Handy schützt vor Website-Phishing

EnterpriseSicherheit

Forscher haben jetzt ein ungewöhnliches Schutzsystem entwickelt, das mithilfe des Handys den Phishern ein Schnippchen schlagen soll.

Dabei soll das mobile Gerät – ein Handy oder PDA – die Authentisierung Browser-seitig überwachen und bei Phishing-Gefahr den Zugang sperren.

Wie die Forscher an der US-Universität Carnegie Mellon sagten, ist die von ihnen entwickelte Software ‘Phoolproof Phishing Prevention’ in der Lage, sich zwischen die Phisher und den Nutzer zu stellen. Dabei wird als dritte Stelle ein Handheld, Laptop oder Handy eingesetzt, das starke Authentisierung beherrscht. Über Secure Socket Layer werden dort die Authentisierungsschlüssel des Nutzers hinterlegt.

Will sich der User dann beispielsweise bei seiner Bank einloggen, so ruft er die mit einem Bookmark versehene verschlüsselte Site mit dem Nutzerzertifikat von seinem mobilen Helfer auf, dieser schickt die Site an den PC, von dem aus der Login stattfinden soll. Der Browser wird dann zur richtigen Site dirigiert. Stimmen die Zertifikate beim Vergleich nicht überein, so ist ein Login nicht möglich.

Die Software auf dem mobilen Gerät fungiert als Pförtner, der echte Sites von falschen unterscheiden könne. Wie die Uni mitteilte, sei die Entwicklung von einem Professor und zwei Studenten zwar noch von der Marktreife entfernt. Doch derzeit werde eine lauffähige Beta getestet und eine vollständige Version soll bald vorliegen.

Professor Adrian Perrig erwartet großen Erfolg für das System – einerseits, weil es für Firmen einfach zu verwenden sei. Und zum anderen weil es damit nicht mehr notwendig sei, auf das perfekte Nutzerverhalten, das es sowieso nicht gebe, zu vertrauen. Der mobile Helfer unterstütze sie dabei, die richtige Entscheidung zu treffen, und zwar selbst dann, wenn sie versehentlich die falsche Entscheidung träfen, sagte er bei der Vorstellung in den USA.