hi all,
ich habe gerade einen sehr interessanten artikel auf securityfocus zum thema "warum phishing funktioniert" gelesen, der ein 10 seitiges whitepaper einer kooperationsstudie zwischen der harvard university und der berkeley university behandelt. in dieser studie wurden 22 völlig unterschiedliche personen auf ihre fähigkeit hin getestet, ob sie auf diverse phishing tricks reinfallen oder nicht. das ergebnis ist niederschmetternd.
damit nicht alle den krams nochmal in englisch lesen müssen habe ich hier mal eine paar highlights ins deutsche verfasst.
22 teilnehmer
weder alter, geschlecht, vorbildung oder erfahrung dienten einem schutz vor überlistung
highlights:
user kennen sicherheitsfunktionen der browser nicht, z.b. im firefox die goldene adressleiste zusätzlich zum goldenen schloss, der eine verbindung zu einer ssl verschlüsselten website anzeigt. einige waren sogar der meinung, dass icon bedeute, dass cookies nicht gesetzt werden konnten.
internetbanking nutzer haben nicht die leiseste idee, was eine url in der adressleiste bedeutet, schon gar nicht was https genau macht. ip-adressen in der adressleiste der browsers wurden allerdings von den meisten als verdächtig eingestuft.
auf einer website (www.bankofthewest.com) war ein animiertes video eines süssen bären zu sehen. viele waren daher der meinung, dass phisher sowas nie machen würden und vertrauten der website.
ebenfalls waren werbung und favicons für die onlinebanking benutzer indikatoren für die echtheit eine banking seite.
einige die mit dem wort "phishing" schon etwas anfangen konnten, waren z.b. nicht in der lage mit die ssl funktionen des browsers richtig zu interpretieren, was nicht verwunderlich ist, wenn ein online banking kunde vom browser gefragt wird: "soll dieses zertifikat temporär für diese sitzung akzeptiert werden?" oder weiss ihr onkel oder ihre oma was ein zertifikat ist, bzw. was eine sitzung ist?
sogar fortgeschrittene benutzer (91%) wurden durch die gefälschte website www.bankofthevvest.com ausgetrickst, das vvest fast genauso ausschaut wie west.
krass oder?
ich bin am 22.06. auch in dieser sache unterwegs und trage vor diversen teilnehmern auf der deutschen banken und versicherungswelt einen vortrag zum thema bankingtrojaner detailanalyse vor. dieses stück code hat es vor allem richtig in sich, da es komplette rootkit funktionen implementiert hat (hiding) und sich in dynamisch in den browser via com-objekten integriert. nur was will man mit hardcore trojanern, wenn schon die trivialen tricks ausreichen?
was ist eurer meinung nach ein sinnvoller weg die sicherheit für onlinebanking nutzer zu verbessern? technik bringt ganz offensichtlich die problematik nicht weiter.
referenzen:
securityfocus artikel: http://www.securityfocus.com/columnists/405
die studie: http://people.deas.harvard.edu…rs/why_phishing_works.pdf