Spear Phishing, Drive by Pharming und Man-in-the-Middle-Attacken

Sicherheit: Neues von Phishern und Pharmern

Jan Valcke, Gastautor

Passwort auf Knopfdruck

Deutlich sicherer wird die Zwei-Wege-Authentisierung, wenn man die Berechnung des OTP einem externen Gerät überlässt. Im einfachsten Fall ist das ein kaum daumengroßes, zehn Gramm leichtes Kästchen, das auf Knopfdruck ein Einmal-Passwort auf einem LCD anzeigt. Die Zusatz-Hardware hat keinerlei Schnittstellen, eine Manipulation ist ausgeschlossen. Anspruchsvollere Geräte sind noch mit einer Tastatur oder einem Kartenleser ausgerüstet. Dann ist die Eingabe einer PIN oder das Einstecken einer Smart Card erforderlich, um die Hardware zu aktivieren. Ein gestohlenes Gerät ist für den Dieb nutzlos.

Noch mehr Sicherheit bietet das so genannte Challenge-Response-Verfahren. Dabei liefert die Host-Applikation einen zusätzlichen Wert, die so genannte Challenge, den der Anwender zusätzlich zur PIN eingeben muss, um ein gültiges Einmal-Passwort zu generieren. Das Passwort wird dann wiederum vom Host überprüft. Diese Form der Zwei-Wege-Kommunikation stellt sicher, dass auch gefälschte Seiten kein gültiges Password beziehen können. Denn sie können ja nicht den richtigen Challenge-Wert liefern.

Digitale Signatur

Einzig ein Man-in-the-Middle-Angriff kann die Strong Authentication austricksen. Abbildung 3 zeigt, wie der Hacker die Sicherungen aushebelt. Er leitet alle Zugangscodes einfach durch, manipuliert aber die Inhalte der Transaktion sowie den begleitenden Text bei der Digitalen Signatur ("bitte bestätigen Sie").

Abbildung 3: Beispiel eines möglichen Man-in-the-Middle-Angriffs: Hat sich Hacker Mallory unbemerkt in die Verbindung eingeschaltet, kann er in Marias Identität schlüpfen, indem er einfach Marias One-time-Passwort (OTP) weitergibt und sich als Maria einloggt. Die Überweisung selbst manipuliert Mallory dann zu seinen Gunsten und ändert den begleitenden Text ("ich bestätige"). Sind die Transaktionsdaten Empfänger und Betrag aber im Klartext lesbar und Bestandteil der Signatur, fliegt der Schwindel sofort auf. (Schritt 7 bis 10) Denn eine Änderung bei der Anforderung der Signatur, beim so genannten Hash (fett dargestellt), würde zu einer ungültigen Digitalen Signatur führen. Und einen Hash "an Mallory 99999 €" würde Maria natürlich nicht signieren.
(Klick vergrößert)

Für sichere Transaktionen über das Internet ist die Authentisierung daher nur der erste Schritt. Zum Absichern der Inhalte elektronischer Transaktionen sind Digitale Signaturen notwendig. Digipass kann eine Signatur auf Basis einer Vielzahl von Daten berechnen, die vom Endanwender eingegeben und nicht von der Server-Software erstellt worden sind.

Um eine Online-Bestellung zu signieren, fordert das Digipass-Gerät den Anwender zum Beispiel auf, die Bestellnummer und den Warenwert einzugeben. Aus diesen Werten errechnet die Zusatz-Hardware dann die elektronische Signatur. Diese wird dann in den Rechner eingegeben. Der wiederum schickt sie dann zusammen mit den Datenfeldern zur Verifizierung des Anwenders und der Datenintegrität an den Server. E-Commerce ist eine typische Transaktion, die solch einen Schutz durch E-Signaturen erfordert.

Jan Valcke ist President und Chief Operating Officer bei Vasco. Für netzwelt schreibt er als Gastautor über das Thema Sicherheit.

Vor allem aber bei Online-Banking ist die sichere elektronische Unterschrift von höchster Bedeutung. Dabei müssen allerdings Daten wie Empfängerkonto und Überweisungssumme im Klartext lesbar sein und direkt in die Digitale Signatur einbezogen werden. Der Anwender sieht dann, was er bestätigt, und erkennt eine eventuelle Manipulation. Die Bank wiederum erkennt aus der Digitalen Signatur, ob der eingegangene Auftrag auch wirklich vom Kontoinhaber stammt. So bleibt auch gezieltes Phishing letztlich ein Schlag ins Wasser.

Weitere Artikel zum Thema

• 

  Digipass: Dynamische Passwörter für kleinere Betriebe
  Unsichere Logins durch dynamische Verschlüsselungen ersetzen

• 

  Ausgephisht: Wege zum sicheren Online-Banking
  Wie Banken ihre Online-Kunden schützen wollen

• 

  Pflichtlektüre: Was in die geschäftliche E-Mail gehört
  Gesetz legt Pflichtangaben für elektronische Post fest

Links zum Artikel

Druckversion | Kommentare

« zurück 1 | 2 | 3 | 4 

Diesen Artikel verlinken

Dieser Artikel steht unter einer Creative Commons-Lizenz.

Werbung

Top Virenschutz-Programme

• 29.11. Avira AntiVir Personal - Free Antivirus Handbuch
• 29.11. AVG Anti-Virus Free 7.5.524 Update (Windows)
• 28.11. avast! 4 Home Edition 4.8.1296
• 06.04. Kaspersky Anti-Virus Personal 7.0
• 10.03. BitDefender Free Edition 10 Build 247
• 20.11. NOD 32 3.0.669 (XP/Vista)
• 10.01. AntiVirenKit 2006 professional
• 10.11. ClamWin Antivirus ClamWin.conf
• 24.05. avast! Virus Cleaner 1.0.211
• 08.03. Kaspersky Internet Security 7.0

Sicher im Internet

Wer seiner Standard-Software traut, der sollte sich nicht wundern, wenn plötzlich ein Virus oder Trojaner entdeckt wird. Netzwelt erklärt, wie man ein PC-System absichert.

• Anleitung: Spybot sucht und zerstört Schädlinge
• Tutorial Ad-Aware: Kostenloser Malware-Schutz
• Tutorial: XP-Antispy richtig einrichten
• DMZ, NAT & Co - so arbeitet eine Firewall
• Tutorial: HiJackThis-Logs richtig auswerten

Top Anti-Virus Vollversionen

• 06.04. Kaspersky Anti-Virus Personal 7.0
• 08.03. Kaspersky Internet Security 7.0
• 29.11. Avira AntiVir Premium Handbuch
• 29.11. Avira Premium Security Suite 8.2.0.251 (englisch)
• 15.07. Avira AntiVir Premium Virenschutz 2008 V2 2008 V2
• 05.08. eTrust Antivirus 7.0
• 15.07. Kaspersky Anti-Virus 2009 2009
• 15.08. G DATA AntiVirus 2008
• 11.08. AVG Anti-Virus Professional 8.0 (1-Platz-Lizenz)
• 03.11. BitDefender Antivirus 2008 (1-Platz-Lizenz)
• 04.08. eTrust Internet Security Suite 2.0
• 20.08. F-Secure Anti-Virus 2008 Jahreslizenz (3 User)
• 15.07. G DATA AntiVirus 2008 3-Platz-Lizenz 2008 3-Platz-Lizenz
• 15.07. F-Secure Anti-Virus 2008 1 Jahr 3-User 1 Jahr 3-User
• 10.08. Steganos AntiVirus 2008 (1-Platz-Lizenz)

Virenschutz

Welche Software den PC wirklich vor Viren schützt und welche Updates Sie auf jeden Fall installieren sollten, zeigen wir Ihnen in unserem ausführlichen Special zum Thema Virenschutz.

• Vergleichstest: Wie Virenscanner das System ausbremsen
• Anleitung: Wenn sich AntiVir und Windows widersprechen
• Test: Sicherheits-Komplettpakete bieten kaum Schutz
• VIPs als Virenschleudern: Die fiesesten Promis im Netz
• Sicher, schnell und zuverlässig: Der beste Virenscanner

Email Sicherheit

Phishing ist wohl das bekannteste Phänomem, wenn es um Sicherheit und Emails geht. Dabei ist es so einfach seinen Mailer richtig einzustellen und damit die größten Gefahren direkt abzuwehren.

• Tutorial: Googlemails Spam-Filter für alle E-Mail-Konten nutzen
• Tutorial: Anonym Mailen, aber richtig!
• Mailinator.com: Spam-Fänger der anderen Art
• Tutorial: Dem Phisher vom Haken springen
• Ratgeber: Den SPAM-Overkill vermeiden

Virenschutz mit Avira AntiVir

Aviras AntiVir ist das Flaggschiff der Antiviren-Programme, das Beste daran: Es ist für Provatanwender kostenlos.

• Tutorial: AntiVir, der kostenlose Virenkiller
• Tutorial: Wichtige Einstellungen und Funktionen
• Tutorial: Scans und Updates automatisieren
• Download: AntiVir Personal Edition

akuma.de - Unser Musikdienst

Service-Angebote der netzwelt

Stellenangebote

DSL-Tarifrechner

Strom-Tarifrechner

Gas-Tarifrechner

Energieausweis

Energiecheck

Stromspar-Magazin

Energiesparquiz

MP3-Downloads

Software Downloads

Online-Spiele

IPTV-Guide

Werbung