Anti-Phishing-Projekt aus Österreich

20.10.2006

Eine Forschungsgruppe an der der Universität Wien arbeitet an einem Verfahren, das Phishing-Mails schon auf dem E-Mail-Server entsorgen soll. Für E-Mail-Nutzer entstehe dadurch kein Mehraufwand, sagt Wilfried Gansterer, der Leiter des Forschungsprojektes, im Interview mit ORF.at.

Zuletzt gerieten österreichische Online-Banking-Kunden Anfang Oktober ins Visier von Internet-Betrügern. In einer Phishing-Mail wurden Kunden des Internet-Bankings der Bank Austria Creditanstalt [BA-CA] dazu aufgefordert, einem Link zu folgen und Zugangsdaten zu ihren Internet-Banking-Accounts in ein Web-Formular einzugeben.

Eine Forschungsgruppe an der Universität Wien arbeitet nun an einem Mail-Server-Plug-in, das Phishing-Mails entlarven soll, bevor sie E-Mail-Nutzer erreichen. Wilfried Gansterer, Leiter des Research Labs Computational Technologies and Applications und Mitarbeiter des Department of Distributed and Multimedia Systems an der Fakultät für Informatik, hat mit ORF.at über das Forschungsprojekt gesprochen.

Phishing

Der Begriff Phishing ist eine Kombination aus den Wörtern Passwort und Fishing und beschreibt die Vorgangsweise der Täter: Sie fischen nach den Passwörtern ihrer Opfer.

Mit gefälschten E-Mails wird der Benutzer zu falschen Websites geführt, die dem Aussehen nach jenen von tatsächlichen Banken ähneln oder ähnliche Domain-Namen haben. Dann werden dem Opfer Kontonummer, Kreditkartennummer, Passwörter und TANs herausgelockt.

ORF.at: Herr Gansterer, Sie wollen Phishing-Mails mit einem E-Mail-Plug-in bekämpfen. Wie soll das funktionieren?

Gansterer: Unsere grundlegende Idee ist, dass eine Phishing-E-Mail vorgibt, etwas zu sein, was sie nicht ist. Deshalb trägt sie bestimmte widersprüchliche Merkmale in sich. Eine Phishing-Mail ist semantisch nicht konsistent. Wir versuchen deshalb, mit einer Kombination aus einer semantischen Analyse des Mail-Inhaltes und einem Abgleich von IP-Adressen, der sowohl die Herkunft der E-Mail umfasst als auch die Links, auf die in der Mail verwiesen wird, Phishing-E-Mails zu identifizieren.

Diese beiden Verfahren ergänzen sich. Weil das Matching der IP-Adressen und Links aufwendig und in manchen Fällen problematisch ist, müssen wir die E-Mails vorsortieren.

Wir wollen dazu einen Entscheidungsbaum aufbauen, den jede E-Mail durchlaufen muss. Dadurch soll die Menge der E-Mails, die sich als kritisch erweisen und den Tests unterzogen werden müssen, möglichst gering gehalten werden.

ORF.at: Worin liegt der Vorteil dieser Methode gegenüber Phishing-Filtern, die etwa in neueren Browsern eingebaut sind?

Gansterer: Ich habe keinen kompletten Überblick über diese Filtersysteme. Aber jene, die ich kenne, haben gewisse Nachteile. Es sind mir nur Ansätze bekannt, die vom User einen Zusatzaufwand verlangen.

Die dahinter liegende Idee ist oft die, dass User jene Adressen bekannt geben, unter denen sie sensible Informationen bereitstellen.

Bei anderen Ansätzen werden User von ihrem Browser darüber informiert, was sich hinter der Domain, auf die sie gehen, tatsächlich verbirgt. Wenn ich auf Netbanking.at gehe und mein Browser mir sagt, das ist eigentlich xyz.com, dann müsste ich gewarnt sein.

Diese Systeme sind aber teilweise fehleranfällig. Außerdem wird dem User sehr viel Verantwortung aufgebürdet.

ORF.at: Wie wird Ihr System die User auf Phishing-Mails aufmerksam machen?

Gansterer: Unsere Forschungsarbeiten laufen auf ein Plug-in hinaus, das am Mail-Server sitzt. Der einfache User kommt damit überhaupt nicht in Berührung. Er braucht sich nichts auf seinem Rechner zu installieren, sondern bekommt gekennzeichnete Mails in einen Ordner, von dem er weiß, dass er besser die Finger davon lassen sollte. Das ist das Ziel.

Phishing-Mails könnten auch überhaupt abgeblockt werden. Das könnte jedoch rechtliche Schwierigkeiten mit sich bringen, wenn zum Beispiel der Provider die Verpflichtung hat, jede E-Mail zustellen zu müssen.

ORF.at: Wann wird der Prototyp fertig sein?

Gansterer: Bis Herbst/Winter 2007 sollte ein evaluierter Prototyp vorliegen, der bei Mail-Servern eingesetzt werden kann und im Echtbetrieb E-Mails kennzeichnet.

Es wird aber sicher noch keine grafische Benutzeroberfläche geben. Wir decken den Forschungsteil ab und werden uns dann möglicherweise um Partner kümmern.

ORF.at: Gibt es bereits Kontakte zu Banken oder anderen Interessenten aus der Wirtschaft?

Gansterer: Wir sind daran interessiert, Kontakte zur Wirtschaft zu knüpfen. Wir wollen das aber von uns aus erst dann machen, wenn wir einschätzen können, wie sich unser System bewährt.

Wie bei jedem Forschungsprojekt besteht auch hier ein gewisses Risiko. Es gibt durchaus ein paar Hürden und auch offene Forschungsfragen. Allerdings glauben wir, diese Probleme lösen zu können.

ORF.at: Das Projekt wird von der Initiative Netideen gefördert.

Gansterer: Wir bekommen 35.000 Euro. Das ist etwas weniger, als wir veranschlagt haben. Wir sind also auch daran interessiert, noch weitere Sponsoren zu finden.

Netideen

Am 10. Oktober wurden die Preisträger von Österreichs größter Internet-Förderaktion Netideen, die von der Internet Privatstiftung Austria [IPA] initiiert wurde, bekannt gegeben. Das Spektrum ist so bunt wie das Netz. Insgesamt wurden 102 Projekte eingereicht, 29 wurden ausgewählt, darunter auch das Anti-Phishing-Projekt der Fakultät für Informatik an der Unversität Wien.

ORF.at: Sie haben bereits einen Prototyp zum Abwehr von Spam entwickelt. Ist der schon im Einsatz?

Gansterer: Wir haben den Prototyp drei Monate bei uns in der Abteilung laufen gehabt. Das hat sehr gute Ergebnisse geliefert.

Wir entwickeln das Spam-Abwehrsystem übrigens auch noch weiter. Anfang nächsten Jahres wollen wir den Prototyp um ein paar entscheidende Ideen erweitern, die die Spam-Erkennungsrate erhöhen sollen. Langfristig wollen wir auch die Phishing-Abwehr in das System integrieren.

Prototyp zur Abwehr von Spam

Seit Sommer 2004 arbeiten Gansterer und sein Team vom Institut für Distributed and Multimedia Systems an einem Prototypen zur Abwehr von Spam. Dieser wurde vor kurzem fertig gestellt und zielt darauf ab, die Kosten für Spammer zu erhöhen.

(futurezone | Patrick Dax)