Report: Phoneypot – Das Framework gegen Phisher

Wie Phoneypot arbeitet

Das Phoneypot-Framework hat die Aufgabe, die abgefangenen Daten zu identifizieren und einen digitalen Fingerabdruck des Phishers zu erstellen. Zusätzlich sollen Daten so gesammelt werden, dass sie bei einer forensischen Analyse genutzt werden können.

Sobald dem Projekt einen Seite bekannt wird, die Kontodaten sammelt, werden sogenannte Phoney-Token an diese Seite übergeben. Dabei handelt es sich um speziell erstellte Nutzerdaten, die in der Datenbank des Banksystems hinterlegt sind. Nutzt ein Phisher nun eins dieser Token, kann das System dieses identifizieren.

Gleichzeitig wird es möglich, einen digitalen Fingerabdruck des Phishers zu erzeugen, in den Charakteristika aus den OSI-Layern 3-7 und verschiedene dienstspezifische Daten einfließen. Dadurch entsteht die sogenannte Phishiness, ein prozentualer Wert, der die Wahrscheinlichkeit eines Phishing-Angriffs beschreibt. Je höher der Wert ist, desto eher handelt es sich also um gestohlene Nutzerdaten, mit denen ein virtueller Bankraub verübt werden soll.

Diese Daten lassen sich anschließend nutzen, um die Überweisungen von regulären, wirklich existierenden Konten zu prüfen. Tritt dabei ein als verdächtig aufgetretener Fingerabdruck erneut in Erscheinung, kann ein installierter Phoneypot die Überweisung automatisch stoppen oder den Angreifer in eine virtuelle Umgebung umleiten. Dort lässt sich sein Verhalten weiter beobachten, im besten Fall merkt der Phisher nichts davon.