Institut für Internet-Sicherheit Fachhochschule Gelsenkirchen
https://www.internet-sicherheit.de
Prof. Dr. Norbert Pohlmann
Phishing
–
wie man der Phishing-Welle
entkommen kann
orb ert P ohlm ann, Insti tut fü r Int ernet -Sich erhe it (if is)
Inhalt
1)
Wo liegt das eigentliche Problem?
Identity-Management
Authentikationsverfahren
2)
Home-Banking, was ist das besondere?
3)
Phishing, wie funktioniert das?
4)
Was kann getan werden, damit wir weniger Probleme haben?
Basis
kurzfristige Lösung
mittelfristige Lösung
Prof . Dr. N orb ert P ohlm ann, Insti tut fü r Int ernet -Sich erhe it (if is) 3
Inhalt
1)
Wo liegt das eigentliche Problem?
Identity-Management
Authentikationsverfahren
2)
Home-Banking, was ist das besondere?
3)
Phishing, wie funktioniert das?
4)
Was kann getan werden, damit wir weniger Probleme haben?
Basis
kurzfristige Lösung
mittelfristige Lösung
orb ert P ohlm ann, Insti tut fü r Int ernet -Sich erhe it (if is)
Identity-Management
Herausforderung
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is) 5
Identity Management
Motivation
Separate Anmeldung für jeden genutzten Dienst notwendig
Wahrscheinlichkeit für Fehler und Sicherheitsprobleme steigt Passwort unter der Tastatur, usw.
Verwaltung für den Nutzer kaum zu bewerkstelligen Kosten für Administration und Help Desk steigen
orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is)
Identity Management
Beteiligte
NutzerKunden, Mitarbeiter, Geschäftspartner Dienstanbieter
Banken, Online-Shops, Internet Provider, öffentliche Einrichtungen, Behörden ...
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is) 7
Identity Management
Interessen der Nutzer
Anonymität und Selbstbestimmung Personalisierte Dienste
Sicherheit Datenschutz Vereinfachung
orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is)
Identity Management
Interessen der Dienstanbieter
Erhöhen der Sicherheit
Schutz vor Betrug und unberechtigter Nutzung der Dienste Kosten für Administration senken
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is) 9
Authentikationsverfahren
(einmal) Passwort-Verfahren
Passwort-Verfahren Einfachstes AuthentikationsverfahrenWenn das Passwort im Klartext über das Internet übertragen wird, dann kann es mitgelesen und missbräuchlich verwendet werden
Passwortregeln müssen eingehalten werden!
Einmal-Passwort (TAN)
Jedes Passwort wird nur einmal verwendet Zwei unterschiedliche Methoden:
Passworte werden im Vorfeld bestimmt und verteilt
Benutzer kann sie nach einem definierten Verfahren berechnen
Challenge-Response-Verfahren
Benutzer muss sich spontan kryptographisch beweisen Dazu braucht er einen Schlüssel und ein Verfahren
orb ert P ohlm ann, Insti tut fü r Int ernet -Sich erhe it (if is)
Inhalt
1)
Wo liegt das eigentliche Problem?
Identity-Management
Authentikationsverfahren
2)
Home-Banking, was ist das besondere?
3)
Phishing, wie funktioniert das?
4)
Was kann getan werden, damit wir weniger Probleme haben?
Basis
kurzfristige Lösung
mittelfristige Lösung
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is) 11
Klassisches Homebanking
Prinzip
Kunde wählt die URL seiner Bank Kanalverschlüsselung mit SSL
Eingabe der Sicherheitsinformationen des Kunden:
Authentifizierung des Kunden mit
Benutzernamen und PIN
Autorisation von Vorgängen durch
Transaktionsnummern (TAN)
Die Bank führt die gewünschten Aktionen aus.
Kunde schließt die Anwendung!
orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is)
Klassisches Homebanking
Problem
Es geht um Geld!
Die Sicherheitsmechanismen sind „altbacken“
Es werden zurzeit die einfachsten Authentikationsverfahren verwendet! Wir befinden uns im Internet!
Erhöhter Aktionsradius
Starke Abstraktion zwischen Handlung und Wirkung Keine Grenzen im Internet!
Angriffstools sind im Internet für jedermann verfügbar.
Prof . Dr. N orb ert P ohlm ann, Insti tut fü r Int ernet -Sich erhe it (if is) 13
Inhalt
1)
Wo liegt das eigentliche Problem?
Identity-Management
Authentikationsverfahren
2)
Home-Banking, was ist das besondere?
3)
Phishing, wie funktioniert das?
4)
Was kann getan werden, damit wir weniger Probleme haben?
Basis
kurzfristige Lösung
mittelfristige Lösung
5)Fazit
orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is)
Phishing
Einleitung
Phishing = Password Fishing Trickbetrug im Internet
Identitäts-, Passwort- und TAN-Klau im Internet Ziel des Angreifers: Geld „klauen“, sich bereichern! Wichtigste Phishing-Methoden
E-Mail Phishing mit falschen Webseiten
Phishing mit Trojanern (Software-Keylogger, …) Mitte 2004 erste Fälle in Deutschland
Ab Anfang 2005 massive Zunahme von Phishing-Angriffen
„Tausende von Fällen in Deutschland und rund 4,5 Millionen Euro Schaden“ Phisher sitzen meist im Ausland
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is) 15
Phishing
E-Mail Phishing mit falschen Webseiten
Angreifer erstellt einen falschen Bank Web-Server, der wie der echte
aussieht.
Angreifer verschickt massenweise gefälschte E-Mails und lenkt so die Kunden auf den falschen Bank Web-Server (falsche URLs)
Kunde gibt seine
Sicherheits-informationen an den falschen Web-Server
Angreifer simuliert den echten
Bankkunden und bereichert sich mit den gewonnenen Passwörter und TANs
orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is)
Phishing
Problem
Kunde reagiert auf eine E-Mail von der Bank Kunde folgt einer „falschen“ Webseite
Kunde gibt seine Autorisierungsdaten der „falschen“ Webseite
Die Bank verwendet Authentikationsverfahren, die
nicht mehr passend sind!
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is) 17
Phishing
Bedrohung durch Schadsoftware
Zu Schadsoftware (Malware) gehören u.a. Trojanische Pferde, Keylogger, Screenlogger und andere Spyware
Viele unbedachte Benutzer haben ihren Rechner schon mit diesen infiziert und dessen Anwesenheit nicht bemerkt.
Die Integrität des Kunden-Computers kann nicht mehr gewährleistet werden. Sämtliche Daten können vom
Angreifer mitgelesen und verändert werden (auch SSL-Verbindungen). Schadsoftware ist in Zukunft die größere Herausforderung im Kampf gegen Phishing.
Zurzeit fallen etwa die Hälfte aller erfolgreichen Phishing-Angriffe auf Schadsoftware.
orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is)
Phishing
Phishing mit Trojanern
Angreifer „sendet“ Kunden über
manipulierte Web-Server, E-Mails, CDs
oder USB Trojaner
Die Trojaner sind beispielsweise mit
Software-Keyloggern ausgerüstet.
Software-Keylogger schalten sich
zwischen Betriebssystem und Tastatur, um die Eingaben zu lesen.
Software-Keylogger senden die Eingaben (Passwörter und TANs) über das Internet an die Angreifer!
Software-Keylogger verändern die TANs, damit die echte Autorisierung nicht
funktioniert. Internet Identifikation Authentifikation Autorisation Sicherheitsinformationen des Benutzers Name PIN TAN echter Bank Web-Server SSL Tunnel (verschlüsselte Kommunikation) Software-Keylogger Analyse Mail-Server
Angreifer simuliert den echten Bank-kunden und bereichert sich mit den
Prof . Dr. N orb ert P ohlm ann, Insti tut fü r Int ernet -Sich erhe it (if is) 19
Inhalt
1)
Wo liegt das eigentliche Problem?
Identity-Management
Authentikationsverfahren
2)
Home-Banking, was ist das besondere?
3)
Phishing, wie funktioniert das?
4)
Was kann getan werden, damit wir weniger Probleme
haben?
Basis
kurzfristige Lösung
mittelfristige Lösung
orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is)
Verbesserungen von Homebanking
Entwicklung von TAN-Verfahren
Banken führten eine Reihe von Modifikationen des TAN-Verfahrens ein
iTAN (indizierte TAN) erfordert die Eingabe einer bestimmten an eine Transaktion gebundenen TAN
Verhindert Angriffe leider nicht, da Angreifer lediglich gezwungen werden, in Echtzeit zu arbeiten.
Ähnliches gilt für andere Verfahren der gezielten TAN-Anforderung, wie eTAN, eToken und TAN-Generatoren.
mTAN (SMS-TAN) verwendet einen separaten Kommunikationsweg per SMS. Es liegt in der Hand der Kunden die Überweisungsdaten zu prüfen.
Derzeit die interessanteste Erweiterung der TAN-Verfahren. Problem: Handy- und Netzverfügbarkeit, zusätzliche Kosten
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is) 21
Verbesserungen von Homebanking
Soforthilfe
:Kundenaufklärung
„Homebanking-Führerschein“:
Kunden dürfen nicht allen URLs folgen! Eingabe der URL
Kontrolle der Browseranzeige (SSL Zertifikate)
Kunden-Computer Software (Betriebssystem, Browser, E-Mail-Client, usw.) richtig konfigurieren
Kunden-Computer mit Virenscannern, Personal Firewalls, und Anti-Spam-Tools ausstatten.
Regelmäßig Sicherheitspatches, die bekannte Sicherheitslücken von Betriebssystemen und Anwendungen schließen, installieren.
orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is)
Verbesserungen von Homebanking
Soforthilfe
:Bank
Bankmitarbeiter schulen
Krisenmanagement einrichten und Abläufe proben Juristische Fragen vorab klären
Keine Informationen per E-Mail an die Kunden schicken. Kunden nicht an Inhalte aus dem Internet gewöhnen. Phishing-Frühwarnsystem
Erforschung des Surfverhaltens der Kunden, um möglicherweise ein Phishing-Frühwarnsystem erstellen zu können.
Häufiges Einloggen Höhe der Beträge
Vermehrtes Auftreten von Passwortänderungen Usw.
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is) 23
Verbesserungen von Homebanking
HBCI mit Klasse 3 Karten-Terminal
HBCI - ein solider offener Homebanking Standard
verwendet die elektronische Signatur und einen externen Karten-Terminal Terminals gibt es in verschieden Sicherheitsklassen.
Ein Terminal mind. der Klasse 3 sollte verwendet werden.
Ein Schadsoftware belasteter Kunden-Computer kann dann keine Manipulation an den im Terminal angezeigten
Überweisungsdaten vornehmen. Ein Display an dem Terminal erlaubt dem Kunden, die Daten zu prüfen.
orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is)
Verbesserungen von Homebanking
HBCI mit Klasse 3 Karten-Terminal
Terminals der Klassen 1 & 2 vermitteln ein trügerisches Gefühl von Sicherheit und sollten nicht verwendet werden.
Der Kunde könnte von einem manipulierten System falsche Daten untergeschoben bekommen.
Keine Möglichkeit, die Integrität der Daten vor dem Signieren zu prüfen. HBCI wurde leider bisher nicht gut angenommen von den Kunden, da zu teuer und unflexibel.
Qualifizierte elektronische Signatur schafft höheres Maß an Verbindlichkeit für den Kunden.
Einsatz der Signatur in anderen Bereichen und Anwendungen ebenfalls möglich branchenübergreifende Signatur Lösung
Prof . Dr. N orb ert P ohlm ann, Insti tut fü r Int ernet -Sich erhe it (if is) 25
Verbesserungen von Homebanking
Sicherheitsplattform Turaya
Die strategischen Industriepartner:
Institut für Internet-Sicherheit Institut für Systemarchitektur Ruhr-Universität-Bochum eurobits
gefördert durch das
orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is)
Verbesserungen von Homebanking
Probleme herkömmlicher Plattformen
Kein Trusted Path
Malware kann die sensitiven Daten bei ihrer Eingabe mitlesen Keine Anwendungs-Authentifikation
Benutzer können echte Anwendungen nicht von Trojanern unterscheiden
Keine Isolation
Anwendungen können auf die Daten anderer Anwendungen zugreifen Kein Sicheres Booten
Benutzer können Manipulationen des Betriebssystems nicht erkennen Unsicherer Browser
Scripting und Plugins können ein fehlerhaftes Verhalten des Browsers nach sich ziehen
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is) 27
Architektur und Technologie
Architekturübersicht Turaya
Höchster Schutz durch hardwarebasierte Sicherheit
Trusted Computing (Bsp. TPM) Ende 2006: ca. 60-100 Mio. TPMs verbaut Windows "VISTA" kann TPM nutzen Fairer Einsatz dieses Moduls
orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is)
Verbesserungen von Homebanking
Basis Idee mit Turaya
Sichere Basis Turaya
Schutz sensitiver Informationen
"Binden“ an vertrauenswürdige Systemkonfiguration Isolation des Webbrowsers / der Banking-Software
Schutz vor Malware, Konfigurationsfehlern
Sicher durch den Einsatz von Trusted Computing Technologie
Externe Überprüfung der Anwenderplattform möglich (Attestation)
Wallet: Automatisierung kritischer Vorgänge Authentifizierung des Bankservers
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is) 29
Verbesserungen von Homebanking
Funktionsweise von Turaya
Sicherheitskern
Authentifikation einzelner Compartments (lokal & remote) Binden von Daten an einzelne Compartments
Trusted Path
orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is)
Verbesserungen von Homebanking
Funktion Wallet
Wallet-Funktionen
Einmalige Eingabe der Authentifizierungsdaten durch Nutzer oder Bank
Lokale Speicherung der Authentifizierungsdaten
Authentifiziert den Bankserver
sendet die Authentifizierungsdaten des Anwenders
Vorteile
Benutzung herkömmlicher Webbrowser
Webbrowser hat keinen Zugriff auf sensitive Daten
Anwender muss den Bankserver nicht selbst authentifizieren Anwender muss sich die Authentifizierungsdaten nicht merken
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is) 31
Verbesserungen von Homebanking
Herausforderungen
Auf den Rechnern (Kunde und Bank) müssen TPMs vorhanden sein. Auf den Rechnern (Kunde und Bank) muss die Sicherheitsplattform installiert werden.
orb ert P ohlm ann, Insti tut fü r Int ernet -Sich erhe it (if is)
Inhalt
1)
Wo liegt das eigentliche Problem?
Identity-Management
Authentikationsverfahren
2)
Home-Banking, was ist das besondere?
3)
Phishing, wie funktioniert das?
4)
Was kann getan werden, damit wir weniger Probleme haben?
Basis
kurzfristige Lösung
mittelfristige Lösung
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is) 33
Phishing
Fazit
Die Banken haben zurzeit das größte Problem, tragen eine sehr hohe Verantwortung und können sehr viel an Image verlieren!
Alte unsichere TAN-Verfahren müssen abgelöst und eingestellt werden (schließen von Hintertüren).
mTAN kann bei Privatkunden mit vorhandener Mobilfunkversorgung verwendet werden.
Für alle anderen, insbesondere Geschäftskunden, empfiehlt sich die
sofortige Einführung von HBCI mit qualifizierter elektronischer Signatur und Terminals mind. der Klasse 3.
Banken haben die Möglichkeit, eine branchenübergreifende Signaturlösung in Deutschland einzuführen. eGovernment
Institut für Internet-Sicherheit Fachhochschule Gelsenkirchen
https://www.internet-sicherheit.de