Phishing-Angriffe könnten bald personalisiert sein

Gefahr durch Abruf der Browser-History

Bislang fallen Phishing-E-Mails durch ihre plumpe Art auf: Nicht nur das oft radebrechende Deutsch, sondern auch die Tatsache, dass man jede Stunde zwei Passwortanfragen der Citibank bekommt, ohne dort überhaupt Kunde zu sein, warnt jeden halbwegs intelligenten Menschen. Doch es wäre gar nicht so schwer, herauszufinden, ob jemand tatsächlich Kunde der betreffenden Bank ist oder nicht.

Wenn man vor einem fremden Computer sitzt und den Internet-Browser öffnet, ist es ziemlich leicht herauszufinden, ob der Besitzer eine bestimmte Seite üblicherweise besucht oder nicht: in ersterem Fall wird der Browser die Adresse möglicherweise automatisch ergänzen, auf jeden Fall aber in der History haben, sodass der Link zur besuchten Seite in einer anderen Farbe erscheint. Nur das regelmäßige Löschen der Browser-History kann dies verhindern, ist aber lästig, weil man dann auch schon mal einen Artikel zum dritten Mal liest, wenn die Überschrift interessant ist und das eigene Gedächtnis schlecht.

Von außen, also ohne vor dem Computer zu sitzen, sollte die History dagegen eigentlich nicht zugänglich sein. Doch hier besteht offensichtlich eine Sicherheitslücke, wie der New Scientist in seiner neuesten Ausgabe meldet: Markus Jakobsson und seine Kollegen an der Indiana University haben dies entdeckt. Offensichtlich ist es möglich, über das Anklicken von Links festzustellen, ob eine beliebige Website in der Browser-History bzw. im Browser-Cache gespeichert ist oder nicht, da die Antwortzeiten des Browsers unterschiedlich ausfallen und dies über bestimmte CSS-Tricks noch eindeutiger detektiert werden kann.

Wenn die Phisher ihre Spam-Mails nicht – wie heute noch meist üblich – mit identischen Inhalten verschicken, sondern in diesen Kennungen hinterlegen, die der Spammer-Webseite verrät, welche der 100.000 belästigten E-Mail-Adressen den Klick ausgelöst hat, muss anschließend nur noch die Browser History abgefragt werden, um nun eine Nachahmung einer Website zu präsentieren, die das Opfer tatsächlich erst vor kurzem besucht hat oder eine zweite, nun scheinbar von dieser Bank stammende, E-Mail zu verschicken.

Die Abhilfe, die Jakobsson morgen am letzten Tag, dem 26. Mai der World Wide Web Konferenz 2006 in Edinburgh vorschlagen will, lautet allerdings merkwürdigerweise nicht, das Auslesen der Browser-History über das Internet wirksam zu unterbinden. Stattdessen sollen die Banken beim Besuch ihrer Website die Browser auch mit den Adressen ihrer Konkurrenten fluten, um so die Phisher zu verwirren und auf den heutigen Stand zurückzuwerfen. Doch welche Bank wird schon ihre Kunden freiwillig indirekt auf ihre Wettbewerber hinweisen?

Sinnvoller scheint noch der zweite Gedanke von Jakobsson zu sein: jeder Kunde sollte eine eigene, geheime URL für seinen Online-Banking-Zugriff bekommen, den die Phisher dann auch nicht nachvollziehen und dieser Bank zuordnen können. Allerdings dürfte es so auch für den Kunden schwierig werden, festzustellen, ob er sich nun wirklich auf einer Website seiner Bank befindet oder nicht. History und Cache abzuschalten, ist auch keine brauchbare Lösung.

Währenddessen wird allerdings bereits darüber nachgedacht, mit demselben Trick Besucher von Nachrichtenseiten anhand ihrer Surfgeschichte mit für sie passenden Nachrichten oder Werbung zu versorgen; also genau das, was heute mit den Cookies der Werbenetzwerke erreicht wird. Und ebenso wenig wie heute dürfte es zu Begeisterungsstürmen führen, wenn der nächtliche Besuch einer Sexsite am nächsten Tag auf „anständigen“ Websites plötzlich zu einer Mehrung einschlägiger Werbung und einem anrüchigeren Nachrichtenangebot führt…. (Wolf-Dieter Roth)

Anzeige