Phishing über Suchmaschinen

Hinweise:

  • Dieser Artikel ist keine Werbung enthält aber aufgrund des konkreten Fallbeispiels Firmennamen! Wenn Sie nach diesem Satz weiterlesen, haben Sie das aktzeptiert.
  • Dieser Artikel erscheint auf Deutsch, da er sich zwar nicht ausschließlich aber doch gezielt an VISA-Partnerkunden der Landesbank Berlin richtet.

tltr;

Phishing erfolgt nicht nur über Emails mit zweifelhaften Links, sondern auch direkt über Werbeanzeigen der Suchmaschinen. Schauen Sie sich deshalb beim Onlinebanking sicherheitshalber immer die Zertifikate an, bevor* Sie Ihre Zugangsdaten eingeben!

Angriffsvektor: Suchmaschine

Am 26. März bin ich auf Google über die Suchbegriffe “lbb kreditkarten banking airberlin” auf eine Phishingseite gestoßen. Das erstaunliche dabei ist, dass sie in der Ergebnisliste auf dem ersten Platz erscheint, da Google dort äußerst unscheinbar Werbung einblendet. Es handelt sich hierbei um die Webseite kreditkartenbanking.de, die ich bewußt nicht direkt verlinke.
Googlesuchergebnisliste mit Phishingseite an erster Stelle

Eine Sache vorweg: Man sollte natürlich nicht nach den Login-Portalen seiner Banken googeln und dort dann blind seine Zugangsdaten eingeben, sondern den Links auf der Homepage der Bank folgen!
Aber falls man es doch einmal tut, woran erkennt man nun, ob die gefundene Seite echt ist oder nicht?

Erkennen falscher Webseiten

Zum Einschätzen der Echtheit einer Webseite stelle ich Ihnen zwei einfache Mittel vor:

  1. Zertifikat überprüfen
  2. Webseitenbetreiber überprüfen

Im Fall des Kreditkartenbankings der airberlin VISA-Karte sehen beide Webseiten exakt identisch aus. Beide haben ein SSL Zertifikat, dessen Vertrauenswürdigkeit vom Browser als hoch eingestuft wird, wie man zum Beispiel im Opera-Browser durch die grünen Symbole mit dem Text “vertrauenswürdig” erkennen kann.
Zertifikat einer Webseite prüfen

Man kann nun auf das grüne Symbol klicken und sich das Zertifikat anzeigen lassen. In den Daten sucht man nach dem Inhaber des Zertifikats. Schauen wir uns die Zertifikate der Phisingseite und der Originalseite einmal an:

Zertifikat der Phishingseite Zertifikat der LBB-Seite

Man sieht schon auf den ersten Blick, dass das Zertifikat der Seite kreditkartenbanking.de nicht von der Landesbank Berlin besessen wird. Das ist schon ein klarer Hinweis auf eine betrügerische Seite.

Wir können noch nicht ausschließen, dass die Landesbank Berlin nicht doch der Betreiber der Domäne ist. Dazu rufen wir eine Seite zur Domänenabfrage auf, bspw. http://who.is. Dort können wir eine Domäne eingeben und sehen, wer sie registriert hat und wem sie gehört. Oft, sind die Daten nicht vollständig, aber in diesem Fall kann man erkennen, dass die Domäne nicht der Landesbank Berlin gehört.
Unterschiedliche Betreiber der Seiten

Fazit

Sucht man über eine Suchmaschine nach Seiten, auf denen man Logindaten eingeben will oder muss, dann sollte man vor* der Eingabe der Daten unbedingt die Echtheit der Seite überprüfen. Dazu kann man sich zuerst das Zertifikat ansehen und zusätzlich auch den Domänenbesitzer abfragen.

Die Phishingseite kreditkartenbanking.de hat sich ganz offensichtlich bei Google einen Rankingplatz erkauft, damit sie bei entsprechender Suche noch vor den offiziellen Seiten der Landesbank Berlin gelistet wird. Daraus schlussfolgere ich, dass dies ein lohnenswertes Geschäft sein muss, da offenbar genug Menschen nach den Loginseiten ihrer Banken suchen, anstatt sie als Lesezeichen (Vorsicht, können auch durch Viren manipuliert werden!) zu speichern oder direkt einzugeben.

Ungenügende Navigation zum Onlinebanking
Hier offenbart sich daher ein Problem mit der Bedienbarkeit der Onlinebanking-Webseiten: Es ist für die meisten Nutzer nicht offensichtlich, wie sie von der Homepage der Bank direkt zum Onlinebanking gelangen. Und genau das ist zum Beispiel bei der Landesbank Berlin der Fall. Die LBB arbeitet mit verschiedenen Partnern zusammen und bietet VISA-Karten mit kundenspezifischen Bonusprogrammen an. Doch auf der Webseite der LBB unter “Onlinebanking / Login” ist mir nicht klar, wo ich klicken muss, um bspw. zum Onlinebanking der airberlin VISA-Karte zu gelangen. Klickt man auf “Verwalten Sie die Umsätze Ihrer Kreditkarten” gelangt man auf ein eine Loginseite, die gar nicht mit dem Design der direkten airberlin Seite (siehe zweite Abbildung) übereinstimmt.

Das muss Kunden verwirren.

Natürlich sucht man dann mit einer Suchmaschine nach der richtigen Loginseite.

Schlecht, wenn die Bank weniger Geld für das Ranking bezahlt, als Phishingseiten.


* Mittels JavaScript im Code der Webseiten können bereits während der Eingabe Daten abgegriffen und übermittelt werden. Die Suchvorschläge bei Google sind ein gutes Beispiel dafür.

1 comment to Phishing über Suchmaschinen

Leave a Reply

  

  

  

You can use these HTML tags

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>