11. November 2009

Content-Spoofing – Teil 2 – Phishing

Content-Spoofing - Phishing

Beim Phishing, was so viel bedeutet wie "Password fishing", wird versucht an fremde Daten durch E-Mails oder gefälschte Webseiten von scheinbar seriösen Anbietern zu gelangen. Dabei haben es Angreifer häufig auf Kreditkarten-Nummern bzw. Bankdaten (Online-Banking) abgesehen.

Neben dem normalen Phishing gibt es auch etwas andere Arten des Phishings, wie z.B. das Pharming.

In diesem zweiten Teil der Artikel-Serie "Content-Spoofing" geht es also um Phishing.

Phishing-Mails

Die meist verbreitete Variante des Phishings sind Phishing-Mails.

Hierbei werden in der Regel HTML-Mails versendet, um das Layout an dem Originalen anzupassen. Dazu werden meistens einfach die Bilddateien der originalen Webseite verwendet. Nutzt ein Kunde Online-Banking, ist ihm das Layout natürlich bekannt und kommt ihm somit vertraut vor. Ein gutes Beispiel, wie das ganze aussehen könnte, findet man bei Wikipedia.

Wie man an diesem Beispiel sieht, schreiben viele Betrüger selbst über Betrügereien, um die Glaubwürdigkeit und die Aufmerksamkeit des Benutzers zu erhöhen.

So nach dem Motto "Wenn Sie dieses Formular nicht ausfüllen, können Sie leider kein Online-Banking mehr betreiben". Dabei ist es eher andersrum.

Der Link zum Formular wird in der Regel auch präpariert. Zumindest im Linktext steht meistens die originale URL - das Ziel ist ein völlig anderes. Wenn der E-Mail-Client auch client-seitigen Code wie JavaScript ausführt, können weitere Tricks zur Manipulation von Links genutzt werden - wie im ersten Teil der Artikel-Serie beschrieben.

Wenn man eine E-Mail erhält, schaut man sich zuerst den Absender an. Angreifer nutzen dazu gefälschte E-Mail Adressen. Diese Technik wird auch als Mail-Spoofing bezeichnet.

Das geht zum Beispiel in PHP mit nur einer Zeile Code. Dabei ist es völlig egal, ob die E-Mail Adresse bereits verwendet wird oder ob sie überhaupt existiert.

<?php if(mail('empfaenger@provider.tld', 'Betreff', 'Nachricht', null, '-fabsender@provider.tld')) echo "Done!"; ?>

empfaenger@provider.tld stellt die E-Mail Adresse des Empfängers dar und absender@provider.tld die vom Angreifer ausgewählte E-Mail Adresse als Absender.

Phishing-Webseiten

Die E-Mails dienen häufig nur als Verteiler der Links, die zu den eigentlichen Phishing-Seiten führen. Die URL dieser Webseiten ähnelt in der Regel die der Originalen. Es werden zum Beispiel ähnliche Schreibweisen oder gezielte Tippfehler verwendet.

Auch das Layout sieht natürlich fast immer identisch mit dem Originalen aus. Hierfür gibt es wieder ein kleines Beispiel bei Wikipedia.

Die Links auf der Phishing-Seite führen meistens zu der originalen Webseite. Dadurch hat der Besucher das gefühl wirklich auf der richtigen Webseite zu sein. Füllt er das Formular aus, werden die Daten unbemerkt an den Angreifer übermittelt.

Pharming

Eine erweiterte Art des Phishings ist das "Pharming".

Während Angreifer beim normalen Phishing gefälschte URL's verwenden müssen (außer wenn durch Sicherheitslücken die originale Webseite manipuliert wird), werden beim Pharming die echten URL's verwendet.

Dabei wird durch ein Schadprogramm die hosts-Datei des Systems manipuliert.

Die hosts-Datei dient der Zuordnung von Hostnamen und IP-Adressen - das heißt man kann Hostnamen beliebigen IP-Adressen zuordnen. Somit kann ein Angreifer beispielsweise die IP-Adresse seines Webservers einer bekannten Domain zuweisen.

Das sollte man am besten einmal selber testen.

Die hosts-Datei befindet sich unter Windows im folgenden Verzeichnis:

C:\WINDOWS\system32\drivers\etc\hosts

Falls ein anderer Laufwerksbuchstabe verwendet wird, muss er natürlich ersetzt werden.

Unter Linux befindet sie sich in /etc/hosts

Für weitere Betriebssysteme: Hier eine Liste.

Wir öffnen die Datei mit einem Texteditor und fügen folgende Zeile hinzu:

209.191.93.53   www.google.de

Die IP-Adresse ist von yahoo.com und dient nur als Beispiel.

Nun speichern wir die Datei und starten unseren Browser neu. Wenn wir jetzt google.de aufrufen, sollte die Yahoo-Seite angezeigt werden.

Um das ganze wieder rückgängig zu machen, löschen wir die Zeile einfach wieder und starten unseren Browser neu. Wenn bei google.de immer noch die Yahoo-Seite angezeigt wird, einfach die Seite einmal aktualisieren (F5).

Wie man sieht kann man beim Pharming mit nur einer kleinen Modifikation großen Schaden anrichten. Der Nachteil für Angreifer ist, dass sie einem erst ein Schadprogramm unterjubeln müssen, welches die hosts-Datei manipuliert bzw. ersetzt.

Schutz vor Phishing

Der beste Schutz ist hier die eigene Achtsamkeit und aktuelle Software. Gute Browser und E-Mail-Clients haben eingebaute Schutzfunktionen gegen Phishing. Allerdings lassen diese noch zu wünschen übrig und man sollte sich darauf nicht zu sehr verlassen.

Außerdem sollte man auf vorhandene Sicherheitsmerkmale wie eine SSL/TLS-verschlüsselte Übertragung (HTTPS) achten und gute Anti-Malware Tools verwenden, die eine Änderung an der hosts-Datei erkennen.

Dir hat der Artikel gefallen? Dann abonniere doch einfach den RSS-Feed, damit du immer auf dem Laufenden bleibst und über neue Einträge kostenlos informiert wirst.

Diesen Artikel weiterempfehlen:
TwitterFacebookDeliciousTechnoratiMister WongWikio

2 Reaktionen zu “Content-Spoofing – Teil 2 – Phishing”

Kommentare (0)

Für diesen Artikel sind bisher nur Trackbacks vorhanden.

Trackbacks (2)

Kommentar hinterlassen