RSA 2008: PayPal erhält neue Anti-Phishing-Strategie

Auf der Sicherheitskonferenz RSA 2008, die in der letzten Woche in San Francisco stattgefunden hat, hat der seit 2002 zu eBay gehörende Online-Bezahldienst PayPal seine Anti-Phishing-Strategie vorgestellt. Während sich PayPal in der Vergangenheit darauf konzentriert hat, den Missbrauch der Konten zu verhindern, will das Unternehmen nun auch weiter vorn in der Phishing-Kette angreifen.

Die Motivation für Phishing ist Profit. Dessen Höhe richtet nach Ansicht von PayPal nach einer einfachen Formel: P = V * R * M (V: Menge der versandten Phishing-Mails, R: Antwortrate der Opfer, M: Kontostand). Paypal hat sich bisher, nach eigener Darstellung erfolgreich, mit dem letzten Element dieser Gleichung befasst und die Plünderung der kompromittierten Konten eingedämmt. Damit konnten die finanziellen Schäden reduziert werden, die Paypal und eBay aus erfolgreichen Phishing-Versuchen entstehen.

Die Phisher haben daraufhin den ersten Faktor, die Menge der versandten Phishing-Mails, weiter erhöht, um ihre Profite zu sichern. Nach Erhebungen des Sicherheitsunternehmens Sophos betrug der Anteil der Phishing-Mails, die vorgeblich von PayPal oder eBay stammen, Anfang 2006 noch bis zu 75 Prozent. Eine der Folgen ist, dass weniger Menschen PayPal benutzen.