Mit der zunehmenden Verbreitung des Internet werden auch kommerzielle Angebote immer häufiger genutzt. Dies umfasst insbesondere den Bereich des Handels und der Dienstleistungen. Als Beispiel seien an dieser Stelle Online-Auktionshäuser und Online-Banking genannt. Nach Angaben des Bundesverbandes Deutscher Banken (BDB) nutzten Ende 2003 bereits 29 Prozent der Deutschen Online-Banking. Im Zuge solcher Entwicklungen wird jedoch auch immer wieder versucht, die neuen Möglichkeiten für kriminelle Zwecke zu nutzen. Ein Phänomen in diesem Zusammenhang ist das sogenannte Phishing.
Vielseitige Phishing-Varianten
Phishing setzt sich aus den englischen Wörtern "Password" und "Fishing" zusammen. Damit ist das "Abfischen" eines Kennwortes vom rechtmäßigen Nutzer gemeint. Phishing hat jedoch mittlerweile nicht mehr nur Kennwörter zum Ziel, sondern geht darüber hinaus. Beispielhaft zählt zum Phishing auch:
- Die Erlangung von kompletten Anmeldeinformationen (z. B. Benutzername und Kennwort)
- Die Erlangung von Account-Informationen (Bestandsdaten, wie z. B. Name, postalische Anschrift, Berechtigungen)
- Die Erlangung von Transaktionsnummern (TAN) zum Online-Banking
- sowie die Erlangung von Kreditkarten-Daten
Phishing zieht in den meisten Fällen Folgehandlungen nach sich. So werden die erlangten Daten genutzt, um sich in geschützte Online- Bereiche einzuloggen, Überweisungen zu Lasten fremder Konten zu tätigen oder mit den Kreditkarten-Informationen online Bestellungen zu tätigen. Teilweise werden die erlangten Daten auch verkauft.
Allein im März: 200.000 Phishing-Mails registriert!
Die Daten werden durch eine Täuschung vom rechtmäßigen Nutzer erlangt. Bei der Herausgabe der Daten erkennt dieser nicht, dass diese in Wahrheit an den "Phisher" geleitet werden, sondern ist in der Annahme, sie würden an das ihm vorgegaukelte Ziel (z. B. den Server seiner Bank) gesendet. Die Zunahme dieses Phänomens zeigt sich daran, dass nach Angaben des Deutschen Sparkassen- und Giroverbandes allein im März 2004 200.000 sogenannter Phishing-e-Mails registriert wurden, wohingegen es im Jahr zuvor gerade mal 300 waren. In Hessen wurden im aktuellen Jahr bereits Phishing-Aktionen zum Nachteil der Kunden von ebay, Citibank, U. S. Bank und Visa bekannt.
Um besser verstehen zu können, wie Phishing funktioniert, wird nachfolgend die am häufigsten vorkommende Variante dargestellt. Dabei wird der Betroffene zur Eingabe der Daten auf einer Webseite verleitet. Diese werden anschließend an den Täter gesendet, ohne dass das Opfer dies bemerkt. Zunächst einmal muss das Opfer dazu veranlasst werden, diese Webseite zu besuchen. Dies geschieht oftmals über eine e-Mail, die er erhält. In dieser e-Mail steht möglicherweise, dass aufgrund eines technischen Problems die Benutzerdaten gelöscht wurden und man doch bitte eine Webseite im Internet besuchen solle, um seine Daten zu verifizieren.
In der e-Mail ist der Link bereits enthalten, der zu dieser Seite führen soll. Dieser Link führt auch scheinbar zu der Internet-Präsenz des Unternehmens, in Wahrheit aber leitet er auf eine falsche Webseite. Folgt man dem Link, so gelangt man auf die vom "Phisher" eingerichtete Webseite. Sie ist so gestaltet, dass der Besucher den Eindruck hat, er befinde sich auf der Webseite des Unternehmens, welches ihm angeblich die e-Mail geschrieben hat. Nach Eingabe der Daten und Betätigen einer Schaltfläche werden die Daten dann nicht, wie der Nutzer etwa annimmt, an den Server der Firma geschickt, sondern an den "Phisher" geleitet. Eine andere Variante ist, dass nun eine Webseite angezeigt wird, die dem Nutzer einen erfolgreichen Login vortäuscht und ihn zur Eingabe seiner Account-Daten (Bestandsdaten, Kreditkarten-Informationen, Bankverbindungen etc.) auffordert. Hat er dies getan, so werden diese Daten dann ebenfalls zum "Phisher" übertragen.
Zur Verhinderung von Phishing sind einige Verhaltensregeln zu beachten:
- Erhält man e-Mails, die zum Besuch einer bestimmten Seite auffordern, sollte man grundsätzlich misstrauisch sein. Die Banken weisen übrigens immer wieder darauf hin, dass sie nicht per e-Mail zur Preisgabe von sensiblen Daten auffordern.
- Stammt eine e-Mail angeblich von einem Unternehmen, mit dem man in Ge-schäftsverbindung steht, sollte zur Verifizierung Kontakt mit diesem (z. B. durch Telefonanruf, Besuch der Webseite etc.) aufgenommen werden. Man sollte auch prüfen, ob der Inhalt der e-Mail plausibel erscheint.
- Wer über eine Anmeldeseite (Eingabe von Kennung und Kennwort) Online-Banking oder andere Dienstleistungen nutzt , sollte die Adresse nicht über einen Link,sondern selbst im Browser eingeben oder die Seite über ein selbst erstelltes Lesezeichen im Browser aufrufen.
- Viele Dienstleister im Internet bieten verschlüsselte Übertragung und weitere Sicherheitsmechanismen an. Diese Möglichkeiten sollten genutzt werden.
Um zu verhindern, dass durch Schadens-Programme Daten auf dem Rechner des Nutzers ausgespäht werden, ist zusätzlich zu empfehlen:
- Das Betriebssystem und die verwendeten Programme sind auf dem aktuellen Stand zu halten.
- Es sollte ein Virenschutz-Programm verwendet und regelmäßig aktualisiert werden.
- Sensible Daten sollten für Unbefugte unzugänglich aufbewahrt werden. Dies gilt auch auf der Festplatte. Sie sollten daher möglichst nicht oder nur verschlüsselt auf der Festplatte gespeichert werden.
|
