BSI: Anti-Phishing-Framework mit Award ausgezeichnet

Im Rahmen des 10. Deutschen IT-Sicherheitskongresses hat das Bundesamt für Sicherheit in der Informationstechnologie (BSI) das Anti-Phishing-Framework von Dominik Birk mit dem Best Student Award ausgezeichnet.

Bei dem Framework handelt es sich um einen proaktiven Ansatz, mit dem sich theoretisch nahezu alle Phishing-Angriffe erkennen und verhindern lassen. Das Framework verwendet dazu eine Variante der aus dem Hacking-Bereich bekannten Honeypot-Technologie, genannt Phoneypot (Phishing + Honeypot).

Sobald eine neue Phishing-Site bekannt wird, füttert ein Server die Datenbank des Phishers mit Phoneytokens. Diese Tokens immitieren reguläre Zugangsdaten, etwa eine PIN samt TAN oder Benutzername und Passwort. Zeitgleich lauscht auf der Seite des angegriffenen Instituts der Phoneypot. Trägt sich nun ein Phisher mit den Zugangsdaten eines Phoneytokens ein, kann das System das erkennen und den Phisher einwandfrei identifizieren. Nun wird automatisch aus verschiedenen Daten des Phishing-Systems ein Angriffsprofil samt Fingerabdruck erstellt. Clever ist, dass dabei auch das Zielkonto der Überweisung mit einfließt. Denn in die Rekrutierung dieser Finanzkuriere müssen die Phisher deutlich mehr Zeit und Geld investieren, als in die Übernahme eines bestehenden Bot-Netzes.

Dieses Profil kann künftig genutzt werden, um reguläre Überweisunge zu prüfen, die valide Daten verwenden. Ergattert der Phisher also eine echte PIN samt TAN, kann ihn das System dennoch erkennen und die Überweisung abbrechen. Zusätzlich kann das Framework die forensischen Daten auswerten und für eine interne oder externe Ermittlung zur Verfügung stellen.

Einen Nachteil hat das Ganze aber noch. Laut Dominik Birk besteht das System bislang nur als Proof-of-Concept und nicht in einem aktiven Einsatz. Banken ließen sich nur sehr ungern auf Experimente in ihrer Server-Umgebung ein, so Birk. Eine weitere Schwierigkeit sieht er in der Implementierung des Systems. Phoneytoken und Phoneypot müssen den Original-Servern beinahe komplett entsprechen, damit der Phisher auf die Daten hereinfällt. Außerdem dürfe man neue Phishing-Seiten nicht mit Phoneytokens fluten, sondern muss realistische Einträge schaffen. Dennoch sind Birk und seine Mitentwickler zuversichtlich, dass sich ihr Framework durchsetzen kann. Die Auszeichnung des BSI ist dabei eine hervorragende Referenz. (mja)