Phishing

20.03.2007
01/2007
  • Unternehmen

Mussten der Posträuber Ronald Biggs und seine Komplizen damals im Jahre 1963 den Zug Glasgow–London noch unter erheblicher Anstrengung selbst überfallen, erledigen Geldräuber von heute ihre Coups ganz bequem vom Schreibtisch aus. Mittels sogenannter Phishing-Mails schaffen es moderne Gangster, dass Anwender vertrauliche Daten wie Kennwörter, Kontonummern und Zugangsdaten den Betrügern freiwillig in die Hände spielen.

Was ist Phishing?

Phishing ist ein Kunstwort, zusammengesetzt aus «Password» und «Fishing». Damit wäre auch klar, um was es eigentlich geht: ums Fischen nach Kennwörtern und anderen vertraulichen Zugangsdaten. Mithilfe gefälschter und betrügerischer Mails versuchen die Absender, dem User persönliche Informationen wie Kennwörter, Kontoinformationen, Kreditkartennummern oder andere persönliche Daten zu entlocken, indem sie ihm falsche Tatsachen vorspielen. Technisch wenden die Täter dazu hauptsächlich folgenden Trick an:

In massenhaft versandten Phish­ing-Mails fordern sie mit plausiblen Gründen die Empfänger auf, ihre Zugangsdaten durch erneutes Eintippen zu bestätigen und dazu den in der HTML-formatierten E-Mail verzeichneten Link anzuklicken. Sei es wegen einer angeblichen technischen Umstellung auf ein neues System oder dass der Empfänger eine vermeintliche Falschbuchung rückgängig machen soll. Weder Absenderadresse noch der in der E-Mail angegebene Link lassen erkennen, dass es sich hierbei um raffinierte Fälschungen der Betrüger handelt, die nicht von dem jeweiligen Unternehmen stammen und auch nicht auf eine ihrer Webseiten verweisen.

Opfer, die den Link anklicken, landen stattdessen auf einer spe­ziell präparierten Website, die der echten zum Verwechseln ähnlich sieht. Auf die dort hinterlassenen Daten haben die Betrüger nun direkten Zugriff und können diese zum Beispiel verwenden, um Geldtransaktionen zu tätigen.

Wie funktioniert Phishing?

1. Die Betrüger kopieren exakt das Layout einer Website und programmieren den Code so, dass die eingegebenen Daten an sie selbst übermittelt werden. Die Site wird irgendwo im Internet gespeichert, unter Umständen auf einem gehackten Server, dessen Betreiber davon nichts weiss.

2. In Massenmails werden Empfänger zur Eingabe persönlicher Daten aufgefordert. Die Schreiben imitieren ebenfalls den offiziellen Stil der nachgebauten Website. Der Link in der Mail führt zum gefälschten Webauftritt.

3. Unvorsichtige Empfänger kommen der Aufforderung nach, klicken auf den angegebenen Link im E-Mail und tragen ihre Daten auf der gefälschten Website ein.

4. Von der gefälschten Website werden die Eingaben zu einem Postfach gesendet, welches die ­Betrüger bei einem Gratismail­service angelegt haben.

5. Mit den erbeuteten Daten verschaffen sich die Betrüger Zugang zu Konten auf der originalen Site und tätigen dort Überweisungen.

Was können Sie tun?

Grundsätzlich gilt: Geben Sie in keinem Falle vertrauliche Daten preis, wenn Sie per E-Mail dazu aufgefordert werden, sondern setzen Sie sich stattdessen im Zweifelsfall direkt mit dem jeweiligen Unternehmen in Verbindung. Auf diese Weise lassen sich Phishing-Mails meist direkt entlarven.

Für den Besuch einer Website, auf der vertrauliche Informationen abgefragt werden, sollten Sie niemals einem Link folgen, der sich in einer E-Mail versteckt. Weitaus sicherer ist es, die gewünschte Webadresse direkt im Adressfeld des Webbrowsers einzutippen oder einen Favoriteneintrag zu erstellen, der Sie zweifelsfrei zur gewünschten Website führt.

Die wohl wichtigste Grundregel ist jedoch, ein gesundes Mass an Misstrauen walten zu lassen. Seriöse Unternehmen fordern ihre Kunden niemals dazu auf, vertrauliche Informationen wie Zugangsdaten, PIN und TAN preiszugeben, weder telefonisch noch online per E-Mail.