Zu finden unter

Phishing

Phishing


"Phishing"ist ein Kunstwort das sich aus den Begriffen "password" und "fishing" zusammensetzt

Bücher zum Thema bei Amazon.de

Phishing ist eine Form des Trickbetruges im Internet.

Die Bezeichnung Phishing leitet sich vom Fischen (engl. fishing) nach persönlichen Daten ab. Die Ersetzung des F durch Ph stellt eine Imitation des Begriffes Phreaking dar, der sich in den 70er Jahren durch eine Zusammenziehung von Phone und Freak ergab.

Überblick

Der Phisher schickt seinem Opfer offiziell wirkende Schreiben, meist E-Mails, die es verleiten sollen, vertrauliche Informationen, vor allem Benutzernamen und Passwörter oder PIN und TAN von Online-Banking-Zugängen, im guten Glauben dem Täter preiszugeben.

Phishing-Angriffsziele sind Zugangsdaten, z. B. für Banken (Onlinebanking), Versandhäuser, Internet-Auktionshäuser, webbasierende Onlineberatungen oder Kontaktportale. Mit den gestohlenen Zugangsdaten kann der Phisher die Identität seines Opfers übernehmen (Identity Theft) und in dessen Namen Handlungen ausführen. Durch den Missbrauch der persönlichen Daten entstehen beträchtliche Schäden in Form von Vermögensschäden (z.B. Überweisung von Geldbeträgen fremder Konten), Rufschädigung (z.B. Versteigerung gestohlener Waren unter fremdem Namen bei Online-Auktionen) oder Schäden durch Aufwendungen für Aufklärung und Wiedergutmachung. Über die Höhe der Schäden gibt es nur Schätzungen, die zwischen mehreren hundert Millionen Dollar und Milliarden-Beträgen schwanken.

Methoden der Datenbeschaffung

Im Allgemeinen beginnt eine Phishing-Attacke mit einer persönlich gehaltenen, offiziell anmutenden E-Mail oder einem Massenversand von E-Mails. Der Empfänger soll eine betrügerische Website besuchen, die täuschend echt aussieht und unter einem Vorwand zur Eingabe seiner Zugangsdaten auffordert. Folgt er dieser Aufforderung, gelangen seine Zugangsdaten in die Hände der Urheber der Phishing-Attacke. Was dann folgt, soll nur noch nachträgliches Misstrauen des Opfers zerstreuen. Eine kurze Bestätigung oder eine falsche Fehlermeldung.

Eine andere Variante bindet ein Formular direkt innerhalb einer HTML-E-Mail ein, das zur Eingabe der vertraulichen Daten auffordert und diese an die Urheber sendet. Auf eine Phishing-Website wird hierbei verzichtet.

Methoden der Verschleierung

E-Mail

Die E-Mail wird als HTML-E-Mail, eine E-Mail mit den grafischen Möglichkeiten von Webseiten, verfasst. Der Linktext zeigt die Originaladresse an, während das unsichtbare Linkziel auf die Adresse der gefälschten Website verweist.

Mit der Einbindung von HTML kann der im Mail-Programm sichtbare Link tatsächlich auf eine ganz andere Webseite verweisen. Zwar lässt sich ersehen, dass das Linkziel auf eine andere Webseite verweist. Allerdings können auch diese Angaben über Skripttechniken verfälscht werden. In anderen Fällen wird der Link als Grafik dargestellt. Auf dem Bildschirm des Anwenders erscheint zwar Text, dieser ist allerdings eine Grafik.

Hierfür wird meistens auch die E-Mail-Adresse des Absenders gefälscht.

Webpräsenz

Die gefälschten Zielseiten haben meistens gefälschte Namen oder Bezeichnungen, die ähnlich klingen wie die offiziellen Seiten oder Firmen. Die Zielseiten mit dem Webformular haben das gleiche Aussehen wie die Originalseiten. Sie sind also nur sehr schwer als Fälschungen identifizierbar. Im Allgemeinen sollte der Anwender die originalen Internet-Seitenadressen z. B. seiner Bank kennen. Die Adresszeile des Webbrowsers verrät, falls er sich nicht auf der Originalwebsite befindet.

Eine Adresszeile der Form z. B.: http://217.257.123.67/security/ * verrät eindeutig, dass man sich nicht auf den Seiten einer Bank befindet. Deshalb werden Domainnamen (Internet-Adressnamen) benutzt, die den Bankadressen täuschend ähnlich sehen, z. B. http://www.security-beispielbank.de/ *

Mit der Möglichkeit, Umlaute in URLs zu verwenden, entstanden neue Möglichkeiten der Adress-Namensverfälschung. Beispielsweise könnte eine Originaladresse lauten http://www.roemerbank.de (Bank frei erfunden) und als Fälschung http://www.römerbank.de * Die zwei Namen sind sachlich identisch, allerdings technisch unterschiedlich, denn sie werden im Hintergrund zu unterschiedlichen Adressen aufgelöst und können zu völlig unterschiedlichen Websites führen.

Noch schwerer zu erkennen ist die Verwendung von kyrillischen Buchstaben anstelle von Umlauten. Das kyrillische a unterscheidet sich optisch in keiner Weise vom lateinischen a. http://www.beispielbank.de/ * Falls das a in bank kyrillisch dargestellt wird, ist die Adresse unterschiedlich und somit falsch. Allerdings zeigt die Adresszeile des Browsers keinen sichtbaren Unterschied zur Original-Bankadresse. Diese Methode ist selbst für Experten erst bei genauerem Hinsehen zu durchschauen.

Erkennung

Erfahrene Mail-Nutzer erkennen Phishing-E-Mails auf den ersten Blick, insbesondere anhand typischer Merkmale:

Dringlichkeit: Es wird aufgefordert, schnellstmöglich etwas durchzuführen, oft eine angebliche »Sicherheitsüberprüfung«, »Verifikation«, »Freischaltung« oder andere wichtig klingende Aktionen.

Drohung: Es wird angedroht, bei Nichtbeachtung werde ein Zugang gesperrt, gelöscht oder etwas anderes Schlimmes oder Lästiges geschehen.

Abfrage sicherheitsrelevanter Informationen: Entweder in einem Formular innerhalb der E-Mail oder auf einer verlinkten Website. Am häufigsten Onlinebanking-Passworte und TANs, aber auch Passworte anderer Dienste (z.B. Versandhäuser, Online-Auktionshäuser). Besondere Vorsicht ist geboten, wenn zur Eingabe mehrerer TANs aufgefordert wird.

Webseite: Die E-Mail enthält einen Link zum Anklicken.

Unpersönlich: Nur eine allgemeine Anrede wie »Sehr geehrter Kunde« oder »Sehr geehrtes Mitglied«.

Fehler: Rechtschreib- und Grammatikfehler im Text, beispielsweise ae anstatt ä oder ungebräuchliche Worte (beispielsweise eintasten anstatt eingeben).

Meist fehlende oder fehlerhafte Zertifikate der Webseite.

E-Mails, in denen man nach persönlichen Daten wie Passwörter oder TANs gefragt wird, sind grundsätzlich gefälscht und können gelöscht werden, selbst wenn sie keine der oben genannten Merkmale aufweisen.

Sind Sie Opfer einer Phishing-Mail geworden, sollten Sie unverzüglich das betreffende Dienstleistungsunternehmen (i. A. Bank, Sparkasse, Versandhaus, Kontaktportal) informieren und die örtliche Kriminalpolizei einschalten. Die gefälschte E-Mail sollte gespeichert und weitergeleitet werden. Sofern Sie es noch selbst können, sollten Sie Ihre Passwörter (PINs) unverzüglich ändern, damit die gestohlenen Originalpasswörter unbrauchbar werden.

Schutz: Vorsicht im Umgang mit vertraulichen Daten

Allgemein gilt: Banken und Versicherungen bitten nie um die Zusendung von Kreditkartennummern, PIN, TAN oder anderen Zugangsdaten per E-Mail, per SMS oder telefonisch. Finanzdienstleister senden bei sicherheitsrelevanten Fragen Briefe und Einschreiben via Briefpost bzw. man bittet um einen persönlichen Besuch des Kunden in der Filiale.

Rufen Sie niemals die Websites sicherheitsrelevanter Dienste über einen Link aus einer unaufgefordert zugesandten E-Mail auf. URLs und E-Mail-Absenderadressen können gefälscht werden und sind nicht vertrauenswürdig.

Geben Sie die URL zum Onlinebanking immer von Hand in die Adresszeile des Browsers ein oder benutzen Sie im Browser gespeicherte Lesezeichen, die Sie zuvor sorgfältig angelegt haben. Vor Nutzung sicherheitsrelevanter Dienste sollten keine weiteren Browserfenster oder Tabs geöffnet sein.

Nutzen Sie alternative Browser wie den aktuellen Firefox von Mozilla mit der Zusatzerweiterung Spoofstick. Diese Erweiterung zeigt den Namen der Internetadresse an, auf der man sich momentan wirklich befindet.

Prüfen Sie nach Möglichkeit die Verschlüsselung der Webseite, insbesondere den elektronischen Fingerabdruck (Fingerprint) des Zertifikats. Nur so können Sie zweifelsfrei sicherstellen, dass Sie tatsächlich mit dem Server des Anbieters (z. B. Bankrechner) verbunden sind. Der Dienstleister stellt Ihnen auf Anfrage die nötigen Informationen zum Abgleich zur Verfügung.

Seien Sie misstrauisch, wenn Sie unaufgefordert auf sicherheitsrelevante Bereiche angesprochen werden. Fragen Sie bei den Dienstanbietern nach, wenn Sie unsicher sind. Derartige Rückfragen liefern den Betreibern der betroffenen Dienste meist erst den Hinweis, dass eine Phishing-Attacke gegen ihre Kunden läuft.

Technische Schutzmanahmen

Ergänzend zu der in jedem Fall notwendigen Vorsicht beim Umgang mit vertraulichen Daten im Internet können auch Technische Schutzmanahmen zur Erkennung und Abwehr von Phishing-Angriffen eingesetzt werden. Diese setzen entweder beim Aufruf der Webseiten im Web-Browser oder bereits beim Empfang der E-Mails an.

Mithilfe zusätzlicher Toolbars für die Webbrowser ist es möglich, Phishing-Seiten zu blocken oder sich Warnhinweise beim Aufruf von möglicherweise gefälschten Webseiten anzeigen zu lassen. Der Internet Explorer 7 von Microsoft wird bereits mit Funktionen zur Erkennung von Phishing-Webseiten ausgestattet sein.

Die E-Mail-Filter einiger Antivirus-Programme können gefälschte Phishing-E-Mails erkennen und eliminieren. Voraussetzung dafür ist es, das Antivirus-Programm stets auf aktuellem Stand zu halten.
SUCHE



 
 



AKTIONEN

WERBUNG

NEUIGKEITEN
%06.%12-%13.%12.%2024:
Neue Begriffe

13.6.2006:
Begriff-Schnellsuche: http://clexi.com/ram