Phishing über Suchmaschinen

Hinweise:

  • Dieser Artikel ist keine Werbung enthält aber aufgrund des konkreten Fallbeispiels Firmennamen! Wenn Sie nach diesem Satz weiterlesen, haben Sie das aktzeptiert.
  • Dieser Artikel erscheint auf Deutsch, da er sich zwar nicht ausschließlich aber doch gezielt an VISA-Partnerkunden der Landesbank Berlin richtet.

tltr;

Phishing erfolgt nicht nur über Emails mit zweifelhaften Links, sondern auch direkt über Werbeanzeigen der Suchmaschinen. Schauen Sie sich deshalb beim Onlinebanking sicherheitshalber immer die Zertifikate an, bevor* Sie Ihre Zugangsdaten eingeben!

Angriffsvektor: Suchmaschine

Am 26. März bin ich auf Google über die Suchbegriffe “lbb kreditkarten banking airberlin” auf eine Phishingseite gestoßen. Das erstaunliche dabei ist, dass sie in der Ergebnisliste auf dem ersten Platz erscheint, da Google dort äußerst unscheinbar Werbung einblendet. Es handelt sich hierbei um die Webseite kreditkartenbanking.de, die ich bewußt nicht direkt verlinke.
Googlesuchergebnisliste mit Phishingseite an erster Stelle

Eine Sache vorweg: Man sollte natürlich nicht nach den Login-Portalen seiner Banken googeln und dort dann blind seine Zugangsdaten eingeben, sondern den Links auf der Homepage der Bank folgen!
Aber falls man es doch einmal tut, woran erkennt man nun, ob die gefundene Seite echt ist oder nicht?

Erkennen falscher Webseiten

Zum Einschätzen der Echtheit einer Webseite stelle ich Ihnen zwei einfache Mittel vor:

  1. Zertifikat überprüfen
  2. Webseitenbetreiber überprüfen

Im Fall des Kreditkartenbankings der airberlin VISA-Karte sehen beide Webseiten exakt identisch aus. Beide haben ein SSL Zertifikat, dessen Vertrauenswürdigkeit vom Browser als hoch eingestuft wird, wie man zum Beispiel im Opera-Browser durch die grünen Symbole mit dem Text “vertrauenswürdig” erkennen kann.
Zertifikat einer Webseite prüfen

Man kann nun auf das grüne Symbol klicken und sich das Zertifikat anzeigen lassen. In den Daten sucht man nach dem Inhaber des Zertifikats. Schauen wir uns die Zertifikate der Phisingseite und der Originalseite einmal an:

Zertifikat der Phishingseite Zertifikat der LBB-Seite

Man sieht schon auf den ersten Blick, dass das Zertifikat der Seite kreditkartenbanking.de nicht von der Landesbank Berlin besessen wird. Das ist schon ein klarer Hinweis auf eine betrügerische Seite.

Wir können noch nicht ausschließen, dass die Landesbank Berlin nicht doch der Betreiber der Domäne ist. Dazu rufen wir eine Seite zur Domänenabfrage auf, bspw. http://who.is. Dort können wir eine Domäne eingeben und sehen, wer sie registriert hat und wem sie gehört. Oft, sind die Daten nicht vollständig, aber in diesem Fall kann man erkennen, dass die Domäne nicht der Landesbank Berlin gehört.
Unterschiedliche Betreiber der Seiten

Fazit

Sucht man über eine Suchmaschine nach Seiten, auf denen man Logindaten eingeben will oder muss, dann sollte man vor* der Eingabe der Daten unbedingt die Echtheit der Seite überprüfen. Dazu kann man sich zuerst das Zertifikat ansehen und zusätzlich auch den Domänenbesitzer abfragen.

Die Phishingseite kreditkartenbanking.de hat sich ganz offensichtlich bei Google einen Rankingplatz erkauft, damit sie bei entsprechender Suche noch vor den offiziellen Seiten der Landesbank Berlin gelistet wird. Daraus schlussfolgere ich, dass dies ein lohnenswertes Geschäft sein muss, da offenbar genug Menschen nach den Loginseiten ihrer Banken suchen, anstatt sie als Lesezeichen (Vorsicht, können auch durch Viren manipuliert werden!) zu speichern oder direkt einzugeben.

Ungenügende Navigation zum Onlinebanking
Hier offenbart sich daher ein Problem mit der Bedienbarkeit der Onlinebanking-Webseiten: Es ist für die meisten Nutzer nicht offensichtlich, wie sie von der Homepage der Bank direkt zum Onlinebanking gelangen. Und genau das ist zum Beispiel bei der Landesbank Berlin der Fall. Die LBB arbeitet mit verschiedenen Partnern zusammen und bietet VISA-Karten mit kundenspezifischen Bonusprogrammen an. Doch auf der Webseite der LBB unter “Onlinebanking / Login” ist mir nicht klar, wo ich klicken muss, um bspw. zum Onlinebanking der airberlin VISA-Karte zu gelangen. Klickt man auf “Verwalten Sie die Umsätze Ihrer Kreditkarten” gelangt man auf ein eine Loginseite, die gar nicht mit dem Design der direkten airberlin Seite (siehe zweite Abbildung) übereinstimmt.

Das muss Kunden verwirren.

Natürlich sucht man dann mit einer Suchmaschine nach der richtigen Loginseite.

Schlecht, wenn die Bank weniger Geld für das Ranking bezahlt, als Phishingseiten.


* Mittels JavaScript im Code der Webseiten können bereits während der Eingabe Daten abgegriffen und übermittelt werden. Die Suchvorschläge bei Google sind ein gutes Beispiel dafür.

3 comments to Phishing über Suchmaschinen

  • sehr interessant und echt nützlich!

    Herzliche Grüße,
    Josef Hübl
    Ihr Experte für Software-Roboter

  • CardNr12

    Guten Abend,

    kann es sein, dass ihre Recherchen nicht ganz korrekt sind? Meines Wissens wird die Domain http://www.kreditkartenbanking.de von Wordline GmbH betrieben. Dies ist ein Dienstleister der fuer verschiedene Banken z.B. Commerzbank die Kreditkartenabrechnungen vornimmt. Also wuerde mich interessieren ob die o.g. nun eine Phishing-Site oder eine echte Site ist….

    Gruesse Nico

    • robert

      Interessanter Hinweis, dass die Wordline ein Dienstleister für Banken ist. Für mich ist im Artikel jedoch ausschlaggebend, dass ich als Kunde eine Seite der Landesbank Berlin auffinde, zu der der Zertifikateigentümer nicht passt. So etwas darf im Bankenumfeld nicht passieren, wenn man Vertrauen aufbauen muss.
      Der grundsätzlich beschriebene Angriffsvektor bleibt damit gültig. Auch wenn es sich beim Zertifikationseigentümer möglicherweise um einen beauftragten Dienstleister handelt.

Leave a Reply

  

  

  

You can use these HTML tags

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>