Konzept zur Phishing-Bekämpfung

Version 1.1, 23.06.2004

Hauke Laging - Grazer Platz 22 - 12157 Berlin - Telefon: 030/32603660 - mobil: 0172/7630883 - E-Mail: hauke@laging.de

das Problem

In zunehmendem Maße versuchen Kriminelle, sich über "gut" aufgemachte E-Mails, oft in Kombination mit entsprechenden Webseiten, Zugangsdaten ahnungsloser Leute zu erschleichen (Kreditkartennummern, Onlinebankingdaten inklusive TANs, Accountdaten bei ebay, Paypal und anderswo). Dieses Problem wird sich nicht von selbst lösen, zu einfach ist die Masche: Spamdistribution lässt sich kaufen, und eine entsprechende Webseite ist von fast jedem zu erstellen. Einige Dumme werden sich immer finden, auch wenn das Problem bekannt ist. Die Gültigkeit dieser Faustregel zeigt sich bei jeder Viren- und Wurmwelle aufs neue an Millionen ungepatchten Rechnern.

Obendrein ist das Entdeckungsrisiko vergleichsweise gering, da einige Zeit (Tage) vergehen dürfte, bis die ersten Geschädigten dies mitbekommen und Alarm schlagen. Gerade die Leute, die auf so etwas hereinfallen, sind vermutlich nicht diejenigen, die täglich ihren Kontostand überprüfen.

Lösungsansatz

Ich schlage vor, dass die Betroffenen (Kreditkartenfirmen, Kreditinstitute, gefährdete Internetfirmen) einige simulierte Datensätze bereitstellen, die solchen Kriminellen untergeschoben werden können. Der nächste Schritt wäre, irgend jemanden, der heute schon gezielt Spam sammelt (etwa die Antivirenleute), die fraglichen Mails herausfiltern und an eine geeignete Stelle weiterleiten zu lassen. Diese Mails automatisiert zu erkennen, ist sicher unproblematisch, da sie – anders als normaler Spam – viel Wert auf eine klare, seriöse Form legen und außerdem der Name der betroffenen Firma auftauchen muss. Die Anlaufstelle könnten die Betroffenen sich aus Kostengründen teilen. Dort würde jemand einen Datensatz eingeben, den die Firma bereitgestellt hat, gegen die bzw. deren Kunden sich der Angriff richtet.

Wenn man dies halbwegs clever anstellt, hat der Kriminelle keine reale Chance, den "Betrug" zu erkennen. Sobald er aber versucht, mit diesem Datensatz eine Transaktion auszulösen, könnte die jeweilige Firma darauf reagieren – was auch immer dann geeignet erschiene. Da ich mich im Bankbereich nicht auskenne, weiß ich nicht, wie heute in solchen Situationen verfahren wird. Denkbar wäre, die Transaktion zum Schein durchzuführen, das Zielgeldinstitut sofort zu benachrichtigen und so zu versuchen, der Verantwortlichen habhaft zu werden. Außerdem könnten Folgezugriffe von diesem Rechner aus (mit geeignetem Technikaufwand sogar die wenigen davor erfolgten) in geeigneter Weise abgewehrt werden, ebenso wie Transaktionen von anderen Rechnern aus mit demselben Zielkonto oder – im Ausland – derselben Bank, soweit dies praktikabel erscheint. Die Überweisung könnte etwa zurückgehalten werden bis zu einer Rückfrage beim Kunden o.ä.

wichtige Aspekte

Es wäre davon auszugehen, dass nur ganz wenige Kunden auf diese Mail hereinfallen, bevor sie bei der Anlaufstelle ankommt, denn diese bekäme sie automatisch und wäre sinnvollerweise rund um die Uhr besetzt (das kann irgend jemand mit erledigen, der sowieso permanent verfügbar sein muss). Gerade die total ahnungslosen Kunden sind typischerweise nicht ständig online.

Das ist auch insofern wichtig, als die Überweisungen immer ein paar Tage benötigen. Hier wäre es also möglich, in vielen Fällen das Zielkonto zu schließen oder sonstwie (etwa durch Information der führenden Bank) für die Kriminellen unbrauchbar zu machen, noch bevor das erste Geld eingeht.

Schwierigkeiten

Unidentifizierbarkeit

Es sollte möglichst keine wirksamen Gegenmaßnahmen der Kriminellen geben. Gerade der Umstand, dass eine der ersten Antworten von der Anlaufstelle käme, ließe sich natürlich ausnutzen. Also müssten regelmäßig immer wieder Datensätze eingegeben werden. Natürlich müsste man dies irgendwie von nur einmalig genutzten Einwahl-IP-Adressen großer Provider aus machen, um nicht aufzufallen.

Außerdem müsste das Konto bezüglich seiner Bewegungen natürlich echt aussehen. Da diese aber nicht im einzelnen überprüft werden können, ließe sich dies leicht zufällig machen.

mehrere Zielkonten

Gegenmaßnahmen könnten durch die Verwendung mehrerer Zielkonten erschwert werden. Dieser Effekt ließe sich durch die wiederholte Einschleusung kompromittierter Datensätze adressieren. Dummydatensätze lassen sich noch viel leichter erzeugen als Konten eröffnen.

Gegenmaßnahmen

Sperrung und Verfolgung

Wie bereits erwähnt, könnte einerseits sofort die Strafverfolgung einsetzen, was abschreckend wirkte, und könnten andererseits die meisten ergaunerten Transaktionen gestoppt werden, was die Angriffe weniger lohnend erscheinen ließe.

DoS

Was die bösen Jungs können, können die guten schon lange: Einige Datensätze sollten möglichst unerkannt eingeschleust werden. Dem steht aber nicht im Weg, die Zielwebseite mit zufällig generierten, sinnlosen Einträgen zu fluten. Das würde technisch wenig versierte Kriminelle wirksam abschrecken, die die erschlichenen Datensätze manuell eingeben müssten. Eine höhere Zahl gescheiterter Zugriffe würde die Verfolgung der Täter im Zweifelsfall erleichtern. Außerdem wüssten sie in dem Moment, dass sie enttarnt wurden, so dass sie die Aktion vermutlich von sich aus abbrächen. Eine DoS-Attacke ließe sich natürlich nur schwer mit unauffälliger Verteilung der Quelladressen realisieren, so dass auf diese Zugriffe gefiltert werden könnte. Aber auch das würde den Aufwand der ganzen Aktion wieder etwas höher schrauben, so dass der Kreis möglicher Täter kleiner und das Aufwand-Nutzen-Verhältnis generell schlechter und damit die Tat insgesamt weniger attraktiv würde.

Hier wäre abzuwägen zwischen dem zeitlichen Vorsprung bei der Strafverfolgung und der Abschreckung der Täter durch offensichtliche Entdeckung. Da der typische auf so etwas hereinfallende Kunde erst nach einiger Zeit – ein, zwei Tage später – die Mail liest, wäre ein denkbarer Kompromiss, nach 24-48 h den Angriff durch eine DoS-Gegenattacke zum Erliegen zu bringen.

Da die Daten auf der Webseite der Kriminellen wohl immer auf einfache Weise einzugeben wären, um die reingelegten Kunden nicht noch abzuschrecken oder durch technische Hürden zu verlieren, könnte man im voraus leicht ein Tool entwickeln, das die Webseite schnell analysiert und dann den DoS-Angriff automatisiert, sehr zeitnah.

Umsetzungsentscheidung

Aus meiner Sicht sprechen zwei wesentliche Punkte für die Realisierung:

Da langfristig entsprechende Aktivitäten mangels Attraktivität wohl gänzlich unterblieben, fielen auch entsprechende Supportkosten und der Ärger der möglichen Imagebeschädigung weg. Ebenso fielen natürlich die ganzen administrativen Kosten, die solche Aktionen gerade im Erfolgsfall mit sich bringen, nicht mehr an. Mit entsprechenden Erfolgen ließe sich – auch wenn das nachranging ist – bei der Masse der Kunden mehr Vertrauen in Internetgeschäfte erzeugen. Und Ressentiments gegen Onlinebanking, Kreditkartennutzung im Internet usw. kann keins der angesprochenen Unternehmen gebrauchen.

Langfristige Überlegungen

Die Entscheidung, ein solches System einzuführen, sollte nicht allein im Umfeld des status quo gefällt werden. Vielmehr ist zu bedenken, dass das Problem in den USA (nach Aussage eines Mitarbeiters einer Kreditkartenfirma) ein weitaus größeres Ausmaß erreicht hat als hierzulande. Der langfristige Nutzen muss also nicht am heutigen Schaden, sondern dem angesichts dieser Entwicklung anzunehmenden zukünftigen Schaden gemessen werden.

Diskussion

Ich würde mich freuen, wenn Sie mir bezüglich etwaiger Bedenken Gelegenheit zur Stellungnahme gäben, bevor Sie sich abschließend gegen diesen Vorschlag entscheiden.


Änderungen am Dokument

1.1