Windows.IT PRO, 02/2007, S. 24 f.

Erkenne die Feinde
Analyse und Erkennen von Phishing-Mails

(Von Robert Krzeminski)

Nicht nur auf den privaten PCs, sondern auch auf den Firmenrechnern sind die Anwender immer häufiger so genannten Phishing-Attacken ausgesetzt. Dieser Artikel stellt nicht nur grundsätzliche Ansätze vor, die helfen können, solche Gefahren zu bekämpfen, sondern präsentiert auch eine Outlook-Erweiterung, die diesen Kampf wirkungsvoll unterstützt.

Phishing-Attacken werden in der Regel mit einer E-Mail initiiert. Der Angreifer schickt dem Opfer eine Nachricht, die wie eine offizielle E-Mail der Organisation aussehen soll. Durch Anwendung von Social-Engineering-Techniken versucht er den Empfänger dazu zu motivieren, eine bestimmte Website zu besuchen oder Zugangsdaten direkt in das eingebettete Formular einzugeben. Um das Vertrauen der Benutzer in die E-Mail zu stärken, nutzen die Angreifer oft bekannte Sicherheitslücken im SMTP-Protokoll und fälschen die Absenderadresse. Der Empfänger der E-Mail sieht eine offizielle Absenderadresse in seinem E-Mail-Client und zieht auf diese Weise häufig falsche Schlüsse über die Herkunft der Nachricht.

Die meisten Anti-Phishing-Desktop-Lösungen setzen bei den Web-Browsem an und informieren den Benutzer mithilfe von verschiedenen Sicherheitsindikatoren. Die Klassifizierung erfolgt dabei in der Regel automatisch. Der Benutzer ist aber auf sich allein gestellt, falls er mit einer neuen, unbekannten Phishing-Seite konfrontiert wird. Auch bei richtig erkannten Phishing-Seiten wird der Anwender mit einem fertigen Analyseergebnis konfrontiert und kann somit kein Gefühl für den sicheren Umgang mit E-Mails und im Web entwickeln. Die Sensibilisierung des Anwenders ist aber das effizienteste und in der Literatur meistempfohlene Mittel im Kampf gegen Phishing. Der bewusst arbeitende Benutzer wird an jede E-Mail, die ihn auffordert, persönliche Daten preiszugeben, mit gesundem Misstrauen herangehen und sie sorgfältig prüfen, bevor er die darin enthaltenen Anweisungen ausführt. Allerdings braucht er dazu auch Werkzeuge, die ihm bei der Analyse der verdächtigen E-Mail helfen.

Bild 1. Eine höchst verdächtige Seite: Diese vom Anti-Phishirig-Tool gelieferten Detailinformationen zeigen, was sich hinter einer Seite verbirgt. (Quelle: Delphish)

Bild 1. Eine höchst verdächtige Seite: Diese vom Anti-Phishirig-Tool gelieferten Detailinformationen zeigen, was sich hinter einer Seite verbirgt. (Quelle: Delphish)

Wichtige Unterscheidung: Richtige Lösung für die Zielgruppe. Eine Differenzierung zwischen Business- und Endanwenderlösungen ist beim Phishing-Phänomen leider nicht so leicht möglich, wie dies bei anderen Sicherheitsthemen der Fall ist. Prinzipiell können die Gegenmaßnahmen an zwei Stellen ansetzen: Zum einen werden Phishing-Mails abgefangen und zum anderen wird der Zugang zu bekannten Phishing-Websites unterbunden.

Wird bei "normalem" Phishing gewissermaßen ein großes Netz ausgeworfen, in dem sich früher oder später eine Beute verfängt, so erfolgt der Angriff beim "Speer-Phishing" hingegen auf ein ganz spezielles Ziel. Dabei handelt es sich normalerweise um Angestellte eines bestimmten Unternehmens, einer Regierungsbehörde, einer Organisation oder einer Gruppe. Speer-Phishing-Betrüger versenden echt wirkende E-Mails an einzelne oder mehrere Angestellte beziehungsweise Mitglieder einer Gruppe. Dies geschieht in der Regel über eine vertrauenswürdige Quelle.

Ein Endverbraucher braucht also andere Schutzmaßnahmen als Unternehmen mit wertvollen Firmen- und/oder Kundendaten. Für den Heimgebrauch reicht eine Internet Security Suite mit Firewall, Anti-Spam und Virenschutz aus. Der Virenschutz sollte automatisch mit Updates versorgt werden und HTTP-Daten filtern. Im Umfeld kleiner und mittelständischer Unternehmen können Appliances mit diversen integrierten Lösungen und entsprechenden Filterprodukten installiert werden. Unternehmen mit wertvollen Daten müssen für einen maximalen Schutz noch einen Schritt weiter gehen: Hier gehören Prevention-, Detection- und Response-Services zu einem integrierten Sicherheitsansatz. Es gilt mögliche Attacken schon im Vorfeld zu erkennen und Gegenmaßnahmen einzuleiten, bevor entsprechende Angriffe im Untemehmensnetzwerk landen.

Wenn der Spam-Filter versagt – Outlook-Addon kann helfen. Anti-Phishing-Tools sind als Schutz- und Analysewerkzeug konzipiert und können als Erweiterung über eine bereitgestellte Schnittstelle in bestehende E-Mail-Clients integriert werden. Eines dieser Werkzeuge ist Delphish, was für Delete Phishing steht. Es ist zurzeit als Addin für Outlook als kostenfreies Tool verfügbar. Dabei werden die Vorteile der automatischen Erkennung genutzt und der Benutzer wird darüber hinaus für einen sicheren und verantwortungsvollen Umgang mit E-Mails sensibilisiert. Solche Anti-Phishing-Tools sind häufig als zusätzliche Toolbar für E-Mail-Clients konzipiert und werden als Addin für Outlook zur Verfügung gestellt. Die Analyse einer E-Mail beginnt erst, wenn der Benutzer den Verdacht hat, dass es sich um einen Betrugsversuch handelt. Er drückt auf eine Schaltfläche in der Toolbar, wodurch die Analyse der vermeintlich gefahrlichen Nachricht gestartet wird. Danach wird versucht, die E-Mail automatisch einzustufen. Unabhängig davon, ob sie automatisch als Betrugsversuch erkannt wird oder nicht, wird eine Risikoanalyse der in der E-Mail enthaltenen Links vorgenommen. Die Ergebnisse der Untersuchungen werden in einem Fenster angezeigt, in dem die potenziell gefahrlichen Links hervorgehoben werden. Der Benutzer kann sich jetzt selbst von der Gefahrlichkeit eines jeden Links überzeugen, indem er sich zu jedem Link Informationen, wie tatsächliches Ziel, Typ, Verbreitung, Alter, Domänenbesitzer und so weiter anzeigen lässt.

Ein solches in ein E-Mail-System integriertes Anti-Phishing-Tool arbeitet in mehreren Schritten, wobei am Anfang immer die Analyse der Nachricht stehen muss: Diese Art der Werkzeuge bietet einen zweischichtigen Phishing-Schutz, der aus signaturbasierter und proaktiver heuristischer Analyse besteht. Die reaktive Komponente wehrt alle bekannten Phishing-E-Mails und ihre Varianten ab. Von der Entdeckung einer Phishing-Attacke bis zur Erstellung einer entsprechenden Signatur vergeht aber Zeit, in der die neuen Angriffe eine Bedrohung für die Benutzer darstellen. Um diesen unbekannten Gefahren vonubeugen, enthalten die Werkzeuge eine zweite Schutzschicht, die dem Anwender anhand von Risiko- und Reputationstests die Gefahren in der E-Mail aufzeigen soll. Auf diese Schutzschichten wird dann die Informationsschicht als dritte Schicht aufgelegt: Sie liefert zusätzlich zu den Ergebnissen der beiden Analysen weitere relevante Daten für jeden Link, um es dem Benutzer so zu ermöglichen, das Gefahrenpotenzial einer E-Mail selbst einzuschätzen.

Bild 2. Die Link-Risikobewertung: Links gehören zu den potenziell gefährlichen Elementen innerhalb einer E-Mail. Dieses Bild zeigt, wie die vorgestellte Lösung einen Anwender bei der Bewertung eines Links unterstützt. (Quelle: Delphish)

Bild 2. Die Link-Risikobewertung: Links gehören zu den potenziell gefährlichen Elementen innerhalb einer E-Mail. Dieses Bild zeigt, wie die vorgestellte Lösung einen Anwender bei der Bewertung eines Links unterstützt. (Quelle: Delphish)

Ein wichtiger Schritt: Signaturbasiertes Scanning. Verdächtige Nachrichten werden zunächst von einem Virenscanner untersucht. Bei dieser Prüfung werden bereits bekannte Phishing-Attacken identifiziert. Der Erfolg der signaturbasierten Technologie wird durch die Aktualität ihrer Datenbasis bestimmt. Diese ist besonders bei den kurzlebigen Phishing-Attacken sehr wichtig. Eine auf dem Rechner des Anwenders installierte Antivirussoftware ist in vielen Fällen nicht aktuell, da sich viele Benutzer nur unregelmäßig oder gar nicht um Updates kümmern. Aus diesem Grund kann eine serverbasierte Lösung empfehlenswert sein – diese wird zentral und automatisch verwaltet. Die Kommunikation mit dem Antivirusserver erfolgt verschlÜsselt über ein SSL-basiertes HTTP-Protokoll (HTTPS).

Die potenziell gefährlichen Elemente einer E-Mail sind Links, Formulare, Anlagen und aktive Inhalte, soweit sie von dem verwendeten Client ausgeführt werden. Zwar können Phishing-E-Mails den Empfänger auch ohne diese Elemente mit Hilfe eines entsprechend formulierten Textes verleiten, eine bestimmte Seite aufzurufen beziehungsweise eine kostenpflichtige Telefonnummer anzurufen. Diese Fälle kommen zurzeit jedoch nur selten vor und können recht einfach durch eine musterbasierte Analyse erkannt werden. Die meisten E-Mail-Clients verfügen über eigene Mechanismen, um mit den potenziell gefährlichen Anlagen umzugehen.

Der nächste Schritt besteht in der so genannten Geolocation: Die geografische Lage eines Servers, der hinter einem Link steckt, spielt für die Risikoanalyse eine beträchtliche Rolle. Die seit Jahren auf dem Markt verfügbaren Geolocation-Technologien erlauben anhand der IP-Adresse die Ortung von fast jedem Computer auf der Welt. Die geografische Herkunft der hinter einem Link liegenden Website wird in Form des Ländernamens beziehungsweise des dazugehörigen Fähnchens angezeigt. Zwar befinden sich über 40 Prozent der Phishing-Websites in den USA, jedoch kann diese Information wertvolle Hinweise liefern, wenn die Angreifer Rechner in exotischen Ländern benutzen beziehungsweise wenn die gefälschte Seite in einem völlig anderen Land gehostet wird, als legitime Links, die sich auch in der betrügerischen E-Mail befinden.

Der fünfte Schritt bei der Analyse besteht schließlich in einer WHOIS-Prüfung. WHOIS ist ein Protokoll zur Abfrage eines verteilten Datenbanksystems, das Informationen über Internet-Domänen und deren Besitzer enthält. In der Regel enthält ein WHOIS-Eintrag Angaben zum Eigentümer, zum administrativen und technischen Kontakt sowie zum Registrierungsdatum der Domäne. In der manuellen E-Mail-Analyse liefern die Informationen zu der Domäne aus dem WHOIS-Datensatz meistens den entscheidenden Beweis dafür, dass es sich bei einem Link und somit bei der untersuchten Nachricht um einen Betrugsversuch handelt. Aus diesem Grund wird in Delphish zu jeder Domäne, die in einem Link in der E-Mail vorkommt, eine WHOIS-Abfrage ausgeführt. Um die WHOIS-Dienste nicht unnötig zu belasten, wird die abgefragte Information über einen definierten Zeitraum für spätere Zugriffe in einem lokalen Cache gehalten. Um den ungeübten Anwendern das Studieren der WHOIS-Daten zu erleichtern, werden die Besitzerdaten einer Domäne in Form einer Adresse auf dem Bildschirm angezeigt.

Die Software Delphish wurde komplett in C++ implementiert, während das Addin für Outlook als ATL-COM Komponente entwickelt wurde. Damit der Einsatz von der Lösung in anderen Programmen ohne Probleme möglich ist, haben sich die Entwickler nach eigenen Angaben dazu entschieden, die restlichen Delphish-Bibliotheken als reguläre Windows-DLLs zu entwerfen.

Die vorgestellten Lösungsansätze zeigen, dass es ähnlich wie beim Schutz vor Computerschädlingen auch beim Thema Phishing so ist, dass technische Lösungen nur einen (möglichst großen) Teil der potenziellen Angriffe abwehren können. Deshalb sollte sich aber kein Systembetreuer in falscher Sicherheit wiegen: Umsicht und Vorsicht bleiben weiterhin wichtig, sodass eine kontinuierliche Schulung der Anwender unbedingt nötig ist. (fms)

Der Autor:

Robert Krzeminski ist Entwickler bei der Leipziger Firma Nutzwerk, die sich auf IT-Security spezialisiert hat. Diese Firma stellt auch unter http://www.delphish.com das im Artikel vorgestellte Addin für Outlook zur Verfügung.

 

Nutzwerk


Windows.IT PRO

 

www.delphish.com

 

Über Nutzwerk SaferSurf-Proxy-Dienst News & Presse Service & Kontakt

© 2006 - 2009 Nutzwerk GmbH