> Phishing & Prevention> IT-Sicherheit

Picker, Schörgnhofer, Winandy1. Juni 2016

PiScWi@Phish ∼/$ _ [1/34]

> Phishing & Prevention

- Inhalt|+ - Geschichte|+ - Methoden|+ - Statistiken|+ - Rechtslage|+ - Praxis|+ - Schutz

PiScWi@Phish ∼/$ _ [2/34]

> Geschichte

* "phishing" = "fishing for passwords"* Der Term wurde zum ersten Mal am 2. Januar 1996 von

einer Newsgruppe von AOL erwähnt.* Phishing gab es schon vor dem Internet.

PiScWi@Phish ∼/Geschichte/$ _ [3/34]

> Geschichte

Erste Phishing-Attacken:- mit Fake-Accounts bei AOL wurden andere Benutzer mit

Spam zugedecktSeit 2004:

- größere "Erfolge" auch im BankensektorBekannter Fall:

- "The Fappening" - 2014

PiScWi@Phish ∼/Geschichte/$ _ [4/34]

> Methoden

- Methoden|+ - Telefon/Chat|+ - E-Mail|+ - Webpage|+ - Spear Phishing|+ - Pharming|+ - Cross Site Scripting|+ - Kombinationen

PiScWi@Phish ∼/Methoden/$ _ [5/34]

> Telefon/Chat

- Enkeltrick:* Meistens sind ältere Menschen betroffen.

Die Täter geben sich als ein entferntesFamilienmitglied aus.Sie gewinnen das Vertrauen der Person und fragendann nach einem Geldbetrag, um aus einermisslichen Lage zu kommen.Dieser Betrag wird dann von einem "Kumpel"persönlich abgeholt.

Abbildung: http://www.pfiffige-senioren.de/enkel.gif

PiScWi@Phish ∼/Methoden/Telefon/Chat/$ _ [6/34]

> E-Mail

- Standard Phishing Vorgang:* In der E-Mail wird meistens auf ein Problem mit

der Kreditkarte oder einem Account hingewiesen.Dieses Problem könne nur gelöst werden, indem manpersönliche Daten übermittle

Mittlerweile werden die Anfragen in Anhängen versteckt umvon verschiedenen Spam-/Phishingfilter nicht entdeckt zuwerden.

PiScWi@Phish ∼/Methoden/E-Mail/$ _ [7/34]

> E-Mail

Abbildung: http://www.spam-info.de/wp-content/uploads/2013/10/PayPal-Phishing-Mail.jpg

PiScWi@Phish ∼/Methoden/E-Mail/$ _ [8/34]

> Webpage

Hierbei wird meistens eine bekannte Webseite (Facebook,Banken) kopiert und unter einer ähnlichen URLveröffentlicht.Beim "Überfliegen fallen einem keine Unterschiede auf undman gibt gutgläubig seine persönlichen Daten ein.Diese werden dann von den Tätern abgefangen .Dieser kann sich nun mit diesen Daten selbst einloggen undsich als die betroffene Person ausgeben.

PiScWi@Phish ∼/Methoden/Webpage/$ _ [9/34]

> Spear Phising

Beim Spear Phishing wird anders als beim normalen Phishingkeine Masse angesprochen, sondern es werden spezifischeE-Mails an bestimmte Firmen/Personen geschickt.Meistens stehen in solchen E-Mails viele Informatione,ndie man als auenstehender nicht kennen dürfte.Beispiel: RSA Security Firma in 2011

PiScWi@Phish ∼/Methoden/Spear Phishing/$ _ [10/34]

> Pharming

Hierbei wird die DNS-Abfrage im eigenen Browsermanipuliert.Dies bedeutet, dass die IP-Adresse zu einer bestehenden,anderen Internetadresse verändert wird.Man gibt also z.B. "www.google.com" in den Browser ein,wird aber auf eine andere Website geleitet. Im Browsersteht dennoch die "originale Adresse".

PiScWi@Phish ∼/Methoden/Pharming/$ _ [11/34]

> Cross Site Scripting - XSS

Abbildung: http://www.acunetix.com/websitesecurity/cross-site-scripting/

PiScWi@Phish ∼/Methoden/Cross Site Scripting/$ _ [12/34]

> Kombinations AttackenMeistens ist man mit der Kombination von Angriffsartenerfolgreicher.z.B:

- E-Mail + Webpage* Hier wird man in der E-Mail dazu aufgefordert auf

einen Link einer normalerweise bekannten undvertrauenswürdigen Seite zu klicken, um dann aufder gefälschten Seite zu landen, auf der die Täterdie persönlichen Daten abfangen können

- Spionage + E-Mail/Telefon* Die Person wird ausspioniert, es werden

Informationen gesammelt. (z.B. Kontoauszüge imPapierkorb neben Geldautomaten) Die betroffenePerson wird dann mit dem Wissen mittelsE-Mail/Telefon konfrontiert, um glaubwürdiger zuerscheinen

PiScWi@Phish ∼/Methoden/Kombinationen/$ _ [13/34]

> Statistiken - Herkunftsländer von Phishing-Attacken

Abbildung:http://de.statista.com/statistik/daten/studie/75750/umfrage/herkunftslaender-von-phishing-attacken/

PiScWi@Phish ∼/Statistiken/$ _ [14/34]

> Statistiken - Cybercrime-Vorfälle in Unternehmen (GER)

Abbildung: http://de.statista.com/statistik/daten/studie/186740/umfrage/datenklau-und-spionage-in-deutschen-unternehmen/

PiScWi@Phish ∼/Statistiken/$ _ [15/34]

> Statistiken

Abbildung: http://konto-report.de/online-banking/#phishing

PiScWi@Phish ∼/Statistiken/$ _ [16/34]

> Rechtslage

- im Folgenden wird sich auf Phishing vonAuthentifizierung-Daten für Bankkonten beschränkt

- mehrere Paragraphen, deren Tatbestände durch Phishingteils gegeben, teils nicht gegeben sind

PiScWi@Phish ∼/Rechtslage/$ _ [17/34]

> Rechtslage

Ausspähen von Daten (§202a StGB)- gilt nur für Daten, die elektronisch gespeichert und

übermittelt werden- Login-Daten bzw. PIN und TAN sind üblicherweise nur

während dem Online-Zugang im Arbeitsspeichergespeichert

- Übermittlung wird nicht ausgespäht, da diese vonAnfang an zwischen Opfer und Täter direkt stattfindet

- zudem findet keine „Überwindung der Zugangssicherung“statt, da Opfer „freiwillig“ an den Täter sendet

PiScWi@Phish ∼/Rechtslage/$ _ [18/34]

> Rechtslage

Abfangen von Daten (§202b StGB)- nicht gegeben, da Daten von Anfang an Teil der

Übermittlung zwischen Täter und Opfer sind

PiScWi@Phish ∼/Rechtslage/$ _ [19/34]

> Rechtslage

Computerbetrug (§263a StGB)- Einrichten einer Phishing-Webseite kein Delikt, da

Webseite nicht als Computerprogramm eingestuft wirdund das Einrichten nicht dem unmittelbaren Durchführendes Betrugs dient

- Aber: Verwenden der erschlichenen Daten wird alsIdentitätstäuschung angesehen, da sich der Phisher alsKontoinhaber ausgibt

PiScWi@Phish ∼/Rechtslage/$ _ [20/34]

> Rechtslage

Fälschung beweiserheblicher Daten (§269 StGB)- Phishing-Mails erwecken den Eindruck, sie kämen von

der Bank, jedoch:- Meist keine Urkundeneigenschaft (z.B. im Namen der

„Volksbanken Raiffeisenbanken AG“; offiziell aber„Volksbank Raiffeisenbank Oberbayern Südost eG“),Fälschung der E-Mail könnte also als „erkennbar“für den Benutzer sein

- Tatbestand nicht pauschal gegeben, meistens jedochschon

- Phishing-Websites- Ausgegangen wird davon, dass die IP-Adresse als

Erkennungsmerkmal dient, diese wird jedoch nichtgefälscht, sondern lediglich der Domain-Name

- Für einen durchschnittlichen Benutzer wird diesjedoch als schwer zu erkennen eingestuft

- Tatbestand ist somit meist erfüllt

PiScWi@Phish ∼/Rechtslage/$ _ [21/34]

> Rechtslage

Marken- und Urheberrecht (§§143, 143a MarkenG und §§106ff. UrhG)

- Tatbestand erfüllt, wenn urheberrechtlich odermarkenrechtlich geschützte Logos verwendet werden

PiScWi@Phish ∼/Rechtslage/$ _ [22/34]

> Rechtslage

Verwendung personenbezogener Daten ohne Einwilligung (§44Abs. 1 i.V.m §43 Abs. 2 Nr. 1 BDSG)

- Tatbestand erfüllt, wenn durch den Phishing-Vorgangtatsächlich PIN und TAN bzw. Logindaten erbeutetwerden, da das Opfer im Vorhinein nicht auf denVerwendungszweck seiner personenbezogenen Datenhingewiesen wurde und diesen nicht eingewilligt hat

PiScWi@Phish ∼/Rechtslage/$ _ [23/34]

> Rechtslage

Zusammenfassung- „effektives“ Phishing gesetzeswidrig- Strohmänner bzw. Finanzkuriere erschweren

Strafverfolgung- Strafverfolgung oder Verurteilung kaum möglich /

erfolgreich

PiScWi@Phish ∼/Rechtslage/$ _ [24/34]

> pH15H1Ng F4c3B00k

Demo.

PiScWi@Phish ∼/Praxis/$ _ [25/34]

> Schutz

- Schutz|+ - Aufklärung|+ - Technische Möglichkeiten

Abbildung: https://www.uidaho.edu/~/media/UIdaho-Responsive/Images/Infrastructure/ITS/Departments/Security/phishing03_web.ashx

PiScWi@Phish ∼/Schutz/$ _ [26/34]

> Schutz - Aufklärung

Der wichtigste Schutz vor Phishing-Attacken ist dieAufklärung.Die meisten Attacken sind erfolgreich, weil die Menschennicht informiert sind und nicht wissen auf was sie achtensollen.

1. Links überprüfen2. Auf Rechtschreibfehler / Grammatikfehler achten3. Nicht in öffentlichen Netzen mit geheimen Daten

einloggen4. Keine Anhänge von unbekannten Sendern öffnen5. Misstrauisch sein6. Schutzsoftware aktuell halten7. HTML Darstellung von E-Mails deaktivieren

PiScWi@Phish ∼/Schutz - Aufklärung/$ _ [27/34]

> Schutz - Digitale Zertifikate

Für Websites werden heutzutage digitale Zertifikateausgestellt, welche deren Echtheit bestätigen sollen.Zum Beispiel: beinhaltet in HTTPSProblem: Teils ungenügende Prüfung bei ZertifikatvergabeLösungsansatz: „extended-validation-Cert“

Abbildung: https://www.surveylegend.com/wordpress/wp-content/themes/SurveyLegendTemplate-child/images/blog/SSL-ev-certificate.png

PiScWi@Phish ∼/Schutz - Technische Möglichkeiten/$ _ [28/34]

> Schutz - Whitelists & BlacklistsWebbrowser sind standardmäig mit Blacklists von bekanntenPhishing-Seiten ausgestattet.Wird versucht auf solch eine zuzugreifen, erscheint eineWarnung.

Abbildung:http://www.pc-magazin.de/bilder/79237618/800x480-c2/Browserwarnung-in-Google-Chrome.jpg

PiScWi@Phish ∼/Schutz - Technische Möglichkeiten/$ _ [29/34]

> Schutz - Whitelists & Blacklists

Zudem gibt es Browser-Addons, welche zusätzlichen Schutzversprechen.z.B.: Netcraft Anti-Phishing ExtensionVon der Community können verdächtige Websites gemeldetwerden, welche dann von Netcraft überprüft werden und ggf.der Blacklist hinzugefügt werden.

Abbildung: http://www.netcraft.com/anti-phishing/

PiScWi@Phish ∼/Schutz - Technische Möglichkeiten/$ _ [30/34]

> Schutz - Whitelists & Blacklists

Antiphish:- Verhindert Autofill-Funktion von Browsern- Erst nach Eingabe eines Masterpassworts werden die

Daten eingefüllt- Für die Whitelist werden Websites und zugehörige Daten

vom User definiert- Beim erneuten Aufruf der Seite wird diese mit der

Whitelist abgeglichen; erst dann erfolgt dieAutofill-Funktion

PiScWi@Phish ∼/Schutz - Technische Möglichkeiten/$ _ [31/34]

> Schutz - Weitere Möglichkeiten

- IDS & IPS- spoof@-Adressen- neue TAN-Verfahren (z.B. iTAN, mTAN)

PiScWi@Phish ∼/Schutz - Technische Möglichkeiten/$ _ [32/34]

> Danke

Vielen Dank für Ihre Aufmerksamkeit.Fragen?

PiScWi@Phish ∼/Danke/$ _ [33/34]

http://www.cscjournals.org/manuscript/Journals/IJCSS/Volume6/Issue1/IJCSS-562.pdf

http://www.wired.com/2015/04/hacker-lexicon-spear-phishing/

https://www.cs.ucsb.edu/~chris/research/doc/cj06_phish.pdf

http://www.display-tan.com/?lang=de

https://securelist.com/analysis/kaspersky-security-bulletin/73591/kaspersky-security-bulletin-spam-and-phishing-in-2015/,Zugriff 01.06.2016

http://www.infosys.tuwien.ac.at/linksites/linksites/antiphish/

PiScWi@Phish ∼/Danke/$ _ [34/34]