Faustregeln gegen Phishing -- für Betreiber und Kunden
Sechs Tipps des Internet Storm Center helfen Online-Banken und Kunden, Phishing-Attacken zu erschweren.
Betreibern von Online-Banking-Servern legt das SANS Internet Storm Center sechs Regeln ans Herz, den Phishern das kriminelle Geschäft zu verhageln. Phishing-Mails sollen arglose Online-Kunden auf Websites locken, die den echten Web-Auftritten von Banken täuschend ähnlich nachempfunden sind, und dort zur Eingabe von Zugangsdaten verleiten. In den letzten Wochen kursierten zahlreiche Varianten solcher Mails, auch konkrete Schadensfälle wurden bekannt. Online-Bankkunden können sich durch Beachtung weniger Faustregeln schützen: So sollte man die Website seiner Bank ausschließlich per manueller Eingabe der Adresse oder über einen selbst gesetzten Bookmark ansteuern, niemals dagegen auf Links in E-Mails klicken.
Die SANS-Hinweise zielen darauf ab, den Kontenfischern das Leben schwer zu machen: Einheitliche Gestaltung (Consistent Branding) soll den Kunden das Erkennen erleichtern, ob eine Mail tatsächlich von der Hausbank kommt. Unterscheidet sich der Domainname der Absenderadresse von jenem des Web-Auftritts, darf man stutzig werden. Ferner rät das PDF dazu, eine Website so zu gestalten, dass sie ohne aktive Inhalte (ActiveX, Javascript) auskommt. Diese haben sich in der Vergangenheit immer wieder als Einfallstor für Trojaner erwiesen. Ebenso sollte das Angebot mit verschiedenen Browsern nutzbar sein.
Systematische Auswertung der Logdateien kann den Sysadmins schließlich Hinweise darauf geben, ob ihre Bank akut das Ziel einer Attacke ist: Treten vermehrt E-Mail-Rückläufer auf, könnte ein Phisher eine Spam-Lawine mit gefälschter Absenderdomain losgelassen haben. Das verrät sich unter Umständen auch im Webserver-Log durch vermehrte Referrer-Einträge mit gleicher Quelle, wenn Surfer über eine Phishing-Site zum Original umgeleitet werden. Verschiedene Methoden, den eigenen Web Content unauffällig zu markieren, helfen bei der Verfolgung. Zusammen mit den Serverlogs erlaubt das Watermarking, im Fall des Falles "umgeleitete" Kunden auf eigene Seiten zu lenken, die vor Phishing warnen und zur Überprüfung ihrer Kontenbewegungen raten. (ea)
