Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
> Phishing & Prevention> IT-Sicherheit
Picker, Schörgnhofer, Winandy1. Juni 2016
PiScWi@Phish ∼/$ _ [1/34]
> Phishing & Prevention
- Inhalt|+ - Geschichte|+ - Methoden|+ - Statistiken|+ - Rechtslage|+ - Praxis|+ - Schutz
PiScWi@Phish ∼/$ _ [2/34]
> Geschichte
* "phishing" = "fishing for passwords"* Der Term wurde zum ersten Mal am 2. Januar 1996 von
einer Newsgruppe von AOL erwähnt.* Phishing gab es schon vor dem Internet.
PiScWi@Phish ∼/Geschichte/$ _ [3/34]
> Geschichte
Erste Phishing-Attacken:- mit Fake-Accounts bei AOL wurden andere Benutzer mit
Spam zugedecktSeit 2004:
- größere "Erfolge" auch im BankensektorBekannter Fall:
- "The Fappening" - 2014
PiScWi@Phish ∼/Geschichte/$ _ [4/34]
> Methoden
- Methoden|+ - Telefon/Chat|+ - E-Mail|+ - Webpage|+ - Spear Phishing|+ - Pharming|+ - Cross Site Scripting|+ - Kombinationen
PiScWi@Phish ∼/Methoden/$ _ [5/34]
> Telefon/Chat
- Enkeltrick:* Meistens sind ältere Menschen betroffen.
Die Täter geben sich als ein entferntesFamilienmitglied aus.Sie gewinnen das Vertrauen der Person und fragendann nach einem Geldbetrag, um aus einermisslichen Lage zu kommen.Dieser Betrag wird dann von einem "Kumpel"persönlich abgeholt.
Abbildung: http://www.pfiffige-senioren.de/enkel.gif
PiScWi@Phish ∼/Methoden/Telefon/Chat/$ _ [6/34]
- Standard Phishing Vorgang:* In der E-Mail wird meistens auf ein Problem mit
der Kreditkarte oder einem Account hingewiesen.Dieses Problem könne nur gelöst werden, indem manpersönliche Daten übermittle
Mittlerweile werden die Anfragen in Anhängen versteckt umvon verschiedenen Spam-/Phishingfilter nicht entdeckt zuwerden.
PiScWi@Phish ∼/Methoden/E-Mail/$ _ [7/34]
Abbildung: http://www.spam-info.de/wp-content/uploads/2013/10/PayPal-Phishing-Mail.jpg
PiScWi@Phish ∼/Methoden/E-Mail/$ _ [8/34]
> Webpage
Hierbei wird meistens eine bekannte Webseite (Facebook,Banken) kopiert und unter einer ähnlichen URLveröffentlicht.Beim "Überfliegen fallen einem keine Unterschiede auf undman gibt gutgläubig seine persönlichen Daten ein.Diese werden dann von den Tätern abgefangen .Dieser kann sich nun mit diesen Daten selbst einloggen undsich als die betroffene Person ausgeben.
PiScWi@Phish ∼/Methoden/Webpage/$ _ [9/34]
> Spear Phising
Beim Spear Phishing wird anders als beim normalen Phishingkeine Masse angesprochen, sondern es werden spezifischeE-Mails an bestimmte Firmen/Personen geschickt.Meistens stehen in solchen E-Mails viele Informatione,ndie man als auenstehender nicht kennen dürfte.Beispiel: RSA Security Firma in 2011
PiScWi@Phish ∼/Methoden/Spear Phishing/$ _ [10/34]
> Pharming
Hierbei wird die DNS-Abfrage im eigenen Browsermanipuliert.Dies bedeutet, dass die IP-Adresse zu einer bestehenden,anderen Internetadresse verändert wird.Man gibt also z.B. "www.google.com" in den Browser ein,wird aber auf eine andere Website geleitet. Im Browsersteht dennoch die "originale Adresse".
PiScWi@Phish ∼/Methoden/Pharming/$ _ [11/34]
> Cross Site Scripting - XSS
Abbildung: http://www.acunetix.com/websitesecurity/cross-site-scripting/
PiScWi@Phish ∼/Methoden/Cross Site Scripting/$ _ [12/34]
> Kombinations AttackenMeistens ist man mit der Kombination von Angriffsartenerfolgreicher.z.B:
- E-Mail + Webpage* Hier wird man in der E-Mail dazu aufgefordert auf
einen Link einer normalerweise bekannten undvertrauenswürdigen Seite zu klicken, um dann aufder gefälschten Seite zu landen, auf der die Täterdie persönlichen Daten abfangen können
- Spionage + E-Mail/Telefon* Die Person wird ausspioniert, es werden
Informationen gesammelt. (z.B. Kontoauszüge imPapierkorb neben Geldautomaten) Die betroffenePerson wird dann mit dem Wissen mittelsE-Mail/Telefon konfrontiert, um glaubwürdiger zuerscheinen
PiScWi@Phish ∼/Methoden/Kombinationen/$ _ [13/34]
> Statistiken - Herkunftsländer von Phishing-Attacken
Abbildung:http://de.statista.com/statistik/daten/studie/75750/umfrage/herkunftslaender-von-phishing-attacken/
PiScWi@Phish ∼/Statistiken/$ _ [14/34]
> Statistiken - Cybercrime-Vorfälle in Unternehmen (GER)
Abbildung: http://de.statista.com/statistik/daten/studie/186740/umfrage/datenklau-und-spionage-in-deutschen-unternehmen/
PiScWi@Phish ∼/Statistiken/$ _ [15/34]
> Statistiken
Abbildung: http://konto-report.de/online-banking/#phishing
PiScWi@Phish ∼/Statistiken/$ _ [16/34]
> Rechtslage
- im Folgenden wird sich auf Phishing vonAuthentifizierung-Daten für Bankkonten beschränkt
- mehrere Paragraphen, deren Tatbestände durch Phishingteils gegeben, teils nicht gegeben sind
PiScWi@Phish ∼/Rechtslage/$ _ [17/34]
> Rechtslage
Ausspähen von Daten (§202a StGB)- gilt nur für Daten, die elektronisch gespeichert und
übermittelt werden- Login-Daten bzw. PIN und TAN sind üblicherweise nur
während dem Online-Zugang im Arbeitsspeichergespeichert
- Übermittlung wird nicht ausgespäht, da diese vonAnfang an zwischen Opfer und Täter direkt stattfindet
- zudem findet keine „Überwindung der Zugangssicherung“statt, da Opfer „freiwillig“ an den Täter sendet
PiScWi@Phish ∼/Rechtslage/$ _ [18/34]
> Rechtslage
Abfangen von Daten (§202b StGB)- nicht gegeben, da Daten von Anfang an Teil der
Übermittlung zwischen Täter und Opfer sind
PiScWi@Phish ∼/Rechtslage/$ _ [19/34]
> Rechtslage
Computerbetrug (§263a StGB)- Einrichten einer Phishing-Webseite kein Delikt, da
Webseite nicht als Computerprogramm eingestuft wirdund das Einrichten nicht dem unmittelbaren Durchführendes Betrugs dient
- Aber: Verwenden der erschlichenen Daten wird alsIdentitätstäuschung angesehen, da sich der Phisher alsKontoinhaber ausgibt
PiScWi@Phish ∼/Rechtslage/$ _ [20/34]
> Rechtslage
Fälschung beweiserheblicher Daten (§269 StGB)- Phishing-Mails erwecken den Eindruck, sie kämen von
der Bank, jedoch:- Meist keine Urkundeneigenschaft (z.B. im Namen der
„Volksbanken Raiffeisenbanken AG“; offiziell aber„Volksbank Raiffeisenbank Oberbayern Südost eG“),Fälschung der E-Mail könnte also als „erkennbar“für den Benutzer sein
- Tatbestand nicht pauschal gegeben, meistens jedochschon
- Phishing-Websites- Ausgegangen wird davon, dass die IP-Adresse als
Erkennungsmerkmal dient, diese wird jedoch nichtgefälscht, sondern lediglich der Domain-Name
- Für einen durchschnittlichen Benutzer wird diesjedoch als schwer zu erkennen eingestuft
- Tatbestand ist somit meist erfüllt
PiScWi@Phish ∼/Rechtslage/$ _ [21/34]
> Rechtslage
Marken- und Urheberrecht (§§143, 143a MarkenG und §§106ff. UrhG)
- Tatbestand erfüllt, wenn urheberrechtlich odermarkenrechtlich geschützte Logos verwendet werden
PiScWi@Phish ∼/Rechtslage/$ _ [22/34]
> Rechtslage
Verwendung personenbezogener Daten ohne Einwilligung (§44Abs. 1 i.V.m §43 Abs. 2 Nr. 1 BDSG)
- Tatbestand erfüllt, wenn durch den Phishing-Vorgangtatsächlich PIN und TAN bzw. Logindaten erbeutetwerden, da das Opfer im Vorhinein nicht auf denVerwendungszweck seiner personenbezogenen Datenhingewiesen wurde und diesen nicht eingewilligt hat
PiScWi@Phish ∼/Rechtslage/$ _ [23/34]
> Rechtslage
Zusammenfassung- „effektives“ Phishing gesetzeswidrig- Strohmänner bzw. Finanzkuriere erschweren
Strafverfolgung- Strafverfolgung oder Verurteilung kaum möglich /
erfolgreich
PiScWi@Phish ∼/Rechtslage/$ _ [24/34]
> pH15H1Ng F4c3B00k
Demo.
PiScWi@Phish ∼/Praxis/$ _ [25/34]
> Schutz
- Schutz|+ - Aufklärung|+ - Technische Möglichkeiten
Abbildung: https://www.uidaho.edu/~/media/UIdaho-Responsive/Images/Infrastructure/ITS/Departments/Security/phishing03_web.ashx
PiScWi@Phish ∼/Schutz/$ _ [26/34]
> Schutz - Aufklärung
Der wichtigste Schutz vor Phishing-Attacken ist dieAufklärung.Die meisten Attacken sind erfolgreich, weil die Menschennicht informiert sind und nicht wissen auf was sie achtensollen.
1. Links überprüfen2. Auf Rechtschreibfehler / Grammatikfehler achten3. Nicht in öffentlichen Netzen mit geheimen Daten
einloggen4. Keine Anhänge von unbekannten Sendern öffnen5. Misstrauisch sein6. Schutzsoftware aktuell halten7. HTML Darstellung von E-Mails deaktivieren
PiScWi@Phish ∼/Schutz - Aufklärung/$ _ [27/34]
> Schutz - Digitale Zertifikate
Für Websites werden heutzutage digitale Zertifikateausgestellt, welche deren Echtheit bestätigen sollen.Zum Beispiel: beinhaltet in HTTPSProblem: Teils ungenügende Prüfung bei ZertifikatvergabeLösungsansatz: „extended-validation-Cert“
Abbildung: https://www.surveylegend.com/wordpress/wp-content/themes/SurveyLegendTemplate-child/images/blog/SSL-ev-certificate.png
PiScWi@Phish ∼/Schutz - Technische Möglichkeiten/$ _ [28/34]
> Schutz - Whitelists & BlacklistsWebbrowser sind standardmäig mit Blacklists von bekanntenPhishing-Seiten ausgestattet.Wird versucht auf solch eine zuzugreifen, erscheint eineWarnung.
Abbildung:http://www.pc-magazin.de/bilder/79237618/800x480-c2/Browserwarnung-in-Google-Chrome.jpg
PiScWi@Phish ∼/Schutz - Technische Möglichkeiten/$ _ [29/34]
> Schutz - Whitelists & Blacklists
Zudem gibt es Browser-Addons, welche zusätzlichen Schutzversprechen.z.B.: Netcraft Anti-Phishing ExtensionVon der Community können verdächtige Websites gemeldetwerden, welche dann von Netcraft überprüft werden und ggf.der Blacklist hinzugefügt werden.
Abbildung: http://www.netcraft.com/anti-phishing/
PiScWi@Phish ∼/Schutz - Technische Möglichkeiten/$ _ [30/34]
> Schutz - Whitelists & Blacklists
Antiphish:- Verhindert Autofill-Funktion von Browsern- Erst nach Eingabe eines Masterpassworts werden die
Daten eingefüllt- Für die Whitelist werden Websites und zugehörige Daten
vom User definiert- Beim erneuten Aufruf der Seite wird diese mit der
Whitelist abgeglichen; erst dann erfolgt dieAutofill-Funktion
PiScWi@Phish ∼/Schutz - Technische Möglichkeiten/$ _ [31/34]
> Schutz - Weitere Möglichkeiten
- IDS & IPS- spoof@-Adressen- neue TAN-Verfahren (z.B. iTAN, mTAN)
PiScWi@Phish ∼/Schutz - Technische Möglichkeiten/$ _ [32/34]
> Danke
Vielen Dank für Ihre Aufmerksamkeit.Fragen?
PiScWi@Phish ∼/Danke/$ _ [33/34]
http://www.cscjournals.org/manuscript/Journals/IJCSS/Volume6/Issue1/IJCSS-562.pdf
http://www.wired.com/2015/04/hacker-lexicon-spear-phishing/
https://www.cs.ucsb.edu/~chris/research/doc/cj06_phish.pdf
http://www.display-tan.com/?lang=de
https://securelist.com/analysis/kaspersky-security-bulletin/73591/kaspersky-security-bulletin-spam-and-phishing-in-2015/,Zugriff 01.06.2016
http://www.infosys.tuwien.ac.at/linksites/linksites/antiphish/
PiScWi@Phish ∼/Danke/$ _ [34/34]