Neues von der Phishing-Front
Erstmals wurde von Phishern die Authentifizierung mittels Security Tokens ausgehebelt. OpenDNS will schon bei der Namensauflösung vor Phishing-Seiten warnen.
- Daniel Bachfeld
Phisher haben jetzt erstmals praktisch vorgeführt, was Sicherheitsexperten lange vorausgesagt haben: Die Authentifizierung mittels Security-Tokens wurde ausgehebelt. Als Ausweg aus der Phishing-Misere priesen einige Hersteller die Zweifaktorauthentifizierung an. Damit sei ein statisches Passwort überflüssig und könne auch nicht mehr ausgespäht werden. Stattdessen erzeugt beispielsweise ein kleines Gerät alle sechzig Sekunden ein Verschlüsselungstoken in Form einer pseudozufälligen Zahl. Innerhalb einer Minute muss sich der Anwender mit dieser Zahl und einer weiteren, nur ihm bekannten PIN anmelden, sonst verfällt der Token.
Prinzipiell engt dieser Schutz den möglichen Zeitraum eines Angriffs erheblich ein, macht ihn aber nicht unmöglich. Insbesondere mit automatisierten Man-in-the-Middle-Attacken lassen sich auch Einmal-Passwörter klauen, um sich damit sofort anzumelden und Schindluder zu treiben. Genau das ist Kunden der Citibank in den USA passiert, wie Brian Krebs in seinem Security-Blog der Washington Post beschreibt. Die Phisher hätten in Russland eine gefälschte Webseite der Citibank aufgesetzt und die angelockten Besucher um Eingabe des Passwortes und des Tokens gebeten. Mit den Daten hätte sich der präparierte Server dann innerhalb von sechzig Sekunden bei den echten Citibank-Servern angemeldet. Anders als in Deutschland ist bei den meisten US-Banken anschließend für Transaktionen keine weitere Legitimierung mehr notwendig, das Konto stand dem Zugriff der Betrüger offen.
Ein neue Masche haben sich auch die Jäger von Kreditkartennummern ausgedacht: Angeblich kostenlose Checks, ob die eigene Kreditkartennummer schon gestohlen wurde. Zur Prüfung werden die Nummer und das Ablaufdatum abgefragt, die dann allerdings erst recht bei Betrügern landen – einer weiteren Prüfung bedarf es dann nicht mehr.
Im Kampf gegen Phishing wollen die Betreiber des Domain Name Systems OpenDNS Anwendern etwas Schützenhilfe geben. OpenDNS arbeitet wie ein den offiziellen Root-Nameservern vorgeschalteter Filter, der jedoch den anerkannten Namensraum nicht manipuliert. Die OpenDNS-Server sollen die Anfrage nach bekannten Phishing-Servern erkennen und Anwender auf Warnseiten umleiten. Nebenbei wollen die Server auch so genannte Typo-Squatter blockieren, also Domain-Grabber, die URLs mit abweichenden Schreibweisen beziehungsweise Tippfehler bekannter Namen kapern, um darauf Werbung zu schalten oder sogar Spyware zu installieren. (dab)
