Passwortklau geht um

2. Juli 2004, 15:51
16 Postings

Die Zahl versuchter Passwort- und PIN-Diebstähle via E-Mail ist im letzten halben Jahr drastisch gestiegen

Folgendes E-Mail könnte Online-Bankkunden auch in Österreich demnächst in den virtuellen Briefkasten flattern: "Sehr geehrter Kunde, im Zuge unserer Systemumstellung vom 22. Juni 2004 ist noch ein Abgleich mit Ihren Daten notwendig, um das Onlineangebot unserer Bank nutzen zu können. Gehen Sie hierzu bitte direkt auf unsere E-Banking/Brokerage-Seite ... und folgen Sie dort den Anweisungen auf der Formularseite zum Datenabgleich.(...) Ihr Service-Team der xyz-Bank". Wer den Link anklickt, wird um Kundennummer, Passwort und persönliche Daten gefragt.

Phishing-Mail

Gleich vorweg: Bei Mails ähnlichem Inhalts handelt es sich mit ziemlicher Sicherheit um ein so genanntes Phishing-Mail. Denn, so macht etwa die Bank Austria Creditanstalt seit kurzem auf ihrer Homepage aufmerksam: Unter gar keinen Umständen werden Kunden beim Online-Banking um die Übermittlung persönlicher Daten mittels E-Mails ersucht. "Bis jetzt ist uns zwar noch kein Fall in Österreich bekannt, wir wollen mit dieser Info aber vorbeugend warnen", so BA-CA Pressesprecher Peter Thier gegenüber dem STANDARD.

Warnung

Die Warnung ist angebracht. Die weltweite Zahl dieser versuchten Passwort-und PIN-Diebstähle via E-Mail ist im letzten halben Jahr drastisch gestiegen. Hatte die englische Firma Message Labs im September 2003 nur 279 solcher Mails entdeckt, waren es im März 2004 bereits weit mehr als 215.000 Mails.

"Phishing ist ein neuer Typ von Internet-Angriffen, der sich in jüngster Zeit immer weiter verbreitet und jetzt auch im deutschsprachigen Raum massiv zum Einsatz kommt", berichtet Philipp Schaumann, Sicherheitsexperte bei Bull Austria. Das Kunstwort steht für "Password fishing". Besonders gern operieren Phisher mit Webadressen von Banken oder Telefongesellschaften.

"Der Kunde sieht das dem Link aber nur sehr schwer an, ...

Der Trick dahinter: Der in den Phishing Mails angegebene Link führt nicht zur korrekten Website, sondern zu einer anderen, identisch aussehenden. "Der Kunde sieht das dem Link aber nur sehr schwer an, weil im Rahmen des Aufbau von solchen Links Möglichkeiten gibt, die wirkliche Identität des Links zu verschleiern", erläutert Schaumann.

Verrät der Internetuser auf der getürkten Bankseite nun seinen Benutzernamen, sein Passwort oder eventuell gar noch PIN und TANs, kann sich der Phisher nach Herzens Lust von dessen Konto bedienen.

"Das beste Mittel gegen Phisher ist gesunder Menschenverstand"

Und noch eine schlechte Nachricht: Eine 100-prozentige Sicherheit gegenüber diesen hinterhältigen Betrugsversuchen gibt es nicht. "Das beste Mittel gegen Phisher ist gesunder Menschenverstand und ein konsequentes Misstrauen gegenüber unerwarteten Anschreiben von Anbietern und Unternehmen", betont Schaumann. Wenn ein solches Mail kommt, sollte man im Zweifel lieber vorher bei der Bank oder dem Telefonprovider nachfragen. Als weiteren Schutz rät er, nicht auf den Link im E-Mail zu klicken, sondern lieber den eigenen Link aus den seinen Favoriten zu benutzen.

Und last but not least: Auch Spam-Filter fischen so manches Phishing Mail aus dem E-Mail-Topf. (Karin Tzschentke, DER STANDARD Printausgabe, 23. Juni 2004)

Link

BA-CA

Share if you care.