Studie: Anti-Phishing-Software schützt nicht zuverlässig
Eine Studie der Ruhr-Uni-Bochum (RUB) hat Anti-Phishing-Toolbars für Webbrowser untersucht – mit dem Ergebnis, dass einige davon sich sogar zu Schadzwecken missbrauchen lassen.
Anti-Phishing-Toolbars für Web-Browser sollen gefälschte Webseiten erkennen, mit deren Hilfe Kriminelle in betrügerischer Absicht Zugangsdaten etwa für Banking-Anwendungen abschöpfen, und entsprechende Warnmeldungen liefern. Tatsächlich erkennt aber nur ein Bruchteil der angebotenen Werkzeuge tatsächlich die betreffende Gefahr. Das ist das zentrale Ergebnis einer Studie, die Studenten der Ruhr-Universität Bochum (RUB) unter fachlicher Anleitung der a-I3 (Arbeitsgruppe Identitätsschutz im Internet) erstellt haben.
Dabei zeigte sich unter anderem, dass einige Programme nicht nur ungeeignet sind, Phishing-Seiten zu erkennen, sondern sogar noch selbst eine eigene Gefahr darstellen können: Sie lassen sich als Phishing-Werkzeuge missbrauchen und können sensible Daten wie PIN oder TAN ausspähen, ohne dass die Nutzer es merken.
Untersucht wurden 23 aktuelle und im Internet kostenlos erhältliche Programme. Das Ziel bestand darin, herauszufinden, mit welcher Zuverlässigkeit die Programme gefährliche Seiten erkennen. Als Testobjekte dienten 16 aktuelle Phishing-Seiten und für die Gegenprobe fünf authentische Webseiten von Geldinstituten. Das Ergebnis: Die Programme erkannten im Durchschnitt nur 31 Prozent der Phishing-Seiten. Auch die echten Webseiten der Banken wurden nur zu 69 Prozent als solche identifiziert.
"Viel kritischer sind jedoch die Zusatzfunktionen, die wir dabei gefunden haben", so Prof. Dr. Jörg Schwenk vom Lehrstuhl für Netz- und Datensicherheit (NDS) der RUB, der die Studierenden betreut hat. So protokollierten einige Toolbars das Surfverhalten, wie man es ansonsten von Spyware kennt. Teilweise sei die Kommunikation der Software mit ihrem Gegenüber im Netz verschlüsselt, sodass der Nutzer nicht einmal überprüfen könne, welche Informationen gesendet werden.
"Einige Programme lassen sich hervorragend als Werkzeug der Phisher einsetzen", erläutert Sebastian Gajek, wissenschaftlicher Mitarbeiter am NDS. "Um auch dieser Variante einen Namen zu geben, bezeichnen wir solche Angriffe als Twofold Phishing." Hier werde dem Nutzer suggeriert, ein vertrauenswürdiges Software-Werkzeug zu installieren, das ihn vor gefährlichen Webseiten schützen soll, aber tatsächlich könne das Programm seine sensiblen Daten ausspionieren. Diese Erkenntnis lasse einiges befürchten: "Denkbar wäre, dass eine Anti-Phishing-Toolbar von Phishern selbst programmiert wird, um unbemerkt an Daten wie PIN und TAN zu gelangen", so Gajek.
c't war bereits in einem Beitrag in Ausgabe 22/05 ("Fangverbot – Tricks der Phisher und Tools zur Abwehr", Seite 154) zu dem Ergebnis gekommen, dass Anti-Phishing-Toolbars keine wirksamen Schutz bieten können. Wer sich sorglos auf technische Lösungen verlässt, vernachlässigt damit einen der wichtigsten Aspekte der IT-Sicherheit: Anwendervorsicht und sicherheitsbewusstes Verhalten sind durch technische Hilfsmittel nicht zu ersetzen. (psz)