Sicherheitsrisiko Phishing

Malware und unerwünschte Inhalte wie Spam bringen die E-Mail-Kommunikation immer stärker in Misskredit. Nun versetzen Phishing-Mails zunehmend auch deutsche Anwender und Anbieter in Unruhe.

Der Begriff "Phishing" wurde bereits Mitte der 90er Jahre geprägt, als sich Hacker die Zugangsdaten zu AOL-Konten von arglosen Nutzern verschafften. Password Fishing (Phishing) bezeichnet den Versuch von Betrügern, in den Besitz von Passwörtern, Kreditkartennummern, Zugangsdaten und persönlichen Informationen wie Sozialversicherungsnummern zu gelangen.

Als seriöse Instanz getarnt, fordern die Phisher ihre Opfer dazu auf, persönliche Daten und Zugangskennungen zu aktualisieren oder zu bestätigen, da das Passwort erneuert werden müsse oder die Daten verloren gegangen seien. Zur Dateneingabe ist in der HTML-E-Mail meist schon ein präparierter Link enthalten, der die Nutzer auf eine gefälschte Webseite leitet, die von der echten Internet-Seite kaum zu unterscheiden ist. Dazu benutzen Phisher meist Internet-Adressen, die sich nur geringfügig von denen renommierter Unternehmen unterscheiden. Leichte Abweichungen gegenüber den gewohnten Adressen, beispielsweise .com anstelle von .de, eingeschobene Bindestriche oder "Unternehmensformen" (ebay-ag.de anstelle von ebay.de), fallen dem unkritischen Anwender meist nicht auf.

Eine weitere Möglichkeit, den Nutzer in Sicherheit zu wiegen und auf die präparierte Seite zu leiten, ist das Fälschen der Adressleiste des Browsers mittels eines Javascripts. So lassen sich viele arglose Nutzer täuschen und geben vertrauliche Informationen preis. Alternativ dazu fordern Passwortfischer Empfänger dazu auf, ihre Daten direkt per E-Mail-Antwort zu übermitteln, und auch damit haben sie in einer Vielzahl der Fälle Erfolg. "support@verify-visa.org" war beispielsweise eine dieser gefälschten Absenderadressen, mit deren Hilfe Kreditkartendaten von Visa- Kunden ausspioniert werden sollten.