Phishing

Unter dem Begriff Phishing (Neologismus von „fishing“, engl. für „Angeln“) versteht man Versuche, sich über gefälschte Webseiten, E-Mails oder Kurznachrichten als vertrauenswürdiger Kommunikationspartner in einer elektronischen Kommunikation auszugeben. Ziel des Betrugs ist es, z. B. an persönliche Daten eines Internet-Benutzers zu gelangen, etwa ihn zur Ausführung einer schädlichen Aktion wie das Einloggen in einen gefälschten / nachgebauten Webauftritt zu bewegen, um die Zugangsdaten wie das Passwort und den Benutzernamen und gegebenenfalls auch einen 2. Faktor für die 2-Faktor-Identifizierung zu erschleichen. In der Folge werden dann beispielsweise Kontoplünderungen begangen, Bestellungen mit der Unterschlagung von Konsumgütern und der Verkauf dieser an Dritte getätigt, ein weitergehender Identitätsdiebstahl begangen oder eine Schadsoftware installiert. Es handelt sich dabei um eine Form des Social Engineering, bei dem die Gutgläubigkeit des Opfers ausgenutzt wird.[1] Der Begriff ist ein englisches Kunstwort, das sich von fishing (Angeln, Fischen) ableitet[2] und bildlich das Angeln nach Passwörtern mit Ködern[3] verdeutlicht. Die Schreibweise mit Ph- entstammt dem Hacker-Jargon, wobei das P für "Passwort" oder "persönliche Daten" steht (vgl. auch Phreaking).[4][5][6]

Phishing-Webseite: Sie sieht aus wie die Seite einer Sparkasse, ist jedoch eine vom Phisher präparierte Webseite. Der Klick auf die Schaltfläche in der Mitte würde den nichts ahnenden Besucher auffordern, persönliche Daten einzugeben, die der Phisher dann abfängt.

Typisch ist dabei die Nachahmung des Internetauftritts einer vertrauenswürdigen Stelle, etwa der Internetseite einer Bank. Um keinen Verdacht zu erregen, wird das Corporate Design der betroffenen Stelle nachgeahmt, so werden etwa dieselben Firmenlogos, Schriftarten und Layouts verwendet. Der Benutzer wird dann auf einer solchen gefälschten Seite etwa dazu aufgefordert, in ein Formular die Login-Daten oder auch Transaktionsnummern für sein Onlinebanking einzugeben. Diese Daten werden dann an den Betrüger weitergeleitet und dazu missbraucht, das Konto zu plündern.

Phishing-Nachrichten werden meist per E-Mail oder Instant-Messaging versandt[7] und fordern den Empfänger auf, auf einer präparierten Webseite oder am Telefon[8] geheime Zugangsdaten preiszugeben. Versuche, der wachsenden Anzahl an Phishing-Versuchen Herr zu werden, setzen unter anderem auf geänderte Rechtsprechung, Anwendertraining und technische Hilfsmittel.

Der erste dokumentierte Phishing-Versuch fand am 2. Januar 1996 in der Usenet-Newsgroup alt.online-service.america-online statt,[9] der Begriff Phishing tauchte jedoch möglicherweise bereits zuvor in der Druckausgabe des Hacker-Magazins 2600 auf.[10]

Geschichte

Phishing ist keine neue Erscheinung. Tatsächlich gab es unter dem Begriff Social Engineering ähnliche Betrugsversuche, und zwar bereits lange bevor E-Mail und Internet zum alltäglichen Kommunikationsmittel wurden. Dabei versuchten Betrüger via Telefon, sich das Vertrauen der Opfer zu erschleichen und ihnen vertrauliche Informationen zu entlocken. Durch die Verbreitung von kostengünstiger IP-Telefonie wird dieses, nun Vishing genannte, Vorgehen wieder lohnend für Betrüger. Ein aktuelles Beispiel für verwendete Trickbetrügereien ist der Enkeltrick. Neu sind beim Phishing lediglich die Werkzeuge, die eine weitaus größere Verbreitung ermöglichen.

Die Anfänge des Phishings im Internet reichen bis zum Ende der 1990er Jahre zurück. Damals wurden Nutzer von Instant-Messengern wie z. B. ICQ per E-Mail aufgefordert, ihre Zugangsdaten in ein in der E-Mail enthaltenes Formular einzutragen. Mit den so erhaltenen Zugangsdaten konnten die Betrüger die Chat-Zugänge ihrer Opfer unter deren Identität nutzen.

Die ersten Phishing-Angriffe im Bereich des Online-Banking begannen damit, dass der Urheber einer Phishing-Attacke seinem Opfer offiziell wirkende Schreiben als E-Mail schickte, die ihn dazu verleiten sollen, dem Täter vertrauliche Informationen, vor allem Benutzernamen und Passwörter oder PIN und TAN von Online-Banking-Zugängen, im guten Glauben preiszugeben. Übergibt der Besucher korrekte Daten, kann der Betrüger mit der abgefangenen PIN und TAN eine Geldüberweisung zu Lasten des Opfers tätigen. Nachdem die meisten Banken ihre TAN-Systeme verbessert haben, wird diese relativ simple Methode, Kontozugangsdaten abzufangen, mittlerweile nur noch vergleichsweise selten angewendet.

Neuere Methoden

In der Gegenwart gelingt es Phishing-Betrügern vor allem mit Hilfe von Schadprogrammen wie beispielsweise mit trojanischen Pferden, sich in dem Kommunikationsweg zwischen Bankkunde und Bank zwischenzuschalten (Man-in-the-Middle-Angriff) und Daten abzugreifen, die dann nie bei der Bank ankommen. Der Umweg, den Bankkunden über das Versenden einer E-Mail zur Preisgabe seiner Zugangsdaten zu verleiten, ist damit nicht mehr notwendig. Diese moderne Form des Abgreifens von Kontozugangsdaten ermöglichte es den Tätern, auch vergleichsweise moderne Systeme wie das iTAN-Verfahren mit indizierten Transaktionsnummern zu überlisten.

Phishing-Angriffsziele sind dabei Zugangsdaten, zum Beispiel für Onlinebanking oder Online-Bezahlsysteme (zum Beispiel PayPal), Versandhäuser, Internet-Auktionshäuser, webbasierende Onlineberatungen, Packstationen oder Singlebörsen. Mit den gestohlenen Zugangsdaten kann der Urheber der Phishing-Attacke die Identität seines Opfers übernehmen (Identitätsdiebstahl) und in dessen Namen Handlungen ausführen. Durch den Missbrauch der persönlichen Daten entstehen beträchtliche Schäden in Form von Vermögensschäden (zum Beispiel Überweisung von Geldbeträgen fremder Konten), Rufschädigung (beispielsweise die Versteigerung gestohlener Waren unter fremdem Namen bei Online-Auktionen) oder Schäden durch Aufwendungen für Aufklärung und Wiedergutmachung. Über die Höhe der Schäden gibt es nur Schätzungen. Wie Sicherheitsexperten des auf IT-Sicherheit spezialisierten Unternehmens RSA herausfanden, gab es allein in den USA im Jahr 2011 etwa 280.000 Phishing-Attacken und damit einen Anstieg um 37 Prozent gegenüber dem Vorjahr. Im Schnitt konnten die Täter mit jedem Angriff ungefähr 4.500 Dollar erbeuten.[11]

Spear-Phishing

Eine neuere Variante des Phishings wird als Spear-Phishing bezeichnet (abgeleitet vom englischen Wort für Speer), worunter ein gezielter Angriff zu verstehen ist. Dabei stimmt der Angreifer Empfängerkreis und Inhalt seiner Phishing-Mail aufeinander ab. Beispielsweise könnte ein Angreifer vorgebliche E-Mails einer lokal ansässigen Bank an die Mitglieder lokaler Vereine oder Hochschulen senden. Ein anderes Beispiel wäre eine E-Mail an sämtliche Mitarbeiter einer Firma, die möglicherweise durch die Erwähnung interner Gegebenheiten plausibler erscheint.

Die „Trefferquote“ bei dieser Art von Phishing-Attacken ist höher als bei normalen Phishing-Angriffen. Im Beispiel lokaler Vereine oder Hochschulen ist etwa die Wahrscheinlichkeit, dass ein E-Mail-Empfänger seine Bankverbindung bei dem vorgegebenen Institut unterhält, besonders hoch.

Eine Untervariante des Spear-Phishings ist das Whaling (Substantivierung des englischen Verbs „to whale“ mit der Bedeutung Walfang), bei dem sich die gezielte Attacke gegen hohe Führungskräfte richtet. Wird dabei persönliche Information über das Opfer und KI eingesetzt, spricht man auch von Harpoon Whaling (englischer Begriff für den Walfang mit Harpune).

Pharming

Eine weiterentwickelte Form des klassischen Phishings ist das Pharming, welches auf einer Manipulation der DNS-Anfragen von Webbrowsern basiert.

Methoden der Datenbeschaffung

Im Allgemeinen beginnt eine Phishing-Attacke mit einer persönlich gehaltenen, offiziell anmutenden E-Mail oder einem Massenversand von E-Mails, wobei der Empfänger stets mit „Sehr geehrter Kunde“ angesprochen wird anstatt mit dem eigentlichen Namen, welcher normalerweise der Bank bekannt ist – eine der Möglichkeiten, Phishing-Mails zu erkennen. Der Empfänger soll eine betrügerische Webseite besuchen, die mehr oder weniger täuschend echt aussieht und unter einem Vorwand zur Eingabe seiner Zugangsdaten auffordert. Die gefälschten Webseiten sind in aller Regel schon allein aus ungeschickten Formulierungen (oft Ergebnis einer Computerübersetzung), orthographischen oder syntaktischen Fehlern erkennbar. Manchmal sind Mails mit gefälschten Absendern einfach an der falschen Sprache erkennbar, wenn etwa eine angeblich deutsche Bank ihr Rundschreiben mit dem Gruß „Yours truly“ oder anderen nicht authentischen Formulierungen abschließt. Oft erkennt man Fälschungen auch daran, dass der Versender eine falsche Kodierung verwendet, sodass statt eines Sonderzeichens westlicher Sprachen (zum Beispiel deutsche Umlaute oder Buchstaben mit französischen, oder italienischen Akzenten) in einem lateinisch kodierten Text einzelne kyrillische Buchstaben erscheinen. Meistens wird das Opfer zusätzlich in falscher Sicherheit gewiegt, indem im Text das Problem des Datendiebstahls thematisiert wird und behauptet wird, dass das Ausfüllen des Formulars nötig sei, damit ein „neuartiges Sicherheitskonzept“ wirksam werden könne. Folgt er dieser Aufforderung, gelangen seine Zugangsdaten in die Hände der Urheber der Phishing-Attacke. Was dann folgt, soll nur noch nachträgliches Misstrauen des Opfers zerstreuen – eine kurze Bestätigung oder eine falsche Fehlermeldung. Betrügern ist es möglich, eine Phishing-Mail mit einer gefälschten, täuschend echten Absenderadresse zu versenden.

In den gefährlicheren Angriffsformen befindet sich die Malware auf einer infizierten Webseite. Diese wird dann allein durch den Besuch der Website auf dem Computer des Internetnutzers installiert. Hierbei ist es möglich, dass auch eine seriöse Internetseite ohne Kenntnis des Betreibers infiziert wurde. In diesem Fall ist das Versenden einer E-Mail entbehrlich.

Eine andere Variante bindet ein Formular direkt innerhalb einer HTML-E-Mail ein, das zur Eingabe der vertraulichen Daten auffordert und diese an die Urheber sendet. Auf eine Phishing-Webseite wird hierbei verzichtet.

Die Frankfurter Allgemeine Zeitung berichtete 2009 von einem Man-in-the-Middle-Angriff von Tätern aus St. Petersburg, die im Jahre 2008 430 Internetknotenrechner scannten und auf diese Weise 25 Mio. € erbeutet hatten.[12]

Methoden der Verschleierung

E-Mail

Beispiel einer Phishing-Mail

Die E-Mail wird als HTML-E-Mail, eine E-Mail mit den grafischen Möglichkeiten von Webseiten, verfasst. Der Verweistext zeigt die Originaladresse an, während das unsichtbare Verweisziel auf die Adresse der gefälschten Webseite verweist (Link-Spoofing).

Sowohl in E-Mails wie in Webseiten kann die Mehrdeutigkeit sichtbarer Zeichen ausgenützt werden. In serifenlosen Schriften wie Calibri oder Arial sieht der Kleinbuchstabe „l“ (12. Buchstabe des Alphabets) so aus wie der Großbuchstabe „I“ (9. Buchstabe des Alphabets), auch die Null und der Großbuchstabe „O“ lassen sich leicht verwechseln, desgleichen verwenden Fälschungen bisweilen die Ziffer „1“ statt den Kleinbuchstaben „l“ (12. Buchstabe des Alphabets) und umgekehrt. Damit wird der Benutzer über die wahre Adresse des Absenders einer Mail oder die wirkliche URL einer Webseite getäuscht.

Mit der Einbindung von HTML kann der im E-Mail-Programm sichtbare Verweis tatsächlich auf eine ganz andere Webseite verweisen. Zwar lässt sich ersehen, dass das Ziel des Verweises auf eine andere Webseite verweist, allerdings können auch diese Angaben über Skripttechniken verfälscht werden, sofern das E-Mail-Programm solche Skripte ausführt. In anderen Fällen wird der Verweis als Grafik dargestellt, um die Text-Erkennung durch automatische Filtersysteme zu erschweren. Auf dem Bildschirm des Anwenders erscheint dann zwar Text, dieser ist allerdings eine Grafik.

Bei Phishing wird meistens auch die E-Mail-Adresse des Absenders gefälscht, um die Mail echter aussehen zu lassen. Es wird auch beobachtet, dass Phishing-Mails Wörter enthalten, die bayessche Spamfilter ansprechen lassen.

Website

Phishing-Webseite

Die gefälschten Zielseiten haben meistens gefälschte Namen oder Bezeichnungen, die ähnlich klingen wie die offiziellen Seiten oder Firmen. Die Zielseiten mit dem Webformular haben das gleiche Aussehen wie die Originalseiten. Sie sind also nur sehr schwer als Fälschungen identifizierbar.

Mit der Möglichkeit, internationalisierte Domainnamen in URLs zu verwenden, entstanden neue Möglichkeiten zum URL-Spoofing. Beispielsweise könnte eine Originaladresse lauten http://www.oe-bank.example.com/ und als Fälschung http://www.ö-bank.example.com/. Die beiden Namen sind sachlich identisch, allerdings technisch unterschiedlich, denn sie werden im Hintergrund zu unterschiedlichen Adressen aufgelöst und können zu völlig unterschiedlichen Webseiten führen.

Noch schwerer zu erkennen ist die Verwendung von ähnlich aussehenden Buchstaben aus anderen Alphabeten (Homographischer Angriff). So unterscheidet sich z. B. das kyrillische „а“ bei den üblicherweise verwendeten Schriftarten optisch in keiner Weise vom lateinischen „a“. Falls das „a“ in „http://www.bank.example.com/“ kyrillisch dargestellt wird, ist die Adresse unterschiedlich und somit falsch. Allerdings zeigt die Adresszeile des Browsers keinen sichtbaren Unterschied zur Original-Bankadresse.

Als generisches Schutzprotokoll vor Phishing-Attacken auf Basis von IDNs wurde das Protokoll IDN Char Collision Detection (IdnCCD) entwickelt.

Es wurden Trojaner entdeckt, die gezielt Manipulationen an der Hosts-Datei des Betriebssystems vornahmen. In der Hosts-Datei können rechnerindividuelle Umsetzungen hinterlegt werden. Eine Manipulation dieser Datei kann bewirken, dass anstatt der Original-Seite nur noch die gefälschte Seite aufgerufen werden kann, obwohl die korrekte Adresse eingegeben wurde. Auch die im Router eingetragene DNS-Konfiguration kann Ziel von Schadsoftware sein. Perfide an dieser Angriffsmethode ist, dass das Opfer unabhängig vom Endgerät auf entsprechende gefälschte Dienste weitergeleitet wird.

Eine weitere Methode des Phishings ist das Access-Point-Spoofing, bei dem der Angreifer die Kennung eines vertrauenswürdigen Funknetzes kopiert, damit sich das Ziel mit einem bösartigen Zugangspunkt verbindet. Letztere Methode kann sowohl bei lokalen Funknetzen (W-LAN) als auch im Mobilfunknetz zum Einsatz kommen.

Eine Studie der Universität Cambridge (The Impact of Incentives on Notice and Take-down, s. Literatur) hat gezeigt, dass Banken es im Durchschnitt innerhalb von vier bis acht Stunden schaffen, zur Kenntnis gelangte Phishing Websites weltweit löschen zu lassen.

SMS (SMiShing)

SMiShing erklärt in vier Schritten

Beim SMiShing, ein Kofferwort aus SMS und Phishing, wird der Versuch unternommen, SMS zu Zwecken des Phishings einzusetzen.[13] So werden beispielsweise SMS-Nachrichten verschickt, die Internet-Adressen enthalten, auf die der Empfänger der SMS unter einem Vorwand gelockt werden soll. Dazu werden u. a. fingierte Abobestätigungen oder Paketankündigungen versandt, um die Empfänger der SMS zur Kündigung des vermeintlichen kostenpflichtigen Abonnements oder zur Paketverfolgung zu bewegen.[13] Ebenso wird die Neugier der Empfänger ausgenutzt, wenn Gewinne aus Gewinnspielen verkündet werden oder Videos, die angeblich den Empfänger zeigen sollen, verlinkt werden.[13] Beim Besuch solcher Internet-Seiten wird der Versuch unternommen, Schadsoftware, beispielsweise Trojaner, einzuschleusen.[14] Als besonders empfänglich gelten mobile Endgeräte, die als Betriebssysteme Android einsetzen, da beispielsweise bei iOS standardmäßig die Installation von Anwendungen aus unbekannten Quellen gesperrt ist.[13]

Durch erfolgreiches SMiShing manipulierte Geräte können wiederum dazu eingesetzt werden, ihrerseits SMS zu diesem Zweck an die Kontakte des eigenen Adressbuchs wie bei einem Schneeballsystem zu versenden.[13] Seit Ende 2020 stellt SMiShing in Europa eine ernstzunehmende Bedrohung dar.[13] Die Deutsche Telekom informierte 2021 etwa 30.000 Kunden, von deren Geräten nahezu 100 Millionen SMiShing-SMS versandt worden seien.[13] Um solchen Massenversand zu unterbrechen, sind Netzbetreiber in der Lage, bei betroffenen Endgeräten die Funktionalität zum Versand von SMS vorübergehend zu deaktivieren.[13]

Anfang 2024 wird vor einer modifizierten Art des SMiShing’s gewarnt.[15] Statt Adressen von gewerblichen Unternehmen werden per SMS über eine Verlinkung zu aktivierende echt aussehende, „amtliche“ Webseiten von Institutionen (Rundfunkanstalten, Behörden etc.) und sogar von staatlichen Identitätsanbietern mit den dort installierten aktiven Eingabefeldern versandt. Werden diese ausgefüllt und abgeschickt, tritt der Scammer als Bankmitarbeiter/Sicherheitsberater nach Erhalt von persönlichen Daten (IBAN, Telefonnummer) mit dem Handybesitzer telefonisch in Kontakt. Er rät ihm unter einem Vorwand (abgegriffene Daten, eigenartige Auslandsüberweisungen) dazu seine angeblich gefährdete App bzw. seinen gehackten Online-Banking-Account mit ihm gemeinsam einer Sicherheitsüberprüfung zu unterziehen. Hat er mit Hilfe einer Remote Desktop Application Erfolg, indem das Opfer dabei PIN’s, TAN-Nummern oder Passwörter freigibt, besitzt er quasi einen Blankoscheck für das Konto des Geschädigten. Besonders problematisch ist bei dieser Betrugsmasche die Verwendung von gehackten offiziellen Telefonnummern (Phone hacking) der Telefonsysteme (also nicht irgendeines Mitarbeiter-Smartphones) von Geldinstituten oder Behörden, da diese nicht einfach gesperrt, bzw. neu vergeben werden können.

QR-Code (Quishing)

Cyberkriminelle haben QR-Codes als Werkzeug für Phishing-Angriffe genutzt, um Nutzer auf gefälschte Websites oder schädliche Inhalte umzuleiten.[16] Bei dieser Vorgehensweise enthält der maschinenlesbare QR-Code oft einen Link, der auf den ersten Blick legitim erscheint. Da QR-Codes jedoch nicht sofort die Informationen enthüllen, die sie beinhalten, entsteht die Gefahr, dass sie auf gefälschte Websites oder schädliche Inhalte verweisen könnten. Diese könnten darauf abzielen, persönliche Daten zu stehlen oder schädlichen Code zu verbreiten.

Schutz

Um sich wirkungsvoll vor Phishing-E-Mails zu schützen, sind folgende bewährte Sicherheitsmaßnahmen von großer Bedeutung:[17]

„Zuerst nachdenken und dann handeln“.

  • Misstrauisch bleiben: Besondere Vorsicht ist geboten, wenn E-Mails unerwartet eintreffen oder nach sensiblen Informationen verlangen. Im Falle von Zweifeln sollte die Quelle der E-Mail über offizielle Kanäle verifiziert werden.
  • Verifizierung von Links: Es empfiehlt sich, die URLs in E-Mails sorgfältig zu überprüfen, bevor auf sie geklickt wird. Durch das Darüberfahren mit der Maus über den Link kann die tatsächliche Webadresse angezeigt werden, ohne den Link zu aktivieren.
  • Zurückhaltung bei Anhängen: Das Öffnen von E-Mail-Anhängen sollte vermieden werden, es sei denn, deren Vertrauenswürdigkeit ist zweifelsfrei festgestellt.
  • Schutz persönlicher Informationen: Persönliche oder finanzielle Informationen sollten keinesfalls per E-Mail weitergegeben werden. Seriöse Organisationen werden niemals solche Daten über E-Mail anfragen.
  • Aktualisierung der Sicherheitssoftware: Die regelmäßige Aktualisierung von Betriebssystemen und Sicherheitssoftware ist essenziell, um vor bekannten Bedrohungen geschützt zu sein.
  • Zwei-Faktor-Authentifizierung (2FA): Wo immer möglich, sollte die Zwei-Faktor-Authentifizierung aktiviert werden, um eine zusätzliche Sicherheitsebene einzuführen.[17]

Durch das Befolgen dieser bewährten Praktiken können Personen sich effektiver vor den potenziellen Gefahren von Phishing-E-Mails schützen.

Mit dem Besitz einer speziellen Hardware, die zusätzlich zu einem Kennwort als zweiter Faktor eingesetzt werden muss, können die Nutzer Phishing-Angriffe nachhaltig verhindern.[18]

Da die HTML-Darstellung und der Einsatz von Scripten bei den meisten Phishing-E-Mails eingesetzt werden, kann man bei seinem E-Mail-Programm die HTML-Darstellung sowie Java-Script deaktivieren. Auch sollten eigene E-Mails zumindest auch als reiner Text versendet werden, damit der Empfänger in seinem E-Mail-Programm die HTML-Darstellung deaktivieren und sich so vor Phishing-E-Mails schützen kann.

Phishing-Warnung unter Firefox 2.0
Warnung bei Mozilla Thunderbird

Die E-Mail-Filter einiger Antivirenprogramme können Phishing-E-Mails unter günstigen Umständen erkennen und eliminieren. Voraussetzung dafür ist es, das Antivirenprogramm stets auf aktuellem Stand zu halten. Auch aktuelle E-Mail-Programme wie z. B. Mozilla Thunderbird und Browser wie Internet Explorer, Mozilla Firefox oder Opera warnen vor Phishingseiten. Der Phishingschutz basiert dabei entweder auf einer Blacklist, welche über das Internet aktualisiert wird, oder es werden typische Merkmale von Phishing-E-Mails wie z. B. Verweise auf IP-Adressen oder Verweise mit einem anderen Hostnamen als im Verweistext überprüft.

Seit einiger Zeit nutzen immer mehr Kreditinstitute im Internetbanking Extended Validation-SSL-Zertifikate (EV-SSL-Zertifikate). In der Adresszeile aktueller Browser wird hierbei zusätzlich ein Feld angezeigt, in dem Zertifikats- und Domaininhaber im Wechsel mit der Zertifizierungsstelle eingeblendet werden. Zudem wird je nach verwendetem Browser die Adresszeile grün eingefärbt. Internetnutzer sollen so noch schneller erkennen, ob die besuchte Webseite echt ist, und damit besser vor Phishingversuchen geschützt sein.

Auch für Microsoft Outlook gibt es eine Möglichkeit, sich vor gefährlichem Phishing zu schützen. Dabei wird eine Symbolleiste in Outlook eingebunden, und jede eingehende E-Mail kann auf gefährliche Verweise und verdächtige Header hin überprüft werden.

Symbolleisten und E-Mail-Filter, die auf schwarzen Listen beruhen, sind prinzipbedingt auf deren Aktualität angewiesen. Dies schränkt ihre Wirksamkeit bei neuen Phishingattacken deutlich ein.

Eine phishingresistente Möglichkeit, Onlinebankingtransaktionen durchzuführen, besteht darin, das signaturgestützte HBCI-Verfahren mit Chipkarte zu nutzen. Diese Variante des Onlinebankings ist darüber hinaus sehr komfortabel, da die Eingabe von TANs entfällt. Als weiterer Sicherheitsgewinn ist die sichere PIN-Eingabe (entsprechender Chipkartenleser mit eigenem PIN-Pad vorausgesetzt) zu nennen, bei der ein Belauschen der PIN-Eingabe mit einem Keylogger oder Trojaner nicht möglich ist. Dem entgegen stehen die Nachteile einer Softwareinstallation für HBCI, die notwendigen Installationen für den Kartenleser im Betriebssystem und damit die mangelnde Mobilität. Auch wenn bisher keine massiven Angriffe gegen HBCI beobachtet wurden, bietet das Verfahren naturgemäß nur dann einen hohen Schutz, wenn das unterliegende Betriebssystem frei von Schadsoftware wie trojanischen Pferden ist.

Einen guten Schutz gegen Phishing bietet auch das iTAN-Verfahren. Es gibt allerdings (von Phishing zu unterscheidende) Man-in-the-middle-Angriffe, gegen welche die iTAN wirkungslos ist.

Ein gesundes Misstrauen gegenüber dem unsicheren Medium E-Mail und das aufmerksame Lesen der E-Mails ist hilfreich. Kein seriöses deutsches Kreditinstitut verlangt von seinen Kunden, „ein Form auszufüllen“ oder „TAN einzutasten“. Mangelhafte Grammatik und Orthographie sind zwar kein sicheres Kennzeichen für Phishing, aber auf jeden Fall höchst verdächtig.

Weitere Merkmale, die häufig in Phishing-Mails anzutreffen sind, sind namenlose Anreden („Sehr geehrter Kunde“ – bei „echten“ Newslettern ist die Anrede meistens direkt an den Adressaten, also z. B. „Sehr geehrter Herr XYZ“) und eine vorgebliche besondere Dringlichkeit („Wenn Sie nicht innerhalb der nächsten zwei Tage eine Verifikation durchführen, wird ihr Konto / ihre Kreditkarte gesperrt“). Kein Unternehmen erwartet derart kurze Reaktionszeiten, und die meisten Banken und Sparkassen haben sowieso keine E-Mail-Daten von ihren Kunden, so dass bei wichtigen Mitteilungen meistens der Postweg gewählt wird.

Die meisten Phishing-Mails sind in einem ungewöhnlich holprigen, schlechten Deutsch geschrieben. Durch aufmerksames, kritisches Lesen des Textes fällt bei vielen Mails sofort auf, dass diese nicht von einem seriösen Absender stammen können.

Im Zweifel kann man (bei Thunderbird oder Firefox einfach mit Strg-U) den Quelltext der Phishing-E-Mail anzeigen und untersuchen. Meist erkennt man darin relativ schnell den eigentlichen Absender oder einen URL aus dem Ausland, der mit dem vorgetäuschten Absender nichts zu tun hat.

Es empfiehlt sich, für jede Anwendung ein anderes Kennwort zu vergeben. Wird das Kennwort einer Anwendung durch einen Angreifer ermittelt, bleibt für den Angreifer der Zugriff auf eine andere Anwendung weiterhin verwehrt.

Empfangene Phishing-Mails können umstandslos zur Lageverdichtung an die entsprechende E-Mail-Adresse[19] der Verbraucherzentrale weitergeleitet werden.[20]

Beispiele

2005 SPAM

Anfang 2005 wurde eine Spam-E-Mail mit folgendem Wortlaut verschickt:

Sehr geehrter Kunde!
Wir sind erfreut, Ihnen mitzuteilen, dass Internet – Ueberweisungen
ueber unsere Bank noch sicherer geworden sind!
Leider wurde von uns in der letzten Zeit, trotz der Anwendung von
den TAN-Codes, eine ganze Reihe der Mitteldiebstaehle von den Konten
unserer Kunden durch den Internetzugriff festgestellt.
Zur Zeit kennen wir die Methodik nicht, die die Missetaeter für
die Entwendung der Angaben aus den TAN – Tabellen verwenden.
Um die Missetaeter zu ermitteln und die Geldmittel von unseren
Kunden unversehrt zu erhalten, haben wir entschieden, aus den
TAN – Tabellen von unseren Kunden zwei aufeinanderfolgenden
Codes zu entfernen.
Dafuer muessen Sie unsere Seite besuchen, wo Ihnen angeboten
wird, eine spezielle Form auszufuellen. In dieser Form werden
Sie ZWEI FOLGENDE TAN – CODEs, DIE SIE NOCH NICHT VERWENDET
HABEN,EINGEBEN.
 
Achtung! Verwenden Sie diese zwei Codes in der Zukunft nicht mehr!
Wenn bei der Mittelüberweisung von Ihrem Konto gerade diese
TAN – Codes verwendet werden, so wird es fuer uns bedeuten,
dass von Ihrem Konto eine nicht genehmigte Transitaktion ablaeuft
und Ihr Konto wird unverzueglich bis zur Klaerung der
Zahlungsumstaende gesperrt.
 
Diese Massnahme dient Ihnen und Ihrem Geld zum Schutze! Wir
bitten um Entschuldigung, wenn wir Ihnen die
Unannehmlichkeiten bereitet haben.
 
Mit freundlichen Gruessen,
Bankverwaltung

Sie forderte den Empfänger auf, einem Verweis zu folgen, der angeblich auf die Seiten der Postbank führen sollte, tatsächlich aber auf eine Phishingseite verwies. Diese fragte in fehlerhaftem Deutsch nach der PIN sowie zwei TANs. Nach Eingabe der Ziffern in die Formularfelder wurden die Eingabedaten zum Abruf durch den Betrüger abgespeichert. Der Besucher wurde an die öffentliche Postbank-Webadresse weitergeleitet.

Präsidentschaftswahl in den Vereinigten Staaten 2016

Im Vorfeld der Präsidentschaftswahl in den Vereinigten Staaten 2016 versendeten Hacker, die später den Gruppen Fancy Bear und Cozy Bear zugeordnet wurden, im März 2016 Phishingmails an zahlreiche Vertreter der Demokratischen Partei. Die authentisch wirkenden Mails gaben vor, von Google zu stammen, und forderten die Empfänger zur Änderung ihrer Passwörter auf.[21]

Someone just used your password to try to sign into your Google account
Google stopped this sign-in attempt. You should change your password immediately

Der angegebene Link zur Passwortänderung lieferte aber Kriminellen die Zugangsdaten der Opfer. Da Personen aus Unachtsamkeit oder als Folge der Inkompetenz ihrer Sicherheitsbeauftragten den Phishingversuch nicht erkannten, konnten unter anderem Informationen aus dem Gmail-Konto von John Podesta kopiert werden. Andere Phishingopfer ermöglichten Angreifern zeitgleich Zugang zum Computernetzwerk des Wahlkomitees der Demokraten. Das FBI, das den Abfluss von Informationen aus dem Parteinetzwerk der Demokraten zwar bemerkte, drang mit seinen Warnungen an die Partei nicht durch, weil der Ansprechpartner den Ernst der Lage nicht verstand. So konnten über sieben Monate lang Informationen gestohlen werden.[21]

Vor der Wahl wurden die gestohlenen Daten zunächst in Auszügen von unbekannten Bloggern veröffentlicht und letztlich der Enthüllungsplattform Wikileaks zugespielt. Die dortigen Veröffentlichungen, die in Tranchen bis kurz vor dem Wahltermin erfolgten, sicherten den angeblichen Enthüllungen durchgehende Medienpräsenz und fügten so der Kampagne der Kandidatin Clinton schweren Schaden zu. Sie wurden aus den Reihen ihrer Anhänger als eine der entscheidenden Ursachen für ihre Wahlniederlage genannt.[21]

Haftung

Das Landgericht Nürnberg-Fürth warf im Jahre 2008 die Frage auf, ob Banken im Jahre 2005 verpflichtet gewesen wären, das ältere PIN/TAN-Verfahren durch das modernere iTAN-Verfahren abzulösen.[22] Diese Frage blieb im konkreten Streitfall damals offen, da sie nicht streitentscheidend war. Im Jahre 2010 entschied dann erstmals ein Oberlandesgericht in Deutschland, dass Banken zur Bereithaltung sicherer Systeme verpflichtet sind, die es entsprechend dem Stand der Technik den Straftätern erschweren, Bankzugangsdaten abzugreifen. Das Gericht sah eine Sorgfaltspflichtverletzung der Bank dann als gegeben an, wenn die Bank ein System verwendet, das bei der Mehrzahl der Kreditinstitute nicht mehr im Einsatz ist und hinter den Sicherheitsstandards von neueren Systemen zurückbleibt.[23]

Siehe auch

Literatur

  • Ulrich Schulte am Hülse, Sebastian Klabunde: Das Abgreifen von Bankzugangsdaten im Onlinebanking – Vorgehensweise der Täter und neue zivilrechtliche Haftungsfragen des BGB. In: Multimedia und Recht (MMR), 13. Jg., 2010, Nr. 2, ISSN 1434-596X, S. 84–90.
  • Paul H. Dienstbach, Tobias Mühlenbrock: Haftungsfragen bei Phishing-Angriffen. Zugleich Kommentar zu LG Köln, K&R 2008, 118 ff. (Heft 2). In: Kommunikation & Recht (K&R). Betriebs-Berater für Medien, Telekommunikation, Multimedia, 11. Jg., 2008, Nr. 3, ISSN 1434-6354, S. 151–155.
  • Markus Gisin: Phishing. In: Kriminalistik (Krim). Unabhängige Zeitschrift für die gesamte kriminalistische Wissenschaft und Praxis, 62. Jg., 2008, H. 3, ISSN 0023-4699, S. 197–200.
  • Ingke Goeckenjan: Phishing von Zugangsdaten für Online Bankdienste und deren Verwertung. In: wistra. Zeitschrift für Wirtschafts- und Steuerstrafrecht, 27. Jg., 2008, H. 4, ISSN 0721-6890, S. 128–136.
  • Jürgen-Peter Graf: Zur Strafbarkeit des „Phishing“. In: Mathis Hoffmann, Stefan Leible, Olaf Sosnitza (Hrsg.): Geistiges Eigentum im virtuellen Raum. Richard Boorberg Verlag, Stuttgart, München, Berlin, Hannover, Dresden, Weimar 2007, S. 173–184, ISBN 978-3-415-03881-3.
  • David Hansen: Strafbarkeit des Phishing nach Internetbanking-Legitimationsdaten. Verlag Dr. Kovač, Hamburg 2007, ISBN 978-3-8300-3210-6.
  • Michael Heighmanns: Die Strafbarkeit des „Phishing“ von Bankkontendaten und ihrer Verwertung. In: wistra. Zeitschrift für Wirtschafts- und Steuerstrafrecht, 26. Jg., 2007, ISSN 0721-6890, S. 167–170.
  • Tobias Mühlenbrock, Paul H. Dienstbach: Anmerkung zu AG Wiesloch, Urt. v. 20. Juni 2008 – 4 C 57/08. In: Multimedia und Recht (MMR), 11. Jg., 2008, Nr. 9, ISSN 1434-596X, S. 630–631.
  • Carl-Friedrich Stuckenberg: Zur Strafbarkeit von „Phishing“. In: Zeitschrift für die gesamte Strafrechtswissenschaft (ZStW). 118. Bd., 2006, ISSN 0084-5310, S. 878–912.
  • Tyler Moore, Richard Clayton: The Impact of Incentives on Notice and Take-down (PDF) 13. Juni 2008. (PDF-Datei; 344 kB)
  • Alexander Seidl, Katharina Fuchs: Die Strafbarkeit des Phishing nach Inkrafttreten des 41. Strafrechtsänderungsgesetzes. In: HRRS (Höchstrichterliche Rechtsprechung im Strafrecht) Heft 2/2010.
Wiktionary: phishing – Bedeutungserklärungen, Wortherkunft, Synonyme, Übersetzungen
Commons: Phishing – Sammlung von Bildern, Videos und Audiodateien

Einzelnachweise

  1. Social Engineering – der Mensch als Schwachstelle. Abgerufen am 10. März 2022.
  2. Spam Slayer: Do You Speak Spam? (Memento vom 30. September 2007 im Internet Archive) PCWorld.com, abgerufen am 16. August 2006
  3. A. Mitchell: A Leet Primer (Memento des Originals vom 7. September 2019 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.technewsworld.com. In: TechNewsWorld, 12. Juli 2005
  4. Da Chronic episode : AOLUnderground auf reddit.com
  5. Collins English Dictionary – Complete & Unabridged. 10. Auflage. HarperCollins, 2009 (Online-Zitat auf Dictionary.com).
  6. Phishing. In: duden.de. Bibliographisches Institut, abgerufen am 27. Juni 2014.
  7. K. Tan: Phishing and Spamming via IM (SPIM). Internet Storm Center; abgerufen am 5. Dezember 2006
  8. E. Skoudis: Phone phishing: The role of VoIP in phishing attacks. In: searchSecurity, 13. Juni 2006
  9. phish, v., OED Online, March 2006, Oxford University Press. Oxford English Dictionary Online Ausgewertet am 9. August 2006
  10. G. Ollmann: The Phishing Guide: Understanding and Preventing Phishing Attacks. Technical Info. Ausgewertet am 10. Juli 2006
  11. So schützt du dich vor Phishing-E-Mails (Memento vom 15. April 2012 im Internet Archive), t3n, 12. April 2012, abgerufen am 17. April 2012.
  12. P. Welchering: In: FAZ, 25. August 2009, Motor und Technik, S. T1
  13. a b c d e f g h Süddeutsche Zeitung: „Smishing“-Masche: Weiter massenhaft Betrugs-SMS auf Handys, Verbraucher, Bonn, dpa, 15. Januar 2022
  14. McAfee warnt vor „SMiShing“-Attacken. In: Heise online, 27. August 2006.
  15. Harald Fidler: SCAM - ORF mit "gehäufter" Abzocke durch Fake-Nachbauten von ORF.at konfrontiert., In: Der Standard, 17. Januar 2024, abgerufen am 19. Januar 2024.
  16. Vorsicht vor Quishing! Website der Industrie- und Handelskammer Schwaben, abgerufen am 1. August 2024.
  17. a b Was ist eine Phishing Mail? Und wie kann man sich davor schützen? Abgerufen am 6. September 2023
  18. Was ist FIDO2 | #explore. Abgerufen am 6. September 2021.
  19. phishing@verbraucherzentrale.nrw
  20. Gemeinsam gegen Phishing – unser offenes Forum hilft. Täuschend echt gemachte Betrugs-Seiten beim Online-Banking, abgefischte Passwörter: Immer mehr Menschen werden Opfer von Internet-Betrügern. Verbraucherzentrale NRW, 2. August 2017, abgerufen am 1. August 2019.
  21. a b c The Perfect Weapon: How Russian Cyberpower Invaded the U.S. New York Times, 13. Dezember 2016
  22. LG Nürnberg-Fürth, Urteil vom 28. April 2008, 10 O 11391/07, Ausgewertet am 21. Dezember 2010
  23. KG, Urteil vom 29. November 2010 – 26 U 159/09 (Memento vom 24. Januar 2011 im Internet Archive) (PDF; 100 kB), abgerufen am 21. Dezember 2010