ISS blickt auf zehn Jahre Phishing zurück

Die Betrugsmethode PhishingLexikon begeht heuer ihr zehnjähriges Jubiläum. Was 1996 zunächst mit einem „Böse-Jungen-Streich“ begann, avancierte im Laufe der Jahre zu einer hochorganisierten Form der internationalen Kriminalität. Dabei steht vor allem die finanzielle Bereicherung im Vordergrund. Demnach ist es kaum verwunderlich, dass inzwischen auch das Thema Geldwäsche im Zusammenhang mit Phishing einen neuen Stellenwert erfährt. Aber auch Unternehmen einen wirtschaftlichen Schaden oder einen Imageverlust zuzufügen, spielt bei den Aktivitäten der Internet-Kriminellen nach wie vor eine signifikante Rolle.

Anfangs nur gegen AOL

Der Begriff „Phishing“ wird erstmals geprägt, als Hacker 1996 die Zugangsdaten von AOL-Mitgliedern stehlen. Ein Jahr später greift ein Computermagazin den Terminus auf und sorgt dafür, dass dieser sich als gängige Bezeichnung für diese Angriffsform durchsetzt. In den folgenden Jahren versuchen Phisher, vorwiegend vertrauliche Daten über spezielle Newsgroups oder Internet-Diskussionsforen zu ergaunern.

Eine beliebte Methode stellen kurz darauf Keylogger-Programme dar, die in Form von Trojanern Verbreitung finden. Diese ermöglichen Hackern, Tastatureingaben ahnungsloser Nutzer mitzuprotokollieren und damit Kenntnis über Kennwörter und PIN’s zu erlangen.

Bankdaten erst im neuen Millenium

Erst im neuen Jahrtausend beginnen Phisher mit dem Massenmail- oder URL-Versand, um Anwender auf imitierte Bankseiten zu lenken und dort ihre vertraulichen Daten „abzufischen“. Doch damit nicht genug. Die Täter verfeinern ihre Methoden permanent und setzen auf immer ausgeklügeltere Techniken, um an vertrauliche Daten zu gelangen und diese für den eigenen finanziellen Profit zu nutzen. So entwickelt sich bis zum Jahr 2005 das „Pharming“.

Bei dieser auch unter der Bezeichnung „Domain-Spoofing“ bekannten weiterentwickelten Phishing-Variante kapert der Internet-Pirat eine Domain und verändert über vorhandene Sicherheitslöcher in Browsern die Originaladresse. Auch im Falle der manuellen Eingabe der richtigen Internet-Adresse landet der Anwender somit auf der gefälschten Internet-Seite. Im vergangenen Jahr tauchte mit dem „Spear Phishing“ eine weitere Betrugsvariante auf. Hierbei versenden die Täter gefälschte E-Mails gezielt an eine bestimmte Empfängergruppe - beispielsweise an sämtliche Beschäftigte eines Unternehmens - und fragen unter einem Vorwand Benutzernamen oder Kennwörter an. Erschreckend ist, dass sie dabei einen dem Opfer bekannten Absendernamen verwenden und so Vertrautheit vorgaukeln. Gehen die Angestellten ins Netz, indem sie beispielsweise auf die Nachricht antworten, beigefügte Anhänge öffnen oder auf einen angegebenen Link klicken, ist der Schaden für das Unternehmen groß.

Neues Ziel VoIP-Umgebungen

Auch vor Angriffen auf Voice-over-IP-Umgebungen schrecken Phisher inzwischen nicht mehr zurück. Denn Infrastrukturen, die das kostengünstige Telefonieren über IP ermöglichen, sind grundsätzlich den gleichen Risiken ausgesetzt wie Datennetze. Die Umwandlung von Sprachsignalen in über das Internet übermittelbare Datenpakete leistet dem Spoofing Vorschub. Somit entsteht eine neue Spielwiese für die Datenfischer, dies belegen die ersten zum Anfang des Jahres erfolgten Angriffe.

Laut ISS liegt die Erfolgsquote bei Phishing-Angriffen in Spitzenzeiten bei fünf Prozent. Somit trifft jede zwanzigste Phishing-Mail ins Schwarze. Zudem werden die Techniken, um Anwender auszutricksen, immer raffinierter. Obwohl Massen-E-Mails auch künftig an der Tagesordnung sein werden, laufen nach Aussage der Sicherheitsspezialisten vor allem gezielte Angriffe auf Unternehmen diesen künftig den Rang ab. Dabei birgt vor allem die zunehmende Migration auf VoIP-Infrastrukturen besonderes Gefahrenpotenzial. Um die Gefahr zu umgehen, einem Phishing-Angriff anheim zu fallen, empfiehlt Internet Security Systems, E-Mails mit unbekanntem Absender in gar keinem Fall zu öffnen. Zudem rät der Hersteller, niemals auf Grund einer E-Mail-Anfrage persönliche Daten preiszugeben. Unternehmen sollten auf einen umfassenden Schutz der Systeme Wert legen. (mja)