Two-Factor Authentication: Too Little, Too Late

Inside Risks 178, CACM 48, 4, April, 2005

Two-factor authentication isn’t our savior. It won’t defend against phishing. It’s not going to prevent identity theft. It’s not going to secure online accounts from fraudulent transactions. It solves the security problems we had ten years ago, not the security problems we have today.

Two-Factor Authentication: Too Little, Too Late weiterlesen

Stealth Attacks and Delayed Password Disclosure

A variety of computer networks are vulnerable to so-called stealth attacks. While there are many types of stealth attacks, they all have one thing in common (which is the very reason, of course, for their name) – the attackers are hard to detect. In some cases, it is even hard for a victim to determine that he was attacked – days or weeks may pass before this becomes evident. By then, it may be too late, as in the meantime, the attacker may collect and even modify information that was not intended for him. The attacks can be mounted against both wired and wireless networks, but the relative ease with which they can be used to attack users of wireless networks poses a particular threat within a variety of settings, including public hotspots. Moreover, stealth attacks pose a particular threat in the context of identity theft. A particular type of stealth attack we describe herein is the so-called “doppelganger window attack”. This can either be mounted in a similar fashion as the typical phishing attack is, but poses a greater threat than current phishing attacks. This is so since the doppelganger window attack defeats traditional methods for mutual authentication, which would otherwise have been a meaningful defense against phishing. We describe a new security technique, delayed password disclosure, that provides security against doppelganger window attacks. It can be based on any known method for mutual authentication, and its security can be proven to be the same as that of the underlying method – in addition to security against the doppelganger window attacks.

Stealth Attacks and Delayed Password Disclosure weiterlesen

Phishing: Kleine Banken geraten zunehmend ins Visier

Rund 3000 aktive Phishing-Seiten machte die Anti-Phishing Working Group für den Monat April aus. Damit wurde zwar ein leichter Rückgang gegenüber dem Vormonat verzeichnet, aber die Qualität der Phishing-Attacken scheint sich zu ändern. Zu diesem Ergebnis kommt zumindest Sicherheitsspezialist Websense , der das Basismaterial für die Anti-Phishing-Working Group liefert.

Phishing: Kleine Banken geraten zunehmend ins Visier weiterlesen

SSL

Was ist SSL?

SSL (&Secure Socket Layer) ist ein Sicherheitsstandard, der ursprünglich von der Firma Netscape speziell zum Schutz des World Wide Web (WWW) entwickelt wurde. Informationen zur Technik finden Sie z.B. bei Wikipedia oder im Buch „Sicherheit und Kryptographie im Internet“ von J. Schwenk.

Wie erkenne ich, ob eine Webseite SSL-verschlüsselt übertragen wurde?

Die Kommunikation zwischen Ihnen und dem Server ist verschlüsselt, wenn ein geschlossenes Vorhängeschloss als Symbol in der unteren Browserleiste auftaucht. Dies ist bei allen Browsern der Fall. Ist das Vorhängeschloss geöffnet, oder ist es nicht vorhanden, so werden die Daten ungeschützt übertragen. In diesem Fall dürfen keine Passwörter, PINs, TANs oder Kreditkartennummern eingegeben werden.

Wie erkenne ich, ob eine Webseite wirklich vom gewünschten Server (z.B. einem Onlinebanking-Server) stammt?

Auch hier hilft SSL weiter. Nach einem Doppelklick auf das Schlosssymbol öffnet sich ein Informationsfenster.

SSL Seiteninformationen

In diesem Fenster werden Informationen zum Zertifikat (eine Art elektronischer Ausweis) angezeigt, den man für SSL benötigt. Der Name, der hier hinter „Ausgestellt für“ steht, muss mit dem Namen der Webseite identisch sein, die Sie aufgerufen haben.

Wer stellt solche Zertifikate aus?

Es gibt eine Reihe von Firmen, die sich auf die Ausstellung von SSL-Zertifikaten spezialisiert haben. Diese Firmen überprüfen in der Regel sehr sorgfältig, wem die Web-Adresse gehört, bevor sie ein solches Zertifikat ausstellen. Es gibt aber auch die Möglichkeit, Zertifikate selbst zu erzeugen. Dies kann von Hackern dazu ausgenutzt werden, eine SSL-geschützte Verbindung zum Hackerserver aufzubauen. Sie können einen solchen Versuch an der folgenden Warnmeldung erkennen (die für die verschiedenen Browser unterschiedliche aussehen kann).

SSL Fehlermeldung

Sollte Ihr Browser Ihnen diesen oder einen ähnlichen Warnhinweis geben, sollten Sie sicherheitshalber auf „Nein“, „Abbrechen“ oder „Zurück“ klicken.

Schützt SSL auch gegen Pharming?

Ja, SSL kann auch gegen Pharming schützen. Ein Angreifer kann beim Pharming zwar die Zuordnung des Servernamens (z.B. www.musterbank.de) zu einer IP-Adresse ändern, er kann aber nicht das SSL-Zertifikat für www.musterbank.de fälschen. Sie erhalten in diesem Fall eine Warnmeldung ähnlich wie oben dargestellt.

Phishing-IQ-Test: Finde die echten und falschen Mails

Phishing-Mail von echten Mails zu unterscheiden wird mittlerweile immer schwieriger. Allerdings machen es Banken und Online-Shops dem Kunden auch nicht gerade einfach. 

So geriet etwa kürzlich ein echte PayPal-Kunden-Mail in den Verdacht, von Passwort-Fischern zu stammen. Um dem Anwender ein wenig Gelegenheit zum Trainieren zu geben, hat der E-Mail-Provider MailFrontier einen zweiten Phishing-IQ-Test veröffentlicht.

Phishing-IQ-Test: Finde die echten und falschen Mails weiterlesen

Arbeitsgruppe Identitätsschutz im Internet