Phishing – Die Gefahr der Einfachheit

Author

Title

Language

Your paste - Paste your paste here

Phishing – Die Gefahr der Einfachheit
Filed under Internet, IT, Security, hacking, password, phishing, security
Creator Robert Vogt

In Zeiten des Internets ist die Security immer wieder ein heikles Thema. Dinge wie ein aktueller Virenschutz, eine effiziente Firewall und ähnliche Infrastruktur sind hierbei zentral. Oft wird dabei nicht bedacht, dass die grösste Schwachstelle der meisten Systeme (aber nicht aller!) nicht die Applikation, sondern der Benutzer selbst darstellt. Den Anfang machen hierbei die meist verwendeten Passwörter im Internet:

123456
12345
123456789
Password
iloveyou
(Quelle: http://srs.li/FF4)

Wird ein solches Passwort verwendet, braucht es nicht einmal “Hacking”-Techniken um einen Account zu übernehmen – das passiert ganz einfach per Trial-and-error.

Ein weiteres Problem ensteht dadurch, dass Benutzer das selbe Passwort immer wieder verwenden. Gelingt es einem Angreifer also ein Passwort zu erfahren, gewährt dieses ihm Zugriff auf alle Accounts Benutzers. Genau hier kommt Phishing zum Zug.

Doch was ist Phishing eigentlich?

Unter Phishing wird eine Technik verstanden, welche verwendet wird um an Daten von Benutzern zu gelangen in dem Internetseiten gefälscht werden. Ein Beispiel hierfür kann z.B. ein gefälschtes Facebook-Login Fenster sein, wie es z.B. hier zu finden ist. Dieses Loginfenster sieht genau so aus wie das Original von Facebook, nur wird es auf einem anderen Server gehostet. Werden hier nun die Daten eingetippt, werden diese nicht an einen Facebook-Server übermittelt, sondern an den des Angreifers. Dieser kann nun mit diesen Daten machen was er will, z.B. kann er sie speichern. Hat der Angreifer erst diese Daten, braucht er die Applikation (in diesem Fall Facebook) gar nicht mehr anzugreifen. Verwendet der Benutzer auf mehreren Plattformen das gleiche Passwort, hat der Angreifer leichtes Spiel.

Dieses Beispiel mag banal wirken, kann aber auch ausgebaut werden. Wird die hosts-Datei auf dem Rechner manipuliert, kann jede Adresse umgeleitet werden. Dies kann z.B. dazu führen, dass www.facebook.com nicht mehr auf die Facebook-Server zeigt, sondern auf diejenigen des Angreifers. Die Kombination davon und des Fälschen des Logins wird dann schon gefährlicher. Wird nun nicht ein Facebook-Login sondern z.B. das Webinterface des e-Banking Anbieters gefälscht, geht es nicht mehr um private Daten und Bildern, sondern um das persönliche Vermögen.

Der Zeitaufwand für gefälschte Seiten ist überraschend gering. Für den Facebook Proof of Concept wurden rund 30min benötigt. Falls sie in unserem Beispiel Daten eingegeben haben, wurden diese selbstverständlich nicht gespeichert.

Was kann man dagegen tun?

Man sollte kein einfaches Passwort wählen, aber das sollte (!) inzwischen eigentlich jedermann klar sein. Gross-/Kleinbuchstaben sollten mit Zahlen und Sonderzeichen durchmischt werden. Des Weiteren sollten für verschiedene Plattformen verschiedene Passwörter verwendet werden. Bieten Plattformen die Möglichkeit sämtliche Kommunikation via HTTPS abzuwickeln, sollte diese genutzt werden.

Create Shorturl - Create a shorter url that redirects to your paste?

Private - Private paste aren't shown in recent listings.

Delete After - When should we delete your paste?

Phishing – Die Gefahr der Einfachheit

Reply to "Phishing – Die Gefahr der Einfachheit"