So ungern es die Banken zugeben, Phishing bleibt ein aktuelles Phänomen. Solange sich mit Phishing auf einfache Weise Geld verdienen lässt, werden Kriminelle die Angriffe weiterfahren. Außerdem fällt auf, dass die gefälschten E-Mails und Webseiten immer professioneller werden. Erst vor Kurzem tauchten perfekt gefälschte Portale der Volksbanken-Raiffeisenbanken auf. Und das Timing war perfekt: Der größte Teil der E-Mails kam Freitagnachmittag an, als die Ansprechpartner der meisten Banken bereits im Wochenende waren.
Die Gegenmaßnahmen sind meist das Identifizieren der Phishing-Server, um sie anschließend abzuschalten. Doch diese Methoden bedeuten häufig, dass die Kriminellen bereits gültige Kundendaten in den Händen haben, mit denen sie Geld abheben können.
Einen anderen Ansatz verspricht die Lösung rund um den Phoneypot der Entwickler Dominik Birk und Felix Gröbert von der Ruhr-Universität Bochum (RUB). Das System arbeitet nach dem Honeypot-Prinzip, um Phisher aufzuspüren. Dazu werden bekannt gewordene Phishing-Seiten gezielt mit markierten Daten überschwemmt, die sich anschließend leicht aussortieren und zurückverfolgen lassen. Wir wollen Ihnen die Lösung, die bislang nur als Proof-of-Concept besteht, vorstellen. Zudem führen wir ein Interview mit den Köpfen hinter dem Phoneypot.
Phoneypot – der Honigtopf lockt Phisher in die Falle
Das Honeypot-Prinzip ist in der aktuellen IT-Sicherheit altbekannt. Bestimmte Server werden so konfiguriert, dass sie Angreifer anlocken. Was diese nicht wissen ist, dass ihre Aktionen aufgezeichnet werden. Aus den so erhaltenen Daten lassen sich beispielsweise Angriffsvektoren oder Modi Operandi erkennen. Die Entwickler rund um Dominik Birk nehmen sich dieses erfolgreiche Konzept als Vorbild und entwickeln ein ähnliches System für den E-Commerce.
Um das System komplett zu verstehen, muss man sich Phishing-Angriffe genauer anschauen: Am Anfang steht immer die Täuschung und das Locken von Opfern. Dazu werden E-Mails verschickt und präparierte Webseiten online gestellt. Anschließend nutzen die Phisher die erhaltenen Daten, um die Konten ihrer Opfer zu belasten. Das Geld wird an die Konten von Finanzagenten überwiesen, die sich ihrer Rolle als Geldwäscher oft nicht bewusst sind. Diese Finanzagenten leiten das Geld entweder weiter oder veranlassen Barüberweisungen, etwa über den Dienst Western Union.
Der kleinste gemeinsame Nenner aller Angriffe sind also die abgefangenen Zugangsdaten zu den Konten. Sobald man diese identifizieren und stoppen kann, unterbricht man die komplette Kette der Phisher.
Wie Phoneypot arbeitet
Das Phoneypot-Framework hat die Aufgabe, die abgefangenen Daten zu identifizieren und einen digitalen Fingerabdruck des Phishers zu erstellen. Zusätzlich sollen Daten so gesammelt werden, dass sie bei einer forensischen Analyse genutzt werden können.
Sobald dem Projekt einen Seite bekannt wird, die Kontodaten sammelt, werden sogenannte Phoney-Token an diese Seite übergeben. Dabei handelt es sich um speziell erstellte Nutzerdaten, die in der Datenbank des Banksystems hinterlegt sind. Nutzt ein Phisher nun eins dieser Token, kann das System dieses identifizieren.
Gleichzeitig wird es möglich, einen digitalen Fingerabdruck des Phishers zu erzeugen, in den Charakteristika aus den OSI-Layern 3-7 und verschiedene dienstspezifische Daten einfließen. Dadurch entsteht die sogenannte Phishiness, ein prozentualer Wert, der die Wahrscheinlichkeit eines Phishing-Angriffs beschreibt. Je höher der Wert ist, desto eher handelt es sich also um gestohlene Nutzerdaten, mit denen ein virtueller Bankraub verübt werden soll.
Diese Daten lassen sich anschließend nutzen, um die Überweisungen von regulären, wirklich existierenden Konten zu prüfen. Tritt dabei ein als verdächtig aufgetretener Fingerabdruck erneut in Erscheinung, kann ein installierter Phoneypot die Überweisung automatisch stoppen oder den Angreifer in eine virtuelle Umgebung umleiten. Dort lässt sich sein Verhalten weiter beobachten, im besten Fall merkt der Phisher nichts davon.
Nachteile und Schwachstellen von Phoneypot
Das Framework besteht aber nicht nur aus Vorteilen. Um die korrekte Funktionsweise zu gewährleisten, muss der Phoneypot tief in die E-Commerce-Infrastruktur integriert sein. Das erfordert genaue Kenntnisse des Aufbaus und einen hohen Programmieraufwand.
Ein anderes Problem sind realistische Phoney-Token. Diese müssen dem Phisher so untergeschoben werden, dass er keinen Verdacht schöpft. Das bedeutet, dass ein automatisches Spammen der Webseite so gut wie ausgeschlossen ist. Auf der anderen Seite muss aber sichergestellt werden, dass möglichst viele dieser Token beim Phisher landen, um seine Identifizierung zu erleichtern.
Ein weiteres Problem könnte auftreten, wenn die Phisher statt Webseiten auf Malware wie Trojaner setzen, um die Daten zu sammeln. Hier muss zunächst der Code der Malware genau untersucht werden, bevor die Phoney-Token eingeschleust werden können.
Interview mit den Machern von Phoneypot
TecChannel: Herr Birk, wie kommt man auf die Idee, eine Anti-Phishing-Framework zu entwickeln?
Dominik Birk: Die Idee entstand eigentlich unspektakulär bei ein paar Bier auf einer Studentenparty. Einige Tage später suchte ich unseren Lehrstuhl für Netz- und Datensicherheit von Prof. Schwenk auf und sprach dort mit einem wissenschaftlichen Mitarbeiter. Dieser war an dem Konzept interessiert, und glücklicherweise war mein Freund und Mitbewohner Felix Gröbert auch zu einer Zusammenarbeit bereit. So gingen wir das Projekt zusammen an, und nach und nach entwickelte sich so das heutige „Anti-Phishing-Framework“.
TecChannel: Wie viele Leute arbeiten momentan am Phoneypot-Projekt?
Dominik Birk: Unser Team setzt sich derzeit aus Felix Gröbert, unserem wissenschaftlichen Mitarbeiter Sebastian Gajek und mir zusammen.
TecChannel: Frameworks sind meines Wissens nach komplizierte und zeitaufwendige Projekte. Ist der Phoneypot mittlerweile Ihr Hauptprojekt geworden, oder können Sie das noch „nebenbei“ erledigen?
Birk: Das komplette Projekt sowie alle zugehörigen Papers und Programme entwickelten wir neben unserer normalen Studententätigkeit. Da ging schon die ein oder andere Nacht dafür drauf, da man tagsüber mit dem normalen Unileben konfrontiert ist.
TecChannel: Ein Projekt dieser Größenordnung stellt doch sicher einige Anforderungen? Wie sieht es beispielsweise mit Kosten aus, können Sie die tragen?
Birk: Derzeit entstehen kaum Kosten außer Zeit und Aufwand und eben eine Menge Fahrkosten zu diversen Treffen mit Interessenten. In der Vergangenheit hatte man oft mit zu hoher Selbstkritik zu kämpfen. Man fragte sich oft genug, ob die ganze Arbeit eigentlich völlig sinnlos sei und das Konzept niemals in der Praxis eingesetzt werden könne. Man braucht dann Durchhaltevermögen und muss versuchen, mit einer gewissen Objektivität an dem Projekt weiterzuarbeiten.
Praxis: Zögerliche Banken zieren sich beim Einsatz
TecChannel: Wie weit sind Sie denn mittlerweile? Welcher Meilenstein ist erreicht, und was kommt jetzt noch?
Birk: Inzwischen haben wir die wissenschaftliche Arbeit größtenteils beendet. Jetzt geht es an die Praxis, daher sind wir nach wie vor noch auf der Suche nach einem Partner für eine praktische Umsetzung.
TecChannel: Warum? Ich könnte mir vorstellen, dass so ein vielseitiger Anti-Phishing-Ansatz bei Banken und Finanzdienstleistern großes Interesse hervorrufen sollte. Woran scheitert denn die Umsetzung?
Birk: Derzeit gibt es jede Menge Gespräche mit Interessenten, aber die Mühlen mahlen langsam, und so geht die Entwicklung nur schleppend voran. Als Gegenargument wurde etwa die Komplexität genannt, wobei wir der Meinung sind, dass bei einer modularen Implementierung man auch diese begrenzen kann. Natürlich entstehen Kosten für eine Implementierung, daher muss der Interessent abwiegen, ob sich die Kosten mit den Kosten von Phishing rechnen. Man kann den Aufwand bei den Interessenten mit der Anschaffung neuer Software vergleichen.
TecChannel: Herr Birk, der Phoneypot kann ja mehr schützen als nur Bankkonten. Welche Szenarien bieten sich noch an, und für welche anderen Dienstanbieter eignet sich das System?
Birk: Das Phoneypot Framework lässt sich auf nahezu alle Systeme mit Benutzer-Authentifikation anwenden. Dies umschließt fast alle gängigen E-Commerce-Plattformen – auch eine Integration in AAA Systeme ist denkbar. Das Konzept des Lockens mit virtuellen Zugangsidentitäten, die Einschränkung der Nutzbarkeit der virtuellen Identität sowie die Analyse der forensischen Daten können als weiterer Arm der Business Intelligence und der Incident-Vorbeugung von E-Commerce-Dienstleistern dienen. Auch Kooperationen von Dienstleistern, die anhand der gewonnenen Informationen eine Liste zur Blockierung der Phisher pflegen, wären denkbar. Damit würde die Effizienz um einiges gesteigert werden.
Tipps für Entwickler: Externe Kritik aufnehmen
TecChannel: Während der Entwicklung dieses Projektes haben Sie sicher einiges an Erfahrung gewonnen und eine ganze Reihe an Schwierigkeiten überwunden. Welche Tipps würden Sie anderen Entwicklerteams mit auf den Weg geben?
Birk: Ich denke, Ehrgeiz und die Bereitschaft, sehr viele Nächte für das eigene Projekt zu opfern, sind Grundeigenschaften, die gegeben sein sollten. Wichtig ist aber auch, dass man sich Kritik von Außenstehenden anhört und vor allem aufnimmt. Wir haben sehr viel durch Gespräche mit anderen Studenten und Freunden gelernt, wofür wir dankbar sind.
TecChannel: Sie haben erwähnt, dass Sie mit dem Phoneypot langsam in die Endphase gehen. Wie sieht es denn mit Nachfolgeprojekten aus?
Birk: Ja richtig, Felix Gröbert und ich haben die theoretische Arbeit zum Anti-Phishing-Framework vorerst abgeschlossen, bis sich Weiteres ergibt. Felix arbeitet an einem Papier zum Bundestrojaner und der Online-Durchsuchung, und ich arbeite zurzeit an einem Papier über die Analyse und den Missbrauch von Daten im Web 2.0 und in sozialen Netzwerken.
TecChannel: Herr Birk, ich danke Ihnen für diese Einblicke in Ihr aktuelles Projekt. Viel Glück bei der Umsetzung.
Fazit: Phoneypot - Cleverer Ansatz für eine sicherere Online-Welt
Der Phoneypot ist ein cleverer Weg, mit dem man dem allgegenwärtigen Phishing endlich Einhalt gebieten könnte. Das System arbeitet analog zu den Gegenmaßnahmen bei Banküberfällen in der „echten“ Welt. Denn dort wird ebenfalls versucht, den Räubern speziell markierte Geldpakete unterzuschieben, anhand derer sie später eindeutig identifiziert werden können. Und so eine Lösung ist im E-Commerce längst überfällig.
Da macht es einen fast sprachlos, wie uninteressiert sich die Banken gegenüber der Lösung geben. Anscheinend setzen deutsche Geldinstitute lieber auf Reaktion als auf die direkte Aktion.
Da sind Lösungen wie der Phoneypot gefragt, die nicht nur die Symptome, sondern direkt die Ursachen bekämpfen. Die zusätzlich gesammelten Daten über die Phisher versprechen umfangreiche forensische Daten, mit denen sich die Hintermänner identifizieren lassen. Das sieht auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) so. Die Arbeit von Birk und Gröbert zum Phoneypot erhielt im Rahmen des 10. Deutschen IT-Sicherheitskongresses den Best Student Award. Jetzt müssten sich nur noch die Banken entscheiden, dass sie nicht mehr den Phishern hinterherhecheln, sondern ihre Kunden aktiv schützen wollen. (mja)