"Und prompt bin ich darauf hineingefallen."

16. April 2004, 10:27
23 Postings

Passwort-Fischer lassen sich immer neue Tricks einfallen - Online-Branche fürchtet Vertrauensverlust durch "Phishing"

Spam und Viren machen den E-Mail-Verkehr schon lästig genug. Zunehmende Verbreitung findet jetzt eine weitere Seuche, die als "Phishing" bezeichnet wird. Mit diesem Kunstwort, gebildet aus "Password fishing", wird der Trick bezeichnet, mit Hilfe von gefälschten E-Mails an vertrauliche Kundendaten zu gelangen.

Opfer sind keineswegs nur vertrauensselige Zeitgenossen

Die Opfer sind keineswegs nur vertrauensselige Zeitgenossen, die sich nicht mit den Tücken im Internet auskennen. Kürzlich fiel auch der Betreiber eines Online-Geschenke-Shops in den USA, Mark Nichols, unbekannten Betrügern zum Opfer. Er erhielt eine E-Mail, deren Absender das Internet-Auktionshaus eBay zu sein schein. Darin wurde Nichols aufgefordert, einem Link zu folgen und sein eBay-Passwort zusammen mit anderen persönlichen Daten auf einer Web-Site einzugeben. Kurz zuvor war die Kreditkarte von Nichols abgelaufen, so dass er die Aufforderung zur Erneuerung seiner Daten für glaubwürdig hielt.

"Und prompt bin ich darauf hineingefallen."

"Ich dachte: 'Richtig, ich muss meinen Account erneuern'," sagte Nichols, der in Crosby in North-Dakota lebt. "Und prompt bin ich darauf hineingefallen." Zum Glück erkannte er den Betrug noch früh genug, so dass er sein Passwort schnell ändern konnte, ehe ein Schaden entstand.

Raffiniert

Die Phishing-Betrüger gehen immer raffinierter vor, um an persönliche Daten zu gelangen. So kopieren sie die echten Formulare von Web-Seiten renommierter Firmen und bauen diese in ihre eigenen ein. Zudem haben sie sich Internet-Adressen registriert, die sich nur geringfügig von diesen Firmen unterscheiden. Ein beliebter Trick ist es etwa, den Buchstaben l durch die Ziffer 1 zu ersetzen, was das flüchtige Auge so gut wie nicht erkennen kann.

Am Anfang sei Phishing nur ein betrügerisches Spiel gewesen, sagt der frühere Vorstandschef des Online-Zahlungssystems PayPal, Bill Harris. "Inzwischen hat man erkannt, dass die Sache lukrativ sein kann, und gibt sich dabei richtig Mühe."

Anti-Phishing Working Group

Die im Oktober vergangenen Jahres gebildete Arbeitsgruppe gegen Phishing (Anti-Phishing Working Group) hat im Februar 282 verschiedene Phishing-Fälle gezählt; im Januar waren es noch 176. In etwa 70 Prozent der Betrugsfälle führt die Spur nach Osteuropa oder Asien, wie der Vorsitzende der Arbeitsgruppe, David Jevans, erklärt. Aber auch in Texas läuft zurzeit ein Verfahren gegen einen 19-Jährigen aus Houston, der gestanden hat, mit Hilfe von fremden Daten online eingekauft zu haben. Ihm droht eine Haftstrafe bis zu 15 Jahren.

Vertrauensverlust bei den Verbrauchern

Für die durch Phishing entstandenen Schäden gibt es keine Schätzungen. David Jevans ist ohnehin der Ansicht, dass der Vertrauensverlust bei den Verbrauchern sehr viel schwerer wiegt und potenzielle Kunden fern hält.

Neben der Aufklärung setzen die betroffenen Firmen jetzt auch auf technische Mittel gegen Phishing. Auf Sicherheitssoftware spezialisierte Unternehmen entwickeln entsprechende Tools für Banken und Online-Händler.

"Account Guard" bei eBay

Bei eBay gibt es seit Februar eine neue Funktion für die Toolbar des Auktionsportals, eine spezielle Menü-Leiste zum Internet Explorer. Dieser "Account Guard" leuchtet grün, wenn man sich tatsächlich auf einer von eBay oder PayPal betriebenen Web-Site befindet. Bei bekannten Betrugsseiten leuchtet ein rotes Licht auf. Außerdem gibt es jedes Mal eine Warnung, wenn Kunden ihr Passwort auf einer anderen Seite eingeben wollen.

Alarm

Bei PostX wird zurzeit ein Plugin für den Browser wie für E-Mail-Programme entwickelt, das den Datenverkehr auf vier grundlegende Phishing-Verfahren kontrolliert. Das für Juni angekündigte Werkzeug schlägt Alarm, wenn etwa eine E-Mail einen Link enthält, dessen Text nicht mit der im HTML-Code eingebetteten Adresse übereinstimmt. Ähnliche Projekte sind bei Yahoo oder Microsoft in Arbeit.

Schwieriger zu bekämpfen

Phishing sei schwieriger zu bekämpfen als Spam, weil der Inhalt der Mails so täuschend echt wirke, sagt Gleb Budman von der Firma MailFrontier, deren Anti-Spam-Software jetzt auch einen Schutzmechanismus gegen möglichen Betrug enthält. Im Wettlauf zwischen Phishing und technischen Gegenmitteln haben die Betrüger aber wahrscheinlich die Nase vorn. Langfristig könnten nur Aufklärung und Wachsamkeit helfen, sagt Jeffrey Guifoyle von der Sicherheitsfirma Solutionary. "Die Technik hinkt immer hinterher." (Von Anick Jesdanun/AP)

  • Artikelbild
Share if you care.