BSI: Phishing hat Hochkonjunktur

In einer Meldung vom 3.2.2010 warnt das BSI vor Phishing.

“Phishing-Mails, mit denen Computerkriminelle PC-Nutzer auf gefälschte Internetseiten locken und Passwörter stehlen, sind an sich nicht neu. Täuschend echt und seriös wirkende Mails von Kreditinstituten, Onlineshopping- und E-Government-Anwendungen verleiten Anwender immer wieder dazu, auf angegebene Links zu klicken und ihre Login-Daten auf gefälschten Webseiten preis zu geben. Neue Qualität hat die gezielte, professionelle und oftmals langfristig geplante Vorgehensweise der Betrüger.

Nicht nur Privatanwender stehen im Fokus der Kriminellen. Lukrativ ist Phishing auch im Unternehmensumfeld. Hier wird die Gefahr zunehmend größer, jedoch oft verkannt. „Das Gießkannen-Prinzip wird zwar noch praktiziert, im Trend liegen aber individualisierte Angriffe auf kleinere Zielgruppen“, sagt Matthias Gärtner, Pressesprecher des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Geldinstitute und seriöse Wirtschaftsunternehmen wissen, dass E-Mails von Betrügern leicht gefälscht werden können. Daher werden sie ihre Kunden niemals per E-Mail dazu auffordern, darin angeführte Links anzuklicken und dort vertrauliche Daten einzugeben. „Unternehmen, die Online-Dienstleistungen anbieten, sollten aber auch ihr Authentisierungsverfahren einer kritischen Prüfung unterziehen. Die Eingabe von Benutzername und Passwort ist oft nicht ausreichend. Vor allem, wenn es um monetäre Transaktionen geht!“, so Gärtner weiter „Hier wird zukünftig der neue Personalausweis mehr Sicherheit im Bereich Online-Identitäten bieten.“

Was können Internetnutzer tun, um sich gegen Phishing-Angriffe zu schützen? Das BSI rät:

• Wenn Sie sich unsicher sind, ob es sich um eine Phishing-Mail handelt, sollten Sie sich telefonisch oder brieflich mit ihrem Geschäftspartner in Verbindung setzen.

• Klicken Sie generell niemals auf in E-Mails enthaltene Links, sondern tippen Sie die Internetadressen gewünschter Seiten manuell ein oder nutzen im Browser gespeicherte Lesezeichen und überprüfen Sie nach dem Laden der Seite die URL erneut. Auch durch Tippfehler können Nutzer auf eine von Betrügern registrierte Webseite gelangen.

• Nutzen Sie starke Passwörter, wechseln Sie diese in regelmäßigen Abständen und verwenden Sie für unterschiedliche Online-Anwendungen unterschiedliche Kennwörter.

• Aktive Inhalte wie zum Beispiel Javascript werden oft zu Angriffszwecken missbraucht. Schalten Sie die Funktion “Aktive Inhalte ausführen” am besten generell aus und nur bei vertrauenswürdigen Webseiten bewusst wieder an.

• Öffnen Sie E-Mails und darin enthaltene Anhänge nur dann, wenn sie aus vertrauenswürdiger Quelle stammen.

• Setzen Sie eine Firewall und Virenschutzsoftware ein und bringen Sie diese regelmäßig auf den aktuellen Stand.

• Achten Sie darauf, dass Sie auch die Softwareaktualisierungen für Ihr Betriebssystem und andere von Ihnen eingesetzte Programme laufend installieren oder nutzen Sie automatische Update-Dienste.

Weitere Informationen und Tipps zu den Themen Phishing und Passwörter erhalten Internetnutzer unter www.bsi-fuer-buerger.de.”

(Etwas) Anonymer klicken mit DeReferrer-Diensten

Wenn Sie auf einen Link klicken, guckt der Browser nach, wohin dieser Link führt und ruft diese Webadresse dann auf. Der besuchten Zieladresse sagt ihr Browser, auf welchen Link Sie geklickt haben, was also der “HTTP-Referer” war – der Hypertext-Verweis. Das hat verschiedene nützliche Gründe – eine Website kann ja zum Beispiel eine Funktion anbieten, die davon abhängt, von wo aus Sie sie besucht haben. Den technischen Grund legt dieses RFC fest. Darin kann man auch gleich lesen, dass die “referrer” dort “referer” sind – Sie werden feststellen, dass die Schreibweise mal ein, mal zwei “r”s verwendet. Was ja auch wurrst ist. Aber es ist doch ganz errheiternd, dass die “referer” nur ein Tippfehler sind, und wir nur deswegen noch heute das Problem mit den zwei Schrreibweisen haben…

Für die Anonymität hat der Referrer übrigens kaum wirkliche Auswirkung – im Web sind wir ohnehin nie wirklich anonym. ;-) Das ganze ist also wirklich mehr was für Paranoide oder für ganz spezielle Einzelfälle.

Es gibt (oder besser: gab) einen Sonderfall: Früher waren Webmail-Dienste ziemlich dümmlich. Nutzer wurden allein durch Ihre URL identifiziert, das heißt, man gab Ihrem Browser nach dem Login eine ID mit, die sich ständig in der Webadresse zeigte. Das Gefährliche: Wer diese URL in seinen Browser eingab, sah genau dasselbe wie Sie! Wer also in einem Webmail-Programm einen Link in einer Mail anklickte, der gab der Zieladresse eine Information mit, die es dem Betreiber der Zieladresse erlaubte, in Ihr Konto einzudringen. Das wurde auch tatsächlich ausgenutzt, ist aber heute unüblich, so dass sich die Paranoia nicht lohnt.

Dereferrer-Dienste im Web

Ein ganz einfacher Trick, die Quelle eines Links zu anonymisieren, ist, einen Mittler zwischenzuschalten. Diese Mittler heißen Dereferrer, und an einem von Ihnen kann man sehr schön sehen, wie das ganze funktioniert.

Pikanterweise bietet nämlich ausgerechnet Google, selbst als Datenkrake verschrien, einen Dereferrer-Dienst an, den Sie auf http://www.google.com/url?sa=D&q= finden. Um ihn zu verwenden, also einen “anonymen” Link zu setzen, geben Sie einfach die Zieladresse nach dem = ein, bei http://scareware.de also
http://www.google.com/url?sa=D&q=http://scareware.de.Wenn Sie diesem Link folgen, kommen Sie zur folgenden Anzeige:

Googles Dereferrer-Dienst

Indem Sie (oder die Besucher Ihrer Website) hier auf den Link zur Zieladresse klicken, wird *diese* Google-Seite zum neuen Referrer – und entfernt somit zugleich die ursprüngliche Referrer-Information, also: auf welcher Seite der Link ursprünglich angeklickt worden war.

Es gibt noch weitere Dienste dieser Art, die sich meist interaktiv benutzen lassen. Beliebt & bekannt sind:

• anonym.to
• anonymz.com

Sind Dereferrer gefährlich?

Ja.

• Mag sein, dass die Zieladresse nun nicht mehr weiß, über welche Seite sie aufgerufen wurde. So weit, so anonym. Aber der Dereferrer-Anonymisierungsdienst weiß nun alles! Er weiß, dass die Seite <Zieladresse> von <IhreAktuelleSurfIPAdresse> über die sich versteckenden wollende Website <QuelladresseMitLink> aufgerufen wurde. Kein Wunder, dass Google so einen Dienst anbietet – ich würde auch wissen wollen, wer im Web anonym bleiben will und warum. <Paranoia_ON> Wenn Sie die NSA oder der BND wären, würden Sie dann nicht auch einen solchen Dienst betreiben wollen?</Paranoia_OFF>

• Schlimmer noch: Sie wissen nicht, auf welche Website diese Weiterleitungsdienste im Augenblick des Klicks wirklich umleiten! Wer solche Dienste verwendet, schickt seine Besucher also unter Umständen auf Malware-Seiten, die den Besucher im Drive-by-Verfahren in Sekunden infizieren. Beim Google-Dienst mag das unwahrscheinlich sein, aber wer will das für irgendwelche anderen Anonymisierungsdienste gesichert sagen? Auch Anonym.to ist sicher eigentlich vertrauenswürdig – sofern Sie dem Betreiber gulli.com vertrauen -, aber wer kann das wirklich mit Sicherheit wissen?

• Selbst wenn der Anbieter vertrauenswürdig ist – wer sagt denn, dass er nicht ausgerechnet gestern Abend gehackt wurde? Dem Dienst cli.gs passierte das am 15. Juni 2009, Millionen von URLs waren betroffen.

• Bedenken Sie: Alle Arten von Anonymisierungsdiensten dienen ja nicht nur dazu, unsere noch vorhandenen, wichtigen und gesetzlich verbrieften Bürgerrechte zu schützen. Sie dienen leider auch dazu, Kinderporno-Saugern, Crackz-, Warez- und Serialz-Nutzern und allen anderen Arten von Klein- oder Grosskriminellen zur Anonymität zu verhelfen. Das wiederum hat zur Folge, dass diese Dienste eine Zielgruppe haben, die – möglicherweise überwiegend – aus erpressbaren Personen besteht; und diesen erpressbaren Kriminellen kann man beruhigt Trojaner reindrücken, die werden ohnehin nicht zum Anwalt gehen. Daher ist die Wahrscheinlichkeit, sich im Umfeld solcher Dienste eine Infektion zuzuziehen, meiner persönlichen Meinung nach erhöht genug, um die Finger davon zu lassen.

Helfen URL-Kürzungsdienste?

Nun könnte man einfach auf URL-Shortening-Services umsteigen, denn die machen ja eigentlich dasselbe, aber eben ohne die Anrüchigkeit und ohne die Nähe zum “kriminellen Untergrund”. Klar. Aber das ändert nichts am prinzipiellen Problem (siehe: Warum URL-Shortener gefährlich sind).

Wenn Sie es dennoch tun, rate ich zu zwei Diensten:

• Tinyurl.com bietet die Möglichkeit, Weiterleitungen mit Preview-Funktion anzugeben (für Ihre Besucher), oder via Cookie einzustellen, dass Sie selbst immer erst eine Preview sehen wollen (für Sie).
• Auch bit.ly hat so eine Funktion, wenn man eine URL der Form http://bit.ly/info/<URLID> verwendet und statt <URLID> die des Links einsetzt, zum Beispiel http://bit.ly/info/50lryJ – Danke an bloodywing für den Tipp.

Kann man “unschuldige” DeReferrer finden?

Natürlich gibt es Websites, die aus welchen Gründen auch immer ganz allgemein ein Dereferring für alle URLs durchführen, die nach draußen führen.
Dafür gibt es fertige Skripts.
Diese Skripts haben Namen, zum Beispiel dereferrer.asp oder dereferrer.php.
Daher führt eine Suche nach dem Begriff dereferrer.asp oder dereferrer.php automatisch zu Seiten, die eigene, interne DeReferrer-Dienste betreiben. Betrachtet man bei der URL, die die Suchmaschine anzeigt, wie die Ziel-URL an die dereferrierende URL übergeben wird, kann man sich selbst einen Dereferrer basteln. Diese sind insofern “unschuldig”, als diese Webseiten die Weiterleitung meist (kann man sich ja ansehen, indem man sich die TLD ansieht) nicht berufsmäßig betreiben. Ne … je länger ich drüber nachdenke, desto muß ich dann doch von diesem Quatsch abraten.

Weitere Infos:

• Anleitung: HTTP-Referrer in Mozilla Firefox abschalten

Twitter, Passwörter und Wahnsinnige in Torrent-Foren

In einem Blog-Post in eigener Sache gab Twitter heute Morgen zu, dass etlicher seiner User wohl Probleme mit Identitätsdiebstahl haben. Man habe festgestellt, das einigen Accounts plötzlich deutlich mehr Follower folgen würden als normal und daher sicherheitshalber ein Passwort-Reset der folgenden Konteninhaber veranlasst. Gähn, könnte man sagen, gäbe es da nicht die höchst interessante Hintergrundgeschichte.

Nach der gibt es seit Jahren ein Geschäftsmodell, bei dem Cyberkriminelle professionelle Foren aufbauen und diese dann an „normale Geschäftemacher“ verkaufen. Glaub ich gern. Diese „normalen Geschäftemacher“ kümmern sich natürlich um die wachsende Popularität ihres Forums und freuen sich über jeden Benutzer, der sich dort mit Namen und Passwort anmeldet. Glaub ich auch.

Der Cyberkriminelle freut sich ebenfalls, denn er hat im verkauften Forums-System eine Hintertür eingebaut. Durch diese Backdoor verschafft er sich jederzeit Eintritt und schöpft die digitalen Identitäten der Benutzer ab, also deren Namen, Passwort und E-Mail-Konten. Diese Zugangsdaten reichen bei unvorsichtigen Usern oft, um deren gesamte Identität zu übernehmen.

Laut Twitter-Blog (lesenswert) habe man durch Befragung der Betroffenen herausbekommen, dass es einen Zusammenhang gäbe zwischen geknackten Twitter-Konten und solchen Foren. Wobei es sich bei den Foren vor allem um Torrent-Sites handle, sagen wir‘s auf Deutsch: um Raubkopierer-Foren, in denen Bittorrent-Links zum Download angeboten werden, was für sich genommen noch ein ungefährlicher Vorgang ist.

Dazu meine 5 Cent:

• Ich finde es schon ziemlich beknackt, dass man sich z.B. einen Film ohne Bezahlung klemmt und auf einen Rohling für 1 Euro brennt, statt sich die DVD für 1,50 Euro in der Videothek zu holen und so auch mal ein bisschen Solidarität mit den Jobs aller Menschen in der Herstellungskette digitaler Medien zu zeigen. Ich rede hier nicht davon, dass Herr M.Jackson und Frau N.Kidman bereits gut verdienen, ich rede von den zahllosen Kabellegern und Kulissenbau-Schreinern und und und – und meinen Videothekar habe ich auch nicht gerade als Anzugträger mit Kokosfaserkrawatte in Erinnerung.

• Man muss ziemlich leichtsinnig sein, um sich als User mit Namen und Passwort bei einer Torrent-Site anzumelden. Selbst wenn man sich nicht mit seinem echten Namen anmeldet, ist es doch wahnsinnig anstrengend, diese Identität so strikt von der eigenen zu trennen, dass sie nicht zurück verfolgbar ist. Wobei sie am Ende ja doch zurück verfolgbar ist, denn das System, an dem man sich anmeldet, speichert die IP des sich anmeldenden. Kann man auch verschleiern, schon klar, aber der Aufwand… da geh ich doch lieber in die Videothek.

• Man muss jedoch *völlig* wahnsinnig sein, wenn man in Torrent-Foren dann auch noch dasselbe Paar aus Name/E-Mail und Passwort verwendet, das man für andere Dienste nutzt – zum Beispiel Twitter. Denn so sind wohl die meisten Accounts, die laut Twitter-Blog gehackt wurden, in die Hände der falschen Leute geraten.

Das lernen wir daraus:

• Beherzigen Sie die Ratschläge zum Thema sicheres Passwort.

Vor allem:

• Verwenden Sie niemals dasselbe Passwort zwei Mal. Jeder Service sollte sein eigenes Passwort haben.
• Am besten verschleiern Sie auch Ihre Identität, indem der Username jedes Mal ein anderer ist.
• Wo auch immer Konten an E-Mail-Adresse gebunden sind, tun sich Sicherheitslücken auf. Dem kann man nur beikommen, indem man verschiedene E-Mail-Konten benutzt. Wer sich schon in miesen Foren rumtreibt, sollte dafür eine spezielle, nur dafür erzeugte miese E-Mail-Adresse bei irgendeinem miesen Freemail-Anbieter verwenden.
• Man könnte seine Identitäten auch in Sicherheitszonen staffeln: Schlechte Identitäten, die der Anonymität dienen, sind an E-Mail-A gebunden; normale Identitäten für social Klimbim und Tagesgeschäft an E-Mail-B; und wichtige Identitäten, etwa Shops, an E-Mail-C. Und natürlich dürfen diese E-Mail-Konten nichts miteinander zu tun haben.

Spezialfall Twitter-Sicherheit

Twitter-User sind besonders leichte Beute. Jeder Hinz & Kunz kann eine Website aufmachen, in ihr einen Twitter-Zusatzdienst versprechen, beim Anmeldeformular die Twitter-Zugangsdaten abfragen (denn das tun sie fast alle) und kriegt so die ID frei Haus. Er muss noch nicht mal Funktion liefern – einfach „Wir merken Sie für die Beta vor!“ auszugeben reicht aus, schon kommen noch mehr und wollen sich anmelden.

Es ist daher für jeden Nutzer, auch für Fans soziale Netze, von erheblicher Bedeutung, seine Zugangsdaten in sozialen Netzen – vor allem: das Passwort – völlig anders zu gestalten als in verbunden E-Mail-Accounts und in anderen ernstzunehmenden Systemen.