Phishing

Was ist Phishing?

Der Ausdruck "Phishing" enstand vermutlich aus der amerikanischen Wortkombination "Password harvesting fishing", was in etwa soviel bedeutet wie "Passwortklau".

Dabei versuchen Internet-Ganoven mit sog. "faked" (falschen) URL's die Web-Adresse einer vermeintlich bekannten Web-Site (z.B. die einer Bank, e-Bay oder eines Web-Mail-Dienstes) auf einen eigenen Server umzulenken, um so an die privaten Daten der Internet-Benutzer heranzukommen (wie etwa Passwörter von Web-basierten E-Mail Konten, Kreditkartennummern, oder andere Zugangscodes). Der Benutzer bemerkt dies vorerst kaum, da einerseits die "falsche" URL (Internet-Adresse) mittels technischer Tricks (siehe weiter unten) "versteckt" werden, und andererseits das Erscheinungbild dieser "falschen" Web-Site faktisch einer 1:1-Kopie der Original-Web-Site entspricht.

Wenn nun der Benutzer auf einer solchen "umgeleiteten" Web-Site seine persönlichen Daten eingibt (z.B. beim Login für E-Mail, E-Bay, oder gar Online-Banking), werden diese Eingaben zuerst vom "falschen" Server abgefangen und erst danach an den richtigen Server (z.B. des E-Mail-Providers, E-Bay oder der Bank) weitergeleitet (wenn überhaupt).

Oft erhält der Benutzer beim ersten Versuch aber auch einfach eine Fehlermeldung (z.B. Login Fehler) nachdem der "flasche" Server die Daten eingefangen hat, und leitet den Benutzer danach auf den richtigen Server um, wo dem Benutzer erneut das "Login" (diesmal vom richtigen Server) präsentiert wird. Der Benutzer hat dann das Gefühl, sich beim ersten Mal einfach vertippt zu haben, dabei wurden seine Login-Daten beim ersten Versuch vom "flaschen" Server bereits geklaut!

Wie kommt aber der Benutzer überhaupt dazu eine solche "falsche" URL (HTTP Addresse) unbemerkt aufzurufen?

via E-Mail Phishing

Damit der Benutzer nicht wie ülich die Web-Site z.B. via eine "Bookmark" seines Web-Browser aufruft, haben sich Kriminelle einen besonderen Trick einfallen lassen. Sie versenden "gefälschte" E-Mails, welche vermeintlich von einer öffentlich rechtlichen oder bekannten Institution stammen (z.B. von Ihrem Mail-Provider, e-Bay oder Ihrer Bank), in welchen der Benutzer z.B. aufgefordert wird, seine persölichen Daten via den im Mail angegebenen oder direkt eingebetteten Link zu überprüfen, bzw. erneut einzugeben, weil ansonsten der Account oder das Konto nicht mehr verlängert oder gesperrt würden, um nur ein Beispiel zu nennen!

Wenn nun der Benutzer den im Mail angegebenen Link verwendet oder noch schlimmer den eingebetteten Link direkt anklickt, anstelle wie sonst z.B. üblich via eine "Bookmark" seines Web-Browsers, wird er auf die "falsche" Web-Site geleitet.

durch Web-Browser-Hilfen oder Surfen im Web

Ein weiterer Trick besteht darin, dem Benutzer via vermeintliche Browser-Navigationshilfen, welche z.B. als zusätzlich downloadbare Browser-Tools (z.B. Plug-Ins) in Form von sog. "Shortcuts" oder Nagivationsleisten angeboten werden, versteckte oder manipulierte Links unterzujubeln.

Auf dubiosen Web-Sites (z.B. Anbieter von sog. FreeWare bzw. Gratis Software oder sog. "Adult" Sites) können sich falsche Links hinter offiziell anmutenden Graphiken oder Banner von dort platzierten Verweisen auf bekannte E-Mail oder Online-Dienstanbietern verstecken.

Wiederum eine andere Methode verwendet sog. "hidden frames" im Web-Browser, welche vom Benutzer nicht sichtbar sind, aber im Hintergrund eine fremde URL aufrufen. Dies wird erst bei genauerer Analyse des HTML Quelltextes einer Web-Seite ersichtlich, wie folgendes Beispiel zeigt: 

    <frameset rows="100%,*" framespacing="0">
        <frame name="real" src="http://www.mybank.ch/" scrolling="auto">
        <frame name="hiddenContent" src="http://fakesite.com/steal.htm" scrolling="auto">
    </frameset>
Daneben gibt es noch eine Fülle weiterer HTML, JacaScript und ActiveX Programmiertricks, um falsche URLs hinter vermeintlich richtig dargestellter HTML Adressen zu verbergen, z.B. durch Ueberlagerung von Texten und Graphiken.

URL (HTTP Adress) Manipulationen

Damit "falsche" URLs bzw. HTTP Adressen nicht sofort vom Benutzer erkannt oder bemerkt werden, haben Cracker verschiedene Methoden entworfen, um diese quasi vor den Augen des Benutzers zu "verstecken". Ein Methode besteht z.B. darin, mittels JavaScript den URL hintern einem Linknamen zu verfälschen, dennoch aber den vermeintlich richtigen URL einzublenden. Eine andere Methode nutzt textlich und vom Auge schwer erkennbare Manipulationen der Adressen aus, wie folgende Beispiele zeigen: 
    Link Name:          vermeintlich richtiger URL:          tatsächlicher aber falscher URL:
    -----------------   ----------------------------------   -------------------------------------
    
    MyBank		https://telebank.myBank.ch           http://telebank.myBonk.ch  oder
                                                             http://telebanc.myBank.ch  oder
                                                             http://telebank.myBank.foo.ch

    Web-Mail            http://webmail.bluewin.ch            http://webmail.bluewln.ch (klein L statt i!)
Es gibt aber auch noch unzählige weitere Methoden eine HTTP Adresse zu verfälschen, wie z.B. mit sog. Escape Characters "%2E" statt "." etc.

Eine neue und besonders arglistige Technik wird wiederum einmal mehr durch ein Leck im Microsoft Internet Explorer möglich, welcher eine sog. "Friendly URL" im Format "<username>@<host>" falsch interpretiert bzw. darstellt, und noch nicht einmal mit dem neusten Service-Pack (SP2) behoben ist!

Die "falsche" Adresse (URL) wird dabei in der HTTP Adresse hinter einem unsichtbaren Code (Escape Character "%10") und dem atSign "@" Zeichen angehängt.

Beispiel: www.microsoft.com%10@passwortklau.com

Diese Adresse erweckt im Microsoft Internet Explorer den Eindruck, als werde die Microsoft Homepage aufgerufen, da der restliche Teil hinter "www.microsoft.com" vom Internet Explorer nicht sichtbar dargestellt wird. Tatsächlich wird aber mit diesem Link die Web-Site "passwortklau.com" kontaktiert!

Wie Sie sich schützen können

zurück