Phishing - (und Gegenmaßnahmen)

Transcription

Phishing
(und Gegenmaßnahmen)
Andreas Potratz, Tajinder Dhillon
Universität Salzburg
PS: Kryptographie & IT-Sicherheit
A.Potratz, T.Dhillon
Phishing
Inhalt
Geschichte/Definition
Social Engineering
Phishing
Phishing-Techniken
Phishing-eMails
Phishing-Websites
Versteckte/getarnte Links
Pharming
Cross-Site-Scripting
Schutzmaßnahmen
Userverhalten
Technische Maßnahmen
Statistiken
Verbreitung
Schaden
Quellen
Phishing
Phishing
Definition
Phishing ist die Internet-Variante des ”Social Engineering”,
wobei versucht wird, unter Vorspiegelung einer falschen Identität
an vertrauliche Informationen einer anderen Person zu gelangen.
Phishing
Social Engineering
Anfragen per Telefon oder Brief
bei Firmen (Kundendaten/Passwörter)
bei Privatpersonen (”Enkeltrick”)
Psychologische Faktoren dabei...
Hilfsbereitschaft / Vertrauen
Angst (Mahnung, Security-Warning)
Respekt vor Autorität (Behördenbriefe)
”Dumpster-Diving”
Restmüll nach Kredikartenbelegen, Kassenbons, Abrechnungen
durchsuchen und die darin enthaltenen Daten auswerten
Phishing
Social Engineering
Phishing
Social Engineering
Phishing
Angriffe über das Internet (ab dem Jahr 2000)
Phishing durch...
eMails
”gefälschte” Websites
Malware (Trojaner, Key-Logger)
Pharming (DNS-Manipulationen)
zum Ausspähen von...
Zugangsdaten/Passwörtern
Kreditkarteninformationen
Online-Banking-Daten
Phishing
Angriffe über das Internet (ab dem Jahr 2000)
Phishing durch...
eMails
”gefälschte” Websites
Malware (Trojaner, Key-Logger)
Pharming (DNS-Manipulationen)
zum Ausspähen von...
Zugangsdaten/Passwörtern
Kreditkarteninformationen
Online-Banking-Daten
Phishing
Phishing vs. Social Engineering
Phishing bietet offensichtliche Vorteile...
Automatisierung der Anfragen
große Anzahl potentieller Opfer ist einfach zu erreichen
weitgehende Anonymität der Täter
Sicherheitslücken im Datenverkehr können ausgenutzt werden
mehr Varianten, um die eigentlichen Anliegen zu verschleiern
Phishing
Phishing-eMails
Enthalten als Absender zumeist...
Banken, Versicherungen
Internet-Provider
Administratoren eines ”Social Networks”
Anwälte, Inkassounternehmen
Lotterien, Gewinnspiele, Jobangebote
Behörden
vertrauenswürdige eMail-Kontakte (Freunde)
Enthalten immer einen Link zu einer Phishing-Website oder
Malware-Attachments, die Manipulationen am eigenen Rechner
vornehmen.
Phishing
Phishing-eMail (Beispiel)
Phishing
Phishing-Websites
Werden von Betrügern eingerichtet und...
sind detailgetreue Nachbildungen einer ”offiziellen” Website
verwenden leicht zu verwechselnde URL-Namen, z.B.:
http://www.barclays.co.uk
(Barclays Bank)
http://www.barclays.bank.co.uk (Phishing-URL)
fordern den User zur Eingabe vertraulicher Daten auf
sind die am häufigsten vorkommende Phishing-Variante
liegen oft auf Servern in Ländern, in denen eine
Strafverfolgung schwierig ist (Russland, China, ...)
Frage: Wie schaffe ich es nun, dass möglichst viele Personen auf
meiner Phishing-Website landen ?
Phishing
Phishing-Websites (Beispiel)
Phishing
Verschleierte URL-Adressen
Ausnutzen des Unicode-Zeichensatzes
URL codiert angeben:
http://%77%77%77%2e%50%68%69%73%68%69%6e%67%2e%63%6f%6d
wird zu: http://www.phishing.com
außerdem: Unicode-Zeichen sehen oft identisch aus, besitzen
aber unterschiedliche Code-Werte (z.b. kyrillisches und
lateinisches ”a”)
Verwendung des @-Symbols
normal bei Websites genutzt, die ein direktes Login
ermöglichen
ohne direktes Login werden Zeichen links vom ”@” ignoriert
Zeichen rechts vom ”@” werden als normale URL-Adresse
behandelt, z.B.:
http://www.citybank.com/[email protected]/upd.pl
Phishing
http://%77%77%77%2e%50%68%69%73%68%69%6e%67%2e%63%6f%6d
ermöglichen
behandelt, z.B.:
Phishing
http://%77%77%77%2e%50%68%69%73%68%69%6e%67%2e%63%6f%6d
ermöglichen
behandelt, z.B.:
Phishing
Überlange URLs
passen nicht in die Statuszeile und sind damit nicht auf einen
Blick zu kontrollieren:
http://www.visa.com:UserSession=2f6q9uuu88312264trzzz55884495
&useroption=SecurityUpdate&[email protected]/
verified_by_visa.html
Codierte URLs
Zahlenwerte der IP-Adresse werden hexadezimal oder oktal
codiert angegeben:
okt: http://0322.0206.0241.0043
hex: http://0xd2.0x86.0xa1.0x23
,
wird übersetzt zu: 210.134.161.35
Phishing
http://0xD286A123
Überlange URLs
Codierte URLs
codiert angegeben:
okt: http://0322.0206.0241.0043
,
Phishing
http://0xD286A123
Überlange URLs
Codierte URLs
codiert angegeben:
okt: http://0322.0206.0241.0043
,
Phishing
http://0xD286A123
Überlange URLs
Codierte URLs
codiert angegeben:
okt: http://0322.0206.0241.0043
,
Phishing
http://0xD286A123
Ersetzung von ”Text-Links” oder Schaltflächen durch Grafiken
das anklicken eines Bildbereiches löst einen Link aus:
<html>
<head> <title> Image mapping explained </title> <head>
<body>
<img src="c:/adresse.jpg" width="200" height="30" border="0" usemap="#Map">
<map name="Map">
<area shape="rect" coords="50,10,150,20" href="http://Hackerseite.com">
</map>
</body>
</html>
Phishing
Ersetzung von ”Text-Links” oder Schaltflächen durch Grafiken
das anklicken eines Bildbereiches löst einen Link aus:
<html>
<head> <title> Image mapping explained </title> <head>
<body>
<img src="c:/adresse.jpg" width="200" height="30" border="0" usemap="#Map">
<map name="Map">
<area shape="rect" coords="50,10,150,20" href="http://Hackerseite.com">
</map>
</body>
</html>
Phishing
Künstliches Browserfenster wird angezeigt
kann von unachtsamen Usern leicht übersehen werden...
Phishing
Hidden Frames
Im HTML-Code der Seite werden 2 Frames definiert:
1. Frame (sichtbar) enthält die Informationen und Inhalte einer
offiziellen Website
2. Frame (im Hintergrund) beinhaltet Schadcode, der Eingaben
protokolliert und an den ”Phisher” weitersendet
Phishing
Grafische Ersetzungen / Image-Overlays
Phishing
Pharming
Umleitung mittels Adress-Manipulation...
durch ”hacken” eines DNS-Servers werden alle Zugriffe auf
eine andere Website umgeleitet
durch Malware-Programme, die lokal gespeicherte
DNS-Einträge überschreiben
ist durch Anti-Spyware-Programme nicht zu erkennen, da
anscheinend ja zur gewünschten Website verbunden wurde
betrifft sämtliche Rechner, die diese DNS-Einträge zur
URL-Auflösung verwenden
Phishing
Pharming (Beispiel)
Phishing
Cross-Site-Scripting (XSS)
Cross-Site-Scripting
eine offizielle Website wird ”infiziert” und dort ein Script (Java, VB,
...) im HTML-Code der Seite eingebettet
beim Aufruf der Website wird das Script geladen, ausgeführt und
der User auf eine Phishing-Website umgeleitet
Phishing
Schutz vor Phishing-Attacken
Im Wesentlichen das Zusammenspiel aus 2 Komponenten:
1 Problembewußtsein seitens der User und entsprechendes
Verhalten bei der Verwendung des Internets
2
Softwarekomponenten, die den User dabei unterstützen
Phishing-Angriffe zu erkennen
Phishing
Grundsätzliche Massnahmen gegen Phishing
Checkliste
Virenscanner & Firewall verwenden
Schutzsoftware regelmäßig aktualisieren
HTML-Darstellung für eMails deaktivieren
Funktionalität des Webbrowsers einschränken
Links per Hand eingeben oder aus ”Favoriten” verwenden
sichere Passwörter verwenden
Browseranzeigen beachten (Symbolleisten/Zertifikate)
Passworteingaben nur bei SSL-Verbindungen
verdächtige Links meiden
eMails von unbekannten Absendern nicht öffnen/ausführen
Phishing
Browser-Einstellungen
Deaktivieren von...
Pop-Up’s
Java-Runtime-Unterstützung
ActiveX-Steuerelementen
auto-play/auto-execute für Multimedia-Komponenten
Cookie-Speicherung
Ausserdem...
Download-Files vor der Ausführung immer auf Viren prüfen
Sicherheits-PlugIn’s verwenden
Phishing
Sicheres Online-Banking
Statt der Verwendung von TANs besser...
iTAN (ein bestimmter Index wird abgefragt)
mTAN (Code wird auf’s Handy geschickt)
HBCI (Homebanking-Computer-Interface)
evtl. mit separatem Chipkartenleser
Phishing
Technische Maßnahmen
Erkennung von Phishingsites-/eMails durch...
Blacklists (regelmäßige Aktualisierung nötig)
Scannen und Filtern von eMail-Inhalten
Prüfen auf verschleierte Links und Weiterleitungen
Sicherheits-Zertifikate für Websites
Web-Anbieter: Scannen auf veränderte Inhalte
Anzeige im Browser durch...
Adressleiste/Toolbar (grün/rot eingefärbt)
Popup-Fenster (abgelaufene Zertifikate/Warnungen)
URL-Anzeige (evtl. mit SSL-Symbol)
Phishing
Erkennen von verdächtigen Seiten / Links
Hilfestellungen durch den Browser:
Hervorhebung des Domainnamens
Sicherheitsmerkmale in der Adressleiste
Anzeige der tatsächlichen Link-Adresse
Phishing
Erkennen von verdächtigen Seiten / Links
Hilfestellungen durch den Browser:
Prüfen von Websites und Sicherheitszertifikaten
Blockieren von bekannten Phishing-Websites
Phishing
Sicherheitslücken bei Websites
Phishing
Verteilung nach Geographie und Themen (2010)
Phishing
Phishing in Deutschland (2006-2010)
Angezeigte Phishingfälle:
Schadenssumme in Mio. Euro:
Phishing
Verzichten Sie bewusst auf Online-Aktivitäten ?
Phishing
Sicherheitssoftware bei Privatrechnern
Phishing
Quellenangaben
Quellen
www.wikipedia.de
www.bsi.bund.de
www.bitkom.org
www.owasp.org
www.a-i3.org
www.apwg.org
www.ibm.com
www.microsoft.com
www.technicalinfo.net
www.symantec.de
www.kaspersky.com
Phishing
Vielen Dank für’s Zuhören... :)
Phishing

Phishing - (und Gegenmaßnahmen)

Transcription

Similar documents

Adobe® CreAtive Suite® 4 – HÄuFiG GeSteLLte FrAGeN Zu

Gefahren aus dem Internet - Medizin-EDV

EC-Council Flyer - Compliance

Datenblatt E3

Userverhalten im Internet