PHISHING
20.11.2005, 19:33 Uhr
Rezepte gegen unlauteres Angeln im Trüben
Phishing - eine Wortschöpfung aus password, harvesting und fishing - ist seit den jüngsten Vorfällen in aller Munde und wird auch beim breiten Publikum ein Begriff.
Der Autor Simon Hefti ist Managing Director der Zürcher Geschäftsstelle von Netcetera.
Die Mechanik ist klar: Gelegenheit macht Diebe. Deshalb sieht man den aktuellen Vormarsch der Internet-Kriminalität, die ganz offensichtlich gut rentiert. Dabei ist Phishing nur eine Methode von vielen. Experten sind sich einig, dass derartige Formen von Online-Betrug zunehmen und eine grosse Herausforderung im Kampf gegen Online-Kriminalität darstellen werden. Bereits heute sind komplexere Angriffe bekannt, deren Abwehr erst noch entwickelt werden müssen. Immerhin ist deren Anwendung im breiten Stil bisher nicht aufgefallen.
Dass sich der an sich plumpe Betrugsansatz beim Phishing bezahlt macht, zeigt folgende einfache Kopfrechnung: Ein typisches schweizerisches Retail-Bankinstitut hat 500000 Online-Kunden. Nimmt man zudem an, dass diese einen durchschnittlichen Kontostand von 5000 Franken haben. Bei einer Konversionsrate der Phish-ing-Aktion von 0,001 Prozent lockt bereits eine Beute von 25000 - bei praktisch vernachlässigbaren Kosten.
Der Vertrauensverlust durch immer wieder gemeldete Online-Betrugsfälle im grossen Stil belastet das E-Business auf empfindliche Weise. Wenig überzeugende Antworten auf wichtige Vertrauensfragen im Bereich der Daten- und Zahlungssicherheit verhindern, dass die Benutzer neue Angebote auf dem Web akzeptieren. Auch Grossanbieter gelangen vor diesem Hintergrund zur Ansicht, dass das Vertrauen der Benutzer im eigenen Interesse gestärkt werden muss - insbesondere durch das Verhindern von Betrugsfällen. Die Palette von Massnahmen reicht von technischen bis zu kommunikativen Mitteln. Nur durch eine proaktive, transparente Information gelingt es, Benutzer und Anbieter zu sensibilisieren und so effektive Präventionsarbeit zu leisten. Durch Shared Best Practices und offen gelegte -Bekämpfungsansätze werden Entwickler und System-Administratoren weltweit befähigt, ihre Unternehmen gegen Phishing-Attacken zu schützen. Ganz offensichtlich scheint sich dabei Open Source als sicherheitsfördernder Ansatz von Beginn weg durchzusetzen. Getreu dem Motto «open-source against obscurity» werden online diverse Informationsangebote gepflegt und laufend aktualisiert.
Dass sich der an sich plumpe Betrugsansatz beim Phishing bezahlt macht, zeigt folgende einfache Kopfrechnung: Ein typisches schweizerisches Retail-Bankinstitut hat 500000 Online-Kunden. Nimmt man zudem an, dass diese einen durchschnittlichen Kontostand von 5000 Franken haben. Bei einer Konversionsrate der Phish-ing-Aktion von 0,001 Prozent lockt bereits eine Beute von 25000 - bei praktisch vernachlässigbaren Kosten.
Der Vertrauensverlust durch immer wieder gemeldete Online-Betrugsfälle im grossen Stil belastet das E-Business auf empfindliche Weise. Wenig überzeugende Antworten auf wichtige Vertrauensfragen im Bereich der Daten- und Zahlungssicherheit verhindern, dass die Benutzer neue Angebote auf dem Web akzeptieren. Auch Grossanbieter gelangen vor diesem Hintergrund zur Ansicht, dass das Vertrauen der Benutzer im eigenen Interesse gestärkt werden muss - insbesondere durch das Verhindern von Betrugsfällen. Die Palette von Massnahmen reicht von technischen bis zu kommunikativen Mitteln. Nur durch eine proaktive, transparente Information gelingt es, Benutzer und Anbieter zu sensibilisieren und so effektive Präventionsarbeit zu leisten. Durch Shared Best Practices und offen gelegte -Bekämpfungsansätze werden Entwickler und System-Administratoren weltweit befähigt, ihre Unternehmen gegen Phishing-Attacken zu schützen. Ganz offensichtlich scheint sich dabei Open Source als sicherheitsfördernder Ansatz von Beginn weg durchzusetzen. Getreu dem Motto «open-source against obscurity» werden online diverse Informationsangebote gepflegt und laufend aktualisiert.
PHISHING: Rezepte gegen unlauteres Angeln im Trüben
Lange wurde Open Source
in Kreisen, die sich nicht professionell mit Software-Entwicklung auseinander setzen, mit dem belasteten Image der berüchtigten Communities der Code-cracker und Hacker in Verbindung gebracht. Die aktuellen Phishing-Fälle belegen jedoch, dass diese Einstufung einem völlig unberechtigten Vorurteil entsprungen sein muss. Was bleibt ist die Hoffnung, dass für Online-Security Issues die Open-Source-Vorgehensweise eine neue, hohe Wertigkeit erhält. Dieser Nebeneffekt von Phishing ist nur zu begrüssen
in Kreisen, die sich nicht professionell mit Software-Entwicklung auseinander setzen, mit dem belasteten Image der berüchtigten Communities der Code-cracker und Hacker in Verbindung gebracht. Die aktuellen Phishing-Fälle belegen jedoch, dass diese Einstufung einem völlig unberechtigten Vorurteil entsprungen sein muss. Was bleibt ist die Hoffnung, dass für Online-Security Issues die Open-Source-Vorgehensweise eine neue, hohe Wertigkeit erhält. Dieser Nebeneffekt von Phishing ist nur zu begrüssen
Weiter Informationen:
Beispiellinks zu Phishing
- Der Mozilla-Mail-Client Thunderbird enthält einen Phishing detector: http://www.linuxpipeline.com/57703124, https://bugzilla.mozilla.org/attachment.cgi?id=171937
- Honeynet.org analysiert Angreifer: http://www.honeynet.org/papers/phishing/
- Auch auf Seite der Server lässt sich viel machen: http://www.ngssoftware.com/papers/NISR-WP-Phishing.pdf
- Anti-Phishing-Workgroup für Sicherheitsexperten und solche die es werden wollen auf dem Internet: http://www.antiphishing.org/
- Eine Auswahl von Online-Tests zum Phishing: http://german.mailfrontier.com/survey/phishing_de.jsp, http://survey.mailfrontier.com/survey/quiztest.html
Simon Hefti
