SaferSurf.com | Fragen und Antworten zum Phishingschutz

zurück

Fragen und Antworten

Phishing-Schutz

Was versteht man unter Phishing?
Woher kommt die Bezeichnung "Phishing"?
Wie funktioniert Phishing?
Welche Arten von Phishing gibt es?
Mit welchen Methoden und Tricks werden Phishing-eMails und gefälschte Webseiten getarnt?
Wodurch erkenne ich Phishing?
Wie kann ich mich gegen Phishing schützen?
Gibt es einen 100%-igen Schutz vor Phishing?
Schadet mir eine Phishing-eMail auch dann, wenn ich sie mir nur ansehe?
Wer produziert Phishing?
Wie viel Schaden entsteht durch Phishing?
Wie hoch ist die Beute, die mit Phishing gemacht wird?
Welches sind die Ursprünge des Phishings?
Wie wird Phishing noch bezeichnet?
Welche neuen Tricks gibt es zum Abfangen persönlicher Daten?

Was versteht man unter Phishing?
Phishing ist eine spezielle Form der Internetkriminalität und bezeichnet eine Methode des Diebstahls vertraulicher Daten von Internet-Nutzern. Diese werden durch Phishing-eMails überlistet, vertrauliche Daten, z.B. ihre Zugangsdaten zu Online-Diensten oder Kontonummer, PIN und TAN für ihren Onlinebanking-Zugang, preiszugeben. Ist der Betrüger im Besitz dieser Daten, kann er im Namen seines Opfers Aktionen ausführen und so z.B. von dessen Bankkonto Überweisungen tätigen.

Woher kommt die Bezeichnung "Phishing"?
Der Begriff Phishing leitet sich von dem englischen Wort "fishing" (angeln) ab und beschreibt das Fischen nach persönlichen Daten. Die Ersetzung des Buchstabens "F" durch "Ph" lässt sich aus der Kombination der englischen Worte "password" (Passwort) und "harvesting" (ernten) erklären.

Wie funktioniert Phishing?
Phishing-Attacken beginnen immer mit dem meist massenweisen Versand von Phishing-eMails an beliebige Empfänger. In diesen seriös wirkenden Schreiben mit gefälschten Absender-Adressen werden die Empfänger unter einem Vorwand aufgefordert, beispielsweise ihre Zugangsdaten zu Online-Auktionen oder Kontonummer, PIN und TAN für ihren Onlinebanking-Zugang mitzuteilen. Da die Phishing-eMails den Originalschreiben der Dienste zum Verwechseln ähnlich sehen, deren Logos enthalten und in deren Farben gestaltet sind, sehen sie oft täuschend echt aus und der arglose Empfänger einer solchen eMail schöpft keinen Verdacht, falls er zufällig selbst gerade Kunde der betreffenden Bank oder des Online-Dienstes ist.

In den Phishing-eMails wird entweder zum Ausfüllen eines Formulars direkt in der eMail oder zum Anklicken eines Links aufgefordert, der zu einer gefälschten Webseite führt, die genau wie eine Originalseite des vermeintlichen eMail-Absenders aussieht und die ebenfalls zur Eingabe der vertraulichen Daten in ein Formular auffordert.

Folgt der ahnungslose Nutzer im guten Glauben den Aufforderungen in der eMail und gibt seine persönlichen Daten in ein solches Formular ein, werden diese jedoch nicht an den vermeintlichen Betreiber des Online-Dienstes gesendet, sondern an den Betrüger, der nun im Namen seines Opfers Aktionen ausführen kann. So kann er z.B. im Onlinebanking mit der ersten TAN Geld vom Bankkonto seines Opfers überweisen und anschließend mit der zweiten TAN die PIN ändern, sodass der Konto-Inhaber selbst keinen Zugriff mehr auf sein Konto hat und somit die Entdeckung des Betrugs möglichst lange hinausgezögert wird.

Welche Arten von Phishing gibt es?
Man unterscheidet zwei Arten von Phishing-eMails:

eMail enthält ein Formular, das zur Eingabe vertraulicher Daten auffordert
eMail enthält einen Link, der auf eine gefälschte Webseite führt, die ihrerseits zur Eingabe vertraulicher Daten in ein Formular auffordert

Mit welchen Methoden und Tricks werden Phishing-eMails und gefälschte Webseiten getarnt?
Zur Verschleierung verwenden die Phisher immer neuere und raffiniertere Methoden:

Absenderadressen der Phishing-eMails werden gefälscht.
Während fast alle in der HTML-eMail enthaltenen Farben, Grafiken und Links den Original-Schreiben oder -Webseiten der vermeintlichen Absender entnommen sind und die Links auch zu deren korrekten Webseiten führen (z.B. Homepage, Hilfeseiten, Impressum), enthält die Phishing-eMail einen Link, der zu einer völlig abweichenden Adresse, nämlich der gefälschten Seite, führt.
Die gefälschte URL, zu der verlinkt wird, stimmt nicht mit dem angezeigten Namen überein.
Die gefälschte URL, zu der verlinkt wird, wird auch angezeigt, ähnelt aber der eigentlichen Bankadresse (z.B. kleine Schreibfehler, 0=O, Buchstabendreher, "musterbank.org" statt "musterbank.de", Verwendung von kyrillischen Buchstaben).
URLs mit besonders langen und schwer zu überschauenden Servernamen werden verwendet.
Javascript Code manipuliert die Browser-URL-Anzeige.
Mit JavaScript-Grafiken wird auf den gefälschten Webseiten das Schloss-Symbol im Browserfenster vorgetäuscht.
Phishing-Seiten liegen auf eigenen verschlüsselten Webservern der Betrüger, d.h. die Seiten weisen die Merkmale der Verschlüsselung auf.

Wodurch erkenne ich Phishing?
Phishing-eMails werden immer perfekter getarnt. Während die ersten Phishing-eMails noch deutliche Anzeichen des Betrugs aufwiesen, lassen sich diese oft nur noch schwer oder gar nicht erkennen. Mögliche Erkennungsmerkmale für Phishing sind:

Der Empfänger einer Phishing-eMail soll dazu verleitet werden, persönliche Daten preiszugeben. Meist sind dies PINs und TANs von Onlinebanking-Zugängen, aber auch Zugangsdaten anderer Dienste, wie z.B. Versandhäuser oder Online-Auktionshäuser. Diese soll er in ein Formular innerhalb der eMail eintragen oder es wird durch einen Link zum Anklicken auf eine Webseite verwiesen, die ein Formular zum Eingeben der persönlichen Daten enthält.
eMails, in denen nach PIN und TAN von Onlinebanking-Zugängen gefragt wird, sind grundsätzlich gefälscht. Banken fordern ihre Kunden niemals per eMail auf, PIN oder TAN zu übermitteln.
Unter einem meist dringenden Vorwand wird der Empfänger aufgefordert, schnellstmöglich eine Handlung auszuführen.
Oft wird angedroht, bei Nichtbefolgung der Anweisung würde etwas Schlimmes oder Unangenehmes geschehen, z.B. der Zugang würde gesperrt bzw. gelöscht.
Die Anrede in Phishing-eMails ist meist unpersönlich, wie z.B. "Sehr geehrter Kunde" oder "Sehr geehrtes Mitglied".
Die ersten Phishing-eMails wiesen noch grobe Rechtschreib- oder Grammatik-Fehler auf. Inzwischen haben es die Phisher jedoch gelernt, nahezu fehlerfreie eMails zu verfassen. Mitunter werden jedoch noch ungebräuchliche Formulierungen verwendet (z.B. "eine spezielle Form ausfüllen") oder Umlaute nicht korrekt dargestellt.
Original-Zugangsseiten zum Onlinebanking werden immer SSL verschlüsselt übertragen, was in der Adresszeile des Browsers an der Schreibweise der URL zu erkennen ist, die mit "https://" beginnt. Die Angaben zum Zertifikat lassen sich abrufen (z.B. beim MS Internet Explorer durch Doppelklick auf das geschlossene Schloss am unteren Rand des Browserfensters). Fehlen die Merkmale der Verschlüsselung oder stimmen die Angaben der Zertifizierung nicht mit denen der Bank überein, ist die Seite gefälscht.
Ist dem Phisher die Täuschung gelungen und sein Opfer sendet die abgefragten Daten ab, erhält das Opfer meist statt der gewohnten Antwort-Seite seines Dienst-Anbieters mit Informationen über die korrekte Übermittlung der Daten eine Fehlermeldung, von der aus er entweder auf die korrekte Seite des Anbieters oder zurück zu einer gefälschten Seite geleitet wird.

Wie kann ich mich gegen Phishing schützen?
Prinzipiell sollte man immer misstrauisch sein, wenn man unaufgefordert auf sicherheitsrelevante Bereiche angesprochen wird. Banken und Versicherungen bitten niemals per eMail, SMS oder Telefon um die Zusendung von Kreditkartennummern, PIN, TAN oder anderen Zugangsdaten.

Auf keinen Fall sollte man zum Onlinebanking oder zum Öffnen von Webseiten anderer sicherheitsrelevanter Dienste einen Link verwenden, der in einer unaufgefordert zugesendeten eMail enthalten ist.

Die URL zum Onlinebanking oder anderen sicherheitsrelevanten Diensten sollte immer von Hand in die Adresszeile des Browsers eingegeben werden. Es ist auch möglich, die im Browser gespeicherten Lesezeichen zu verwenden, wenn diese vorher sorgfältig überprüft worden sind.

Beim Aufruf der Webseiten sicherheitsrelevanter Dienste sollte man die Verschlüsselung der Webseite prüfen. Diese lässt sich in der Adresszeile des Browsers an der Schreibweise der URL erkennen, die mit "https://" beginnt. Außerdem sollte man die Zertifikatsinformationen der HTTPS-Seiten überprüfen (z.B. beim MS Internet Explorer durch Doppelklick auf das geschlossene Schloss am unteren Rand des Browserfensters). Die Bank selbst gibt im Zweifelsfall Auskunft über die vertrauenswürdigen Instanzen, die Serverzertifikate für ihr Onlinebanking ausstellen.

Verschiedene Anbieter stellen Schutzprogramme zur Verfügung, die beim Aufrufen einer gefälschten Webseite einen Warnhinweis ausgeben oder die Seite sperren sollen. Die Zuverlässigkeit dieser Programme ist unterschiedlich. Die Computerzeitschrift "c't" hat einige dieser Programme getestet und in Ausgabe 22/2005 berichtet, dass keines der getesteten Programme einen zuverlässigen Schutz bietet.

Der Phishing-Schutz von SaferSurf setzt bereits vor dem Empfang von Phishing-eMails an. SaferSurf untersucht die gesamten eingehenden eMails bereits auf dem SaferSurf-Server, bevor die eMails den heimischen Computer erreichen. Wird eine eMail von SaferSurf als Phishing oder als mögliche Phishing-eMail eingestuft, wird sie bereits auf dem SaferSurf-Server blockiert. Der Empfänger erhält statt der Phishing-eMail nur eine Information über die Speicherung der eMail im SaferSurf-Papierkorb und kommt somit gar nicht mit dem gefährlichen Link oder dem Formular in Berührung.

Gibt es einen 100%-igen Schutz vor Phishing?
Nein. Die Entwickler von Phishing-Schutz-Lösungen können immer nur die Phishing-eMails erkennen, in denen bereits bekannte Verschleierungsmethoden eingesetzt worden sind. Die Betrüger aber denken sich immer neue Methoden aus, die die Anti-Phishing-Lösungen erst "lernen" müssen. Es ist daher trotz des Einsatzes technischer Hilfsmittel unbedingt notwendig, bei der Eingabe vertraulicher Daten Vorsicht walten zu lassen und die Empfehlungen zum Schutz gegen Phishing einzuhalten.

Schadet mir eine Phishing-eMail auch dann, wenn ich sie mir nur ansehe?
Die Phishing-eMail selbst ist nicht gefährlich. Ihre Gefahr geht immer nur davon aus, wie gut es dem Phisher gelingt, den Empfänger der eMail von ihrer Glaubwürdigkeit zu überzeugen. Erst wenn das Opfer den Aufforderungen in der eMail Folge leistet und seine Daten in das Formular eingibt oder den angegebenen Link anklickt und die Anweisungen auf der gefälschten Webseite befolgt, tritt der eigentliche Schaden ein.

Wer produziert Phishing?
Einem Beitrag in der Süddeutschen Zeitung zufolge berichten Sicherheitsfirmen, dass ca. 28 organisierte Banden gezielt Bankkonten ausspähen (Oktober 2005).

Wie viel Schaden entsteht durch Phishing?
Die finanziellen Verluste durch Phishing werden weltweit auf 400 Millionen bis 2,4 Milliarden Dollar geschätzt, mit steigender Tendenz.

Das Nachrichtenmagazin Focus berichtete, dass den deutschen Landeskriminalämtern mehr als 1000 Fälle von Kunden vorlagen, deren Bank-Zugangsdaten zu betrügerischen Überweisungen missbraucht worden waren. Der Gesamtschaden wird auf insgesamt 4,5 Millionen Euro geschätzt. Nicht berücksichtigt sind dabei die Fälle, bei denen keine Anzeige erstattet wurde (Oktober 2005).

Wie hoch ist die Beute, die mit Phishing gemacht wird?
Die Süddeutsche Zeitung berichtete im Oktober 2005, dass die Kriminellen pro Tag mehr als 1 Million Dollar durch gefälschte eMails verdienen.

Die einzelnen Überweisungen mit den gestohlenen Zugangsdaten liegen zwischen 4.000 und 12.000 Euro. Höhere Beträge werden nicht abgebucht, da bei Beträgen ab 12.500 Euro besondere Kontrollsysteme der Geldwäscheprävention greifen. Gelingt es den Tätern jedoch, mehrere TAN-Nummern abzufangen, können in mehreren kleinen Beträgen auch größere Summen von den Konten abgehoben werden.

Welches sind die Ursprünge des Phishings?
Phishing ist keine neue Erscheinung. Tatsächlich gab es unter dem Begriff "Social Engeneering" ähnliche Betrugsversuche bereits lange bevor eMail und Internet zum alltäglichen Kommunikationsmittel wurden. Hier versuchten die Betrüger auf telefonischem Weg, sich das Vertrauen der Opfer zu erschleichen und ihnen vertrauliche Informationen zu entlocken.

Die Anfänge des Phishings im Internet reichen bis zum Ende der 90er Jahre des 20. Jahrhunderts zurück. Damals wurden Nutzer von Instant Messengern, wie z.B. ICQ, per E-Mail aufgefordert, ihre Zugangsdaten in ein in der E-Mail enthaltenes Formular einzutragen. Mit den so erhaltenen Zugangsdaten konnten die Betrüger die Chat-Zugänge ihrer Opfer unter deren Identität nutzen.

Wie wird Phishing noch bezeichnet?
Für Phishing gibt es zahlreiche Synonyme und sinnverwandte Bezeichnungen:

Pishing
Spoof, Spoofing (Hereinlegen, Verschleiern)
Brand Spoofing (Markenimitation)
Fraud (Betrug, Schwindel)
Identity Theft (Identitätsübernahme)
Scam (Betrug)

Welche neuen Tricks gibt es zum Abfangen persönlicher Daten?
In engem Zusammenhang mit dem eigentlichen Phishing, dem Fischen nach Passwörtern mittels gefälschter eMails, entwickeln sich ständig weitere Methoden des Trickbetrugs:

Unter Personalisiertem Phishing versteht man, dass mit den durch einen ersten anonym gehaltenen Phishing-Angriff gestohlenen persönlichen Daten die Opfer in einem zweiten Schritt persönlich angesprochen werden, wodurch sich die Glaubwürdigkeit erhöht und die Opfer umso bereitwilliger weitere Informationen preisgeben. Gelingt es den Betrügern auf diese Weise, z.B. PINs für Kredit- oder EC-Karten zu ergaunern, ist es denkbar, auch Kredit- und EC-Karten zu fälschen.
Eine Weiterentwicklung des Phishings ist das Pharming. Hier wird der Computer des Opfers durch Schadsoftware (z.B. durch Viren, Trojaner) so manipuliert, dass auch bei korrekter Eingabe einer URL immer eine gefälschte Seite aufgerufen wird.
Eine weitere Methode ist unter der Bezeichnung "man in the middle attack" bekannt geworden. Hier übernimmt ein Hacker die Onlinebanking-Sitzung eines Bankkunden tätigt selbst Überweisungen.
Mittels bösartiger Software werden nicht nur Tastatureingaben zum Ausspionieren von Zugangsdaten aufgezeichnet ("keystroke logging"), sondern es gibt bereits Programme, mit denen die Bewegungen des Mauszeigers auf dem Bildschirm verfolgt werden ("screen scraping"), womit auch Eingaben der so genannten "virtuellen Tastaturen" aufgezeichnet werden können.

Weitere Informationen

Funktionsweise des Phishing-Schutzes von SaferSurf

SaferSurf