Phishing per e.mail

Phishing per e.mail ist eine der bekanntesten Methoden von Internetbetrügern, um an persönliche Daten heranzukommen, vorzugsweise an die Kontodaten der Empfänger. Trotz aller Warnungen fallen noch immer Opfer auf den Betrug herein. Schuld daran ist auch die Perfektionierung der Phishing-Attacken.

Die vertrauliche e.mail von der Bank

Phishing per emailPhishing-Betrüger versenden e.mails im Namen eines Geldinstitutes. Dabei tun sie alles, um dem Design des Unternehmens täuschend ähnlich zu sehen. Die e.mail selbst trägt Firmenfarben und Logo der Bank. In der Nachricht werden scheinbar plausible Gründe angeführt, welche die Eingabe persönlicher Daten erforderlich machen. Makabererweise sprechen die Betrüger hier gern von Verbesserungen im Sicherheitssystem, die eine Neueingabe von Kundendaten erforderlich machen. Erfragt werden sensible Daten wie Kontonummer, Passwort, Pin-Code und möglichst gleich mehrere Transaktionsnummern (TAN). Um die Eingabe wird dann auf einer gesonderten Internetseite oder einem entsprechenden e.mail-Anhang gebeten.

Die vertrauliche e.mail von einem Freund oder einer bekannten Institution

Neben phishing-mails, welche scheinbar direkt von der Bank kommen, hat sich noch eine andere Form des phishings entwickelt. Hier können e.mails zum Beispiel von anderen Organisationen kommen, etwa der Universität oder einer Firma, die um die Angabe von sensiblen Kontodaten bitten. Die Betrüger haben sich dabei fremde e.mail-Identitäten angeeignet, bzw. täuschen diese vor, um über eine scheinbare Autoritätsperson (z.B. die Universitätsleitung) das Vertrauen der Empfänger zu gewinnen. Diese Methode wird oft im Zusammenhang mit dem spear-phishing angewendet. Hier werden Empfängergruppen angezielt, bei denen die Wahrscheinlichkeit für ein bestimmtes Opferprofil besonders hoch ist. (so hat z.B. die Mehrheit von Studenten ihr Konto bei der örtlichen Sparkasse)

E.mail vom Bezahlsystem

Neue Phishing-Attacken zielen auf die Nutzer von Internetbezahlsystemen wie PayPal oder Click and buy ab. Beim verschlüsselten Bezahlsystem hat man die eigenen Kontodaten sowie spezielle Zugriffsberechtigungen hinterlegt. Internetbetrüger versuchen nun über phishing an die Zugangsdaten zu diesem Konto zu gelangen. Anfragen, in denen Sie um Kontonummern und Zugangsdaten zu dem von Ihnen genutzten Bezahlsystem gebeten werden, sollten Sie deshalb niemals beantworten. Ein besonderer Trick ist zum Beispiel die Aufforderung, geringe Cent-Beträge auf ein bestimmtes Konto zu überweisen, um das Benutzerkonto erneut zu validieren. Man kennt diese Mini-Betrag-Überweisung noch von der Eröffnung des Kontos und ist versucht, an die Aufforderung zu glauben, doch dahinter steckt Betrug. Die Bezahlsysteme würden Sie niemals ein zweites Mal auffordern, die Gültigkeit Ihres Kontos zu beweisen.

Internet-Seiten, die nur fast professionell sind

Folgt der gutgläubige Empfänger nun der Aufforderung in der e.mail und klickt auf den angegebenen Link, so öffnet sich ein Internetauftritt, der dem Auftritt der Bank oder des Bezahlsystems äußerst ähnlich sieht. Gibt er die erfragten Daten in die vorgegebenen Felder, ist den Betrügern der Zugang zum eigenen Konto eröffnet. Im wirklichen Leben käme eine solche Eingabe dem freiwilligen Öffnen der Handtasche für Taschendiebe gleich. Wer auf diese Weise Geld verliert, kann nicht einmal mit einem Schadensersatz durch seine Hausbank rechnen. Denn die warnt eindrücklich davor, Pin-Codes und TANs an Dritte weiterzugeben.

Dass dennoch immer wieder Leute auf diesen Trick hereinfallen, hat vor allem mit dem scheinbar perfekten Internetauftritt zu tun. Doch so perfekt ist er meistens auch nicht, man muss allerdings sehr genau hinschauen. Manchmal lassen sich Rechtschreibfehler entdecken, die einem seriösen Bankunternehmen nie unterlaufen würden. Hilfreich ist es, sich die URL im Webbrowser genau anzuschauen. Hier können sich mit merkwürdigen Begriffen bereits Verdachtsmomente für eine Fälschung befinden. Seriöse Seiten haben außerdem stets das Symbol für einen SSL-Schlüssel in der Adressleiste (siehe unten).

Automatische Weiterleitung auf Phishing-Seiten durch Würmer

Eine besonders hinterhältige Methode, Bankkunden auf gefälschte Internetseiten zu lotsen, ist der Einsatz von Würmern. Durch das unbedachte Anklicken einer phishing-mail kann der Zugang zu einer gefälschten Bankseite automatisch aktiviert werden. Ist die Verbindung zur falschen Seite einmal hergestellt, öffnet sich diese auch dann, wenn man eigentlich die Original-Website aufrufen will. Auf diesen Trick können selbst die vorsichtigsten Benutzer hereinfallen. Solche Phishing-Attacken sind zwar meist nur wenige Stunden wirksam und werden von den Banken in der Regel schnell entdeckt und weltweit beseitigt. Dennoch, eine gewisse Wahrscheinlichkeit, das nächste Opfer zu werden, bleibt. Die folgenden Hinweise sollten daher stets beachtet werden.

SSL-Schlüssel für sichere Seiten

Internetseiten, über die Geldverkehr abgewickelt wird, unterliegen wesentlich höheren Sicherheitsstandards als normale Internetseiten. Dazu gehört zum einen der Zugang über ein eigenes Passwort und persönliche Transaktionsnummern, zum anderen muss die Seite selbst Sicherheitsstandards entsprechen, die extra gekennzeichnet werden. Dies wird derzeit durch das SSL-Zertifikat gewährleistet, welches bestätigt, dass der gesamte Datentransfer in verschlüsselter Form abläuft.
Zertifizierte Seiten zeigen in der Adressleiste des Browsers auf der rechten Seite das Symbol eines Vorhängeschlosses. Bei gefälschten Internetseiten fehlt dieses Symbol häufig in der Adressleiste, oder es befindet sich einfach mitten auf der Seite, wo es jedoch keine Bedeutung hat.

Doch selbst wenn es Betrügern gelingt, das kleine Schlosssymbol in die Adressleiste zu schmuggeln, reicht das noch nicht aus. Echte, von verisign zertifizierte Seiten färben sich neben dem Schlüsselsymbol grün (bei manchen Browsern auch gelb) Erst diese Einfärbung der Adressleiste ist ein verlässliches Anzeichen für die Sicherheit der Seite.
Wie die Verschlüsselung Ihrer Daten im SSL-Verfahren funktioniert, erfahren Sie beim Zertifikatverleiher „Verisign“.
http://www.verisign.de/

Checkliste: Anzeichen für Phishing-Seiten

Und hier noch einmal alle Merkmale, an denen man eine Phishing-Seite erkennt:

  • Der Benutzer wird aufgefordert, sensible Daten (Kontodaten, Pincode, i-TAN) einzugeben. Die Aufforderung kann mit angeblichen Sicherheitsmaßnahmen begründet oder mit einer Warnung bzw. Drohung verbunden sein (z.B. bei Nichteingabe wird Konto gesperrt)
  • Bei genauem Hinsehen befinden sich Rechtschreibfehler auf der Seite
  • Die URL in der Adressleiste enthält merkwürdige Buchstaben und Zeichen
  • Das Symbol für den SSL-Schlüssel in der Adressleiste fehlt
  • Das SSL-Symbol ist vorhanden, aber die Adressleiste färbt sich nicht grün (bzw. gelb wie bei Google-chrome)

Verisign hat eine beeindruckende Online-Demonstration ins Netz gestellt, um den Blick für Phishing-Seiten zu schärfen. Testen Sie sich selbst! Nach diesem Kurzlehrgang dürften Sie kaum noch auf Phishing-Betrüger hereinfallen.
https://www.phish-no-phish.com/de/default.aspx

Checkliste: Schutz gegen Phishing von Bankdaten

  • Geben Sie niemals Pin-Codes, iTANs und Passwörter über e.mail oder Internet preis. Kein seriöses Geldinstitut würde sie jemals um die Bekanntgabe Ihrer Geheimzahlen bitten!
  • Bevor Sie Ihre Kontodaten für einen Bezahlvorgang freigeben, prüfen Sie die Internetseite nach Phishingmerkmalen (siehe oben)
  • Achten Sie bei Transaktionen immer auf das Schlüssel-Symbol und die Einfärbung der Adressleiste
  • Klicken Sie niemals auf einen fremden Link, um auf die Internetseiten Ihrer Bank zu kommen, im Idealfall gibt man die URL der Hausbank per Hand ein
  • Verwenden Sie Antivirusprogramme und achten Sie darauf, dass diese stets aktiviert sind. Phishingattacken sind Spam und werden in den meisten Fällen als solcher erkannt. Microsoft bietet außerdem einen zusätzlichen Phishing-Filter an http://www.microsoft.com/germany/protect/products/yourself/phishingfilter.mspx

Links zum Thema Web-Sicherheit

  • Link zur Webseite von www.buerger-cert.de

    Das Bürger-CERT informiert und warnt Bürger schnell und kompetent vor Viren, Würmern und Sicherheitslücken in Computer- anwendungen.

  • Link zur Webseite von www.onlineschutz.org

    Onlineschutz.org ist ein nicht kommerzielles Projekt, welches sich zum Ziel gesetzt hat, Computerlaien das Thema Internet-Sicherheit näher zu bringen und ihm bei Problemen zu helfen.

  • Link zur Webseite von www.sicher-im-netz.de

    Der Verein 'Deutschland sicher im Netz e.V.' versorgt Verbraucher mit Informationen zu sicherheits- relevanten Themen und bietet direkte Schutzmaßnahmen an.