Datenraub über das Web
Viren aller Art, Trojaner, Würmer, Spam und jetzt auch noch Phishing – die derzeit viel zitierte Plage der vernetzten Welt treibt eigentlich schon seit vielen Jahren ihr Unwesen. Ursprünglich bezog sich dieser Begriff auf den Raub persönlicher Daten über das Telefon. Im Zuge des Fortschritts in der Kommunikationstechnologie haben dann auch die Datenspione das Internet als Plattform für ihre gesetzeswidrigen Aktivitäten entdeckt. Heutzutage steht „Phishing“ nahezu als Synonym für jede Art von Datenraub per E-Mail, auch wenn stetig neue Varianten wie aktuell das „Pharming“ hinzukommen. Der bisweilen sehr professionell organisierte Datenraub ist mittlerweile dabei, klassische Viren als Hauptübel aus dem Web zu verdrängen.
Rasante Entwicklung bei Phishing-Attacken
Der Ursprung des Wortes geht auf „Password harvesting fishing” zurück und gibt die Datenspionage als „Fischen“ nach persönlichen Daten und Passwörtern bildlich wieder. Gegenüber Viren und Spam war Phishing allerdings lange Zeit ein scheinbar vernachlässbares Problem und daher weitgehend unbekannt. Mitte der 90er-Jahre kam dann der erste größere Phishing-Fall ans Tageslicht. Vielen AOL-Benutzern wurde damals auf plumpe Weise das Passwort abgeluchst, um deren Dial-up-Accounts zu nutzen. Trotz ähnlicher Fälle in den folgenden Jahren haben bis 2003 nur wenige Leute etwas über Phishing gehört. Innerhalb einer relativ kurzen Periode gewann dieses Thema jedoch deutlich an Brisanz. Während im September 2003 die Anzahl der von MessageLabs identifizierten Phishing-E-Mails bei nur 279 lag, stieg diese Zahl im Vergleichsmonat des Folgejahres auf zwei Millionen! Die Ergebnisse für das gesamte Jahr 2004 beliefen sich schließlich auf 18 Millionen Phishing-E-Mails, Tendenz weiter steigend.
Der Weg scheint sich zu lohnen
Doch nicht nur die Quantität hat zugenommen, sondern auch die kriminelle Energie, die dahinter steckt. Phishing wird heute verstärkt von organisierten Banden und systematisch ausgeübt. Das typische Vorgehen: Zunächst werden Kopien von bestehenden Websites angesehener Unternehmen und Marken erstellt, angefangen von Finanzdienstleistern und Banken über Web-Auktionshäuser bis hin zu Online-Reisebüros. Über – ähnlich professionell organisierte – Mittel der Massenverbreitung werden anschließend Hunderttausende von Mails versendet, die den Empfänger auf die gefälschte Website locken sollen. Die Hoffnung: Ein Teil dieser Mails wird bestehende Kunden oder potenzielle Interessenten dieser Unternehmen erreichen. Das Ziel: Die gutgläubigen Kunden geben dann ihre persönlichen Daten, Passwörter oder Kreditkartendetails preis, etwa bei einer fiktiven Warenbestellung. Wie bei Spam auch, ist bereits eine sehr niedrige Erfolgsquote von einem oder zwei Prozent ausreichend, damit sich für die Phisher die Mühe gelohnt hat – schließlich fallen für den massenhaften Versand ja praktisch keine Kosten an. Und die Realität zeigt, dass sie zumeist sogar deutlich darüber liegt: So schätzt die als Gegenoffensive von Industrie und Handel aufgestellte Anti-Phishing Working Group (APWG) die Erfolgsquote von Phishing-Attacken auf fünf Prozent. Natürlich werden gefälschte Websites sofort vom Netz genommen, sobald sie einem aufmerksamen Kunden auffallen oder von Überwachungsdiensten identifiziert werden. Trotz allem, so die Daten der APWG, beträgt die durchschnittliche Lebensdauer einer Phishing-Website 6,4 Tage, wobei der Maximalwert bis über 31 Tage reicht. Kombiniert mit den erzielbaren Antwortraten, können die Betreiber sicher sein, dass sich Kosten und Aufwand lohnen: Die "direkten Verluste" für Banken oder Kreditinstitute gehen mittlerweile in Milliardenhöhe. Da die Rechtslage zwischen Geschädigten und Unternehmen unklar ist, tragen die Endkunden jedoch den weitaus größeren Schaden selbst. Dieser wird von Gartner auf satte 50 Milliarden Euro geschätzt. Die Rechnung geht also auf. Und darauf kommt es an, denn die Phishing-Community setzt sich nicht wie die Viren-Programmierer das Ziel, größtmöglichen Schaden anzurichten, sondern hat es vor allem auf eines abgesehen: Geld.
So verwundert es auch nicht, dass die am häufigsten von Phishing heimgesuchte Branche der Finanzdienstleistungsmarkt ist. Über die letzten 18 Monate waren weltweit viele große Banken von Phishing-Vorfällen betroffen, in Deutschland sind erst kürzlich die Postbank und die Deutsche Bank erneut Zielscheibe von Phishing-Attacken geworden. Die E-Mails warnten hier potenzielle Kunden ironischerweise vor Betrugsgefahr, auf einer gefälschten Webseite sollten sie deshalb die Sicherheit ihres Konto erhöhen – natürlich unter Angabe ihrer TAN. Die gefälschten Seiten wurden nach kurzer Zeit geblockt, doch das Risiko immer neuer Phishing-Kreationen bleibt bestehen. Während MessageLabs nach Januar 2005 zunächst einen leichten Rückgang bei weltweiten Phishing-Attacken verzeichnete, kam es in den letzten beiden Monaten wieder zu einem rasanten Ansteigen. So fing der Anbieter für Managed E-Mail Security Services allein im Juni über sieben Millionen Phishing-E-Mails ab. Neueste Zielgruppen von Phishing-Attacken sind neben Online-Banking-Kunden auch Nutzer von Zahlungsdiensten wie PayPal und E-Commerce-Plattformen wie eBay. Kürzlich tauchte darüber hinaus eine gefälschte Seite zur Online-Bestellung von Flugtickets auf. Jede gewerbliche Organisation, die Kunden-Transaktionen über das Internet abwickelt, stellt ein potenzielles Ziel dar. Die Konsequenzen für die betroffenen Unternehmen reichen von Verunsicherung der Kunden und Imageschädigung über Produktivitätsverlust bis hin zu Rechtsstreitigkeiten.
Weitere Kapitel
- 1. Teil: Datenraub über das Web
- 2. Teil: Phisherman´s Freund
- 3. Teil: Maßnahmen gegen Phishing
Kommentare
Bitte beachten Sie unsere Informationen zum Datenschutz.
blog comments powered by DisqusWeitere Artikel zum Thema
alle Artikel zum Thema
© 2012 FEiG & PARTNER