1
Schut zm öglichk eit en gegen Phishing Sicherheit 2005
1
Schut zm öglichk eit en gegen Phishing
Klaus Plößl Hannes Federrat h
Thom as Now ey
Univ ersit ät Regensburg
Schut zm öglichk eit en gegen Phishing Sicherheit 2005
2
Glieder ung
• Einführung
• Bek annt e Gegenm aßnahm en
• Neuer Vorschlag
• Bew ert ung
Schut zm öglichk eit en gegen Phishing Sicherheit 2005
3
Phishing
” The hot t est , and m ost t roubling, new scam on t he I nt er net “
Jana Monroe, Assist ant Direct or der FBI Cy ber Division 2003
• Benut zt Met hoden des Social Engineer ing –Angr iffszenar io:
•Pr ofessionell gest alt et e E- Mail m it gefälscht em Absender
•Opfer w ir d über zeugt seine per sönlichen Dat en auf einer gefälscht en Webseit e einzugeben
• Kunst w or t aus ” Passw or d“ und ” Fishing“
• Ant i- Phishing Wor king Gr oup ( APWG)
Schut zm öglichk eit en gegen Phishing Sicherheit 2005
4
Ausm aß der Bedr ohung
• Zahl der Vor fälle st eigt st ar k an
• Schaden von 1, 2 Milliar den US- Dollar im Jahr 2003 ( Gar t ner ) Active Reported Phishing Sites by Week October 2004-January 2005
161
343 307 360 364 380418 426 471515 495 525 495 423515592
833948
0 200 400 600 800 1000
02.10.2004 09.10.2004
16.10.2004 23.10.2004
30.10.2004 06.11.2004
13.11.2004 20.11.2004
27.11.2004 04.12.2004
11.12.2004 18.12.2004
25.12.2004 01.01.2005
08.01.2005 15.01.2005
22.01.2005 29.01.2005 Week Ending
Numer of Sites
Schut zm öglichk eit en gegen Phishing Sicherheit 2005
5
Bekannt e Gegenm aßnahm en
• Gr undsät zliche Ansät ze:
–Minder ung des Risikos ohne Ver fahr ensänder ung
•Nut zer abhängig
– Schulung der Nut zer , “ Leit fäden”
– Spam - Filt er und Filt er für ausgehende Dat en – Br ow ser - Plug- ins
Schut zm öglichk eit en gegen Phishing Sicherheit 2005
6
Bekannt e Gegenm aßnahm en
• Gr undsät zliche Ansät ze:
– Minder ung des Risikos ohne Ver fahr ensänder ung
• Nut zer abhängig
• Nut zer unabhängig
– Spam - Tr ap und Dom ain- Wat ch – Validier ung von Absender dat en – Fr aud Det ect ion
– SANS I nt er net St or m Cent er :
“ 6 Sim ple St eps t o Beat Phishing”
2
Schut zm öglichk eit en gegen Phishing Sicherheit 2005
7
Bekannt e Gegenm aßnahm en
• Gr undsät zliche Ansät ze:
–Minder ung des Risikos ohne Ver fahr ensänder ung
•Nut zer abhängig
•Nut zer unabhängig
–Änder ung des Aut hent ifizier ungsver fahr ens
•Har dw ar e- Token
– Per iodisch w echselndes Einm alpassw or t – Einm alpassw or t auf Anfor der ung – Challenge- Response- Syst em
•Kom binat ion aus Har dw ar e- Token und Br ow ser - Plug- in
•PKI und Digit ale Signat ur
Sicher , aber aufw ändig, t euer …
Schut zm öglichk eit en gegen Phishing Sicherheit 2005
8
Neuer Lösungsvorschlag
• Pr inzip:
– Ver knüpfung des PI N/ TAN- Ver fahr ens m it einem papier basier t en Challenge- Response- Ver fahr en
• Vor gehen:
– Nut zer er hält List e m it Challenge- Response- Paar en
…
…
1727836272 8374658902
5534251164 8364456373
8495726334 6372891110
6573822827 4736483729
3526778983 3459384027
2435167989 2837492039
9928376348 1938874629
6475823653 0374902736
Re spon se Ch a lle n ge
Schut zm öglichk eit en gegen Phishing Sicherheit 2005
9
Neuer Lösungsvorschlag
• Pr inzip:
–Ver knüpfung des PI N/ TAN- Ver fahr ens m it einem papier basier t en Challenge- Response- Ver fahr en
• Vor gehen:
–Nut zer er hält List e m it Challenge- Response- Paar en
–Bei Anm eldung bzw . vor Abschluss einer Tr ansak t ion: Anzeigen einer Challenge der List e
–Anm eldung bzw . Dur chführ ung der Tr ansakt ion nur bei r icht iger Response
Schut zm öglichk eit en gegen Phishing Sicherheit 2005
10
• Nebenbedingungen:
– Jede Challenge w ir d m axim al einm al ver w endet
– Nut zer bekom m t neue List e, w enn die Challenges aufgebr aucht sind
– Sper r ung des Account s und Benachr icht igung des Nut zer s nach einer best im m t en Anzahl von Fehlver suchen
– Begr enzung der Gült igkeit der Challenge
• Usabilit y:
– Challenge als Zahl, Response als Buchst abenfolge
– Challenges aufst eigend geor dnet – Für den Nut zer ähnlich zur
TAN- List e
Neuer Lösungsvorschlag
…
…
AFSOPN 8374658902
HEUCNP 8364456373
WQNNI V 6372891110
OKALSZ 4736483729
XNAJSK 3459384027
BSUNBI 2837492039
HAGTUH 1938874629
ZSJUFS 0374902736
Re spon se Ch a lle n ge
Schut zm öglichk eit en gegen Phishing Sicherheit 2005
11
Bew ert ung
• Schut z vor Phishing m it Passw or t und PI N/ TAN- Ver fahr en nicht m öglich
• Alt er nat iven ( 1/ 2) :
–Einsat z digit aler Signat ur en
•Sicher heit st echnisch best e Lösung
•Nacht eil: sehr hohe Kost en für zusät zliche Har dw ar e, Benut zer schulungen, Suppor t , Bet r ieb der PKI …
–Har dw ar e- Token m it zeit lich begr enzt en Einm al- Passw ör t er n
•Schüt zt r elat iv zuver lässig vor Phishing
•Nacht eil: hohe Kost en für zusät zliche Har dw ar e, Benut zer schulungen
Schut zm öglichk eit en gegen Phishing Sicherheit 2005
12
Bew ert ung
• Alt er nat iven ( 2/ 2) :
– Neu vor geschlagenes Ver fahr en
• Schüt zt annäher nd so zuver lässig w ie Har dw ar e- Token
• Vor t eil: nahezu keine zusät zlichen Kost en für Bet r eiber
• Gut er Kom pr om iss, bis digit ale Signat ur flächendeckend ver fügbar
• Weit er e I nfor m at ionen:
– w w w - sec.uni- r egensbur g.de/ phishing – w w w .ant iphishing.or g
• Kont akt :
Klaus.Ploessl@w iw i.uni- r egensbur g.de