Die Vorgehensweise beim Phishing

Themen:

1. Bedeutung des Begriffs Phishing
2. Harvester
3. Phishing Mails
3.1. Phishing Mails
3.2. Phishing Mails
3.3. Phishing Mails
3.4. Phishing Mails
3.5. Neue Varianten und Technologien in Phishing- Webseiten

1. Bedeutung des Begriffs Phishing

Der Begriff Phishing beschreibt das "Password Harvesting and fisching", wobei das Ziel eines Phisers darin besteht, so viel wiemöglich Passwörter zu sammeln ("to harvest").

2. Harvester

Dazu genutzt werden Harvester (für „Erntemaschine“)- Programme genutzt. Diese stellen eine Sonderform von Webcrawlern dar. Webcrawler, auch Spider oder Bot genannte, sind Computerprogramme, welche durch vom User eingegebene Faktoren das WorldWideWeb nach bestimmten Kriterien durchsuchen. Hauptsächlich Suchmaschinen nutzen Webcrawler, um die Suchlisten immer auch dem aktuellsten Stand zu halten. Darüber hinaus können auch Really Simple Syndication (RSS) - Newsfeeds (eine Technologie zum Abonnement von auf Internetseiten ausgegebenem Inhalt) oder aber E-Mail-Adressen gesammelt werden.

Die Webcrawler arbeiten sich in der Regel von einer Startseite über Hyperlinks zu weiteren URLs. Alle auf den durchsuchten Internetseiten aufgefundenen Adressen werden von dem Webcrawler gespeichert und nacheinander besucht. Alle Hyperlinks und auf den URLs gefundenen E-Mail Adressen werden vom auf Wunsch des Anwenders auch in einer Protokolldatei festgehalten.
Theoretisch können mit einem Crawler alle erreichbaren Seiten des www gefunden und die darin enthaltenen E-Mail- Adressen aufgelistet werden.

Webcrawler werden auch als Spider (Spinnen) bezeichnet, da sie sich wie diese im Netz vorarbeiten.
Webseitenbetreiber haben die Möglichkeit, Webcrawlern mit Hilfe des „Robots Exclusion Standard- Protokoll“ in einer so genannten robots.txt- Datei oder Meta- Tags im HTML- Header, mitteilen, welche Seiten zu indizieren sind und welche nicht.

Beispiele für Harvester- Programme sind zum Beispiel „EmailSpiderEasy“ oder
HS-Crawler, welche günstig im Netz erworben werden können.

Bei einem persönlich durchgeführten Testdurchlauf am 10.03.2006 mit dem Programm EmailSpiderEasy, der Startseite http://www.google.com und dem Suchbegriffparameter „Online banking“ wurden nach 5 Minuten 377 E-Mail-Adressen von dem Programm aufgelistet.

An diese (unter anderem durch Harvester-Programme gefundenen) E-Mail-Adressen versenden Phisher ihre Phishing-Mails.

3. Phishing- Mails

Es gibt verschiedene Varianten von Phishing- Mails, die in Qualität und somit auch ihrer Gefahr deutliche Unterschiede mit sich ziehen. Diese Varianten können in vier Kategorien eingeteilt werden.

3.1 Phishing- Mail- Level 1

Die erste Kategorie von Phishing-Mails ist eine einer originalen E-Mail des Kreditinstituts nachgeahmte Nachricht. Sie ähnelt optisch der des Kreditinstituts und fordert den Kunden auf, seine persönlichen Daten zu bestätigen oder in Formularfelder, die in die Mail integriert sind,  einzugeben

3.2 Phishing- Mail- Level 2

Bei der zweiten Kategorie erhält das Opfer eine vertraute E-Mail, in der sich neben einem an den scheinbaren Kunden gerichtete vertrauliche Botschaft ein Hyperlink, welche zu einer Webseite führt.
Diese Webseite gleicht der originalen Webseite des Kreditinstituts nicht, enthält jedoch Formularfelder, in der das potentielle Opfer seine persönlichen Daten eingeben soll.
Der folgende Screenshot stellt ein Beispiel von einer Phishing- Webseite der Kategorie zwei dar.

In der Adresszeile erkennt der User nur eine IP- Adresse, der Seite ist kein Name zugeordnet. Weiterhin besteht die Mail lediglich aus einem Volksbaken- Raiffeisenbanken- Schriftzug und einer Formular- Eingabeaufforderung nach Vorname und maximal 10 TAN. Der User kann weiterhin am fehlenden „https- Protokoll“ und dem nicht vorhandenen SSL- Symbol erkennen, dass es sich bei dieser Seite um eine Phishing- Webseite handelt.

3.3 Phishing- Mail- Level 3

Bei der dritten Kategorie ähnelt die Zielseite, welche ebenfalls durch einen Hyperlink in einer Phishing- Mail erreicht werden kann, der originalen Webpräsenz des Kreditinstituts. Die beiden folgenden Screenshots zeigen eine beispielsweise Phishing Webseite der zweiten Kategorie.

Der Kunde wird auf der Seite, die er erreicht, von dem vermeintlichen Geldinstitut begrüßt. Im Vorwand, die Sicherheit erhöhen zu wollen, bitten die Phisher, in Formularfelder die Kontonummer, PIN, zwei TAN, den Familiennamen, die Telefonnummer sowie eine Geheimfrage und die Antwort auf diese einzugeben.
Hinweislich wird erwähnt, dass TAN, welche in das Formular eingegeben wurden, zukünftig nicht mehr zu benutzen seien.
Mit diesen Daten hätten Phisher alle Daten, welche benötigt sind, um Überweisungen zu tätigen.
Auffällig an dieser Webseite ist neben den unüblichen Formularfeldern, welche die TAN abfragen ist die Adresszeile.
Die Adresse der Seite lautet „http://www.poslbamk.de/app/login.prep.do“. Dem User sollte bei dieser durchaus missglückten Ähnlichkeit zu einem bekannten Kreditinstitut weiterhin auch auffallen, dass das „https- Protokoll“ sowie das SSL- Verfahren, wie es für eine Login- Seite üblich wäre, nicht zu sehen ist.

Bei dieser originalen Login- Seite der Postbank ist in der Adresszeile das „https- Protokoll“ sowie das SSL- Symbol zu erkennen. Darüber hinaus werden auch nur die „üblichen“ Login- Daten für den Kontozugang benötigt, in diesem Fall die Kontonummer und die PIN, also das numerische  Passwort des Users.

3.4 Phishing- Mail- Level 4

Bei Phishing- Mails der Kategorie vier führt der Link einer Phishing-Mail zu einer Seite, die dem Original gleicht. Darüber hinaus wird das Graphical User Interface (GUI) der Seite nachgebildet, teilweise unter Verwendung der originalen Grafiken, Schriftzüge, Schaltflächen etc. Dabei wird die gefälschte Seite so verlinkt, dass das Opfer beim Verfolgen weiterer Links der Seite zu der Originalseite des entsprechenden Instituts gelangt.
Auf den beiden folgenden Screenshots sind zwei Login- Seiten abgebildet, wobei die erste eine Fälschung darstellt. Diese ist neben der fehlenden Sicherheitsmaßnahmen (SSL- Symbol und „https-Protokoll“) an der vielen Formularfeldern zu erkennen und einer lediglich aus einer IP- Adresse bestehenden Adresszeile zu erkennen.
Die Phisher nutzten jedoch dieselbe GUI, so dass dem Banking- Kunden optisch kein Unterschied auffällt.

3.5 Neue Varianten und Technologien in Phishing- Webseiten

Um die gefälschten Phishing- Seiten zu perfektionieren, verbessern die Phisher neben den von ihnen verwendeten Grafik sowie Sprache auch die Technik, mit der die Seiten ausgestattet sind.
Neben einer Phishing- Mail, welche Kunden einer amerikanischen Bank in die Falle führen sollte (vgl. http://www.golem.de/0602/43386.html Stand 17.03.2006), wurde auch eine Paypal- Webseite (vgl. https://www.a-i3.org/images/stories/pressemeldung/051019_a-i3_ssl_phishing.pdf Stand: 17.03.2006) mit einem SSL- Zertifikat und dem „https- Protokoll“ ausgestattet.