Die Betrugsmethode Phishing (Password Fishing) mit immer neuen Facetten und Namen fischt Passwörter ab und spioniert durch das Einschleusen von Schädlingen Computer aus. Im Jahr 2007 gab es laut BITKOM 4.100 Fälle mit 19 Millionen Euro Schaden durch Phishing. Die jüngste Phishing-Welle am vergangenen Montag zeigt deutlich: Internetbetrüger wollen massiv an unsere Daten.
Die Machenschaften der Cyberkriminellen
Die Tricks, mit denen Phisher locken, sind vielfältig und werden nach Erkenntnissen des Branchenverbandes der deutschen Informations- und Telekommunikationsbranche BITKOM immer raffinierter.
Durch plausibel scheinende Gründe bringen Cyber-Kriminelle Internetnutzer in fingierten E-Mails dazu, per Link gefälschte Websites zu besuchen. Oder sie argumentieren, Bankzugangsdaten müssen überprüft werden, eine Datenaktualisierung stehe an, die Gültigkeitsdauer der Kreditkarte sei abgelaufen, das Passwort müsse erneuert werden, das Konto wurde belastet u. v. m.
Perfekte Täuschung
Die Mails mit seriöser Aufmachung erwecken den Eindruck, dass sie von einer vertrauenswürdigen Stelle stammen (links: Abbildung einer Phishing-Mail von “ebay” aus 2006). Besucht der Empfänger die gefälschte Website und gibt dort in ein Formular vertrauliche Daten ein, merkt er vom Betrug in der Regel zunächst nichts. Die getarnten Internetseiten haben oftmals das gleiche Aussehen wie die Originalseiten, sie sind also nur sehr schwer als Fälschungen erkennbar.
Die Täuschung wird perfekt, wenn in der Adressleiste des Browsers per Java-Script die Anzeige der vermeintlich korrekten Internetadresse (URL) erzwungen (URL-Spoofing) wird. Oder aber der Phisher benutzt eine der echten sehr ähnlich lautende URL. Durch solche Tricks wähnt sich der Internetnutzer natürlich auf der “sicheren Seite”. Wenn persönliche Informationen wie Kreditkartennummern oder Bankzugangsdaten missbraucht wurden, ist man möglicherweise einem Phisher ins Netz gegangen.
Ein aktuelles Beispiel
Es ist der 24. November 2008. Bei der Bielefelder Firma Regel Inkasso GmbH & Co. KG klingeln die Telefone in einer Tour. Anfragen über Anfragen nach dem Motto “Wir haben eine E-Mail von Ihnen erhalten” stören den Geschäftsablauf. Kein Wunder, es geht um die Summe von 3626 Euro, mit der angeblich das Konto des Mail-Empfängers belastet worden ist. Doch in Wirklichkeit ist Regel Inkasso nicht der Absender der Phishing-Mail.
Die Nachricht enthält die Anschrift und Steuernummer der Inkasso-Firma, um einen authentischen Eindruck zu vermitteln. Der Mailtext fungiert als Anreißer, den Anhang der Mail doch unbedingt zu öffnen. Zweck der Mail ist es, einen Schädling ins System zu bringen. An Bord der Phishing-Mail im Beispiel ist PAK_Generic.001- ein Schadprogramm vom Typ Wurm. Er nistet sich in der Registrierung der Betriebssysteme Windows 98, ME, NT, 2000, XP, Server 2003 ein, um bei jedem neuen Systemstart ausgeführt zu werden.
Er infiziert keine anderen Programme, wie etwa klassische Computerviren, sondern verändert sich, indem er ständig neue Mechanismen aus dem Internet nachlädt. Der Wurm selbst hat nur eine Lebensdauer von wenigen Stunden, ersetzt sich aber permanent durch neue Varianten. Der Schädling schlägt zu, wenn Nutzer beispielsweise beim Online-Banking vertrauliche Daten eingeben, oder er leitet sie auf gefälschte Webseiten um, modifiziert Konto-Empfänger, Summe u. ä. Das BAK identifiziert noch ein anderes Phänomen: “Im Fokus der Täter steht nicht mehr nur das Online-Banking. Sie greifen umfassend individuelle Zugangsdaten von Internetnutzern und deren Accounts ab. Abgestimmt auf die erlangten Daten passen die Täter dann ihre “Geschäftsmodelle” an, z. B. in einem bekannt gewordenen Fall auch zur Manipulation von Aktienkursen (“Phishing all inclusive”).”
Im oben geschilderten Fall der Inkasso-Firma konsultierte die Geschäfsführerin ihren Anwalt. Eine Strafanzeige sei zwingend, um ggf. Geld zurückzufordern, kommentiert Christian Spahr von BITKOM. “Polizei und Staatsanwaltschaft können mit der strafrechtlichern Verfolgung nur beginnen, wenn eine Anzeige vorliegt.” Das bestätigt auch die Pressessprecherin des BKA, Sandra Clemens. In diesem Zusammenhang verweist sie auf einen wichtigen Hinweis in einer Pressemeldung: “Das Bundeskriminalamt warnt vor neuen Tricks, mit denen im Internet agierende Betrüger unbescholtene Bürger ohne deren Wissen zu Mittätern machen. Im Rahmen vorgetäuschter legaler Geschäftsaktivitäten wird die Gutgläubigkeit der Betroffenen ausgenutzt, um Gelder, die von ausgespähten Onlinekonten abgezweigt wurden, ins Ausland zu verschieben.”
Soweit die rechtliche Möglichkeit. Tatsächlich ist eine Verfolgung des Schädigers von sehr vielen Umständen abhängig und führte in der Vergangenheit zu einigen wenigen Fahndungserfolgen bei steigendem Phishing-Aufkommen. Der Rostocker Rechtsanwalt Johannes Richard vermutet, dass die Phisher vom Ausland aus agieren. Der Experte für Internetrecht spricht von organisierter Kriminalität. Viel Hoffnung macht er Phishing-Opfern daher nicht, die eigentlichen Verursacher der Phishing-Attacken zu finden und zu bestrafen. Die Verfolgung gestaltet sich auch deshalb schwierig, weil Mittelsmänner zwischengeschaltet werden.
“Es muss eine Kombination aus Schutzmaßnahmen geben.”
(Christian Spahr, BITKOM)
Jeder Internetbenutzer kann zum Phishing-Opfer werden. Auch Firmen sind betroffen, in deren Namen die Betrüger auftreten. Dadurch erleiden Unternehmen einen nachhaltigen Image-Schaden. Durch den Einsatz von starken Authentifizierungssystemen können beispielsweise Banken ihre Kunden vor dem Abfischen schützen.
Christian Spahr von BITKOM rät, sich bei seiner Bank nach den neuesten Sicherheitsmethoden zu erkundigen und nennt als Beispiel das iTAN-Verfahren. Auch der Verbraucher selbst sei in der Pflicht: Virenscanner, regelmäßige Updates des Betriebssystems und der Einsatz einer Firewall seien zwingend erforderlich.
“Identitätsdiebstahl und Online-Betrügereien werden auch durch das Fehlverhalten mancher Anwender begünstigt”, meldet das IT-Unternehmen Sophos. Auf jeden Fall gilt: Misstrauisch sein! Lieber zweimal hinschauen und nicht auf Lock-E-Mails antworten. Seriös arbeitende Banken und Firmen fragen keine sensiblen Daten per Webformular ab. Wenn man doch geneigt ist, die “verlockende” Internetseite zu besuchen, dann nicht über den Link in der gefälschten Mail. Sicherheitshalber tippt man die URL per Hand ein.
Vor Lock-E-Mails wie im Beispiel schützen Antivirenprogramme. Sie erkennen Schädlinge in Mails, sofern der Internetnutzer regelmäßig, am besten täglich, die Virenbibliothek aktualisiert. In der Regel machen das die Programme automatisch und löschen Viren beim Postempfang aus der Nachricht. Hersteller von Antivirenprogrammen publizieren bekannte Schädlinge auf ihren Websites. Neben kostenlosen Programmen hat sich Software bekannter Hersteller bewährt.
Bild: Alarm der Internet Security von Trend Micro
Wer keinen Virenscanner auf dem PC installiert hat, kann sich im Akutfall über das Internet helfen lassen: Trend Micro bietet einen kostenlosen HouseCall auf der Internetseite http://housecall.trendmicro.com/de/ an, den man zusätzlich zur eigenen Software oder separat einsetzen kann. Um den PC scannen zu lassen, muss der User ActixeX aktivieren und Java VM installieren. Am Ende des Suchvorgangs kann der Nutzer entscheiden, ob er die vorgeschlagene Maßnahme durchführen lassen will. Mit Sicherheit wird er der Säuberung zustimmen.
Internetnutzer sollten neben dem Internet Explorer auch andere Browser einsetzen, z. B. Firefox oder Opera. Für alle Programme gilt: regelmäßig updaten, um die Schwachstellen zu beheben.
Das Deaktivieren der Java-Script-Funktion schützt nicht vor allen Phishing-Angriffen und verhindert zudem, dass viele andere Internetseiten nicht korrekt angezeigt werden.
Hilfreich sind Tools zur Identifizierung der Webseiten: Kostenlose Programme wie beispielsweise Spoof Stick und die Anti-Phishing Bar zeigen direkt an, auf welcher Webseite der Internetnutzer momentan tatsächlich surft. Die Anti-Phising Bar ist Freeware, d. h. Privatpersonen sowie Firmen dürfen das Programm kostenlos verwenden und auch selbst zum Download anbieten. Unter http://www.securityinfo.ch/antiphishingbar.html#download steht die Anti-Phishing Bar zum Herunterladen bereit.
Differenzierte Informationen, insbesondere für Netzwerkadministratoren, veröffentlicht das IT-Unternehmen Sophos auf seiner Internetseite http://www.sophos.de/security/analyses/viruses-and-spyware/w32tilebothn.html. Unter “Sicherheit” finden auch Privatanwender Hinweise zu aktuellen Bedrohungen.
Auch das “Bundesministerium für Sicherheit in der Informationstechnik” informiert ausführlich über Computer-Viren, Internet-Würmer, Trojanische Pferde, Hoaxes, Dialer und Spam unter: http://www.bsi.bund.de/av/index.htm und bietet unter http://www.bsi-fuer-buerger.de/ noch viel mehr Tipps zu Themen rund um das Internet an.
In einigen Ländern haben sich freiwillige Firmen zur Anti-Phishing Working Group zusammengeschlossen. Auf ihrer Internetseite (www.antiphishing.org) kann man Phishing-Mails melden: reportphishing@antiphishing.org. Ein monatlich erscheinender Report der Anti-Phishing Working Group gibt erschreckende Zahlen über Phishing-Aktivitäten preis.
Das Wettrüsten von Banken und IT-Unternehmen auf der einen und von Cyber-Kriminellen auf der anderen ist in vollem Gange: Rainer Link, Senior Security Specialist Anti-Malware, CTO Office, Trend Micro Deutschland GmbH weiß aus seiner täglichen Arbeit: “Die Bedrohungslandschaft verändert sich.” “Die Vielfalt und Anzahl an Cyberattacken werden weiter zunehmen – getrieben von organisierten Kriminellen, die sich über infizierte Rechner Zugang zu Informationen, Identitäten und Daten verschaffen wollen”, blickt die Firma Sophos ins Jahr 2009.
Die nächste Phishing-Welle kommt bestimmt. Darauf sollten wir vorbereitet sein.
*****
Diesen redaktionellen Artikel können Sie im Media-Shop für Ihre Publikation zur Zweitverwertung erwerben.
Trend Micro meldet zum Thema Phishing am 03.12.2008 Folgendes: “Das Rennen um die amerikanische Präsidentschaft ist beendet, aber für Cyberkriminelle ist das Thema noch lange nicht ausgereizt. Leser werden mit unterschiedlichsten “Meldungen” geködert: Obama will Beziehungen zu Kuba und Venezuela verbessern, McCain zwingt Obama zum Rücktritt und – besonders abwegig – Barack Obama ist eine Frau. Nachrichtentexte, Betreffzeilen und verlinkte Web-Seiten wechseln schnell.
Neugier kann schlimme Folgen haben: Leser der fingierten Meldungen gelangen per Link auf Webseiten, die angeblich ein Video zum Thema zeigen. Zur Darstellung des Films soll der Anwender lediglich einen aktualisierten Adobe Flash Player oder anderen Media Player installieren. In Wirklichkeit lädt der Anwender ein Schadprogramm und infiziert damit seinen Rechner selbst.
Einige Meldungen führen aktuell auch zu den gefälschten Seiten einer kanadischen Online-Apotheke. Nach Erkenntnissen von Trend Micro steckt hinter einem Teil der Angriffe die gleiche Gruppe, die im Oktober durch gefälschte Nachrichten der deutschen Direkt Anlage Bank aufgefallen ist. Über das Trend Micro Smart Protection Network werden die dubiosen Webseiten blockiert, sodass Trend Micro Kunden weltweit gar nicht erst mit den Angriffen in Berührung kommen.” und
“Laut den Experten von Trend Micro ist eine neue Malware aufgetaucht, die speziell auf das Apple Macintosh Betriebssystem OS X zugeschnitten ist. Die Verbreitung OSX_LAMZEV.A erfolgt beim Zugriff auf manipulierte Webseiten oder durch direkte Installation auf dem System. Bei der Malware handelt es sich um eine Backdoor, die sich beim Systemstart automatisch aktiviert und Angreifern unter Umständen den Fernzugriff ermöglicht.
Malware für das Macintosh Betriebssystem ist immer noch relativ selten, aber die Zahl wächst kontinuierlich. Apple-Anwender sollten sich daher nicht in einem falschen Gefühl der Sicherheit wiegen. Das Trend Micro Smart Protection Network erkennt OSX_LAMZEV.A und stellt Anleitungen für die Entfernung bereit”