Dieses Unternehmen möchte die Blockchain verwenden, um Phishing zu stoppen


Phishing geht einfach nicht weg. Fast drei Viertel der von der Sicherheitsfirma Proofpoint befragten Organisationen verzeichneten im vergangenen Jahr Phishing-Angriffe. Manchmal können Angreifer sogar sicherheitsbewusste Benutzer täuschen.

Ein Unternehmen namens MetaCert versucht, Phishing-E-Mails mit einer außerordentlich einfachen Methode zu bekämpfen. Das Unternehmen hat sieben Jahre lang eine Datenbank mit Webadressen zusammengestellt, von denen bekannt ist, dass sie von Phishern verwendet werden. Das Unternehmen und seine Benutzer berichten ständig über weitere Informationen. Ebenso wichtig ist, dass es auch eine Datenbank mit bekannten "sicheren" Adressen gibt, die von den Hackern verwendet werden: Banken, Zahlungsdienste wie PayPal und Online-Händler. MetaCerts Software verwendet diese Datenbanken, um die Links in Ihrer E-Mail zu überprüfen und ein grünes Schild neben bekannten guten Links, ein kleines rotes Schild neben bekannten Phishing-Sites und ein graues Schild neben unbekannten Websites zu platzieren.

Natürlich gibt es viele andere Tools zum Blockieren von Phishing-Betrug, idealerweise bevor sie in Ihren Posteingang gelangen, normalerweise durch eine Kombination von Benutzerberichten und Algorithmen. Das Sicherheitsunternehmen Agari verwendet zum Beispiel maschinelles Lernen, um zu verstehen, wie eine typische E-Mail der Personen, mit denen Sie interagieren, aussieht. Es kann dann Nachrichten von Betrügern filtern, die ein ungerades Verhalten zeigen. Einige Phishing-Angriffe werden es jedoch unweigerlich durch die besten Schutzmaßnahmen schaffen.

MetaCert will Tools, die zum Abblocken von Phishing-Angriffen entwickelt wurden, ergänzen und nicht ersetzen. Sie dienen als letzte Verteidigungslinie. Deshalb sind die grauen Schilde für das System von entscheidender Bedeutung. Die Hoffnung ist, dass das Markieren eines Links als unbekannt den Benutzern dabei helfen kann, den Unterschied zwischen einem echten Link auf einer Apple-Website und einer gefälschten Website zu erkennen, selbst wenn es sich um einen gefälschten Link handelt, den MetaCert noch nie zuvor gesehen hat.

"Wir empfehlen Ihnen nicht, Ihre andere E-Mail-Sicherheitssoftware zu deinstallieren", sagt Gründer und CEO Paul Walsh. "Wir möchten nur, dass du aufhörst und nachdenkst, wenn du den grauen Schild siehst."

MetaCert ist bereits für die native iOS-E-Mail-App verfügbar, in der sie mit großen E-Mail-Anbietern wie Google Mail und Microsoft zusammenarbeiten kann. Eine Version für die Desktop-Anwendung von Apple Mail wird am Donnerstag verfügbar sein. Die Software ist vorerst kostenlos, aber Walsh sagt, dass das Unternehmen dies eventuell in Rechnung stellen wird. Das Unternehmen plant, Versionen der Software für andere E-Mail-Anwendungen wie Gmail und Microsoft Outlook zu veröffentlichen.

Der Ansatz zum Phishing-Schutz hat einige Nachteile. Wie viele andere E-Mail-Apps von Drittanbietern fungiert MetaCert als Proxy, was bedeutet, dass Ihre E-Mails durch ihre Server geleitet werden, während sie auf schlechte Links prüfen. Für Google Mail und Outlook.com muss MetaCert kein Kennwort eines Benutzers speichern. Sie können Google und Microsoft einfach mitteilen, dass MetaCert auf Ihre E-Mail zugreifen darf. Für Dienste, die diese Art von Zugriff durch Dritte nicht unterstützen, muss MetaCert Ihr E-Mail-Passwort lokal auf Ihrem Gerät speichern, damit es funktionieren kann. Einige E-Mail-Anbieter, darunter Apple und Yahoo, bieten die Möglichkeit, ein so genanntes "anwendungsspezifisches Kennwort" zu verwenden, anstatt das Hauptkennwort zu übergeben. Sean Gocher, Chief Product Officer von MetaCert, gibt an, dass das Kennwort nur lokal gespeichert und dann an den Server weitergegeben wird, ohne dass es jemals auf den MetaCert-Servern gespeichert wird. Ebenso sagt Gocher, dass Ihre E-Mails nur von den Servern des Unternehmens verarbeitet und nicht gespeichert werden. Dies könnte die Risiken reduzieren, aber in jedem Fall bedeutet die Verwendung von MetaCert, dass das Unternehmen Zugriff auf Ihr E-Mail-Konto erhält.

MetaCert bietet auch eine Google Chrome-Browsererweiterung, die Benutzer warnt, wenn sie versuchen, eine Website mit Links zu bekannten Phishing-Sites zu besuchen. Außerdem werden Bots angezeigt, die Nachrichten mit Phishing-Links aus den Chat-Anwendungen Slack, Skype und Telegram kennzeichnen und löschen angetrieben durch die gleiche Datenbank.

Agari-Chef Ravi Khatod sagt, so etwas wie MetaCert könnte als zusätzliche Verteidigung hilfreich sein, warnt jedoch davor, dass der Versuch, jede Site im Web zu katalogisieren und zu bewerten, für ein Unternehmen eine unmögliche Aufgabe ist.

Aber Metacert will es nicht alleine machen. Das Unternehmen hat über 10 Milliarden URLs klassifiziert, von denen einige über Crowdsourcing von Benutzern stammen. Es ist jedoch auch geplant, die Blockchain-Technologie zu verwenden, ähnlich dem Konzept, das dem Bitcoin der digitalen Kryptowährung zugrunde liegt, um die Benutzer zu ermutigen, Links einzureichen und zu kategorisieren.

Walsh, CEO von MetaCert, ist der Meinung, dass die Blockchain den Benutzern helfen wird, MetaCert zu vertrauen, da das Unternehmen die dezentrale Datenbank nicht kontrolliert. Dies würde verhindern, dass MetaCert-Mitarbeiter ihre Macht missbrauchen, indem sie Seiten markieren, die ihnen nicht gefallen. Im Laufe der Zeit, so das Unternehmen, entwickeln die Anbieter und Gutachter Reputationsbewertungen, die zum Abwägen ihrer Beiträge verwendet werden.

MetaCert begann 2011 mit der Indizierung des Internets, um sein ursprüngliches Produkt, einen Porno-Blocker für Mobiltelefone, zu unterstützen. Walsh sagt, Apple und Samsung hätten beide erwogen, MetaCerts Software mit ihren Geräten zu bündeln, entschieden sich jedoch letztendlich dagegen. Das Team erkannte, dass das Unternehmen einen neuen Plan benötigte, und wandte sich 2014 den mobilen Anwendungen zu und entschied sich, Phishing-Schutz-Tools für Messaging-Apps wie Slack zu entwickeln. So erfuhr Walsh von der Cryptocurrency-Community.

Letztes Jahr traf die Cryptocurrency-Welt eine Reihe von Phishing-Programmen, sagt Matt McGivern, Community-Manager von SingularDTV, einer Crowdfunding- und Rights-Management-Firma, die auf Blockketten basiert. Betrüger schickten direkte Nachrichten an Personen in Slack-Communitys, die sich auf Cryptowährung bezogen, und überzeugten die Benutzer, auf Phishing-Links zu klicken, um Passwörter für digitale Geldbörsen zu stehlen. McGivern fand MetaCert über das Slack-App-Verzeichnis, aber zu dieser Zeit blockierte der MetaCert-Bot keine Phishing-Links, die über direkte Nachrichten gesendet wurden. Also schickte McGivern Walsh per E-Mail und bat um Hilfe.

MetaCert reagierte mit der Erweiterung der Bot-Funktionen. "Es war damals eine perfekte Lösung für uns", sagt McGivern, obwohl SingularDTV kein öffentliches Slack-System mehr hat.

Walsh war mit Kryptowährung nicht vertraut, sah jedoch eine Chance für MetaCert in einer Gemeinschaft, die dringend Hilfe brauchte. Er sah auch einen anderen Weg, um seine Linkdatenbank aufzubauen und zu erweitern.

Das Blockchain-Protokoll von MetaCert ist nicht nur für das Katalogisieren von Phishing-Sites hilfreich. TrustedNews, ein Browser-Plugin, das versucht, gefälschte Nachrichten zu finden, verwendet das Protokoll, um den Inhalt anhand seiner Vertrauenswürdigkeit zu bewerten. Als Nächstes fügt MetaCert ein System hinzu, das Personen belohnt, die Links in die Datenbank einreichen und mit Token prüfen, mit denen sie für MetaCerts kostenpflichtige Produkte bezahlen können.


Weitere großartige WIRED Stories