Phishing, Vishing und Lishing Marc Ruef | 18.09.2006 Jeder möchte doch, dass er etwas herausgefunden hat und ihm damit die Ehre zuteil wird, den Namen für dieses neue Ding auszuwählen. Ich stelle mir vor, dass die eine oder andere Taskforce unheimlich Freude daran hatte, den Namen für ihre Aufgabe zu definieren. Lustige Wortspiele wie Cisco (San Francisco), SOAP (Simple Object Access Protocol) oder Bluetooth sind entstanden. Im elitären Sprachgebrauch zeichnen sich slang-typische Abwandlungen herkömmlicher Schreibweisen ab. Im Warez-Bereich wird der Plural eines Worts anstatt mit S mit einem Z geschrieben. Weitere Beispiele sind Moviez, MP3z und Crackz. Das Wort Phreaking ist ein anderes klassisches Beispiel. Die einen sagen, es sei ein Kunstwort aus Phone und Hacking. Andere meinen, dass es lediglich als eine alternative Schreibweise von Freak entstand. Die PR-Agenturen grosse Sicherheitsunternehmen und die investigativen Journalisten sind darum bemüht, das hochkomplexe Thema Computersicherheit und die verworrenen Gegebenheiten der Subkultur attraktiv zu machen. Schliesslich lebt man ja von der Attraktivität und dem damit verbundenen Interesse am Genre. Nicht selten werden dann in irgendwelchen Hinterzimmern sonderbare Pseudo-Slang-Ausdrücke erstellt. Als man früher noch mit Social Engineering oder Social Hacking die Techniken zur psychologischen Manipulation zusammenfasste, gilt heute Phishing (Passwort Fischen) als Modewort schlechthin. Vor dem Jahr 2000 sagte man noch DNS Cache Poisoning und heute nennt man es halt Pharming. Auch wenn nicht immer das Gleiche damit gemeint ist: Die Medienmitarbeiter interessiert das wenig. Als bekennender Bild (http://www.bildblog.de)-Leser, bin ich einmal mehr über einen sinnfreien und damit sehr unterhaltsamen Beitrag auf Bild Online (http://www.bild.t-online.de/BTO/tips-trends/digital-leben/aktuell/2006/07/voice-phishing/art-voice-phishing.html) gestolpert: quoteFrüher wurden vor allem alte Menschen die Opfer von Trickbetrügern. Heute gehen auch viele junge Leute Gaunern auf den Leim. "E-Mail-Phishing" war bisher die bekannteste Methode, um an die Daten ahnungsloser Menschen zu kommen. Jetzt sorgt ein neuer Begriff für Angst und Schrecken: "Vishing"! Sicherheitsexperten schlagen Alarm: Das sogenannte "Vishing" (zusammengesetzt aus "Voice Phishing") ist auf dem Vormarsch. Am Telefon werden die Opfer von einem Überzeugungskünstler oder einem Sprachcomputer dazu aufgefordert, persönliche Daten preiszugeben. Getarnt unter dem Deckmantel eines Kreditinstituts gelangen die Täter an die Bankdaten der Gutgläubigen./quote Nun ja, für mich ist das alles noch immer eine klassische Disziplin des Social Engineerings. Als Medium kommt halt das Telefon zum Einsatz. Eine Angriffstechnik, die mitunter vor allem durch Kevin Mitnick populär gemacht wurde. Und auch ich habe schon im einen oder anderen Projekt auf das Telefon zurückgegriffen. Damit war ich eigentlich schon Visher, lange befor es den Begriff gab. Da ich es scheinbar verpasst habe, den schon vor über 10 Jahren durch mich eingesetzten Techniken Phishing und Vishing einen Namen zu geben (auch Cross Site Scripting habe ich erstmals 1997 umgesetzt!), möchte ich nun sicherheitshalber per sofort die folgenden Definitionen postulieren. Rishing besteht als Kunstwort aus Reading (dt. Lesen) und Fishing. Im deutschen wird es auch als Lishing (Lesen-Fishing) bezeichnet. Dem Opfer wird ein Brief zugeschickt, den es lesen muss. Durch die Manipulation mittels Brief werden dann die Kontodaten oder anderweitig sensitive Informationen herausgerueckt. Angeblich greifen gewisse Steueraemter auf diese Methode zurueck. Volkszählungen gelten in Fachkreisen als gross angelegte Lishing-Attacken des Staats. Wird anstelle eines Briefs auf SMS zurückgegriffen, heisst es fachgerecht S-Rishing oder Short-Rishing. Ach ne, moment, da ist mir McAfee mit SMiShing (http://www.heise.de/security/news/meldung/77326) zuvor gekommen (Eigentlich nicht. McAfees Pressemitteilung erschien Ende August 2006. Dieser Blog Eintrag hingegen habe ich schon im Juli 2006 geschrieben!) Kishing hingegen besteht aus Kissing (dt. Küssen) und Fishing. Durch die erotische Manipulation des Opfers wird nach einer Liebkosung mittels Kuss das Passwort, die PIN und TAN für das Online-Konto abgeschwatzt. Ein Vorläufer dieser Technik war angeblich schon durch Marilyn Monroe waehrend ihrer Beziehung mit John F. Kennedy in Gebrauch gewesen. Abwandlungen hiervon sind Sishing (Sex Fishing), Hishing (Hug Fishing) und Pishing (Petting Fishing, nicht zu verwechseln mit Phishing). Desweiteren bin ich auch der Meinung, dass ich eine Technik namens Variablesmashing erfunden habe. Hierbei wird in den Puffer einer Variable mit statischer Länge eine überlange Zeichenkette geschrieben. Dies führt zu einer Manipulation des Speichers, was wiederum in einer Denial of Service-Attacke oder dem Ausführen beliebigen Programmcodes enden kann. Ich schau, dass ich hierzu in Bälde im Phrack-Magazin einen Artikel publizieren kann... Zwischenzeitlich stelle ich jedoch ein Online-Tool namens Fancy Security Technique Naming Generator (http://www.computec.ch/fancysecuritytechniquenaminggenerator.php) bereit, mit dem neue Angriffstechniken sehr einfach benennt werden können. Würde ich eine These mit den Namen Triple-Korrelations-Modell (Ober-Ich, Nicht-Ich und das Ich) (http://de.wikipedia.org/wiki/Drei-Instanzen-Modell) sowie die spezielle Raum-Zeit-Abhängigkeits-Theorie (RZA-Theorie) (http://de.wikipedia.org/wiki/Spezielle_Relativit%C3%A4tstheorie) postulieren, würde ich mich in den klassischen akademischen Disziplinen lächerich machen. Nur in der Informatik, wenigens den populistischen Ausprägungen, würde ich von einer Vielfalt an Leuten als Held gefeiert werden. Dieser Umstand führt dazu, dass das Arbeiten mit dem Computer oftmals eher mit Esoterik denn mit formaler Logik erklärt werden kann. Schade, aber das ist halt der Preis, der mit der Popularisierung eines Genres bezahlt werden muss.