Was ist Phishing?
Der Ausdruck Phishing ist wohl auf die Wörter password harvesting fishing zurückzuführen, was soviel bedeuted wie "Reiche Ernte durch Passwörter fischen" oder "Abernten der gefischen Passwörter".
Phishing ist eine Form des Online-Betrugs und basiert auf den Methoden des Social Engineering, d.h., kriminelle Organisationen versuchen unter Ausnutzung der Gutgläubigkeit, Unwissenheit oder Unsicherheit des Benutzers und der Sicherheitslücken von e-Mail Client und Browser, an die vertraulichen Zugangsdaten für Online-Banking, Online-Auktionshäuser, Internetprovider oder Versandhäuser zu gelangen bzw. zu stehlen und für ihre Zwecke zu missbrauchen.
Wie läuft das Phishing im Einzelnen ab?
Der Benutzer erhält eine gefälschte HTML e-Mail, die dem Layout einer bekannten Institution gleicht. Unter einem fadenscheinigen Vorwand (Nutzung eines neuen Systems, Sicherheitsüberprüfung der Daten usw.) wird dazu aufgefordert, dringendst eine Autorisierung der Benutzerdaten zu vollziehen und dem präparierten Link zu folgen.
Dieser Link führt zu einer ebenfalls gefälschten und professionell aufbereiteten Webseite, in welcher der Benutzer angehalten wird, sämtliche persönliche Daten (Kontodaten, PIN, TAN usw.) anzugeben. Hier werden die angegebenen Daten vom Phishing Urheber abgegriffen und für weitere Transaktionen oder Einkäufe seinerseits missbraucht.
Wie erkennt man eine Phishing e-Mail und eine gefälschte Website?
Eine der oben aufgeführten Institution würde niemals per e-Mail dazu auffordern, vertrauliche Daten über einen Link einzugeben! Gleiches gilt auch für die Aufforderung per Telefon oder Fax!
e-Mail:
- Unklare Absenderadresse
- e-Mail Header überprüfen
- Keine Angabe der Kundennummer
- Die persönliche Anrede fehlt, stattdessen allgemeine Floskeln, wie z.B. 'Liebes eBay Mitglied' oder 'Sehr geehrter Kunde'
- Der Empfänger wird zum sofortigem Handeln aufgefordert, da andernfalls eine negative Konzequenz droht, wie z.B. Sperrung oder Löschung des Zugangs
- Einen Link der in der Regel maskiert wurde, erkennbar in der Statusleite des e-Mail Clients, wenn der Link 'berührt' (nicht klicken!) wird
- Mangelhafte Grammatik und Rechtschreibung, fehlende Umlaute
Beispiel einer typischen Phishing-Mail:
Website:
- Falsche URL in der Adresszeile des Browser
- Keine gesicherte SSL Verbindung, erkennbar am fehlenden 'https' in der Adresszeile
- Kein Sicherheits-Zertifikat, erkennbar am fehlenden Schloß Symbol in der Statusleiste
- Verdächtige Abfrage von PIN und TAN
Beispiel einer typischen Phishing-Webseite (Auszug):
Wie kann man sich schützen?
- Phishing-Mails ignorieren und ungelesen löschen! Bei Unsicherheit ggf. beim Dienstleister nachfragen und die e-Mail zur Überprüfung weiterleiten!
- Niemals auf Phishing-Mails antworten!
- Niemals einen Link aus einer e-Mail heraus folgen!
- URL (Online-Banking, e-Mail- oder eBay-Account) immer manuell in die Adresszeile eingeben und auf die korrekte Schreibweise achten! Dazu sollte immer eine separate Browser Sitzung geöffnet und nach Beendigung des Vorgangs wieder geschlossen werden!
- Das Aufklärungsvideo von Microsoft ansehen!
- Betriebssystem, e-Mail und Browser aktuell halten und sicherer konfigurieren, siehe Einstellungen in Windows, Browser und Mailprogramm. Alternative e-Mail Clients (Thunderbird) oder Browser (Firefox) einsetzen, anstatt Internet Explorer, Outlook oder Outlook Express!
Was ist zu tun, wenn man Opfer des Online-Betrugs geworden ist?
- Bei jeder Unregelmäßigkeit oder Fehlermeldung (Seite ist plötzlich nicht erreichbar, Passwort ist geändert etc.) die Bank anrufen.
- Den Onlinezugang für das betroffene Konto, Kreditkarten und die TAN Nummern beim Kreditinstitut sofort sperren!
- Konto überprüfen! Sollten Transaktionen durchgeführt worden sein, dann unverzüglich zurückbuchen lassen!
- Die Phishing e-Mail sichern und sofort an die zuständige Institution weiterleiten, damit Gegenmaßnahmen eingeleitet werden!
- Strafanzeige bei der Polizei erstatten!
Fazit:
Eine Personal Firewall und ein Virenscanner schützen vor Phishing nicht!
Auch ist darauf hinzuweisen, dass sich die Betrüger immer neue Tricks einfallen lassen, um an die Daten der Opfer zu gelangen. Nicht nur die Phishing-Mails werden raffinierter, außerdem zu nennen sind zum Beispiel das Pharming oder die Versuche, über gefälschte Seiten von Online-Shops Daten abzugreifen. Diese Beschreibung ist daher nur eine Momentaufnahme.
Der einzige wirksame Schutz gegen Phishing ist und bleibt der gesunde Menschenverstand und eine gesunde Portion Misstrauen im Netz.
Weiterführende Links:
Identitätsklau im Internet
Phishing
Anti-Phishing Working Group
A-I3 Arbeitsgruppe Identitätsmissbrauch im Internet
BSI
- nach oben -
Letze Aktualisierung: 13.02.2006
