Warum Phishing funktioniert - Eine interessante Studie

    hi all,


    ich habe gerade einen sehr interessanten artikel auf securityfocus zum thema "warum phishing funktioniert" gelesen, der ein 10 seitiges whitepaper einer kooperationsstudie zwischen der harvard university und der berkeley university behandelt. in dieser studie wurden 22 völlig unterschiedliche personen auf ihre fähigkeit hin getestet, ob sie auf diverse phishing tricks reinfallen oder nicht. das ergebnis ist niederschmetternd.


    damit nicht alle den krams nochmal in englisch lesen müssen habe ich hier mal eine paar highlights ins deutsche verfasst.


    22 teilnehmer
    weder alter, geschlecht, vorbildung oder erfahrung dienten einem schutz vor überlistung


    highlights:


    user kennen sicherheitsfunktionen der browser nicht, z.b. im firefox die goldene adressleiste zusätzlich zum goldenen schloss, der eine verbindung zu einer ssl verschlüsselten website anzeigt. einige waren sogar der meinung, dass icon bedeute, dass cookies nicht gesetzt werden konnten.


    internetbanking nutzer haben nicht die leiseste idee, was eine url in der adressleiste bedeutet, schon gar nicht was https genau macht. ip-adressen in der adressleiste der browsers wurden allerdings von den meisten als verdächtig eingestuft.


    auf einer website (www.bankofthewest.com) war ein animiertes video eines süssen bären zu sehen. viele waren daher der meinung, dass phisher sowas nie machen würden und vertrauten der website.


    ebenfalls waren werbung und favicons für die onlinebanking benutzer indikatoren für die echtheit eine banking seite.


    einige die mit dem wort "phishing" schon etwas anfangen konnten, waren z.b. nicht in der lage mit die ssl funktionen des browsers richtig zu interpretieren, was nicht verwunderlich ist, wenn ein online banking kunde vom browser gefragt wird: "soll dieses zertifikat temporär für diese sitzung akzeptiert werden?" oder weiss ihr onkel oder ihre oma was ein zertifikat ist, bzw. was eine sitzung ist?


    sogar fortgeschrittene benutzer (91%) wurden durch die gefälschte website www.bankofthevvest.com ausgetrickst, das vvest fast genauso ausschaut wie west.


    krass oder? :harhar:


    ich bin am 22.06. auch in dieser sache unterwegs und trage vor diversen teilnehmern auf der deutschen banken und versicherungswelt einen vortrag zum thema bankingtrojaner detailanalyse vor. dieses stück code hat es vor allem richtig in sich, da es komplette rootkit funktionen implementiert hat (hiding) und sich in dynamisch in den browser via com-objekten integriert. nur was will man mit hardcore trojanern, wenn schon die trivialen tricks ausreichen?


    was ist eurer meinung nach ein sinnvoller weg die sicherheit für onlinebanking nutzer zu verbessern? technik bringt ganz offensichtlich die problematik nicht weiter.



    referenzen:


    securityfocus artikel: http://www.securityfocus.com/columnists/405


    die studie: http://people.deas.harvard.edu…rs/why_phishing_works.pdf

    Unterwegs sein


    das ist es doch
    per pedes per Rad
    per Bahn per Flugzeug
    per Kopf in ferne Zonen
    zu finden was unauffindbar
    jenseits der Grenzen
    deiner selbst

    Einmal editiert, zuletzt von jcy ()

    Ach, wozu aufwändig irgendwelche Trojaner herstellen und in Umlauf bringen: Dreistigkeit im Ausnutzen von Bank, Post und Internetdienstleistern und ein wenig Kapitaleinsatz bringt's auch:


    http://www.tagesschau.de/aktue…0,1185,OID5122512,00.html


    Es sei denn, man stellt sich zu dämlich an:


    http://www.tagesschau.de/aktue…85,OID5582914_REF1,00.htm


    Ein bisschen bemitleidenswert ist auch der arme Mensch, der da seines Ausweises beraubt wurde... Allerdings auch selber schuld - so nen Verlust sollte man innerhalb eines Tages bemerken. Oder habt ihr euren Ausweis nicht ständig bei euch?

    Zitat

    Original von johnny_cyberpunk
    was ist eurer meinung nach ein sinnvoller weg die sicherheit für onlinebanking nutzer zu verbessern? technik bringt ganz offensichtlich die problematik nicht weiter.


    Der meiner Meinung nach sicherste weg ist eine Softwar. kostenlos anzubieten mit der man seine Bankgeschäfte "Offline" erledigen kann und die Verbindung zur Bank nur zum Datentransfer öffnet und das ganze dann noch über HBCI.
    Wenn das ganze die Kunden schon 50-100€ Anschaffung kostet schrecken schon viele Kunden davor zurück.


    OK 100% sicher ist das Verfahren sicher auch nicht, aber 1000x sicherer als Onlinebanking über den Browser.


    Ansonsten hilft nur eine bebilderte Anleitung in der GENAU alles beschrieben wird (verschiedene Browser, Einstellungen, wie sehen richtige Links aus, ....) und eindeutige Zertifikate.


    Die Banken müssen halt JEDEN User erst mal als DAU sehen und ihm das ganze so verständlich wie möglich machen.
    Leider ist es so das selbst Bankangestellte nicht besser sind.

    Zitat

    Original von Tatzelwurm
    Ansonsten hilft nur eine bebilderte Anleitung in der GENAU alles beschrieben wird (verschiedene Browser, Einstellungen, wie sehen richtige Links aus, ....) und eindeutige Zertifikate.


    Die Banken müssen halt JEDEN User erst mal als DAU sehen und ihm das ganze so verständlich wie möglich machen.
    Leider ist es so das selbst Bankangestellte nicht besser sind.


    und genau das machen die meisten onlinebanking portale doch auch schon. nur wenn die user nicht gewillt oder einfach zu dämlich sind, sich in dieser thematik zu schulen, kann man soviel schreiben wie man will.


    meine meinung ist recht klar:


    nur ein internetführerschein mit regelmäßigem update, darf in zukunft dazu berechtigen, zugang zu portalen wo es um geldtransfers geht, zu bekommen. funktioniert allerdings nur wenn alle mitmachen. dort sollte erlernt und abschließend nachgewiesen werden ob jemand in der lage ist mit den gefahren im web umzugehen. wer nachweisslich, z.b. durch den internetführerschein, dann trotz aller von ihm aufgesetzten technischen massnahmen (firewall, patches, virenscanner, antispyware) und seiner awareness, überlistet wird, hat in zukunft anspruch auf entschädigung. ist doch auf anderen gebieten heutzutage nicht anders.

    Unterwegs sein


    das ist es doch
    per pedes per Rad
    per Bahn per Flugzeug
    per Kopf in ferne Zonen
    zu finden was unauffindbar
    jenseits der Grenzen
    deiner selbst

    Zitat

    Original von johnny_cyberpunk
    und genau das machen die meisten onlinebanking portale doch auch schon. nur wenn die user nicht gewillt oder einfach zu dämlich sind, sich in dieser thematik zu schulen, kann man soviel schreiben wie man will.


    Ja Online, aber wo bleibt das Handbuch zum Nachlesen.
    Am besten noch am Ende des Handbuchs einen Fragebogen der ausgefüllt zurückgeschickt werden muss bevor der Zugang freigeschaltet wird.


    Zitat

    Original von johnny_cyberpunk
    meine meinung ist recht klar:


    nur ein internetführerschein mit regelmäßigem update, darf in zukunft dazu berechtigen, zugang zu portalen wo es um geldtransfers geht, zu bekommen. funktioniert allerdings nur wenn alle mitmachen. dort sollte erlernt und abschließend nachgewiesen werden ob jemand in der lage ist mit den gefahren im web umzugehen. wer nachweisslich, z.b. durch den internetführerschein, dann trotz aller von ihm aufgesetzten technischen massnahmen (firewall, patches, virenscanner, antispyware) und seiner awareness, überlistet wird, hat in zukunft anspruch auf entschädigung. ist doch auf anderen gebieten heutzutage nicht anders.


    Nette Idee, aber eher nicht durchsetzbar.
    Allein schon weil die Banken am liebsten ALLE Kunden zu Onlinebänkern machen wollen, also auch den Schüler und den Rentner.
    Ich kenne einige hunderte von Usern aber höchstens EINE Hand voll die sich mit dem Thema Sicherheit auch nur annähernd befasst haben.
    Es wollen doch nur alle eine Computer haben und nutzen, aber kaum einer will sich mit der Kiste bschäftigen.
    Traurig aber wahr.


    Oder was glaubst du wieviele die einen Führeschein haben ein Auto reparieren können oder sich dort mit Sicherheit (Lampen, Reifen, Scheibenwischer, .....) auskennen.

    Zitat

    Original von Tatzelwurm
    Ja Online, aber wo bleibt das Handbuch zum Nachlesen.
    Am besten noch am Ende des Handbuchs einen Fragebogen der ausgefüllt zurückgeschickt werden muss bevor der Zugang freigeschaltet wird.


    ach komm. du glaubst doch nicht etwa, dass jemand in ein handbuch eher reinschaut. :lol:


    Zitat


    Oder was glaubst du wieviele die einen Führeschein haben ein Auto reparieren können oder sich dort mit Sicherheit (Lampen, Reifen, Scheibenwischer, .....) auskennen.


    der vergleich hinkt. man erwartet von einem surfer mit internetführerschein nicht, dass derjenige nachher programmieren kann, um z.b. fehler in der firewall zu reparieren etc. aber eine grundinstallation so wie microsoft z.b. nun mit onecare inkl. autoupdates anbietet sollte drinsitzen. ebenso ein verständnis was z.b. https bedeutet und worauf man achten sollte. schau dir doch mal an, was leute, die heutzutage einen führerschein für ein kraftfahrzeug machen, alles wissen müssen. und genauso sehe ich das auch im web.

    Unterwegs sein


    das ist es doch
    per pedes per Rad
    per Bahn per Flugzeug
    per Kopf in ferne Zonen
    zu finden was unauffindbar
    jenseits der Grenzen
    deiner selbst

    Zitat

    Original von johnny_cyberpunk
    ach komm. du glaubst doch nicht etwa, dass jemand in ein handbuch eher reinschaut. :lol:


    Stimmt soweit, warum lesen wenn man jemand fragen/beauftragen kann. :rolleyes:
    Daher ja die Rückmeldung, das wäre ja schon eine kleine Prüfung ;)


    Zitat

    Original von johnny_cyberpunk
    der vergleich hinkt. man erwartet von einem surfer mit internetführerschein nicht, dass derjenige nachher programmieren kann, um z.b. fehler in der firewall zu reparieren etc. aber eine grundinstallation so wie microsoft z.b. nun mit onecare inkl. autoupdates anbietet sollte drinsitzen. ebenso ein verständnis was z.b. https bedeutet und worauf man achten sollte. schau dir doch mal an, was leute, die heutzutage einen führerschein für ein kraftfahrzeug machen, alles wissen müssen. und genauso sehe ich das auch im web.


    Und Computer erst ab 18 und wie lange ? :harhar:

    ... es wurde schon viel Wahres gesagt. Am schlimmsten ist wirklich die Ahnungslosigkeit. Einfach das Gefühl, was alles passieren kann.
    In einer der letzte nPC-Welt war auch beschrieben, wie man vorsichtige User "pishen" kann. es kommt dabei nur auf das Thema an. Ich währ bestimmt auch auf mails zum Thema Jules Verne hereingefallen. So hat jeder seine Schwachstelle.


    Sinniger Weise sind gerade die WEB- und PC-Einsteiger am willigsten On-Line-Banking zu machen. Ich hab schon als Entwickler meiner kleinen WEB-Site tun, meine PC "sauber" zu halten. Banking mache ich nach wie vor persönlich (hab nicht soviel Vorgänge), außer die Variante PAYPAL bei Ebay.


    Was allerdings im Tagesschau-Interview gesagt wird, wo ein Sicherheitsmerkmal für "sicheres" Shoppen ein auf der Seite des Shops vorhandenes Logo sein soll (sihe Anlage), lässt mich nur mit den Kopf schütteln. Wer trixt, dem bereitet doch auch ein Logo kein Problem?

    Warum können eigentlich nicht die Urheber einer Phishing Aktion dingfest gemacht werden? Irgendwie kommen die doch an das Geld der Geschädigten, also ist auch irgendwann bei meiner Bank deren Kontonummer nebst Name aufgetaucht.
    Interpol schicken, Kohle holen :evil:


    Einfacher gesagt als getan, denke ich, aber das sind doch auch Kriminelle, warum also nicht.
    Wenn durch die Daten bei der Bank nicht der Besitzer eines Kontos festgestellt werden kann (zumindest innerhalb Deutschlands), dann hinkt deren System.


    Ich würde wahrscheinlich nur auf Phishing e-mails nicht hereinfallen. Alles andere :keineahnung:
    Was sich in meiner Adressleiste tut ob gelb oder nicht, bemerke ich meistens gar nicht.
    Dubiose Seiten versuche ich bis auf diese hier aber zu vermeiden :D