Phishing & Co. auf dem Vormarsch
Gerade bei Finanzdienstleistungen wird heute ein großer Teil des Privatkundengeschäfts über das Internet abgewickelt, Online-Handel und -Auktionen werden rege genutzt. Die Sicherheit der Transaktionen ist jedoch ein kritischer Faktor und wird immer wieder auf die Probe gestellt. Phishing und zahlreiche neue Varianten des Online-Betrugs werden zu einem immer größeren Problem für Kunden und Unternehmen.
Beim Phishing – sprachlich abgeleitet von Password-Fishing – verschicken Betrüger Massenmails, durch die Internet-Nutzer dazu verleitet werden sollen, vertrauliche Daten wie Kreditkartennummern, PINs oder Passwörter anzugeben. Noch vor wenigen Jahren war der technische Aufwand bei betrügerischen E-Mails minimal. Bislang wurden die Empfänger vor allem dazu bewegt, einen Link in der Phishing-E-Mail anzuklicken, der auf die imitierte Website führt. Mit den gewonnenen Daten können die Betrüger dann auf fremde Rechnung einkaufen oder Geld von fremden Konten abheben. Bei jüngeren Phishing-Attacken kommen neue zwielichtige Techniken zum Einsatz, die weniger Intervention seitens des Benutzers erfordern. So verbreiten Phisher in Massen-Mails Trojaner, Würmer und Spyware-Programme, die Sicherheitslücken im Betriebssystem nutzen und sich auf Festplatten einnisten. Dort zeichnen die unsichtbaren Spione Tastenabfolgen, aufgerufene Internet-Adressen oder Passwörter auf. Die erbeuteten Daten werden dann zur lukrativen „Weiterverwertung“ an verborgene Datenzentren geschickt.
Professionell organisierte Raubzüge
Heutzutage steht Phishing nahezu als Synonym für jede Art von Datenraub per E-Mail, auch wenn stetig neue Varianten wie Pharming, Spear Phishing und aktuell Vishing dazukommen. Der bisweilen sehr professionell und systematisch organisierte Datenraub ist mittlerweile dabei, klassische Viren als Hauptübel aus dem Web zu verdrängen. Innerhalb einer relativ kurzen Periode gewann dieses Thema deutlich an Brisanz.
Die Internetsicherheitsexperten von MessageLabs konnten aus den Daten, die täglich von der weltweiten Überwachungsinfrastruktur des Unternehmens erfasst werden, folgende Schlüsse ziehen: Der Versand virenverseuchter E-Mails nimmt ab, während ein Anstieg der zielgerichteten Phishing-Angriffe zu beobachten ist. Im Verhältnis zu den Viren- und Trojaner-Aktivitäten haben die Phishing-Angriffe erheblich zugenommen und machen nun fast ein Drittel aller Bedrohungen aus – im Juli war es noch ein Fünftel. Hinter einer von 321 E-Mails im August versendeten Mails verbarg sich der Versuch, persönliche Authentisierungsdaten auszuspionieren. Der Anteil von Phishing-Mails an allen per E-Mail verbreiteten Gefahren einschließlich Viren und Trojanern stieg seit Juli um 9,7 Prozentpunkte an. 30,7 Prozent aller bösartigen E-Mails, die MessageLabs im August abgefangen hat, waren Phishing-Versuche.
Doch nicht nur die Quantität hat zugenommen, sondern auch die kriminelle Energie, die dahinter steckt. Immer wieder geben gutgläubige Kunden ihre persönlichen Daten, Passwörter oder Kreditkartendetails preis, etwa bei einer fiktiven Warenbestellung. Dabei ist bereits eine sehr niedrige Erfolgsquote von einem oder zwei Prozent ausreichend, damit sich für die Phisher die Mühe gelohnt hat – schließlich fallen für den massenhaften Versand praktisch keine Kosten an. So schätzt die als Gegenoffensive von Industrie und Handel aufgestellte Anti-Phishing Working Group (APWG) die Erfolgsquote von Phishing-Attacken auf fünf Prozent. Bevor gefälschte Websites vom Netz genommen werden, kann bereits immenser finanzieller Schaden verursacht werden. Das US-Marktforschungsunternehmen Gartner schätzt, dass durch Phishing allein in den USA im Jahre 2005 ein Schaden von rund 2,75 Milliarden Dollar verursacht wurde. Die Financial Times Deutschland geht davon aus, dass deutsche Banken durch Phishing-Angriffe im gleichen Jahr rund 70 Millionen Euro verloren haben. Von Oktober bis Dezember 2005 wurden die ersten etwa 60 Fälle von Phishing in Österreich bekannt. Bereits in diesem kurzen Zeitraum entstand ein Schaden in Höhe von etwa 200.000 Euro, wie das Bundeskriminalamt Anfang des Jahres bekannt gab.
Führende Finanzinstitute betroffen – auch in Österreich
Dass in Sachen Sicherheit Nachholbedarf besteht, zeigen weltweite Phishing-Vorfälle in namhaften Bankunternehmen. Bei ihren Raubzügen konzentrieren sich die Phisher nach wie vor auf die großen Institute. Nachdem in den letzten zwei Jahren in Deutschland bereits Postbank, Deutsche Bank, Sparkassen, Volksbanken und Citibank betroffen waren, ist seit letztem Jahr auch der Bankenmarkt in Österreich nicht verschont geblieben. Im Herbst 2005 wurden erstmals Vorfälle bei der Raiffeisen Bank und der BAWAG bekannt, Anfang 2006 waren Kunden der Bank Austria und der BA-CA auf die Masche der Online-Betrüger hereingefallen. Zwar sind die Phishing-Mails in der Regel etwas unbeholfen formuliert, doch immer wieder erfüllen sie ihren Zweck, wie die Schadenszahlen zeigen.
Wenn Phishing-Betrüger zuschlagen, haften nach derzeit üblicher Vertragslage – eigentlich – die betroffenen Bankkunden. Sie sind verpflichtet, die Zugangsdaten fürs Online-Banking streng geheim zu halten. Derzeit zeigen sich Banken jedoch meist noch kulant. Mit der weiteren Verbreitung von Online-Konten und der Phishing-Problematik könnte sich das Blatt zunehmend wenden, zu Ungunsten der Kunden. Dass nicht nur Online-Banking gefährdet ist, zeigen erste Vorfälle beim Auktionshaus eBay oder dem Online-Zahlungsservice PayPal. Benutzer, die sich auf der Website dieser Dienste einloggen wollen, können sich unwissend auf einer von Passwort-Phishern generierten Login-Site wiederfinden. Benutzername und Passwort landen dann in falschen Händen. Schon jetzt zeichnet sich ab: Phishing wird in Zukunft sämtliche Transaktionen betreffen, die über das Internet abgewickelt werden.
Was noch hinzukommt: Die bei Phishing & Co. eingesetzte Technik wird zunehmend ausgefeilter. Die Methoden, darunter auch spezielle Social-Engineering-Taktiken, werden immer dreister. Hierbei wird die Hilfsbereitschaft, Gutgläubigkeit oder die Unsicherheit von Personen ausgenutzt, um beispielsweise an vertrauliche Daten zu gelangen oder die Opfer zu bestimmten Aktionen zu bewegen. Auch die Techniken des Social Engineering werden mittlerweile verfeinert. So bieten Phisher etwa unbedarften Empfängern an, ihnen einen Betrag auf ihrem Konto gutzuschreiben, wenn sie sich an einer Online-Umfrage beteiligen. Um das Geld zu bekommen, müsse man allerdings seine Kartennummer und die PIN eingeben. Je vollständiger ein Profil aus gestohlenen Personendaten wird, desto „wertvoller“ ist es.
Pharming, Spear Phishing und jetzt auch noch Vishing
Da Phishing-Methoden mittlerweile weithin bekannt sind, gehen die Betrüger zu verdeckten, aber äußerst effektiven Vorgehensweisen über. Im Falle von Pharming werden die technischen Abläufe beim Aufrufen einer Webseite so verändert, dass die Anwender unbemerkt auf eine gefälschte Webseite geleitet werden, was auch als Domain-Spoofing bezeichnet wird. Selbst umsichtige Internetnutzer, die keinem Link in einer Phishing-Mail folgen und stattdessen eine offizielle Internetadresse per Hand im Browser eingeben, können so Opfer eines Angriffs werden.
Seit etwa einem Jahr offenbart sich ein weiterer neuer Trend. Beim Spear Phishing werden nur vereinzelte Mails an gezielte Empfänger verschickt. Die Mails täuschen vor, von einem bekannten Absender innerhalb des Unternehmens zu stammen – etwa vom zuständigen IT-Administrator. Diese Spear-Phishing-Attacken dienen meist dazu, kritische interne Informationen zu stehlen. Neben einem generell vorsichtigen Umgang mit internen Daten sind hier vor allem umfassende Schutzmaßnahmen gefragt, die den gesamten E-Mail- und Internet-Verkehr scannen und Nachrichten verdächtiger Quellen abfangen können. Im Gegensatz zu den bekannten Phishing-Kampagnen, die auf Zugangsdaten zum Online-Banking privater Internet-Nutzer zielen, geht es beim Spear Phishing um Unternehmensinformationen. Die ausspionierten Informationen werden dann an die Auftraggeber, oft Konkurrenten des bespitzelten Unternehmens, weiterverkauft oder auch für Erpressungen und Betrügereien genutzt.
Ganz aktuell schwappt eine neue Variante des Phishing von den USA nach Europa: Vishing, zusammengesetzt aus VoIP (Voice over IP) und Phishing. Vishing bedeutet nichts anderes, als das VoIP-Kunden mit standardisierten Maschinenanrufen zur Angabe ihrer Kontendaten aufgefordert werden. Die kriminelle Methode macht sich die niedrigen Kosten von VoIP zu Nutze, um wertvolle persönliche Daten wie die von Kreditkartenbesitzern und Bankkunden zu erspähen. Der Trick läuft in der Regel so ab: Der Identitätsdieb richtet einen IP-basierten War Dialer ein, der automatisiert regionale Telefonnummern anruft. Sobald die Zielperson das Telefon abnimmt, läuft ein Band ab. Unter einem bestimmten Vorwand wird der gutgläubige Kunde dazu verleitet, seine Geheimnummer einzutippen. Damit haben die Betrüger, alles was sie brauchen: die Telefonnummer, den vollen Namen und die Adresse des Opfers und die Kreditkartennummer. Begehrt sind auch PIN-Nummern, Auslaufdaten von Kreditkarten, Geburtstage oder Bankkontennummern. Was sich jetzt schon andeutet: Vishing könnte sich zu einem ebenso massenhaften Phänomen entwickeln wie vor einigen Jahren die Spam-Mails.
Schutzmaßnahmen sind unverzichtbar
Um den derzeitigen Bedrohungen fachlich entgegenzuwirken und einen hohen Grad an Sicherheit zu verwirklichen, müssen sich Endkunden und Unternehmen gleichermaßen schützen. Die IT-Sicherheit sollte auf effektiven Schutzmechanismen basieren, die eine permanente Kontrolle gewährleisten, da sie laufend den aktuellen Gegebenheiten angepasst werden muss. Zudem sollte das Risiko realistisch eingeschätzt werden – und dieses heißt: Es gibt keine 100-prozentige Sicherheit. Ob PIN/TAN- oder iTAN-Verfahren und SSL-verschlüsselte Websites, kein Verfahren bietet absoluten Schutz vor Cyber-Kriminalität. Neue Angriffsmethoden werden auch zukünftig Schaden verursachen. Fachleute rechnen damit, dass insbesondere Würmer und Trojanische Pferde weiterhin auf das aktive Ausspähen von Daten angesetzt werden.
Aufklärungsmaßnahmen sind daher ein wesentlicher Teil der Gegenoffensive. Für die Online-Banking-Kunden besteht die wichtigste Schutzmaßnahme letztendlich darin, stets wachsam zu sein, wenn nicht angeforderte E-Mails im Posteingang landen. Weitere Tipps betreffen das Identifizieren von Phishing-Mails, die man oft an sprachlichen Mängeln und Formatfehlern erkennt. Die meisten dieser Nachrichten enthalten zudem eine URL und die Betreffzeilen beziehen sich in irgendeiner Weise auf das persönliche Konto. Eine stets aktualisierte Anti-Virus-Software, wie sie von den Sicherheitsspezialisten der Softwareindustrie angeboten wird, sollte ohnehin bei jedem privaten PC mit Internetanbindung zum Standard gehören.
Proaktives Abwehrsystem zeigt Wirkung Unerlässlich für den Schutz gegen Datenspionage sind Technologien, die verdächtige Aktivitäten bereits im Vorfeld erkennen und abwehren. Der effektivste Ansatz ist dabei die proaktive Überwachung auf Internet-Ebene. Nur an diesem Punkt, an dem der gesamte E-Mail-Verkehr gefiltert wird, ist es möglich, eine verdächtige E-Mail-Herkunft, mögliche Sicherheitslücken und neue bösartige Programmcodes zu analysieren. Auf diese Weise können sich gerade Unternehmen wirksam vor den ständig wechselnden Bedrohungsszenarien schützen. Betriebssysteme und Anwendungen müssen zudem regelmäßig mit den aktuellen Updates und Patches versehen sein, damit keine Schwachstellen ausgenutzt werden können. Unternehmen und Internet-Provider, die für diese aufwändige Aufgabe keine internen Ressourcen blocken oder die Gefahr gar nicht erst in ihr eigenes Netzwerk vordringen lassen möchten, sind gut beraten, ihren E-Mail-Verkehr über die Infrastruktur eines Managed-Services-Anbieters für E-Mail-Sicherheit – wie MessageLabs – laufen zu lassen. Dieser Sicherheitsservice ist problemlos skalierbar vom Einzelanwender über kleine Büros bis hin zum Großunternehmen mit mehreren Tausend vernetzten Arbeitsplätzen. Dadurch ist mit minimalem Eigenaufwand gewährleistet, dass die Schutzmaßnahmen innerhalb der gesamten Infrastruktur immer auf dem neuesten Stand sind.
Kommentare
Bitte beachten Sie unsere Informationen zum Datenschutz.
blog comments powered by DisqusWeitere Artikel zum Thema
alle Artikel zum Thema
© 2012 FEiG & PARTNER