Schut zm öglichk eit en gegen Phishing

(1)

1

Schut zm öglichk eit en gegen Phishing Sicherheit 2005

1

Schut zm öglichk eit en gegen Phishing

Klaus Plößl Hannes Federrat h

Thom as Now ey

Univ ersit ät Regensburg

2

Glieder ung

• Einführung

• Bek annt e Gegenm aßnahm en

• Neuer Vorschlag

• Bew ert ung

3

Phishing

” The hot t est , and m ost t roubling, new scam on t he I nt er net “

Jana Monroe, Assist ant Direct or der FBI Cy ber Division 2003

• Benut zt Met hoden des Social Engineer ing –Angr iffszenar io:

•Pr ofessionell gest alt et e E- Mail m it gefälscht em Absender

•Opfer w ir d über zeugt seine per sönlichen Dat en auf einer gefälscht en Webseit e einzugeben

• Kunst w or t aus ” Passw or d“ und ” Fishing“

• Ant i- Phishing Wor king Gr oup ( APWG)

4

Ausm aß der Bedr ohung

• Zahl der Vor fälle st eigt st ar k an

• Schaden von 1, 2 Milliar den US- Dollar im Jahr 2003 ( Gar t ner ) Active Reported Phishing Sites by Week October 2004-January 2005

161

343 307 360 364 380418 426 471515 495 525 495 423515592

833948

0 200 400 600 800 1000

02.10.2004 09.10.2004

16.10.2004 23.10.2004

30.10.2004 06.11.2004

13.11.2004 20.11.2004

27.11.2004 04.12.2004

11.12.2004 18.12.2004

25.12.2004 01.01.2005

08.01.2005 15.01.2005

22.01.2005 29.01.2005 Week Ending

Numer of Sites

5

Bekannt e Gegenm aßnahm en

• Gr undsät zliche Ansät ze:

–Minder ung des Risikos ohne Ver fahr ensänder ung

•Nut zer abhängig

– Schulung der Nut zer , “ Leit fäden”

– Spam - Filt er und Filt er für ausgehende Dat en – Br ow ser - Plug- ins

6

Bekannt e Gegenm aßnahm en

– Minder ung des Risikos ohne Ver fahr ensänder ung

• Nut zer abhängig

• Nut zer unabhängig

– Spam - Tr ap und Dom ain- Wat ch – Validier ung von Absender dat en – Fr aud Det ect ion

– SANS I nt er net St or m Cent er :

“ 6 Sim ple St eps t o Beat Phishing”

(2)

2

7

Bekannt e Gegenm aßnahm en

–Minder ung des Risikos ohne Ver fahr ensänder ung

•Nut zer abhängig

•Nut zer unabhängig

–Änder ung des Aut hent ifizier ungsver fahr ens

•Har dw ar e- Token

– Per iodisch w echselndes Einm alpassw or t – Einm alpassw or t auf Anfor der ung – Challenge- Response- Syst em

•Kom binat ion aus Har dw ar e- Token und Br ow ser - Plug- in

•PKI und Digit ale Signat ur

Sicher , aber aufw ändig, t euer …

8

Neuer Lösungsvorschlag

• Pr inzip:

– Ver knüpfung des PI N/ TAN- Ver fahr ens m it einem papier basier t en Challenge- Response- Ver fahr en

• Vor gehen:

– Nut zer er hält List e m it Challenge- Response- Paar en

…

1727836272 8374658902

5534251164 8364456373

8495726334 6372891110

6573822827 4736483729

3526778983 3459384027

2435167989 2837492039

9928376348 1938874629

6475823653 0374902736

Re spon se Ch a lle n ge

9

Neuer Lösungsvorschlag

• Pr inzip:

–Ver knüpfung des PI N/ TAN- Ver fahr ens m it einem papier basier t en Challenge- Response- Ver fahr en

• Vor gehen:

–Nut zer er hält List e m it Challenge- Response- Paar en

–Bei Anm eldung bzw . vor Abschluss einer Tr ansak t ion: Anzeigen einer Challenge der List e

–Anm eldung bzw . Dur chführ ung der Tr ansakt ion nur bei r icht iger Response

10

• Nebenbedingungen:

– Jede Challenge w ir d m axim al einm al ver w endet

– Nut zer bekom m t neue List e, w enn die Challenges aufgebr aucht sind

– Sper r ung des Account s und Benachr icht igung des Nut zer s nach einer best im m t en Anzahl von Fehlver suchen

– Begr enzung der Gült igkeit der Challenge

• Usabilit y:

– Challenge als Zahl, Response als Buchst abenfolge

– Challenges aufst eigend geor dnet – Für den Nut zer ähnlich zur

TAN- List e

Neuer Lösungsvorschlag

…

AFSOPN 8374658902

HEUCNP 8364456373

WQNNI V 6372891110

OKALSZ 4736483729

XNAJSK 3459384027

BSUNBI 2837492039

HAGTUH 1938874629

ZSJUFS 0374902736

Re spon se Ch a lle n ge

11

Bew ert ung

• Schut z vor Phishing m it Passw or t und PI N/ TAN- Ver fahr en nicht m öglich

• Alt er nat iven ( 1/ 2) :

–Einsat z digit aler Signat ur en

•Sicher heit st echnisch best e Lösung

•Nacht eil: sehr hohe Kost en für zusät zliche Har dw ar e, Benut zer schulungen, Suppor t , Bet r ieb der PKI …

–Har dw ar e- Token m it zeit lich begr enzt en Einm al- Passw ör t er n

•Schüt zt r elat iv zuver lässig vor Phishing

•Nacht eil: hohe Kost en für zusät zliche Har dw ar e, Benut zer schulungen

12

Bew ert ung

• Alt er nat iven ( 2/ 2) :

– Neu vor geschlagenes Ver fahr en

• Schüt zt annäher nd so zuver lässig w ie Har dw ar e- Token

• Vor t eil: nahezu keine zusät zlichen Kost en für Bet r eiber

• Gut er Kom pr om iss, bis digit ale Signat ur flächendeckend ver fügbar

• Weit er e I nfor m at ionen:

– w w w - sec.uni- r egensbur g.de/ phishing – w w w .ant iphishing.or g

• Kont akt :

Klaus.Ploessl@w iw i.uni- r egensbur g.de