Phishing - Virtuelles Angeln nach Zugangsdaten

netplanet Werbung

Organisierte Kriminalität macht nicht vor dem Computer halt und schon gar nicht vor dem Internet. Gerade weil hier die eindeutige Überprüfung der Authentizität für den Unbedarften teilweise sehr schwierig ist, ist das Internet ein Eldorado für Kriminelle. Besonders abgesehen haben es Kriminelle auf Zugangsdaten zu Diensten, mit denen diese an Ihr Geld kommen.

Was ist Phishing?

Der Begriff "Phishing" ist ein Kunstwort, das aus den Wörtern "Passwort Harvesting" und "Fishing" (Passwort ermitteln und fischen) entstanden ist. Es bezeichnet die Unsitte, in E-Mails und auf fingierte Websites den ahnungslosen Leser dazu zu bringen, seine persönlichen Zugangsdaten preiszugeben.

Die Ursprünge des Phishing im Internet sind bis Ende der 90er Jahre des 20. Jahrhunderts zurückzuführen. Erstmals sind damals E-Mails aufgetaucht, die angeblich von Betreibern von Instant Messengern, beispielsweise von ICQ, versendet wurden und in denen der Betreiber angeblich ein Sicherheitsproblem in seinen Systemen entdeckt hätte. Der Leser wurde aufgefordert, seine Zugangsdaten in ein Formular einzugeben, das direkt in die E-Mail integriert war. Würde er dies nicht tun, würde der Zugang aus Sicherheitsgründen angeblich deaktiviert werden. Mit diesen so "gefischten" Zugangsdaten, die natürlich nicht an den Betreiber gingen, sondern an die Phishing-Betrüger, wurde dann der Chat-Zugang der Opfer missbraucht und mit deren Online-Identitäten gechattet.

Waren das noch relativ harmlose Spielereien von Scriptkiddies, so wurde es richtig kriminell mit den ersten "richtigen" Phishing-Betrügereien. Ziel waren hierbei die ersten großen Internet-Angebote, die sich an die Allgemeinheit richteten, beispielsweise Online-Auktionshäuser (z.B. eBay) und Geldtransferinstitute (z.B. PayPal). Die Masche blieb auch hier die gleiche: In Phishing-E-Mails wurde auf angebliche Sicherheitsprobleme verwiesen, die zwar auf Anbieterseite behoben wurden, allerdings müssten sich nun alle Benutzer neu registrieren, ansonsten würde der Zugang deaktiviert werden.

Auf diese Betrugsmasche fielen gleichen reihenweise ahnungslose Opfer herein, die in gutem Glauben und aus Sorge um ihre Zugänge ihre Benutzerdaten preisgaben. Nun nicht mehr stümperhaft in E-Mails, sondern teilweise ausgesprochen raffiniert auf fingierten Websites, die den Original-Websites der Anbieter teilweise nahezu perfekt nachempfunden wurden. Nach und nach verlagerten sich die Angriffsziele immer stärker auf die klassische Bankenwelt und ihren Online-Banking-Zugängen.

Begünstigt wurden Phishing-Angriffe gerade hier durch die stark inhomogene Bankenwelt in vielen Ländern, unter anderem auch in Deutschland. Zwar treten die meisten Sparkassen und Volks- und Raiffeisenbanken einheitlich als Organisation auf und haben beispielsweise für überregionale Aktivitäten - unter anderem auch für das Online-Banking - zentrale Organisationseinheiten, den direkten Support für die Kundschaft dafür übernehmen jedoch die einzelnen Institute. Hier mangelte es gerade bei kleineren Instituten am Sicherheitsbewusstsein, oft auch deshalb, weil man glaubte, dass man als kleines Bankinstitut gar nicht ins Visier von Phishing-Betrügern kommen könnte.

In der Zwischenzeit ist Phishing fest in der organisierten Kriminalität angekommen und stellt im Bereich der Online-Kriminalität eine feste Größe dar. Aufgrund der Internationalisierung der Bankenwelt ist die Verfolgung solcher Aktivitäten sehr schwer, vor allem, wenn die Betrüger in Schwellenstaaten sitzen.

Warum die Frage nach Zugangsdaten im Internet problematisch ist

Da das Internet ein dezentrales Netzwerk ist, ist es von Hause aus schwierig, die Authentizität von Daten festzustellen. Aus diesem Grund ist Online-Banking (siehe hierzu auch Sicherheit im Online-Banking) über das Internet auch eine relativ komplexe Angelegenheit. Grundlage ist das Vertrauen, das Ihr Bankinstitut an Sie hat und das Sie an das Bankinstitut haben. Genau aus diesem Grund erhalten Sie im PIN/TAN-System eine separate Liste mit TAN, mit der Sie einzelne Transaktionen autorisieren müssen. Das PIN/TAN-System ist jedoch für Betrüger relativ einfach zu durchschauen, da er letztendlich nur genügend Menschen anschreiben muss, um darunter einen oder mehrere Ahnungslose zu erreichen, die diese Daten preisgeben.

Es gilt deshalb unbedingt einige wichtige Regeln zu beachten, die nicht unbedingt nur für Zugangsdaten zu Online-Banking-Systemen gelten, sondern allgemein für vertraulich zu haltende Zugangsdaten:

  • Achten Sie auf Ihre Zugangsdaten!
    Ihre Zugangsdaten sind Ihre Legimitation zum Zugriff auf Bereiche, die andere Leute nichts angeht. Bewahren Sie deshalb diese Daten sorgfältig auf, prägen Sie sich Ihre Zugangsdaten ein und achten Sie vor allem darauf, wo Sie diese Daten eingeben.
  • Geben Sie Adressen von Zugängen zum Online-Banking von Hand ein!
    Betrachten Sie den Weg, den Sie zum Online-Banking "gehen", schon als eine wichtige Maßnahme der Sicherheit. Hyperlinks in E-Mails können fingiert sein, beispielsweise dadurch, dass die E-Mail in HTML verfasst wurde und die angezeigte Adresse eines Hyperlinks nicht mit der hinterlegten Zieladresse übereinstimmt.
  • Beobachten Sie das "Umfeld" des Online-Bankings!
    In vielen Fällen lässt sich schon am "Äußeren" von fingierten Online-Banking-Seiten erkennen, dass es sich nicht um das Original handelt. Hanebüchene Textformulierungen, fehlerhafte Grafiken oder Formulare können ein Zeichen dafür sein, dass hier Gauner am Werk sind.
  • Seien Sie vorsichtig bei sich öffnenden Fenstern!
    Popup-Fenster gehören zu den größten Unarten, die es im Online-Publishing gibt, da sie Unübersichtlichkeit fördern und schwer zu kontrollieren sind, wenn man sie nicht konsequent komplett sperrt. Bei Popup-Fenstern ist es enorm wichtig, zu wissen, welche Seite darin geöffnet wurde. Viele Phishing-Attacken arbeiten auf die Weise, dass das fingierte Passworteingabeformular sich in einem Popup-Fenster öffnet und im Hintergrund die normale Homepage des betroffenen Bankinstitutes aufgerufen wird und erscheint. Seien Sie misstrauisch, wenn das Popup-Fenster keine Statusleiste hat. Bei allen modernen Webbrowsern ist es darüber hinaus möglich, sich im Kontextmenü ("rechte Maustaste") nähere Informationen anzeigen zu lassen, vor allem den genauen Standort der Seite.
  • Achten Sie auf Verschlüsselung und Sicherheitszertifikate!
    Wenn Ihr Bankinstitut Online-Banking direkt im Webbrowser anbietet, wird diese Verbindung zum Banking-System von allen Bankinstituten ausnahmslos nur verschlüsselt angeboten. Verschlüsselte Verbindungen erkennen Sie in Ihrem Webbrowser an einem geschlossenen Schloss in der Statusleiste, das eine verschlüsselte Verbindung anzeigt. Grundlage dieser Verbindung ist ein Verschlüsselungszertifikat Ihres Bankinstitutes, das wiederum von einer Zertifikatsherausgeber beglaubigt ist. Mit einem Doppelklick können Sie diese Angaben herauslesen. Falls das Zertifikat des Bankinstitutes abgelaufen oder fehlerhaft ist oder der Zertifikatsherausgeber selbst nicht vertrauenswürdig ist, bekommen Sie eindeutige Hinweise. Beachten Sie diese Hinweise und halten Sie im Zweifel Rücksprache mit Ihrem Bankinstitut.
  • Geben Sie niemals auf Aufforderung in E-Mails Ihre Zugangsdaten in integrierte oder direkt aufgerufene Formulare ein!
    Niemals wird Sie ein verantwortungsvolles Bankinstitut nach Ihren Zugangsdaten fragen, weder persönlich, noch am Telefon, noch in E-Mails (ausgenommen natürlich die Zugangsseite zum Online-Banking). Geben Sie deshalb niemals, niemals, niemals auf diesen Wegen Ihre Zugangsdaten preis! Bankinstitute sind in der Lage, Ihre Zugangsdaten im Ernstfall zurücksetzen zu können, deswegen wird Ihre Bank gar nicht erst darauf angewiesen sein, Ihre Zugangsdaten von Ihnen noch einmal gesagt zu bekommen.
  • Achten Sie auf Veränderungen!
    Ein zuvorkommendes Bankinstitut wird eventuelle Änderungen am Banking-System ihren Kunden vorher mitteilen. Falls Sie Merkwürdigkeiten am Banking-System bemerken, sollten Sie sich deshalb erst einmal nicht anmelden, sondern zunächst auf der Homepage Ihres Bankinstitutes nachprüfen, ob eventuelle Änderungen vorgenommen oder angekündigt wurden. Halten Sie auch hier bei den geringsten Zweifeln lieber nochmals Rücksprache mit Ihrem Bankinstitut und Ihrem Kundenberater.

Erste Sofortmaßnahmen im Ernstfall

Falls Sie befürchten, einem Phishing auf den Leim getreten zu sein, ist schnelle und entschlossene Reaktion gefragt:

  • Sperren Sie das Konto oder die Kreditkarte, dessen bzw. deren Daten Sie herausgegeben haben!
    Dies sollte umgehend passieren, also sofort. Warten Sie nicht bis zum nächsten Tag, schieben Sie es keinesfalls vor sich her, denn nur eine schnelle Reaktion von Ihnen kann Sie jetzt nur noch von finanziellem Schaden bewahren! Bei einer Kreditkarte müssen Sie die Hotline des Kreditkarteninstituts kontaktieren und eine Kartensperre veranlassen. Die Hotline finden Sie für gewöhnlich auf der Rückseite der betreffenden Kreditkarte oder in Ihren Unterlagen. Notieren Sie sich die genaue Uhrzeit des Anrufes. Bei einem Bankkonto ist die Kontaktaufnahme mit Ihrem Bankinstitut am Wochenende zwecks einer Kontosperrung oft nicht möglich. Sperren Sie, falls Ihr Bankkonto für das Online-Banking freigeschaltet ist, zumindest den Zugang zum Online-Banking, bei den meisten Banken ist dies im Online-Banking möglich, die Sperrung direkt im Banking-Dialog vorzunehmen. Falls dies nicht möglich ist, provozieren Sie die Sperrung durch die Eingabe eines falschen Passwortes, da die meisten Banken eine angegebene Kontonummer nach dreimaliger Falscheingabe des Passwortes sperren. Ähnlich vorgehen können Sie mit Ihrer gültigen TAN-Liste.
  • Informieren Sie Ihr Bank- oder Kreditkarteninstitut umgehend auch schriftlich!
    Ein Institut wird dies bereits am Telefon nachdrücklich von Ihnen fordern, tun Sie dies bitte auch umgehend. Nehmen Sie Kontakt mit Ihrem Kundenberater auf oder melden Sie sich am nächsten Bankgeschäftstag in einer Filiale Ihrer Bank, um ein schriftliches Protokoll niederzuschreiben. Wichtig sind hierbei die möglichst genauen Zeiten der Herausgabe der Daten und der eventuellen telefonischen Sperrung. Lassen Sie in diesem Protokoll ebenfalls die Uhrzeit der Niederschrift festhalten und bestehen Sie auf eine unterzeichnete Kopie dieses Protokolls.
  • Zeigen Sie den Vorfall bei der Polizei an!
    Vor diesem Schritt werden die meisten Opfer zurückschrecken, zögern Sie bitte jedoch auch hier nicht. Eine Strafverfolgung, so unsinnig Sie Ihnen vielleicht auch erscheinen mag, ist auch in solchen Fällen unerlässlich, da Behörden andere Möglichkeiten haben, eventuellen Straftaten nachzugehen, als Sie oder Ihr Bankinstitut. Außerdem ist es wichtig, eventuelle Anzeigen von weiteren Opfern zu bündeln.

Von anderen, halbseidenen Schritten sollten Sie Abstand nehmen. Versuchen Sie bitte auch nicht, in Server zu "hacken", von denen Sie glauben, dass hier der Ursprung der Phishing-Attacke stammt oder dass hier der Phishing-Server steht. Eine Straftat berechtigt nicht zu einer anderen Straftat, auch wenn Sie möglicherweise das Opfer sind. Falls Sie eigene Recherchen gemacht haben sollten, so geben Sie diese Informationen im Rahmen Ihrer polizeilichen Anzeige den Behörden weiter, spielen Sie jedoch keinesfalls selbst Hilfspolizei.

Nebenkriegsschauplätze des Phishing

Die Phishing-Szene pflegt neben ihrer "Hauptaktivität" noch eine Reihe von weiteren Gaunereien. Eine Masche aus der Phishing-Szene bezieht sich darauf, dass ergaunerte Geld rein zu waschen, also über einen Mittelsmann zu transferieren, um Spuren zu verwischen.

Dazu versenden die Phishing-Betrüger wiederum Spam und bieten darin ein angeblich phänomenales Geschäftsangebot oder gar eine angebliche Festanstellung in einem Unternehmen an. Das Geschäft beinhaltet dabei lediglich die Aufgabe, seine Kontodaten dem Phishing-Betrüger zu übermitteln, auf das er einen Geldbetrag überweist. Gleichzeitig soll der Geschäftspartner sich dieses Geld abzüglich einer eigenen Provision ausbezahlen lassen und über einen Geldtransferdienst an den Phishing-Betrüger transferieren. Was sich hier als ein bombensicheres Geschäft liest, ist in Wirklichkeit knallharte Geldwäsche und strafbar. Zu beachten ist hierbei, dass Unwissenheit vor Strafe nicht schützt und solche Geldtransfers im Nachhinein durchaus nachvollziehbar sind.

Eine weitere, verschärfte Masche von Phishing-Betrügern ist, sich Adress- und Kontodaten von Geschäftspartnern zu besorgen (beispielsweise durch eine ordentliche Transaktion auf einer Versteigerungsplattform), ihnen das Geld direkt auf ihr Konto zu überweisen und den Kontoinhaber zu kontaktieren, das Geld umgehend weiter zu transferieren. Lassen Sie sich keinesfalls auf solche Aktionen ein! Wenn Sie derart bedrängt werden und bereits Geld auf Ihr Konto überwiesen bekommen haben, setzen Sie sich bitte umgehend mit Ihrem Kreditinstitut in Verbindung, um den überwiesenen Betrag umgehend wieder zum Absender zurück überweisen zu lassen. Spielen Sie keinesfalls den Helden und sehen Sie die Überweisung des Geldes auch nicht als Chance für eine eigene Bereicherung an, denn die Gefahr ist groß, dass der Absender des Geldes neben Ihren Kontodaten möglicherweise auch Ihre Adressdaten kennt.

Andere Formen des Identitätsdiebstahls

Neben Phishing gibt es noch andere Varianten des Identitätsdiebstahls, die ebenfalls allesamt darauf abzielen, eine Vertrauensbasis zu simulieren, um an Zugangsdaten heranzukommen:

  • Pharming
    Das Pharming zielt darauf, DNS-Einträge (siehe auch Domain Name System) so zu verändern, dass ein Kunde bei der Eingabe einer Website-Adresse zu einem anderen Rechner geleitet wird, als ursprünglich von ihm beabsichtigt. Dazu muss der Betrüger jedoch an einer Stelle der DNS-Auflösung ansetzen und Einträge manipulieren, was entweder durch fehlerhafte Implementierungen von DNS-Server geschehen kann oder aber durch Manipulation des Rechners eines Opfers, beispielsweise durch einen Trojaner (siehe hierzu auch Viren, Würmer, Trojaner & Co.).
  • Vishing (Kunstwort aus "Voice" und "Phishing")
    Das Vishing ist eine besonders perfide Variante des Passwortdiebstahls, bei der potentielle Kunden schlicht angerufen werden, um sie unter Vorgaukelung besonders wichtiger Umstände dazu zu bringen, ihre Zugangsdaten preiszugeben. Auch hier gilt: Niemals wird Ihre Hausbank bei Ihnen anrufen und Sie nach Ihren Zugangsdaten für das Online-Banking fragen.
  • Smishing (Kunstwort aus "SMS" und "Phishing")
    Beim Smishing werden SMS-Nachrichten verwendet, um Opfer dazu zu bringen, eine bestimmte Website aufzurufen und dort Passwörter oder Kontodaten einzugeben. Dies ist insofern problematisch, da SMS über bestimmte Dienste mit gefälschten Absenderangaben versendet werden können und der richtige Absender nicht ohne weiteres nachgeprüft werden kann. Verschärft wird die Gefahr des Smishing durch Online-Banking-Systeme vieler Banken, die mit so genannten mTAN arbeiten, also eine TAN zur Autorisierung von Zahlungsströmen via SMS versenden (siehe hierzu auch Sicherheit im Online-Banking).

Weiterführende Links

http://www.a-i3.org/
Arbeitsgruppe Identitätsschutz im Internet der Ruhr-Universität Bochum

http://de.wikipedia.org/wiki/Phishing
Der Begriff "Phishing" in der Wikipedia Enzyklopädie

WERBUNG
Zum Beginn dieser Seite