Grundlagen und Informationstexte

Phishing

In der tagtäglichen Flut von Massenmail finden sich häufig Aufforderungen, man möge doch eine bestimmte Webseite aufrufen. Für diese Seite wird dann auch gleich ein Querverweis angegeben. Die Mail an sich ist in den meisten Fällen harmlos. Die Gefahr liegt in der Webseite auf die in der Mail verwiesen wird.

Eine häufig anzutreffende Variante ist das Phishing im Zusammenhang mit dem Online-Banking. Die angeblich vom Rechenzentrum oder vom Kundenservice einer bekannten Bank stammende Mail teilt dem ahnungslosen Anwender mit, es sei ein Sicherheitsproblem mit seinem für Online-Banking freigeschalteten Bankkonto aufgetreten. Um das Problem zu lösen, müsse sich der Anwender nun per Online-Banking mit seinem Kreditinstitut in Verbindung setzen, sich dort mit Kontonummer und Paßwort anmelden, um dann im Rahmen einer Transaktion geänderte Parameter für das Online-Banking einzustellen. Gewiefte Zeitgenossen ahnen bereits vorauf das hinausläuft: Die Seite, auf die in der Mail verwiesen wird, stammt gar nicht von der Bank! Es handelt sich um eine Kopie auf einem WWW-Server mit einer geschickt gewählten Adresse, die der des originalen WWW-Servers sehr ähnlich sieht. Gibt man nun in dieser Kopie seine Kontonummer, sein Paßwort und dann noch eine Transaktionsnummer (TAN) an, hat man alle Informationen preisgegeben, die ein Betrüger braucht, um das Konto abzuräumen und den Inhaber lebenslang zu verschulden. Das Geld wird dabei zur Verschleierung oft auf ein Zwischenkonto gebucht, um dann sofort per Western Union oder mit Hilfe gestohlener Kreditkarten anonym in Bares verwandelt zu werden.

Doch die Banken und Kreditinstitute sind nicht die einzigen, die für derartige Spielchen mißbraucht werden. Auch mit Hilfe von Online-Auktionen oder Online-Shops, wie zum Beispiel Ebay und Amazon, werden die Anwender um ihr Geld betrogen. Da werden gestohlene Accounts dazu benutzt, während einer Auktion den Preis ein wenig höher zu treiben oder Hehlerware feilzubieten. Statt des ersteigerten, hochwertigen Qualitätsprodukts erhält man einen Ziegelstein per Nachname zugeschickt. Wer versucht, dann an den Betrüger heranzukommen, landet statt dessen bei einem oft ahnungslosen Phishing-Opfer. Wird der Kunde eines Online-Shops per Phishing um seine Account-Informationen erleichtert, folgen kurz danach Rechnungen für Waren, die das Opfer nie bestellt hat. Da die Account-Informationen aber echt sind und zumindest in einigen Fällen die Bestellungen tatsächlich vom Rechner des Opfers aus getätigt werden, ist der Nachweis eines Betruges durch Phishing häufig sehr kompliziert.

In einer anderen Variante wird die gefälschte Webseite dazu benutzt, dem Anwender mit Hilfe von Sicherheitslücken des WWW-Browsers oder des Betriebssystems ein Trojanisches Pferd unterzujubeln. Dieses kann dann im Hintergrund seine schädliche Wirkung entfalten. In diese Kategorie fallen ein Teil der Massenmails, die auf dem ersten Blick für Potenzmittel oder Sexangebote werben.

Grundsätzlich gilt: Je stärker der Text einer eingehenden Mail darauf dringt, daß man nun sofort und auf direkten Wege eine bestimmte Webseite aufrufen solle, desto wahrscheinlicher handelt es sich um Phishing. Wenn Sie also eine alarmierende Mail von Ihrer Bank bekommen oder die versprochenen nackten Schönheiten besonders jung sind, sollten Sie automatisch vorsichtig werden.

Unabhängig davon, ob man die Flut der eingehenden Werbebotschaften, Viren und Betrugsversuche nur als lästig empfindet oder ob sie für den eigenen Rechner eine echte Gefahr darstellen, drängt sich die Frage auf, wie man geeignete Dämme errichten kann.

<Viren, Würmer, Trojaner Abwehr von Massenmails>

© 2005, 2008 by M. Engert