Phishing






Was ist Phishing?

Der Ausdruck Phishing ist wohl auf die Wörter password harvesting fishing zurückzuführen, was soviel bedeuted wie "Reiche Ernte durch Passwörter fischen" oder "Abernten der gefischen Passwörter".

Phishing ist eine Form des Online-Betrugs und basiert auf den Methoden des Social Engineering, d.h., kriminelle Organisationen versuchen unter Ausnutzung der Gutgläubigkeit, Unwissenheit oder Unsicherheit des Benutzers und der Sicherheitslücken von e-Mail Client und Browser, an die vertraulichen Zugangsdaten für Online-Banking, Online-Auktionshäuser, Internetprovider oder Versandhäuser zu gelangen bzw. zu stehlen und für ihre Zwecke zu missbrauchen.

Wie läuft das Phishing im Einzelnen ab?

Der Benutzer erhält eine gefälschte HTML e-Mail, die dem Layout einer bekannten Institution gleicht. Unter einem fadenscheinigen Vorwand (Nutzung eines neuen Systems, Sicherheitsüberprüfung der Daten usw.) wird dazu aufgefordert, dringendst eine Autorisierung der Benutzerdaten zu vollziehen und dem präparierten Link zu folgen.

Dieser Link führt zu einer ebenfalls gefälschten und professionell aufbereiteten Webseite, in welcher der Benutzer angehalten wird, sämtliche persönliche Daten (Kontodaten, PIN, TAN usw.) anzugeben. Hier werden die angegebenen Daten vom Phishing Urheber abgegriffen und für weitere Transaktionen oder Einkäufe seinerseits missbraucht.

Wie erkennt man eine Phishing e-Mail und eine gefälschte Website?

Eine der oben aufgeführten Institution würde niemals per e-Mail dazu auffordern, vertrauliche Daten über einen Link einzugeben! Gleiches gilt auch für die Aufforderung per Telefon oder Fax!


e-Mail:

Beispiel einer typischen Phishing-Mail:
Abbildung: Beispiel einer typischen Phishing-Mail


Website:

Beispiel einer typischen Phishing-Webseite (Auszug):
Abbildung: Beispiel einer typischen Phishing-Webseite


Wie kann man sich schützen?

Was ist zu tun, wenn man Opfer des Online-Betrugs geworden ist?

Fazit:

Eine Personal Firewall und ein Virenscanner schützen vor Phishing nicht!
Auch ist darauf hinzuweisen, dass sich die Betrüger immer neue Tricks einfallen lassen, um an die Daten der Opfer zu gelangen. Nicht nur die Phishing-Mails werden raffinierter, außerdem zu nennen sind zum Beispiel das Pharming oder die Versuche, über gefälschte Seiten von Online-Shops Daten abzugreifen. Diese Beschreibung ist daher nur eine Momentaufnahme.

Der einzige wirksame Schutz gegen Phishing ist und bleibt der gesunde Menschenverstand und eine gesunde Portion Misstrauen im Netz.

Weiterführende Links:

Identitätsklau im Internet
Phishing
Anti-Phishing Working Group
A-I3 Arbeitsgruppe Identitätsmissbrauch im Internet
BSI

- nach oben -
Letze Aktualisierung: 13.02.2006