Eine interessante Neuentwicklung kommt von Mozilla. Nachdem es die Trustbar für Mozilla-Browser schon länger gibt, legt die Softwareschmiede nun noch einmal nach. Die neue Version des Mail-Clients Thunderbird (1.5 Beta1) soll in der Lage sein, Phishing-Angriffe zu erkennen.
Wie Golem berichtet versucht das Programm anhand bestimmter Merkmale der empfangenen Nachricht zu ermitteln, ob es sich um einen Fall von Phishing handeln könnte. Als besonders verdächtig gilt dabei das Abweichen des Linktextes von der tatsächlich aufgerufenen URL oder ein Hostname der lediglich aus einer IP-Adresse besteht. Zudem sollen weitere Eigenschaften der Mail berücksichtigt werden, die im Detail nicht angegeben wurden.
Tatsächlich versuchen viele Phishing-Mails auf diese Weise die Identität der tatsächlich besuchten Website zu verschleiern. Bei einem Test des Autors mit entsprechend präparierten Mails hat Thunderbird 1.5 Beta1 sowohl eine Abweichung von Linktext und Linkadresse als auch einen nur aus der IP-Adresse bestehenden Hostnamen zuverlässig erkannt und eine entsprechende Warnmeldung angezeigt.
Einen vollständigen Schutz kann diese Einrichtung aber nicht bieten. Benutzt der Phisher beispielsweise eine Adresse, die dem Original sehr ähnlich ist (z.B. www.postbank.org statt www.postbank.de) und daher im Linktext korrekt wiedergegeben wird, in der der Hoffnung, dem User werde der Unterschied nicht auffallen, kann dieser Mechanismus unterlaufen werden. Auch wenn der Linktext keine URL wiedergibt, sondern lediglich aus einem Wort besteht, kann eine beliebige Linkadresse zugeordnet werden, ohne daß Thunderbird dies reklamiert.
Microsoft setzt bei der Anti-Phishing Toolbar für den Internet-Explorer auf ein komplexeres Verfahren. Die Software soll in Windows Vista mit Internet Explorer 7 standardmäßig zum Einsatz kommen, gleichzeitg aber auch als Standalone-Version für ältere Versionen des Browsers zur Verfügung stehen. In diesem Falle wird sie als Plugin für die MSN-Toolbar implementiert. Die Toolbar überwacht die vom User besuchten Websites und versucht anhand von bestimmten, phishing-typischen Merkmalen auf mögliche Gefahren hinzuweisen. Zudem gleicht das System die URL der besuchten Website mit einer von Microsoft geführten und aktualisierten Blacklist ab. Darüberhinaus soll eine persönliche Whitelist auf dem Rechner des Users erzeugt werden. Microsoft erklärt nicht, nach welchen Kriterien diese Liste angelegt wird. Über die spezifischen Merkmale, die der Erkennung von Phishing-Sites dienen sollen, ist bisher ebenfalls nichts bekannt.
Ein mit dem Microsoft-System vergleichbares Tool, das zur Erstellung der Blacklist allerdings auf Benachrichtigungen durch die Nutzer angewiesen ist, gibt es bereits seit längerem von Netcraft.
Gerade die bevorzugte Nutzung einer Blacklist wirft allerdings Fragen auf. Blacklists führen alle bekannten Gefährdungen auf und müssen daher ständig und vor allem zeitnah aktualisiert werden. Der Nutzen eines solchen Systems ist nicht unumstritten. Gerade im Hinblick auf die sehr kurzfristigen Veränderungen, denen die Inhalte des Internet unterworfen sind und die geringen Zeiträume, die erforderlich sind, um eine neue Website einzurichten, sind Zweifel durchaus angebracht. Es entstehen ständig neue Phishing-Sites, die jeweils nur wenige Tage online sind. Bei der Einrichtung einer Blacklist ist dabei der Zeitraum relevant, der zwischen dem Auftauchen einer neuen Site und dem entsprechenden Eintrag in der Liste vergeht. Das System ist daher mit signaturbasierten Virenscannern vergleichbar. Unabhängig von der Effizienz des Betreibers der Blacklist enstehen dadurch Schutzlücken. Schließlich muß eine Phishing-Website eine gewisse Bekanntheit erreichen, um es auf die schwarze Liste zu schaffen. Bei Virenscannern vergehen etwa 10 Stunden zwischen dem Auftauchen einer neuen Bedrohung und der Bereitstellung entsprechender Signaturen. Dieser Zeitraum kann ausreichen, um erheblichen Schaden anzurichten. Es wird abzuwarten sein, ob Microsoft die Aktualisierungen der Liste in kürzeren Zeiträumen bewerkstelligen kann.
Es stellt sich damit die Frage, warum Microsoft nicht stattdessen das Whitelist-basierte System stärker einbindet, welches die URLs und IP-Adressen legitimer Betreiber von Online-Portalen auflistet und so dem User die Zuverlässigkeit der besuchten Site bestätigen kann. Zugegebenermaßen ist der Aufwand bei der Erstellung einer Whitelist ein nicht unerheblicher. Im eigentlichen Betrieb dagegen dürfte er kaum höher sein, als das Aktualisieren einer Blacklist.
Die Wirksamkeit der Toolbar wird sich vermutlich im Laufe der Beta-Tests oder sogar erst im Rahmen des Alltagsbetriebs erweisen können.