Phishers Fritze klaut unsere Daten

Es reicht noch nicht, dass Spione auf unserem Rechner herumschnüffeln, Viren unser System zum Absturz bringen, Spammer unseren digitalen Postkasten vollmüllen – es kommt noch dicker: Phishing.

Dahinter verbirgt sich das Abfischen von Passwörtern (Password Fishing), eine betrügerische Methode, die im Internet immer stärker in Erscheinung tritt.

Phishers Fritze klaut sensible Daten und trickst uns dabei ganz schön aus. Ein Internetbetrüger, Phisher genannt, bringt Internet-Benutzer durch plausibel scheinende Gründe in fingierten E-Mails dazu, per Link gefälschte Websites zu besuchen. Tricks, mit denen der Phisher die Mailempfänger lockt, sind vielfältig: Bankzugangsdaten müssen überprüft werden, eine Datenaktualisierung stehe an, die Gültigkeitsdauer der Kreditkarte sei abgelaufen, das Passwort müsse erneuert werden u. v. m.

Wie klappt die Täuschung?

Die Mails mit seriöser Aufmachung erwecken den Eindruck, dass sie von einer vertrauenswürdigen Stelle stammen. Besucht der Empfänger die gefälschte Website und gibt dort in ein Formular vertrauliche Daten ein, merkt er vom Betrug in der Regel zunächst nichts. Die getarnten Internetseiten haben oftmals das gleiche Aussehen wie die Originalseiten, sie sind also nur sehr schwer als Fälschungen erkennbar. Die Täuschung wird perfekt, wenn in der Adressleiste des Browsers per Java-Script die Anzeige der vermeintlich korrekten Internetadresse erzwungen (URL-Spoofing) wird. Oder aber der Phisher benutzt eine der echten sehr ähnlich lautende URL. Durch solche Tricks wähnt sich der Internetnutzer natürlich auf der "sicheren Seite". Erst wenn persönliche Informationen wie Kreditkartennummern oder Bankzugangsdaten missbraucht werden, ist man möglicherweise einem Phisher ins Netz gegangen. Wie vermiest man Phishers Fritze seinen Beutezug? Jeder Internetbenutzer kann zum Phishing-Opfer werden. Auch Firmen sind betroffen, in deren Namen die Betrüger auftreten. Dadurch erleiden Unternehmen einen nachhaltigen Image-Schaden. Durch den Einsatz von starken Authentifizierungssystemen können sie ihre Kunden vor dem Abfischen schützen. In einigen Ländern haben sich freiwillige Firmen zur Anti-Phishing Working Group zusammengeschlossen. Auf ihrer Internetseite (Antiphishing.org) kann man Phishing-Mails melden: reportphishing@antiphishing.org. Ein monatlich erscheinender Report der Anti-Phishing Working Group gibt erschreckende Zahlen über Phishing-Aktivitäten preis.

Deshalb gilt auf jeden Fall: Misstrauisch sein! Lieber zweimal hinschauen und nicht auf Lock-E-Mails antworten. Seriös arbeitende Banken und Firmen fragen keine sensiblen Daten per Webformular ab. Wenn man doch geneigt ist, die "verlockende" Internetseite zu besuchen, dann nicht über den Link in der gefälschten Mail. Sicherheitshalber tippt man die URL per Hand ein.

Das Deaktivieren der Java-Script-Funktion schützt nicht vor allen Phishing-Angriffen und verhindert zudem, dass viele andere Internetseiten nicht korrekt angezeigt werden.

Internetnutzer sollten neben dem Internet Explorer auch andere Browser einsetzen, z. B. Firefox oder Opera. Für alle Programme gilt: regelmäßig updaten, um die Schwachstellen zu beheben.

Hilfreich sind auch Tools zur Identifizierung der Webseiten: Kostenlose Programme wie beispielsweise Spoof Stick und die Anti-Phishing Bar zeigen direkt an, auf welcher Webseite der Internetnutzer momentan tatsächlich surft. Die Anti-Phising Bar ist Freeware, d. h. Privatpersonen sowie Firmen dürfen das Programm kostenlos verwenden und auch selbst zum Download anbieten. Unter Securityinfo.ch steht die Anti-Phishing Bar zum Herunterladen bereit.