Phase 1
Phase 2
Phase 1
Phase 2
Phase 1
Phase 2
55,24%
68,16%
61,56%
69,52%
85,07%
77,13%
8,57%
6,47%
7,54%
1,43%
4,48%
2,92%
36,19%
25,37%
30,90%
29,05%
10,45%
19,95%
Abbildung B.12.: Screenshot der Phishing-Seite von Lovefilm
99
(Phishing-Seite Paypal)
Korrekt
Gruppe H
Gruppe P
Gesamt
Unsicher
Falsch
Phase 1
Phase 2
Phase 1
Phase 2
Phase 1
Phase 2
55,71%
63,68%
59,61%
71,43%
79,60%
75,43%
6,67%
6,97%
6,81%
1,90%
3,48%
2,68%
37,62%
29,35%
33,58%
26,67%
16,92%
21,90%
Abbildung B.13.: Screenshot der Phishing-Seite von Paypal
100
(Phishing-Seite Amazon)
Korrekt
Gruppe H
Gruppe P
Gesamt
Unsicher
Falsch
Phase 1
Phase 2
Phase 1
Phase 2
Phase 1
Phase 2
38,10%
54,23%
45,99%
50,95%
73,13%
61,80%
3,33%
1,49%
2,43%
5,71%
6,97%
6,33%
58,57%
44,28%
51,58%
43,33%
19,90%
31,87%
Abbildung B.14.: Screenshot der Phishing-Seite von Amazon
101
(Phishing-Seite Outlook)
Korrekt
Gruppe H
Gruppe P
Gesamt
Unsicher
Falsch
Phase 1
Phase 2
Phase 1
Phase 2
Phase 1
Phase 2
38,57%
48,26%
43,31%
45,24%
61,69%
53,28%
10,95%
10,45%
10,71%
8,57%
10,45%
9,49%
50,48%
41,29%
45,99%
46,19%
27,86%
37,23%
Abbildung B.15.: Screenshot der Phishing-Seite von Outlook
102
(Phishing-Seite Flickr)
Korrekt
Gruppe H
Gruppe P
Gesamt
Unsicher
Falsch
Phase 1
Phase 2
Phase 1
Phase 2
Phase 1
Phase 2
59,05%
68,66%
63,75%
75,24%
86,57%
80,78%
6,19%
6,97%
6,57%
7,14%
4,48%
5,84%
34,76%
24,38%
29,68%
17,62%
8,96%
13,38%
Abbildung B.16.: Screenshot der Phishing-Seite von Flickr
103
Literaturverzeichnis
[AC11]
ARACHCHILAGE, NALIN ASANKA GARNAGEDARA und M COLE: Design a mobile game for home computer users to prevent from “phishing attacks”. In: Information Society (i-Society), 2011 International Conference on, Seiten 485–489. IEEE, 2011.
[Ale13]
ALEXA: Top Sites in Germany - The top 500 sites in Germany. Webseite, 2013. Online verfügbar:
http://www.alexa.com/topsites/countries/DE, zuletzt aufgerufen am 12. Februar 2014.
[ALS12]
ARACHCHILAGE, NALIN ASANKA GAMAGEDARA, STEVE LOVE und MICHAEL SCOTT: Designing a Mobile
Game to Teach Conceptual Knowledge of Avoiding “Phishing Attacks”. International Journal for
e-Learning Security, 2(2):127–132, 2012.
[Ant]
ANTI-PHISHING WORKING GROUP: How to Redirect a Phishing Site Web Page to the APWG.ORG
Phishing Education Page. Webseite. Online verfügbar: http://phish-education.apwg.org/
r/how_to.html, zuletzt aufgerufen am 20. Februar 2014.
[App13]
APPLE INC. Webseite, 2013. Online verfügbar: https://www.icloud.com/, zuletzt aufgerufen
am 12. Februar 2014.
[APW]
APWG: Origins of the Word "Phishing". Webseite. Online verfügbar: http://docs.apwg.org/
word_phish.html, zuletzt aufgerufen am 19. März 2014.
[AR13]
AARON, GREG und ROD RASMUSSEN: Anti Phishing Working Group Global Phishing Survey: Trends
and Domain Name Use in 1H2013. Webseite, 2013. Online verfügbar: http://docs.apwg.
org/reports/APWG_GlobalPhishingSurvey_1H2013.pdf, zuletzt aufgerufen am 17. März
2014.
[Arb14]
ARBEITSGRUPPE IDENTITÄTSSCHUTZ IM INTERNET: Phishing. Webseite, 2014. Online verfügbar:
https://www.a-i3.org/content/view/932/203/, zuletzt aufgerufen am 5. Februar 2014.
[ban13]
BANKENVERBAND : Onlinebanking in Deutschland - Repräsentative Meinungsumfrage im Auftrag
des Bankenverbandes. Webseite, 2013. Online verfügbar: http://bankenverband.de/
service/fakten-zahlen/repraesentative-umfragen/onlinebanking-in-deutschlandrepraesentative-meinungsumfrage-im-auftrag-des-bankenverbandes-juni2013/umfrageergebnisse, zuletzt aufgerufen am 3. Februar 2014.
[BC14]
BERGMAN, CLEMENS und GAMZE CANOVA: Design, Implementation and Evaluation of an AntiPhishing Education App. Diplomarbeit, TU Darmstadt, Darmstadt, Februar 2014.
[BL94]
BERNERS-LEE, TIM: Uniform Resource Locators (URL). Webseite, 1994. Online verfügbar: http:
//tools.ietf.org/html/rfc1738, zuletzt aufgerufen am 7. Februar 2014.
[BSI]
BSI: Phishing - Gefährliche Umleitung für Ihre Passwörter.
Webseite.
Online verfügbar: https://www.bsi-fuer-buerger.de/BSIFB/DE/GefahrenImNetz/Phishing/
phishing_node.html, zuletzt aufgerufen am 30. Januar 2014.
[Bug14]
BUGGISCH, CHRISTIAN: Social Media und soziale Netzwerke – Nutzerzahlen in Deutschland 2014.
Webseite, 2014. Online verfügbar: http://buggisch.wordpress.com/2014/01/07/socialmedia-und-soziale-netzwerke-nutzerzahlen-in-deutschland-2014/, zuletzt aufgerufen am 3. Februar 2014.
104
[Bun13]
BUNDESKRIMINALAMT: Cybercrime Bundeslagebild 2012, 2013.
Online verfügbar:
http://www.bka.de/nn_224082/SharedDocs/Downloads/DE/Publikationen/
JahresberichteUndLagebilder/Cybercrime/cybercrimeBundeslagebild2012,
templateId=raw,property=publicationFile.pdf/cybercrimeBundeslagebild2012.pdf,
zuletzt aufgerufen am 20. März 2014.
[Bun14a] BUNDESAMT FÜR SICHERHEIT IN DER INFORMATIONSTECHNIK: Beispiele für Phishing-Angriffe.
Webseite, 2014.
Online verfügbar: https://www.bsi-fuer-buerger.de/BSIFB/DE/
GefahrenImNetz/Phishing/BeispielePhishingAngriffe/beispielephishingangriffe_
node.html, zuletzt aufgerufen am 17. Februar 2014.
[Bun14b] BUNDESAMT FÜR SICHERHEIT IN DER INFORMATIONSTECHNIK: Schutzmaßnahmen. Webseite,
2014. Online verfügbar: https://www.bsi-fuer-buerger.de/BSIFB/DE/GefahrenImNetz/
Phishing/Schutzmassnamen/schutzmassnamen_node.html, zuletzt aufgerufen am 17. Februar 2014.
[Cir14]
CIRCLECOUNT: Population rate per country (EU). Webseite, 2014. Online verfügbar: http://
www.circlecount.com/tag-google/statistic/countrypopulation/?special=EU, zuletzt
aufgerufen am 3. Februar 2014.
[Cor05]
CORP., MICROSOFT: Microsoft Phishing Filter: A New Approach to Building Trust in E-Commerce
Content. Webseite, 2005. Online verfügbar: http://www.microsoft.com/en-us/download/
details.aspx?id=13943, zuletzt aufgerufen am 25. Februar 2014.
[Dro13]
DROPBOX. Webseite, 2013. Online verfügbar: https://www.dropbox.com/mobile, zuletzt
[Eba14]
EBAY: Gefälschte eBay-Websites erkennen. Webseite, 2014. Online verfügbar: http://pages.
ebay.de/help/account/recognizing-spoof.html, zuletzt aufgerufen am 17. Februar 2014.
[ECH08] EGELMAN, SERGE, LORRIE FAITH CRANOR und JASON HONG: You’ve been warned: an empirical study
of the effectiveness of web browser phishing warnings. In: Proceedings of the SIGCHI Conference
on Human Factors in Computing Systems, Seiten 1065–1074. ACM, 2008.
[GG02]
GABRILOVICH, EVGENIY und ALEX GONTMAKHER: The homograph attack. Communications of the
ACM, 45(2):128, 2002.
[Goo]
GOOGLE INC.: Phishing- und Malware-Warnungen. Webseite. Online verfügbar: https:
//support.google.com/chrome/answer/99020?hl=de, zuletzt aufgerufen am 25. Februar
2014.
[GPCR07] GARERA, SUJATA, NIELS PROVOS, MONICA CHEW und AVIEL D RUBIN: A framework for detection
and measurement of phishing attacks. In: Proceedings of the 2007 ACM workshop on Recurring
malcode, Seiten 1–8. ACM, 2007.
[Gud14] GUDKOVA, DARJA: Kaspersky Security Bulletin. Spam im Jahr 2013. Webseite, 2014. Online
verfügbar: http://www.viruslist.com/de/analysis?pubid=200883842, zuletzt aufgerufen
am 4. Februar 2014.
[Int11]
INTERNET ARCHIVE WAYBACKMACHINE. Webseite, 2011. Online verfügbar: http://web.
archive.org/web/20110226023916/http://paypal.ca/, zuletzt aufgerufen am 13. Februar 2014.
[iWB12] WORLD BUSINESS INTER: PayPal gibt neue Nutzerzahlen bekannt - 20 Millionen registrierte
Kundenkonten. Webseite, 2012. Online verfügbar: http://www.internetworld.de/dmexco/
105
dmexco-News/PayPal-gibt-neue-Nutzerzahlen-bekannt-20-Millionen-registrierteKundenkonten, zuletzt aufgerufen am 3. Februar 2014.
[Kas13]
KASPERSKY LAB: The evolution of phishing attacks: 2011-2013. Webseite, 2013. Online verfügbar: http://media.kaspersky.com/pdf/Kaspersky_Lab_KSN_report_The_Evolution_of_
Phishing_Attacks_2011-2013.pdf, zuletzt aufgerufen am 4. Februar 2014.
[KCM09] KUMARAGURU, PONNURANGAM, LORRIE FAITH CRANOR und LAURA MATHER: Anti-phishing landing
page: Turning a 404 into a teachable moment for end users. In: Sixth Conference on Email and
Anti-Spam, 2009.
[KK14]
KREMPL, STEFAN und JÜRGEN KURI: Phishing-Attacken auf Microsoft: Dokumente zu Anfragen von Ermittlungsbehörden geklaut.
Webseite, 2014.
Online verfügbar: http:
//www.heise.de/security/meldung/Phishing-Attacken-auf-Microsoft-Dokumentezu-Anfragen-von-Ermittlungsbehoerden-geklaut-2098241.html, zuletzt aufgerufen am
30. Januar 2014.
[Kuc13]
KUCK, HARALD: DIE 100 GRÖSSTEN DEUTSCHEN KREDITINSTITUTE. Webseite, 2013.
Online verfügbar: http://www.die-bank.de/fileadmin/images/top100/diebank_Top100_
2013.pdf, zuletzt aufgerufen am 12. Februar 2014.
[Kuh13]
KUHN, BJÖRN-LARS: Top-Statistik: aktuelle Bildschirmauflösungen im Juli 2013. Webseite, 2013.
Online verfügbar: https://www.proteus-solutions.de/~Unternehmen/News-PermaLink:
tM.F06!sM.PV00!Article.955799.asp, zuletzt aufgerufen am 12. Februar 2014.
[LGT+ 11] LIN, ERIC, SAUL GREENBERG, EILEAH TROTTER, DAVID MA und JOHN AYCOCK: Does domain highlighting help people identify phishing sites? In: Proceedings of the SIGCHI Conference on Human
Factors in Computing Systems, Seiten 2075–2084. ACM, 2011.
[mee12]
MEEBO . Webseite, 2012. Online verfügbar: http://www.meebo.com/, zuletzt aufgerufen am
14. Februar 2014.
[MEL03] MCBRIDE, CM, KM EMMONS und IM LIPKUS: Understanding the potential of teachable moments:
the case of smoking cessation. Health Education Research, 18(2):156–170, 2003.
[Mic]
MICROSOFT CORP.: SmartScreen Filter: frequently asked questions.
Webseite.
Online verfügbar: http://windows.microsoft.com/en-us/windows7/smartscreen-filterfrequently-asked-questions-ie9, zuletzt aufgerufen am 25. Februar 2014.
[Mic14a] MICROSOFT: Phishing: Häufige Fragen.
Webseite, 2014.
Online verfügbar: http://
www.microsoft.com/de-de/security/online-privacy/phishing-faq.aspx, zuletzt aufgerufen am 17. Februar 2014.
[Mic14b] MICROSOFT: So erkennen Sie Phishing-E-Mails und -Links. Webseite, 2014. Online verfügbar: http://www.microsoft.com/de-de/security/online-privacy/phishing-symptoms.
aspx, zuletzt aufgerufen am 17. Februar 2014.
[Moz]
MOZILLA FOUNDATION: Wie funktioniert der eingebaute Schutz vor Betrugsversuchen (Phishing)
und Schadprogrammen? Webseite. Online verfügbar: https://support.mozilla.org/
de/kb/wie-funktioniert-schutz-vor-betrugsversuchen-und-schadprogrammen, zuletzt
[Moz06] MOZILLA FOUNDATION: Firefox Release Notes.
Webseite, 2006.
Online verfügbar: http://website-archive.mozilla.org/www.mozilla.org/firefox_releasenotes/
en-US/firefox/2.0/releasenotes/, zuletzt aufgerufen am 25. Februar 2014.
106
[Pay14a] PAYPAL: Can You Spot Phishing? Webseite, 2014. Online verfügbar: https://www.paypal.com/
webapps/mpp/security/antiphishing-canyouspotphishing, zuletzt aufgerufen am 17. Februar 2014.
[Pay14b] PAYPAL: So erkennen Sie Phishing. Webseite, 2014. Online verfügbar: https://www.paypal.
com/de/webapps/mpp/phishing, zuletzt aufgerufen am 17. Februar 2014.
[Phi]
PHISHTANK: What is phishing? Webseite. Online verfügbar: http://www.phishtank.com/
what_is_phishing.php, zuletzt aufgerufen am 17. März 2014.
[PMM+ 07] PROVOS, NIELS, DEAN MCNAMEE, PANAYIOTIS MAVROMMATIS, KE WANG, NAGENDRA MODADUGU
et al.: The ghost in the browser analysis of web-based malware. In: Proceedings of the first
conference on First Workshop on Hot Topics in Understanding Botnets, Seiten 4–4, 2007.
[Pro08]
PROVOS, NIELS: Safe Browsing Diagnostic To The Rescue. Webseite, 2008. Online verfügbar: http://googleonlinesecurity.blogspot.de/2008/05/safe-browsing-diagnosticto-rescue.html, zuletzt aufgerufen am 25. Februar 2014.
[Ram10] RAMZAN, ZULFIKAR: Phishing Attacks and Countermeasures. In: Handbook of Information and
Communication Security, Seiten 433–448. Springer, 2010.
[RFHN10] RASCH, BJÖRN, MALTE FRIESE, WILHELM JOHANN HOFMANN und EWALD NAUMANN: Quantitative
Methoden 2. Einführung in die Statistik für Psychologen und Sozialwissenschaftler. Quantitative
Methoden: Einführung in die Statistik für Psychologen und Sozialwissenschaftler. Springer,
2010.
[RPVR14] RENKEMA-PADMOS, ARNE, MELANIE VOLKAMER und KAREN RENAUD: Building Castles in Quicksand:
Blueprints of a Crowdsourced Study. CHI 2014, April 2014.
[Sch13]
SCHWUCHOW, OLIVER: Deutschland hat 6,7 Millionen aktive Nutzer auf Google+. Webseite, 2013. Online verfügbar: http://www.mobiflip.de/deutschland-hat-67-millionenaktive-nutzer-auf-google/, zuletzt aufgerufen am 3. Februar 2014.
[Sha05]
SHARIF, TARIQ: Phishing Filter in IE7. Webseite, 2005. Online verfügbar: http://blogs.msdn.
com/b/ie/archive/2005/09/09/463204.aspx, zuletzt aufgerufen am 25. Februar 2014.
[SMK+ 07] SHENG, STEVE, BRYANT MAGNIEN, PONNURANGAM KUMARAGURU, ALESSANDRO ACQUISTI, LORRIE FAITH C RANOR , JASON H ONG und E LIZABETH N UNGE : Anti-phishing phil: the design and evaluation of a game that teaches people not to fall for phish. In: Proceedings of the 3rd symposium
on Usable privacy and security, Seiten 88–99. ACM, 2007.
[SoS14]
SOSCI SURVEY GMBH: SoSci Survey. Webseite, 2014. Online verfügbar: https://www.
soscisurvey.de/, zuletzt aufgerufen am 12. Februar 2014.
[Sta13a] STATCOUNTER: Top 14 Screen Resolutions in Germany from July to Dec 2013. Webseite, 2013. Online verfügbar: http://gs.statcounter.com/#all-resolution-DE-monthly201307-201312-bar, zuletzt aufgerufen am 12. Februar 2014.
[Sta13b] STATCOUNTER: Top 9 Browsers in Germany from Jan to Dec 2013. Webseite, 2013. Online
verfügbar: http://gs.statcounter.com/#all-browser-DE-monthly-201301-201312/, zuletzt aufgerufen am 12. Februar 2014.
[sta13c]
STATISTA :
Anzahl der Mitglieder des Social Network "Xing" vom 4. Quartal 2006
bis zum 2. Quartal 2013 (in Millionen).
Webseite, 2013.
Online verfügbar:
http://de.statista.com/statistik/daten/studie/13587/umfrage/anzahl-dermitglieder-des-social-network-xing-seit-2006/, zuletzt aufgerufen am 3. Februar 2014.
107
[sta14]
STATISTA :
Anzahl der aktiven Nutzer von Facebook in Deutschland von Januar 2010 bis
Januar 2014 (in Millionen). Webseite, 2014. Online verfügbar: http://de.statista.
com/statistik/daten/studie/70189/umfrage/nutzer-von-facebook-in-deutschlandseit-2009/, zuletzt aufgerufen am 3. Februar 2014.
[Sur14]
SURVEYMONKEY: SurveyMonkey.
Webseite, 2014.
Online verfügbar: https://de.
surveymonkey.com/, zuletzt aufgerufen am 12. Februar 2014.
[Swe10] SWELLER, JOHN: Element interactivity and intrinsic, extraneous, and germane cognitive load. Educational Psychology Review, 22(2):123–138, 2010.
[tha14]
THAWTE : Häufig gestellte Fragen zu Extended Validation.
Webseite, 2014.
Online verfügbar: http://www.thawte.de/resources/ssl-information-center/inspiretrust-online/extended-validation-ssl-faq/index.html, zuletzt aufgerufen am 14. Februar 2014.
[TJ07]
TSOW, ALEX und MARKUS JAKOBSSON: Deceit and Deception: A Large User Study of Phishing.
Indiana University. Retrieved September, 9:2007, 2007.
[VSBK13] VOLKAMER, MELANIE, SIMON STOCKHARDT, STEFFEN BARTSCH und MICHAELA KAUER: Adopting the
CMU/APWG Anti-phishing Landing Page Idea for Germany. In: Socio-Technical Aspects in Security and Trust (STAST), 2013 Third Workshop on, Seiten 46–52. IEEE, 2013.
[XIN13]
XING: Q3 Zwischenbericht für den Zeitraum vom 1. Januar bis 30. September 2013. Webseite,
2013. Online verfügbar: https://corporate.xing.com/fileadmin/IR/XING_Q3_2013_D.
pdf, zuletzt aufgerufen am 3. Februar 2014.
[ZECH06] ZHANG, YUE, SERGE EGELMAN, LORRIE CRANOR und JASON HONG: Phinding phish: Evaluating
anti-phishing tools. ISOC, 2006.
108

Unterstützung bei der Erkennung von Phishing-Seiten durch

Transcription

Similar documents

Dateien anzeigen - Heinrich-Heine

Hire Catalogue - WLX Productions

McAfee Threat-Report: Erstes Quartal 2010

Stud.-Arbeit - Universität Tübingen

Link-Assistant SEO PowerSuite Datenblatt

Aufnahme und Wiedergabe von Tastatur

IBM Content Collector Deep Dive

anleitung zur sap-systemvermessung

ANDROID MALWARE:

Kaspersky Security Bulletin 2011/2012

Grentz_ANLEITUNG ZUR SAP

Jauchs ½ Millionäre: Frau Doktor Nr. 2

Internetnutzung von 12- bis 16-jährigen Jugendlichen

Storage-Virtualisierung

Einführung in Quantitative Methoden