Maskenball im Internet
(oder: Wem schenken Sie heute Ihre Daten?)

von Wilfried Wöber (Ausgabe 04/3, Oktober 2004)

 

Kasten: Welches Netzwerk wohnt an welcher IP-Adresse?

 

Es war einmal - so fangen die meisten guten Märchen mit bösem Ende an - ein kleiner abgelegener Strand, wo nur wenige Gäste über einen beschwerlichen Weg hinkamen und wo man seine Sachen liegen lassen konnte, ohne sie nach dem Schwimmen zu vermissen. Doch dann wurde ein Imbiss-Stand errichtet, eine kleine Pension, ein Hotel, ein Wegweiser an der Hauptstrasse, und im Reiseführer befand sich plötzlich ein Eintrag als Geheimtipp. Und mit dem nun kräftig anwachsenden Touristenzustrom kamen natürlich auch ein paar böse Buben (und Mädchen) und beendeten die Idylle des gegenseitigen Vertrauens.

Ganz ähnlich lassen sich einige Entwicklungen im Internet und speziell im WorldWideWeb darstellen. Mit der zunehmenden Verbreitung dieses Mediums und der damit wachsenden wirtschaftlichen Bedeutung ist es mittlerweile auch lohnendes Arbeitsumfeld für Glücksritter, Kleinkriminelle und Trickbetrüger. Ebenso wie in der realen Welt wird auch im Cyberspace eine Mischung aus Technik, Tricks und Ablenkungsmanövern eingesetzt, um in den Besitz der gewünschten Sache oder Information zu kommen. Und zuweilen spielt das Opfer auch willig mit - ob nun aus Unachtsamkeit ("erst klicken, dann denken"), aus Neugier oder auch aus Gewinnsucht (Hier gibt es etwas gratis!, Sie haben in der Online-Lotterie 1 Million USD gewonnen!).

Der folgende Artikel soll anhand einiger Beispiele Techniken und Tricks aufzeigen, die im WWW eingesetzt werden, um ein Opfer zu unbedachten Handlungen zu verführen und in den Besitz von wertvollen Daten bzw. Informationen zu gelangen. Derartige betrügerische Absichten werden als Phishing bezeichnet - eine Wortschöpfung aus Password und Fishing.

Basics

Zum besseren Verständnis der Funktionsweise einiger dieser Tricks benötigt man ein wenig Basiswissen über HTML (Hyper Text Markup Language) sowie über die Kommunikation zwischen einem Webbrowser (Internet Explorer, Netscape, Mozilla, Opera, ...) und einem Webserver (Apache, IIS, ...) mit Hilfe der Übertragungsprotokolle HTTP (Hyper Text Transfer Protocol) oder HTTPS (die "sichere" Version von HTTP).

Das Aufrufen einer Webseite erfolgt üblicherweise mittels Eingabe des URL (Uniform Resource Locator) in die dafür vorgesehene Adressleiste im Kopf des Browserfensters oder durch Auswahl eines bereits vorhandenen Lesezeichens (auch Bookmark oder Favorit genannt). Ein URL besteht stets aus mehreren Teilen: Beispielsweise wird im URL http://www.univie.ac.at/ZID/ mittels http:// das Protokoll zwischen Browser und Server festgelegt, und www.univie.ac.at bezeichnet den Hostnamen des angewählten Servers. Alle folgenden Informationen (wie hier das Verzeichnis /ZID/) werden erst vom Server ausgewertet.

Nach dem Bestätigen des URLs mittels Enter-Taste wird das Übertragungsprotokoll ausgewählt, der Name des Servers in eine IP-Adresse übersetzt und die Anforderung der Webseite auf den Weg zum Server geschickt. Als Antwort erfolgt - im einfachsten Fall - die Übertragung eines HTML- Codes, der vom Browser ausgewertet und in einem Fenster am Bildschirm angezeigt wird.

In HTML-Dokumente sind oftmals Verweise (Hyperlinks oder kurz Links) auf andere Server oder Webseiten eingebettet. Diese müssen nicht manuell in die Adressleiste eingetippt werden, sondern können durch einfaches Anklicken des Links aufgerufen werden. Ermöglicht wird dies durch so genannte Anker-Konstruktionen im HTML-Code, die sich aus zumindest 2 Komponenten zusammensetzen: Zum einen aus dem URL der neu zu ladenden Seite, zum anderen aus dem Linktext (der auch eine Schaltfläche oder Grafik sein kann). Dieser erscheint als Link am Bildschirm; bei Klick darauf wird die im URL angegebene Seite geladen und die vorige Seite im Fenster ersetzt.

Solche Anker-Konstruktionen haben die Form

<a href="URL">Linktext</a>

Ein Link auf die Helpdesk-Seite des ZID sieht im Quelltext dann beispielsweise so aus:

<a href="http://www.univie.ac.at/ZID/helpdesk/">Helpdesk</a>

Welcher Text (oder welche Grafik) als Linktext verwendet, welcher URL aktiviert und wie der Link formatiert bzw. angezeigt wird, liegt hierbei ganz im Ermessen des Informationsanbieters.

Um den BenutzerInnen die Auswahl von Links zu erleichtern, zeigt der Browser meist diverse Zusatzinformationen an: Links werden unterstrichen und in einer anderen Farbe als "normaler" Text dargestellt, der Mauszeiger (Cursor) ändert seine Form (z.B. von einem Pfeil zu einer Hand), wenn er über einen Link geführt wird, und am linken unteren Rand des Fensters wird der volle URL eingeblendet, auf den der Link verweist.

Neben dem URL und dem Linktext kann in einem Anker aber noch eine ganze Reihe von zusätzlichen Elementen definiert werden, die beispielsweise das Aussehen der Seite oder des Links beeinflussen (Font, Farbe, Größe) oder eine Hilfszeile links unten bzw. ein Popup-Fenster mit Ausfüllhilfe einblenden, wenn man die Maus über den Linktext bewegt. Diese Erweiterungen sind durchaus hilfreich, wenn sie sinnvoll eingesetzt werden, bieten aber leider auch verschiedene Möglichkeiten, BenutzerInnen in die Irre zu führen. So können Texte unsichtbar gemacht werden (z.B. durch weiße Schrift auf weißem Hintergrund, durch Wahl der Schriftgröße 1 Pixel, ...) oder Links überhaupt versteckt werden, indem eine Grafik der Größe 1x1 Pixel, zudem transparent, als Link-Element eingefügt wird.

Nun ist nicht jede angezeigte Seite unbedingt ein einziger, homogener Block von HTML-Code, der von einem einzigen Server geladen werden muss - ganz im Gegenteil. Grafiken etwa werden als Komponenten gesondert übertragen, und auch Seiten mit Frames sind ein Mosaik, das erst am Bildschirm des Anwenders vom Browser zusammengesetzt wird.

Im Normalfall - insbesondere bei statischen Seiten - ist der HTML-Code einer Seite im Klartext lesbar, und die meisten Browser bieten eine Funktion, um diesen Code anzuzeigen, z.B. Ansicht - Quelltext (Internet Explorer) oder Ansicht - Seitenquelltext (Mozilla). Statische Seiten erlauben keine interaktiven Abläufe, wie sie heute für viele typische Web-Anwendungen notwendig sind. In einigen Situationen ist die Eingabe von Daten durch den Benutzer aber notwendig, damit vom Server eine Information ausgewählt (z.B. aus einer Datenbank) und als Antwort eine dynamisch erzeugte Seite zurückgesendet werden kann.

Musterbeispiele dafür sind die Eingabe eines Suchbegriffs bei Google oder eines Namens bei der Suche im Personalverzeichnis der Universität Wien. Dieselben Mechanismen werden auch bei der Anmeldung zu diversen interaktiven Diensten mit Web-Schnittstelle eingesetzt, etwa beim Abonnieren von Mailinglisten. Manche Anwendungen setzen auch den Ablauf von Programmen bzw. Programmteilen beim Benutzer voraus, ebenso wird manchmal der Transport von (Binär-)Daten oder Sonderzeichen nötig, die nicht - oder nicht einfach - als Klartext übermittelt werden können.

Dynamische Seiten verwenden also verschiedene Erweiterungen oder Mechanismen, um Zusatzfunktionen zu realisieren. Solange diese Funktionen verantwortungsbewusst eingesetzt werden, bleibt die Welt für den unvorsichtigen Surfer heil. Leider lassen sich dieselben Funktionen auch leicht missbräuchlich verwenden. Grundsätzlich muss hier angemerkt werden: Wenn die Antworten des Servers kodiert sind oder Programmteile enthalten (Skripts, Java, ActiveX), die vom Browser aktiviert werden (müssen), wird die Kontrollmöglichkeit, welche Aktionen auf einem System ausgelöst werden, für den Benutzer deutlich erschwert, wenn nicht gar unmöglich gemacht.

Techniken & Tricks

Getarnte Links

Intuitiv nimmt man als KonsumentIn von Webangeboten oder -anwendungen meist an, dass der Informationsaustausch mit dem "richtigen" Gegenüber abgewickelt wird. Aber welcher Server ist der richtige? In den meisten Fällen ist alles in Ordnung, wenn abgefragte Daten zu demselben System übertragen werden, bei dem man sich bewusst angemeldet hat. Nur: Vertrauen ist gut, Kontrolle ist besser.

In Abb. 1 wird ersichtlich, dass der Linktext einen anderen URL vortäuscht (nämlich <https://web.da-us.citibank.com/signin/citifi/scripts/email_verify.jsp>) als sich in Wahrheit dahinter verbirgt (und zwar www.userinfoupdate.us/scripts/email_verify.htm).

Abb. 1: Citibank - die Anzeige links unten im

 

Tipp: Links unten in Ihrem Browserfenster wird in der Regel der URL angezeigt, der sich hinter dem soeben mit Ihrem Mauszeiger angepeilten Link verbirgt. Überprüfen Sie im Zweifelsfall immer, ob es sich tatsächlich um jenen URL handelt, den Sie aufrufen wollten. Leider wird dieser Kontrollblick allzu oft vernachlässigt.

Oft werden von eCommerce-BetrügerInnen auch sehr ähnlich klingende Domain-Namen verwendet, um BenutzerInnen irrezuführen oder die Anzeige des tatsächlich aktivierten Links zu verschleiern. Dieses Fälschen der Link-Anzeige kann beispielsweise durch so genanntes Quoting (das Kodieren von normalen Textzeichen als Binärwerte) oder durch das Ausnützen der beschränkten Breite diverser Anzeigefelder im Browserfenster erfolgen - etwa durch die Verwendung der Konstruktion <http://user:password@server:port/index.html>, wo als user der scheinbar "richtige" Servername und dann kodierte Leerzeichen eingetragen werden, damit die Anzeige des tatsächlich verwendeten Zielrechners außerhalb des Anzeigefeldes liegt. So wurden etwa in einer vermeintlichen eMail-Nachricht der Bank of America hunderte kodierte Leerzeichen (%01 = Leerzeichen) in den URL eingefügt, um die dahinterliegende Zeichenfolge zu verbergen:

From: support@bankofamerica.com
Subj: Important bank account information.
[...] <a href="http://www.bankofamerica.com%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01
%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01
%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01
%01%01%01%01%01%01%01%01%01%01%0...">[...]
Copyright 2003 Bank of America Corporation. All rights reserved.

In dem in Abb. 2 dargestellten Beispiel muss man schon genau hinsehen, um zu erkennen, dass es sich hier nicht um e-gold.com handelt, sondern dass sich eine kodierte Null (%30 = 0) in den Hostnamen eingeschmuggelt hat.

 

Abb. 2: e-gold - die Null im Hostnamen verrät, dass

Tipp: Lassen Sie sich bei eCommerce-Transaktionen nicht durch Anklicken eines Links "weiterverbinden". Geben Sie den URL im Adressfeld des Browsers ein oder verwenden Sie Lesezeichen für oft gebrauchte Links.

HTML-Anzeige

Haben Sie die Anzeige von HTML-formatierten Nachrichten in Ihrem Mailprogramm eingeschaltet? Sollte dies zutreffen, funktioniert vermutlich folgender Trick: Die Nachricht, die in der Inbox landet, besteht nicht wirklich aus Text, sondern lediglich aus einem Verweis auf einen Anhang, der vom Mailprogramm automatisch ausgewertet und angezeigt wird. Nachdem es sich um einen simplen Link handelt, kann dahinter (fast) alles versteckt sein, von einem Bild bis zu einem Skript!

Tipp: Schalten Sie die HTML-Anzeige in Ihrem Mailprogramm nur dann ein, wenn Sie diese wirklich benötigen.

Imagemaps

Sie beobachten sonderbare Verhaltensweisen Ihres Mauszeigers - z.B. dass der Mauszeiger immer die Form einer Hand hat und sich nicht verändert, wenn Sie ihn über einen vermeintlichen Link führen oder an eine leere Stelle bewegen? Dann können Sie mit hoher Wahrscheinlichkeit annehmen, dass irgendjemand HTML-Sonderfunktionen einsetzt, um Sie in die Irre zu führen. Bei Abb. 3 handelt es sich beispielsweise um eine Grafik, die aus dem Bild einer Webseite besteht und gleichzeitig als so genannte Imagemap (das ist eine "anklickbare" Grafik, bei der bestimmte definierte Bereiche auf beliebige URLs verweisen können) benutzt wird.

Abb. 3: Citibank - der Mauszeiger (ständig in der Form einer Hand)

Tipp: Achten Sie immer auf die Form Ihres Mauszeigers. Wenn er "ungewohnt" aussieht, verschwindet oder sich nicht verändert, wenn er über Text, Bilder oder Links geführt wird, ist Vorsicht geboten!

Puzzle-Fakes

Eine derzeit sehr beliebte Methode von TrickbetrügerInnen ist es, per eMail Warnungen über Betriebsprobleme bei eCommerce-Sites, über angeblich abgelaufene Zugangsbewilligungen oder über Sicherheitsupdates von bekannten Diensten zu versenden (z.B. Banken, Abrechnung von Kreditkarten). In diesen Nachrichten werden die EmpfängerInnen oft aufgefordert, Daten zu bestätigen oder ganz persönliche Informationen zu übertragen. Viele dieser Versuche sind ziemlich plump und praktisch sofort zu durchschauen, wenn man bereits etwas sensibilisiert ist. Typische Zeichen sind Tipp- oder Grammatikfehler oder schlechtes Seitenlayout. Weit schwerer zu erkennen sind solche Betrugsversuche, wenn die Bausteine der angezeigten Seiten (z.B. das eBay-Logo in Abb. 4) vom "echten" Server geladen werden, die vom Benutzer eingegebenen Daten dann aber an einen Server der Trickbetrüger geschickt werden. So verbirgt sich in Abb. 4 hinter der scheinbar von eBay stammenden Aufforderung Confirm Your Identity immediately eigentlich der URL <http://218.55.62.2/e2/index.php>.

Abb. 4: eBay - zwei Varianten eines Fakes: Während der

Tipp: Wenn nur der geringste Verdacht besteht, dass etwas nicht mit rechten Dingen zugeht, hilft einzig der Blick in den HTML-Code der Seite. Tauchen dort unbekannte Domain-Namen auf oder sind vielleicht sogar explizite IP-Adressen (wie z.B. 218.55.62.2 in Abb. 4) eingetragen, dann sollten nicht nur die Alarmglocken läuten, sondern auch gleich die Notfallsirenen heulen!

Um einem Verdacht bezüglich einer IP-Adresse nachzugehen, können Sie eine Whois-Datenbank heranziehen. Näheres dazu finden Sie im Kasten unten:  Welches Netzwerk wohnt an welcher IP-Adresse?.

Welches Netzwerk wohnt an welcher IP-Adresse?

So wie es im "echten" Leben oft wichtig ist, die genaue Adresse einer Firma oder einer Person herauszufinden bzw. zu überprüfen, gibt es auch im Internet eindeutige Adressen für Netzwerke und Endgeräte (diese Endgeräte - Server, Desktop-PCs oder Laptops - werden oft auch als Hosts bezeichnet).

Da IP-Adressen für die Benutzung im globalen Internet eindeutig sein müssen, werden sie von so genannten Registries nach wohldefinierten Regeln und innerhalb einer Hierarchie vergeben. Die jeweils zu einem bestimmten Zeitpunkt gültigen Zuordnungen von Adressblöcken zu lokalen Netzwerken sind in so genannten Whois-Datenbanken gespeichert, werden laufend aktualisiert und von den vier regionalen Registries zur Abfrage im Netzwerk angeboten. Das funktioniert ähnlich wie ein Melderegister ? allerdings mit dem Unterschied, dass nicht einzelne Menschen (Hosts) eingetragen werden, sondern ganze Familien oder Wohngemeinschaften (Networks).

Whois-Abfragen: Wohin man sie schickt ...

Um die Informationen in diesen Whois-Datenbanken abzufragen und den Inhaber eines Adressblocks ausfindig zu machen (z.B. im Zusammenhang mit Attacken oder Betrugsversuchen), können die Webseiten der regionalen Registries verwendet werden:

Für Webabfragen am RIPE NCC wählt man unter dem URL www.ripe.net die Funktion whois db (oder gibt direkt die Adresse www.ripe.net/db/whois/whois.html an) und tippt die gesuchte IP-Adresse in das Webformular ein. Damit erhält man eine Kurzfassung des Abfrageergebnisses; für ein ausführlicheres Ergebnis sollte man die Option -a voranstellen (beispielsweise -a 218.55.62.2).

... und wie man sie entschlüsselt

Was kann man nun aus den Antworten ablesen? Eingangs findet man Server-Identifikation und Copyright-Hinweis; anschließend folgen die Datenblöcke, die zur Abfrage passen. "Passen" bedeutet, dass die gesuchte Adresse innerhalb der Adressblöcke liegt, die für ein bestimmtes Netzwerk in der Datenbank eingetragen sind (da die Adressvergabe in einer Hierarchie erfolgt, sind das oft zwei oder drei Einträge).

Je nachdem, welche Information man sucht, ist hier der "kleinste" ausgewiesene Netzbereich (das Netzwerk, in dem Unfug getrieben wird) oder der übergeordnete Block interessant (meist ist dies der Service Provider für das jeweilige Netz). Innerhalb dieser Blöcke geben der Name (netname:) und die Länderkennung nach ISO 3166 (country:) einen ersten Hinweis darauf, mit wem man es zu tun hat. Genauere Kontaktinformationen erhält man, wenn man den Links unter admin-c: bzw. tech-c: folgt - diese zeigen auf die administrativen und technischen Kontakte des jeweiligen Netzwerks, wobei diese Informationen personen- (person:) oder gruppenbezogen (role:) sein können.

 

Abb. 5: Abfrageergebnis für die