Phish-Allergie
Phishing bezeichnet das „Fischen“ von Konto-Daten argloser Online-Banker, die sich von den Phishern ködern lassen; so, wie der Fisch an der Angel anbeißt, geben unsere Banker gutgläubig ihre Daten preis. Den meisten ist dabei wohl kaum bewusst, dass es sich dabei um eine moderne Variante der „Brieftaschenkontrolle“ handelt (in einer Simpsons-Folge spricht der typische Gangster Homer mit den Worten „Brieftaschenkontrolle“ an, woraufhin dieser seine Geldbörse bereitwillig aushändigt und unser Langfinger mit den Worten „Das war ja zu einfach“ verschwindet).
Phishing-Trojaner sendet Daten über ICMP titelte heise vor einer Woche und verwies auf einen Trojaner, der sich unter dem Microsoft Internet Explorer (manche nennen ihn ja auch „liebevoll“ Internet Exploiter) als so genanntes Browser Helper Object installiert und in dieser Funktion eingegebene Kontodaten abphischt und selbst weiterleitet. Das perfide an diesem Trojaner ist, dass er die Daten nicht über normale IP-Pakete, sondern als Anhang von ICMP-Paketen verschickt und damit von der Firewall oder installierten Überwachungsprogrammen nicht entdeckt. Neben dem Filtern des ICMP-Verkehrs, wie von heise vorgeschlagen, gibt es in diesem (und vielen ähnlich gearteten) Fällen allerdings noch eine weitere Möglichkeit, phishenden Trojanern das Handwerk zu legen: Viele Trojaner nutzen die Fähigkeiten oder Fehler im Internet Explorer (daher der Spitzname Exploiter) und die enge Verquickung mit dem Windows Betriebssystem aus, weshalb man durch Verzicht eines oder beider Produkte die Sicherheit erhöhen kann.
- Gute Alternativen zum Internet Explorer sind Opera und Firefox.
- Windows-Alternativen gibt es sehr viele, wobei für den typischen Windows-Anwender wohl eine der Ubuntu-Varianten oder gleich der Umstieg auf einen Mac in Frage kommen.
Doch nicht nur der naive Nutzer muss sich an die Nase fassen, was den sorglosen Umgang mit letztlich seiner finanziellen Existenz angeht, die Banken machen ihm das Leben nicht gerade einfach, wie Telepolis aufdeckt: URL-Wechsel-Dich: Das freut den Phisher thematisiert den wechselhaften Umgang von Banken mit URLs und Verschleierungstechniken, die dem Kunden nicht gerade hilfreich dabei sind, herauszufinden, ob er noch auf der Bankseite oder schon geneppt ist. Gemäß der Forderung des W3C Cool URIs don't change wird jedem Online-Banking-Kunden geraten, die Seite seiner Bank nie über Links (in Emails), sondern immer über Bookmarks oder manuell eingegebene URLs zu besuchen. Doch wie häufig ändern sich diese URLs und die Bookmarks laufen ins Leere oder das Anlegen von Lesezeichen wird durch JavaScript-Navigationen vereitelt? Und selbst wenn, woher will der Kunde wissen, ob www.meinebank-online.de tatsächlich zu meinebank.de oder online.meinebank.de gehört? Telepolis fordert an dieser Stelle einen sinnvolleren Umgang mit dem Domain-Name-System (d.h. keine neue Domain, sondern die Subdomain), verweist aber auch auf juristische Probleme, die dem im Weg stehen können.
Zusätzlich taucht oft das Problem auf, dass man sich zwar unter der korrekten URL (online.meinebank.de) beim Online-Banking anmeldet, aber dann über JavaScript-Hacks (Sorry Jungs, aber was Anderes ist das nicht) und neue, verstümmelte (d.h. ohne Adress- oder Statusleiste) Browserfenster zum eigentlichen Banking weitergeleitet wird – und dann doch wieder unter einer anderen Domain (www.meinebank-online.de). Dieser Aufwand ist nötig, damit der Kunde möglichst nichts von der Weiterleitung mitbekommt, aber woher will er wissen, dass diese Seite immer noch der Bank gehört und nicht Phishern, die eine Cross-Site-Scripting-Lücke ausgenutzt haben?
Als Ausweg aus diesem Dilemma schlägt Telepolis die Verwendung von HBCI vor, welches praktisch vorm Phishen sicher ist, die einzige Schwachstelle ist die Integrität des Systems, von welchem man man seine Bankgeschäfte online ausführt. Doch selbst die Integrität kann nicht automatisch garantiert werden, vor allem unter Windows. Eine ausgesprochen sichere Variante des Bankings war übrigens seinerzeit BTX, da die Daten nicht durchs Internet, sondern über die Telefonleitung die Bank erreichten. Aus Kostengründen wurde dies allerdings eingestellt, wobei man doch nicht an der Sicherheit sparen sollte!
Ich habe für mich jedenfalls entschieden, so lange es keine hinreichend sicheren Möglichkeiten des Online-Bankings gibt (kann ich meinem Computersystem wirklich trauen, wenn ich seine Sourcen nicht kenne bzw. verstehe?), die Filialen vorzuziehen, da es ausgesprochen unwahrscheinlich ist, dass hinter dem Tresen ein Phisher steht. Zum Abschluss gibt es noch etwas zu lachen: Das *g* zum Phishing.
1 Robert (Admin) aus Baunatal/Deutschland schrieb am 19.08.2006:
Ha, ich wusste doch, dass die nächste Meldung zu diesem Thema nicht lange warten lässt: heise newsticker: Internet-Branche fordert Gesetz gegen Passwort-Klau. Toll, da verlangt also der/die/das Bitkom ein Gesetz, welches den Diebstahl von Kunden- und Kontodaten (u.a. Passwörter), also Phishen, unter Strafe stellt, weil die angezeigten Phishzüge im ersten Halbjahr 2006 um 50% zugenommen haben. Abgesehen davon, dass Phishing aktuell schon kriminell ist, was ändert dieses Gesetz an der Rechtslage und an der Gefährdung der Online-Banker? Wie hieß es heute so schön im c't-magazin: „Passwörter sind die Schlüssel der digitalen Welt.“ Mit Passworten muss man also genauso sorgfältig wie mit seinem Schlüsselbund umgehen. Nur, weil der eine Schlüssel leichter und billiger ist, verzichtet man ja auch nicht aufs Sicherheitsschloss.
2 Roberts Kolumne aus dem Internet schrieb am 30.10.2006:
Online-Banking und -einkaufen? Ohne mich!
3 Roberts Kolumne aus dem Internet schrieb am 03.10.2007:
Konto-Aus-Zugdrucker: