Dienstag, 30. März 2010
In unserem kürzlich veröffentlichten Post im Google-Blog zur Onlinesicherheit haben wir unser System zur Erkennung von Phishing-Seiten erläutert. Unter den Millionen von Webseiten, die unsere Scanner auf Phishing analysieren, werden neun von zehn Phishing-Seiten erfolgreich erkannt. Unser Klassifizierungssystem kennzeichnet nur in etwa einem von 10.000 Fällen eine Nicht-Phishing-Website fälschlicherweise als Phishing-Website und schneidet somit deutlich besser ab als ähnliche Systeme. Unserer Erfahrung nach wurden „falsch positive“ Websites häufig zur Verteilung von Spam erstellt oder es besteht ein anderer Zusammenhang mit verdächtigen Aktivitäten. Falls ihr feststellt, dass eure Website fälschlicherweise unserer Liste mit Phishing-Seiten („Als Betrugsversuch gemeldete Webseite!“) hinzugefügt wurde, meldet uns bitte den Fehler. Sollte eure Website hingegen unserer Malware-Liste hinzugefügt worden sein („Diese Website kann Ihren Computer beschädigen“), folgt der Anleitung unter Probleme mit Malware beheben. Unser Team versucht, alle Beschwerden innerhalb eines Tages zu bearbeiten. Normalerweise antworten wir innerhalb weniger Stunden.
Leider kommt es gelegentlich vor, dass wir beim Prüfen eurer Meldungen genauso verwirrt sind wie unser automatisiertes System. Die Einhaltung der folgenden einfachen Richtlinien für Website-Betreiber ermöglicht es uns, Fehler schnell zu korrigieren. Außerdem könnt ihr so dafür sorgen, dass eure Website gar nicht erst in unsere Liste mit Phishing-Webseiten gerät:
Fragt nicht nach Nutzernamen und Passwörtern, die nicht zu eurer Website gehören.
Ein solches Verhalten stufen wir grundsätzlich als Phishing ein, also lasst es einfach. Falls ihr einen Add-on-Service zu einer anderen Website anbieten möchtet, solltet ihr stattdessen eine öffentliche API oder ein OAuth in Erwägung ziehen.
Blendet in der Nähe von Anmeldefeldern keine Logos ein.
Dies kann leicht zu der Annahme führen, dass das Logo eure Website repräsentiert, und den Nutzer dazu verleiten, persönliche Informationen auf eurer Website einzugeben, die für eine andere Website gedacht sind. Außerdem haben wir keine Möglichkeit, zu überprüfen, ob dies beabsichtigt ist, sodass wir eure Website vielleicht einfach sicherheitshalber blockieren. Um Missverständnisse zu vermeiden, solltet ihr solche Logos nur mit äußerster Vorsicht verwenden.
Verwendet für eure Website möglichst wenige Domains, insbesondere zu Anmeldezwecken.
Auf Website Y nach dem Nutzernamen und Passwort für Website X zu fragen, wirkt äußerst verdächtig. Abgesehen davon, dass es uns die Einstufung eurer Website erschwert, bringt ihr so euren Besuchern möglicherweise bei, verdächtige URLs zu ignorieren, sodass sie leichter Opfer von Phishing-Versuchen werden. Sollte es unbedingt notwendig sein, dass eure Anmeldeseite sich in einer anderen Domain befindet als eure Hauptwebsite, ist die Verwendung eines transparenten Proxys sinnvoll, der es den Nutzern ermöglicht, über eure primäre Domain auf diese Seite zuzugreifen. Falls alles andere nicht funktioniert...
Sorgt dafür, dass Links zu euren Seiten leicht gefunden werden.
Es ist sowohl für uns als auch für eure Nutzer schwierig, herauszufinden, wer für eine Seite außerhalb der Domain eurer Website verantwortlich ist, wenn die Links zu dieser Seite auf eurer Hauptwebsite nicht leicht zu finden sind. Das Problem ist denkbar einfach zu lösen: Ihr setzt einfach auf jeder Seite außerhalb der Domain einen Link zurück zu einer Seite innerhalb der Domain, auf der wiederum ein Link zu der externen Seite enthalten ist. Falls ihr das versäumt und eine eurer Seiten fälschlicherweise auf unserer Liste landet, gebt bitte in eurer Fehlermeldung an, wie wir den Link von eurer Hauptwebsite zu der fälschlicherweise blockierten Seite finden. Am allerwichtigsten jedoch...
Sendet keine seltsamen Links per E-Mail oder IM.
Es ist praktisch unmöglich für uns, ungewöhnliche Links zu verifizieren, die nur in euren E-Mails oder Sofortnachrichten vorkommen. Und, was es noch schlimmer macht, solche Links können dazu führen, dass eure Nutzer/Kunden/Freunde es sich angewöhnen, auf seltsame Links zu klicken, die sie per E-Mail oder IM erhalten. Damit riskieren sie, nicht nur Opfer von Phishing, sondern auch noch von anderen Formen der Internetkriminalität zu werden.
Wir hoffen natürlich, dass ihr den gesunden Menschenverstand respektiert, der hinter diesen Empfehlungen steckt. Allerdings müssen wir feststellen, dass selbst große E-Commerce-Unternehmen und Finanzdienstleister diese Regeln gelegentlich nicht einhalten. Die Einhaltung dieser Regeln verbessert nicht nur eure Erfahrungen mit unseren Anti-Phishing-Systemen, sondern trägt auch dazu bei, das Online-Erlebnis eurer Besucher zu verbessern.