Paypal will alte Browser blockieren (Update)
Die Sicherheitsexperten Michael Barrett und Dan Levy von Paypal beschreiben Maßnahmen, mit denen sie das das Phishing-Problem in den Griff bekommen wollen. Sie wollen beispielsweise alte Browser sperren.
In einem Whitepaper beschreiben Paypals Chief Information Security Officer Michael Barrett und der Senior Director of Risk Management Dan Levy Maßnahmen, um das Phishing-Problem in den Griff zu bekommen. Eine Maßnahme davon: alte Browser und möglicherweise auch Safari werden gesperrt.
Barrett und Levy erläutern in dem Whitepaper, dass sie beispielsweise die Nutzer schützen wollen, indem sie nur noch signierte E-Mails von Servern mit DomainKeys- und Sender-Policy-Framework-Unterstützung (SPF) verschicken wollen. Dadurch ließen sich schon die meisten Phishing-Mails beim Provider ausfiltern und würden die Anwender gar nicht erst erreichen. Zudem arbeite Paypal etwa mit dem Anbieter Iconix zusammen, der Plug-ins für E-Mail-Programme anbietet, die Signaturen in E-Mails überprüfen können.
Als weitere Sicherungsmaßnahme setzt Paypal auf EV-SSL-Zertifikate (Extended Validation Secure Sockets Layer). Firefox 3 und Internet Explorer ab Version 7 zeigen korrekt mit EV-SSL-Zertifikat ausgestattete Seiten mit einer grün gefärbten Adresszeile an. Die Authentifizierung haben die Paypal-Sicherheitsexperten als weiteres Problem identifiziert. Phisher konnten mit den abgephishten Benutzerdaten an das Anwenderkonto gelangen. Das will Paypal mit Tokens verhindern, die Einmal-Passwörter liefern. Allerdings sind die anfällig für Man-in-the-Middle-Angriffe.
Außerdem will Paypal veraltete und als unsicher betrachtete Webbrowser vom Zugriff auf die Seite abhalten. Zu den sicheren Browsern zählt Paypal laut dem Whitepaper Firefox, Internet Explorer 7 und Opera ab Version 9.25. Safari enthält keinen Phishing-Schutz und hat es deshalb wohl nicht in die Liste vertrauenswürdiger Browser geschafft. Bei der Vorgängerversion zur aktuellen Fassung der Webbrowser soll eine Warnung angezeigt werden, während bei noch älteren Fassungen der Zugriff auf Paypal tatsächlich blockiert wird.
Paypal könnte auch weitere Webbrowser aussperren: Auf der Usability, Psyschology, and Security Conference 2008 in San Francisco haben Forscher der University of California in einem Vortrag auf potenzielle Sicherheitslücken von Webbrowsern von mobilen Geräten und Spielekonsolen wie Apples iPhone, Nintendos Wii und der DS hingewiesen. In den Browsern würden einige Sicherheitsmechanismen fehlen und aufgrund der geringen Bildschirmauflösung etwa URLs nicht vollständig angezeigt, sodass Phishing-Angriffe vereinfacht würden. Zudem würden Nutzer dieser Browser eher Links aus E-Mails folgen, da die Adresseingabe mittels virtueller Tastatur zu kompliziert sei.
(Update):
Paypal hat gegenüber ZDnet dementiert, dass Apples Safari-Browser ausgesperrt werden soll. Dort wird eine Paypal-E-Mail zitiert: "Wir haben absolut nicht die Absicht, aktuelle Browser von unserer Webseite auszusperren, einschließlich Apples Safari."
Siehe dazu auch:
- A Practival Approach to Managing Phishing (PDF), Whitepaper von Michael Barrett und Dan Levy
(dmk)
