RSA 2008: PayPal erhält neue Anti-Phishing-Strategie

Fünf Punkte gegen Pisher

Da es nach Ansicht von Michael Barrett, Chef der IT-Sicherheit bei PayPal, keine Einzelmaßnahme gibt, die das Phishing-Problem lösen kann, haben er und Dan Levy, Leitender Direktor für Risikomanagement bei PayPal Europa, fünf Punkte definiert, an denen sie angreifen wollen. Barrett stellt sie im PayPal-Blog unter dem Titel A Practical Approach to Managing Phishing vor:

1. Die Mailbox des Kunden
Phishing-Mails sollen möglichst gar nicht erst bei potenziellen Opfern ankommen. Dazu werden echte PayPal-Mails digital signiert. Provider sollen gefälschte Mails (ohne gültige Signatur) ausfiltern, Endkunden echte Mails erkennen können.

2. Phishing-Sites blockieren
Gefälschte Anmeldeseiten sollen im Browser nicht angezeigt werden. PayPal hält seine Kunden dazu an, nur sichere Browser zu verwenden. Dazu zählen aktuelle Browser-Versionen, die einen Phishing-Filter enthalten. Apple Safari gilt deshalb als unsicher. EV-SSL-Zertifikate sollen echte Websites legitimieren. Entdeckte Phishing-Sites sollen umgehend dichtgemacht werden.

3. Benutzeranmeldung
Passwörter können zu leicht ausspioniert oder erraten werden. Besonders für Finanz-Websites sind bessere Methoden zur Legitimierung der Kunden erforderlich. In den USA, Australien und Deutschland hat PayPal bereits seinen Sicherheitsschlüssel eingeführt.

4. Strafverfolgung
In enger Zusammenarbeit mit Ermittlungsbehörden werden die Täter identifiziert, verhaftet und vor Gericht gestellt. Dazu werden Ermittler von Fachpersonal aus der Wirtschaft geschult.

5. Kundenbindung
Durch die Vermeidung negativer Erfahrungen wie etwa Phishing soll erreicht werden, dass die Kunden PayPal weiterhin benutzen, um Online-Zahlungen durchzuführen.

Nach den ersten Monaten seit Einführung seiner Anti-Phishing-Strategie zeigt sich PayPal selbst überrascht durch die erzielten Erfolge. Der Anteil von PayPal an den Phishing-Mails ist laut Sophos auf unter zehn Prozent gesunken, obwohl PayPal bislang nur mit Yahoo als einzigem Mail-Provider kooperiert. Diese positive Erfahrungen will PayPal nun mit anderen Online-Unternehmen, etwa Banken, teilen und ihnen seine Maßnahmen zur Nachahmung empfehlen. (PC-Welt/mja)