Mit der zunehmenden Verbreitung des Internet werden auch kommerzielle Angebote immer häufiger genutzt. Dies umfasst insbesondere den Bereich des Handels und der Dienstleistungen. Als Beispiel seien an dieser Stelle Online-Auktionshäuser und Online-Banking genannt.
Neuesten Studien zufolge nutzten mittlerweile fast 40 Prozent der Deutschen das Online-Banking. Im Zuge solcher Entwicklungen wird jedoch auch immer wieder versucht, die neuen Möglichkeiten für kriminelle Zwecke zu nutzen. Ein Phänomen in diesem Zusammenhang ist das sogenannte Phishing.
Vielseitige Phishing-Varianten
Phishing setzt sich aus den englischen Wörtern "Password" und "Fishing" zusammen. Damit ist das "Abfischen" eines Kennwortes vom rechtmäßigen Nutzer gemeint. Phishing hat jedoch mittlerweile nicht mehr nur Kennwörter zum Ziel, sondern geht darüber hinaus. Beispielhaft zählt zum Phishing auch:
- Die Erlangung von kompletten Anmeldeinformationen (z. B. Benutzername und Kennwort)
- Die Erlangung von Account-Informationen (Bestandsdaten, wie z. B. Name, postalische Anschrift, Berechtigungen)
- Die Erlangung von Transaktionsnummern (TAN) zum Online-Banking
- sowie die Erlangung von Kreditkarten-Daten
Phishing zieht in den meisten Fällen Folgehandlungen nach sich. So werden die erlangten Daten genutzt, um sich in geschützte Online- Bereiche einzuloggen, Überweisungen zu Lasten fremder Konten zu tätigen oder mit den Kreditkarten-Informationen online Bestellungen zu tätigen. Teilweise werden die erlangten Daten auch verkauft.
Monatlich kursieren Millionen von Phishing-Mails
Die Daten werden durch eine Täuschung vom rechtmäßigen Nutzer erlangt. Bei der Herausgabe der Daten erkennt dieser nicht, dass diese in Wahrheit an den "Phisher" geleitet werden, sondern ist in der Annahme, sie würden an das ihm vorgegaukelte Ziel (z. B. den Server seiner Bank) gesendet.
Die Zunahme dieses Phänomens zeigt sich daran, dass nach Angaben des Deutschen Sparkassen- und Giroverbandes allein im März 2004 200.000 sogenannter Phishing-e-Mails registriert wurden, wohingegen es im Jahr zuvor gerade mal 300 waren. Heute geht die Zahl in die Millionen.
Um besser verstehen zu können, wie Phishing funktioniert, wird nachfolgend die am häufigsten vorkommende Variante dargestellt. Dabei wird der Betroffene zur Eingabe der Daten auf einer Webseite verleitet. Diese werden anschließend an den Täter gesendet, ohne dass das Opfer dies bemerkt.
Zunächst einmal muss das Opfer dazu veranlasst werden, diese Webseite zu besuchen. Dies geschieht oftmals über eine E-Mail, die er erhält. In dieser e-Mail steht möglicherweise, dass aufgrund eines technischen Problems die Benutzerdaten gelöscht wurden und man doch bitte eine Webseite im Internet besuchen solle, um seine Daten zu verifizieren.
In der E-Mail ist der Link bereits enthalten, der zu dieser Seite führen soll. Dieser Link führt auch scheinbar zu der Internet-Präsenz des Unternehmens, in Wahrheit aber leitet er auf eine falsche Webseite. Folgt man dem Link, so gelangt man auf die vom "Phisher" eingerichtete Webseite. Sie ist so gestaltet, dass der Besucher den Eindruck hat, er befinde sich auf der Webseite des Unternehmens, welches ihm angeblich die E-Mail geschrieben hat.
Nach Eingabe der Daten und Betätigen einer Schaltfläche werden die Daten dann nicht, wie der Nutzer etwa annimmt, an den Server der Firma geschickt, sondern an den "Phisher" geleitet. Eine andere Variante ist, dass nun eine Webseite angezeigt wird, die dem Nutzer einen erfolgreichen Login vortäuscht und ihn zur Eingabe seiner Account-Daten (Bestandsdaten, Kreditkarten-Informationen, Bankverbindungen etc.) auffordert. Hat er dies getan, so werden diese Daten dann ebenfalls zum "Phisher" übertragen.
naiin im Kampf gegen Phishing
Vor allem die Aufklärung und Sensibilisierung der Nutzer über bzw. für die Problematik "Phishing" stellt einen wichtigen Aspekt der Arbeit von naiin dar. Denn wer um die Gefahren hinsichtlich der Phishing-Bedrohung weiß und Vorsicht walten lässt, minimiert des Risiko Opfer eines Online-Trickbetrügers zu werden.
Da - so zeigt die Erfahrung - aber selbst Experten hin und wieder auf derartige Methoden hereinfallen, setzt naiin aber auch auf die direkte Bekämpfung von Phishing. naiin bemüht sich schnellstmöglichst Phishing-Kampagnen aufzudecken, Websites, die dem Phishing dienen, zu sperren und die Hintermänner zu identifizieren.
Die Initiative ist dabei aber auch auf die Unterstützung der Internet-Nutzer angewiesen. Nutzer, die eine Phishing-Mail erhalten, können diese an netwatch@naiin.org weiterleiten.
|