Stikked

Phishing – Die Gefahr der Einfachheit

From Robert Vogt, 10 Years ago, written in Plain Text.
This paste is a reply to Geekhole.ch from Social Pheasant - view diff
URL http://geopaste.scratchbook.ch/view/5028c3bf
Embed
Download Paste or View Raw
  1. Phishing – Die Gefahr der Einfachheit
  2. Filed under Internet, IT, Security, hacking, password, phishing, security
  3. Creator Robert Vogt
  4.  
  5. In Zeiten des Internets ist die Security immer wieder ein heikles Thema. Dinge wie ein aktueller Virenschutz, eine effiziente Firewall und ähnliche Infrastruktur sind hierbei zentral. Oft wird dabei nicht bedacht, dass die grösste Schwachstelle der meisten Systeme (aber nicht aller!) nicht die Applikation, sondern der Benutzer selbst darstellt. Den Anfang machen hierbei die meist verwendeten Passwörter im Internet:
  6.  
  7. 123456
  8. 12345
  9. 123456789
  10. Password
  11. iloveyou
  12. (Quelle: http://srs.li/FF4)
  13.  
  14. Wird ein solches Passwort verwendet, braucht es nicht einmal “Hacking”-Techniken um einen Account zu übernehmen – das passiert ganz einfach per Trial-and-error.
  15.  
  16. Ein weiteres Problem ensteht dadurch, dass Benutzer das selbe Passwort immer wieder verwenden. Gelingt es einem Angreifer also ein Passwort zu erfahren, gewährt dieses ihm Zugriff auf alle Accounts Benutzers. Genau hier kommt Phishing zum Zug.
  17.  
  18. Doch was ist Phishing eigentlich?
  19.  
  20. Unter Phishing wird eine Technik verstanden, welche verwendet wird um an Daten von Benutzern zu gelangen in dem Internetseiten gefälscht werden. Ein Beispiel hierfür kann z.B. ein gefälschtes Facebook-Login Fenster sein, wie es z.B. hier zu finden ist. Dieses Loginfenster sieht genau so aus wie das Original von Facebook, nur wird es auf einem anderen Server gehostet. Werden hier nun die Daten eingetippt, werden diese nicht an einen Facebook-Server übermittelt, sondern an den des Angreifers. Dieser kann nun mit diesen Daten machen was er will, z.B. kann er sie speichern. Hat der Angreifer erst diese Daten, braucht er die Applikation (in diesem Fall Facebook) gar nicht mehr anzugreifen. Verwendet der Benutzer auf mehreren Plattformen das gleiche Passwort, hat der Angreifer leichtes Spiel.
  21.  
  22. Dieses Beispiel mag banal wirken, kann aber auch ausgebaut werden. Wird die hosts-Datei auf dem Rechner manipuliert, kann jede Adresse umgeleitet werden. Dies kann z.B. dazu führen, dass www.facebook.com nicht mehr auf die Facebook-Server zeigt, sondern auf diejenigen des Angreifers. Die Kombination davon und des Fälschen des Logins wird dann schon gefährlicher. Wird nun nicht ein Facebook-Login sondern z.B. das Webinterface des e-Banking Anbieters gefälscht, geht es nicht mehr um private Daten und Bildern, sondern um das persönliche Vermögen.
  23.  
  24. Der Zeitaufwand für gefälschte Seiten ist überraschend gering. Für den Facebook Proof of Concept wurden rund 30min benötigt. Falls sie in unserem Beispiel Daten eingegeben haben, wurden diese selbstverständlich nicht gespeichert.
  25.  
  26. Was kann man dagegen tun?
  27.  
  28. Man sollte kein einfaches Passwort wählen, aber das sollte (!) inzwischen eigentlich jedermann klar sein. Gross-/Kleinbuchstaben sollten mit Zahlen und Sonderzeichen durchmischt werden. Des Weiteren sollten für verschiedene Plattformen verschiedene Passwörter verwendet werden. Bieten Plattformen die Möglichkeit sämtliche Kommunikation via HTTPS abzuwickeln, sollte diese genutzt werden.

Reply to "Phishing – Die Gefahr der Einfachheit"