[Sicherheit] Ausgespäht: Phishing-Attacken werden immer fieser

13. Oktober 2010 | by Denise Kohmann

Firefox 2.0 anti-phishing von Andrew*.

Eine mit Rechtschreibfehlern gespickte und unprofessionell aufgemachte E-Mail: So sahen früher Phishing-Angriffe aus, mit denen Betrüger beispielsweise Kontodaten von Internet-Nutzern ausspähen. Inzwischen haben die Kriminellen im Internet aufgerüstet. Die Phishing-Angriffe im Netz werden immer perfider und kommen in den seltensten Fällen noch per E-Mail.

Eine Mischung aus technischen Sicherungen und gesunder Skepsis kann vor den trickreichen Angriffen schützen. Im Jahr 2008 gab es zunächst eine positive Entwicklung. Recht deutlich ging die durch Phishing erbeutete Schadensumme laut Bundeskriminalamt von 17,4 auf 7,0 Millionen Euro zurück. Als Grund für den Rückgang vermutet BITKOM-Sprecher Christian Spahr die stärkere Verbreitung des iTAN-Verfahrens, bei dem der Nutzer eine per Zufall ausgewählte Transaktionsnummer (TAN) aus einer Liste eingeben muss. «Aber natürlich haben die Kriminellen inzwischen aufgerüstet und auf diese zusätzlichen Sicherheitsvorkehrungen reagiert», sagt der Sprecher des Bundesverbands Informationswirtschaft, Telekommunikation und neue Medien (BITKOM) in Berlin.

Tatsächlich dauerte der Rückgang nicht an. Im vergangenen Jahr stieg der Schaden durch Phishing wieder an – um mehr als 64 Prozent auf rund 12 Millionen Euro. Insgesamt gab es laut offizieller Statistik des Bundeskriminalamts (BKA) im vergangenen Jahr rund 2900 angezeigte Phishing-Fälle in Deutschland. Für das laufende Jahr rechnen BITKOM und BKA sogar mit bis zu 5000 angezeigten Phishing-Fällen und einem Gesamtschaden von rund 17 Millionen.

Die Angriffe werden zudem immer hinterhältiger. Während vor einigen Jahren die Betrüger-Mails noch oft sehr holprig formuliert waren, gehen die Angreifer inzwischen deutlich geschickter vor. Zum Teil werden die Absender-Informationen gefälscht, um dem Empfänger eine echte Mail vorzutäuschen. «Wenn ich eine E-Mail vom Chef kriege, dann gehe ich damit ganz anders um», sagt Norbert Pohlmann, Geschäftsführer des Instituts für Internet-Sicherheit an der Fachhochschule Gelsenkirchen.

Pohlmann rät daher zu gesunder Skepsis: «Ich kann mich nicht auf die E-Mail-Adresse verlassen.» Spezielle Software könne dabei helfen: «Es gibt Anti-Malware-Programme, die über Wahrscheinlichkeiten warnen, wenn eine Mail verdächtig ist.» Zur Not müsse man einfach mal anrufen, wenn einem eine Mail verdächtig vorkomme.

Weil sich bei den meisten Internet-Nutzern inzwischen herumgesprochen hat, dass man nicht einfach jede E-Mail öffnen sollte, ist dieser Angriffsweg bei den Internet-Betrügern ohnehin out. «Phishing ist heute nicht mehr auf E-Mails beschränkt. Das kann überall passieren, wo ich mich im Internet bewege», sagt Pohlmann.

Tatsächlich erfolge die Attacke in den allermeisten Fällen mittels eines sogenannten Trojanischen Pferdes, sagt Frank W. Felzmann, Experte beim Bundesamt für Sicherheit in der Informationstechnik: «Dabei wird ein Schadprogramm auf den Computer des Nutzers übertragen. Dieses Programm klinkt sich dann ein, wenn der Nutzer etwa Daten beim Online-Banking eingibt. Diese Daten werden abgefangen und die Überweisung auf das Konto der Betrüger umgeleitet.»

Solche Schadprogramme kann man sich auf verschiedene Weise einfangen, etwa durch Anklicken eines E-Mail-Anhangs. Aber auch wenn man solche verdächtigen Spam-Mails ignoriert, ist man vor der Gefahr nicht gefeit. Durch einen sogenannten Drive-By-Download (Download im Vorbeifahren) kann man sich beim ganz normalen Surfen infizieren.

«Nutzer sollten darauf aufpassen, auf welchen Seiten im Internet sie sich tummeln», rät daher Experte Felzmann. Wichtig sei es zudem, Antiviren-Software, Betriebssystem per Update stets auf dem aktuellen Stand zu halten.

Auch das Verfahren beim Online-Banking entscheidet über den Grad der Sicherheit. «Es gibt inzwischen mehrere Methoden, die noch sicherer sind als das iTAN-Verfahren, die aber nicht von allen Banken angeboten werden», sagt Branchen-Sprecher Spahr.

Am sichersten ist nach Angaben von Felzmann das so genannte Mobile-TAN- oder auch mTAN-Verfahren: «Dabei erhält der Nutzer eine SMS mit einer nur für diesen Vorgang verwendbaren TAN auf sein Mobiltelefon. Der Auftrag muss dann mit dieser TAN bestätigt werden.» Allerdings sei bei diesem Verfahren die Sicherheit nur dann gewährleistet, wenn dazu nicht ein Smartphone benutzt wird, auf das Hacker wiederum per Internet zugreifen können.

Weitere Verfahren zu mehr Sicherheit bei elektronischen Bankgeschäften sind solche, bei denen der Kunde von seiner Bank ein kleines Gerät, den TAN-Generator, bekommt. Hier muss er seine Scheckkarte hineinstecken, um sich zu identifizieren und erhält anschließend eine kurzzeitig gültige TAN.

Wer Opfer eines Angriffs geworden ist, sollte laut Felzmann sofort sein Konto sperren lassen und seine Passwörter ändern. «Die Bank kann dann versuchen, das Geld zurückzuholen, wenn der Angriff erst wenige Tage oder Stunden zurückliegt.»

[Photo: Andrew* via FlickR/cc]

>> Alle Artikel zum „Schwerpunkt Cybercrime“ bei TechFieber

Mehr bei TechFieber zum Thema: , , , , , ,

Antwort schreiben