Phishing

Die fiesen Köder der Passwort-Fischer

06. September 2004
Das Bundeskriminalamt warnt vor so genannten Phishing-Mails. Mit ihnen versuchen Angreifer, an Passwörter und Zugangskennungen zu gelangen. Vier Wege bieten sich für CIOs an, ihre Mitarbeiter und Kunden zu schützen.

Passwort-Fischer (Phisher) sind äußerst raffiniert. Getarnt als vertrauenswürdige Instanz, beispielsweise als Bank oder Kreditinstitut, verschicken sie seriös wirkende, aber gefälschte E-Mails. Darin fordern sie Kunden dazu auf, ihre persönlichen Daten zu aktualisieren. Ein Link, der in der E-Mail bereits enthalten ist, leitet die Anwender auf eine präparierte Website mit gefälschter URL. Dort soll der arglose Nutzer vertrauliche Informationen wie Passwörter, Zugangsdaten oder Kreditkartennummern bestätigen. Phisher wollen zudem Kunden dazu bringen, die sensiblen Daten direkt per E-Mail an den vorgeblichen Sachbearbeiter weiterzuleiten.

Damit haben sie, einer aktuellen Studie des US-amerikanischen Marktforschersunternehmens Gartner zufolge, in rund 19 Prozent der Fälle Erfolg. Rund elf Millionen erwachsene US-Bürger reagierten demnach auf Phishing-Mails. Drei Prozent der Anwender gaben persönliche und finanzielle Daten an die Angreifer weiter. Alarmierend ist vor allem die wachsende Zahl dieser Angriffe. So fanden laut Gartner 76 Prozent der Attacken innerhalb der letzten sechs Monate statt, während in den sechs Monaten zuvor nur 16 Prozent der Angriffe erfolgten.

Visa und das BKA warnen vor Betrug

Auch deutsche Anwender geraten zunehmend in den Fokus der Phisher. So wurden eBay-Kunden per E-Mail aufgefordert, aufgrund eines angeblichen Wasserschadens im RechenzentrumRechenzentrum ihre Zugangskennungen zum Bezahldienst Paypal zu bestätigen. Auch Visa International warnt gemeinsam mit dem Bundeskriminalamt (BKA) Kreditkarteninhaber vor unrechtmäßigen Anfragen zu persönlichen Daten wie etwa Kartennummer, Verfallsdatum, Kartenprüfziffer oder Geheimzahlen (PIN). "Finanzinstitute, Internet-Service-Provider und andere Anbieter sollten das PhishingPhishing ernst nehmen", warnt Avivah Litan, Forschungsdirektor bei Gartner. Alles zu Phishing auf CIO.de Alles zu Rechenzentrum auf CIO.de

Zum Schutz vor E-Mails mit unerwünschten Inhalten und Phishing-Mails können Unternehmen speziell entwickelte Services nutzen, die "Managed E-Mail SecuritySecurity Services". Ein so genannter Fraud Protection Service umfasst neben der reinen Beobachtung des E-Mail-Verkehrs auch eine unmittelbare Benachrichtigung über das Auftreten von Phishing-Mails. So können sich IT-Manager rechtzeitig auf einen Angriff vorbereiten, Kunden warnen und geeignete Gegenmaßnahmen einleiten. Filter sorgen bereits hier dafür, dass Phishing-Mails erst gar nicht an das Unternehmen weitergeleitet werden. Alles zu Security auf CIO.de

Ein gezieltes Monitoring der E-Mails ermittelt idealerweise Details über Art und Ursprung eines Angriffs. Auch Register von Domain-Namen zu beobachten kann frühzeitig Hinweise auf Angriffe mit Hilfe betrügerischer Websites liefern. Im Falle eines Angriffs ist es dann möglich, in Zusammenarbeit mit der Justiz eine Schließung der Website zu erreichen. Einige Serviceanbieter überwachen für ihre Kunden inzwischen auch bekannte Chatrooms von Hackern auf erste Hinweise. Auch beim Kreditkartenproduzenten Mastercard setzt man zusätzlich zur Aufklärungsarbeit auf Prävention durch Beobachtung. So soll etwa die Suche nach typischen Mustern auf Internetseiten und in Spam-Mails Aufschluss über die Vorgehensweise der Phisher geben. Nach eigenen Aussagen lieferte ein Testbetrieb bereits nach einer Woche 74 verdächtige Internetseiten und 24 Online-Schwarzmärkte für gestohlene Kartendaten.

Zur Startseite