Phishing ist eine Art Internetbetrug, bei dem die Zugangsdaten des Opfers gestohlen werden sollen. Dazu gehören Passwörter, Kreditkartennummern, Bankkontonummern und andere vertrauliche Daten.

Phishing-Nachrichten kommen meist in Form gefälschter Benachrichtigungen von Banken, Providern, elektronischen Zahlungssystemen und anderen Organisationen. Die Nachricht fordert den Empfänger unter fadenscheinigen Gründen auf, dringend seine persönlichen Daten einzugeben oder zu aktualisieren. Die Gründe dafür haben meist mit Datenverlust, Systemausfällen und ähnlichen Dingen zu tun.

Phishing-Angriffe werden in ihren Social-Engineering-Techniken immer ausgefeilter. In den meisten Fällen ängstigen die Betrüger ihre Opfer, indem sie anscheinend wichtige Gründe dafür nennen, dass das Opfer seine persönlichen Daten preisgibt. Solche Nachrichten enthalten meist Drohungen, dass ein Konto gesperrt wird, wenn den Aufforderungen nicht Folge geleistet wird – zum Beispiel „wenn Sie nicht bis Ende der Woche Ihre persönlichen Daten eingeben, wird Ihr Konto blockiert“. Ironischerweise nennen Phisher gerne die Verbesserung von Anti-Phishing-Systemen als Grund für die Herausgabe vertraulicher Daten. Ein typischer Trick ist folgende Aufforderung: „Wenn Sie sich vor Phishing schützen wollen, klicken Sie auf den Link und geben Sie Ihren Namen und Ihr Passwort ein“.

phish_01
Bild 1. Beispiel für eine Phishing-Nachricht, angeblich von der National Credit Union Administration,
die die Aufforderung enthält, auf den Link zu klicken, um die Daten des Anwenders zu aktualisieren.

Die durchschnittliche Lebensdauer einer Phishing-Seite beträgt fünf Tage. Anti-Phishing-Filter empfangen sehr schnell Informationen über neue Bedrohungen, so dass die Phisher laufend neue Seiten registrieren müssen, die offizielle Seiten legitimer Unternehmen nachahmen.

Um eine gefälschte Seite zu öffnen, muss der Anwender seine Zugangsdaten eingeben. Diese Information ist aber genau das, was die Phisher haben wollen. Sobald sie Zugriff auf das E-Mail-Postfach oder das Bankkonto des Opfers haben, stehen die Phisher vor der Herausforderung, das Geld vom Konto des Opfers zu holen, ohne Spuren zu hinterlassen – und das ist nicht ganz einfach. Wenn jemand, der dieses illegale Geschäft betreibt, von der Polizei gefasst wird, muss er mit hohen Strafen rechnen. Deshalb verkaufen die Phisher die gestohlenen Daten an andere Betrüger, die erprobte Maschen verwenden, um Geld von den Opferkonten abzuheben.

Banken, elektronische Zahlungssysteme und Online-Auktionen sind die wichtigsten Ziele für Phisher. Das deutet darauf hin, dass die Betrüger vor allem an persönlichen Daten interessiert sind, die ihnen Zugang zum Geld der Opfer bringen können. Der Diebstahl von E-Mail-Zugangsdaten ist aber ebenfalls recht beliebt, denn diese Informationen können an andere Kriminelle verkauft werden, die Schadprogramme verbreiten oder Zombie-Netzwerke (Botnetze) aufbauen.

Die „Qualität“ der Phishing-Nachrichten ist meist recht hoch. Eine gefälschte Seite sieht normalerweise genau wie das Original aus, so dass die Opfer kaum ahnen, dass etwas schief laufen könnte, wenn sie ihren Namen und ihr Passwort für die Seite eingeben.

Ein weiterer Phishing-Trick ist, Links zu verwenden, die den echten URLs der Seiten ähnlich sehen. Dieser Trick soll weniger erfahrene Anwender hereinlegen. Vorsichtige Anwender werden bemerken, dass der Link in der Browser-Zeile in Wirklichkeit anders aussieht als der Link der echten Seite. Diese Links beginnen oft mit einer IP-Adresse, auch wenn große Firmen solche Links im Normalfall nicht mehr verwenden.

Phishing-URLs ähneln oft den echten URLs legitimer Firmen. Sie enthalten vielleicht den Namen der Original-URL mit zusätzlichen Worten (zum Beispiel www.login-beispielbank.com statt www.beispielbank.com). Ein weiterer Trick ist es, Punkte statt Schrägstrichen zu verwenden (zum Beispiel www.beispielbank.com.personal.login oder www.examplebank.com-personal.login statt www. beispielbank.com/personal/login).

phish_02
Bild 2. Beispiel einer Phishing-Nachricht (in diesem Fall wird eine Ebay-Benachrichtigung nachgeahmt), die mehrere Links enthält, die alle auf die gleiche Phishing-Seite führen.

Die Nachricht selbst enthält dann anscheinend einen Link zu einer legitimen Seite, doch die URL ist eventuell anders. Die Vorsicht des Anwenders wird vielleicht durch einige zusätzliche Links zur offiziellen Seite gemildert, doch der Hauptlink, bei dem der Nutzer seinen Namen und sein Passwort eingeben muss, führt zu der gefälschten Seite.

Manchmal wird der Anwender auch aufgefordert, seine vertraulichen Daten auf der gleichen Seite, auf der die Nachricht selbst angezeigt wird, einzugeben. Anwender sollten daher immer daran denken, dass keine echte Bank und keine Firma so etwas je verlangen würde.

phish_03
Bild 3. Eine Phishing-Nachricht, die eine Benachrichtigung von Barclays Bank nachahmt und den Empfänger auffordert, seine Zugangsdaten direkt auf der gleichen Seite einzugeben.

Phisher verbessern ihre Techniken laufend, was zu einem neuen Trend, dem so genannten „Pharming“ führte. Dies Art Internetbetrug zielt ebenfalls auf Zugangsdaten wie Namen und Passwörter ab, doch anders als Phisher, die E-Mails verwenden, um ihre Ziele zu erreichen, nehmen Pharmer die Identität offizieller Webseiten an. Sie leiten die Anwender auf gefälschte Webseiten weiter, indem sie echte Webadressen auf DNS-Servern in falsche Adressen ändern. Pharming ist eine noch gefährlichere Bedrohung, da der Anwender kaum erkennen kann, dass er gerade betrogen wird.

Zu den beliebtesten Phishing-Zielen zählen Ebay und PayPal. Andere Ziele sind Banken in aller Welt. Phishing-Angriffe können zufällig oder gezielt erfolgen. Zufällige Attacken zielen auf die beliebtesten Webseiten, etwa Ebay, da hierbei die Wahrscheinlichkeit recht hoch ist, dass ein Empfänger der Phishing-Mail dort ein Konto hat. Im zweiten Fall finden die Betrüger vorab heraus, ob das Opfer ein Konto bei einer bestimmten Bank, einem Zahlungssystem, einem Provider usw. hat. Diese Methode ist für die Phisher komplizierter und kostspieliger, doch dafür ist die Wahrscheinlichkeit, dass das Opfer anbeißt, größer.

phish_04
Bild 4. Beispiel einer Phishing-Nachricht, die eine Benachrichtigung des Zahlungssystems PayPal nachahmt.

Der Diebstahl von Informationen zur Identität ist nicht die einzige Gefahr, die von Phishing-Links ausgeht. Die Links könnten auch zu Spyware, Keyloggern oder Trojanern führen. Selbst wenn die Empfänger also kein Konto bei der Seite haben, auf die die Betrüger gerade abzielen, sind sie dennoch nie ganz sicher.

Laut Gartner verloren Phishing-Opfer im Jahr 2006 in den USA durchschnittlich 1.244 Dollar, während der Verlust im Jahr davor nur bei 257 Dollar lag. Diese Zahlen zeigen, wie erfolgreich Phisher sind. In Russland ist die Situation dagegen eine andere: Elektronische Zahlungssysteme sind hier nicht so beliebt wie im Westen, so dass der Schaden, den Phisher anrichten, nicht so hoch ist.

Der Erfolg von Phishing kommt zum Großteil durch das bei den Anwendern fehlende Wissen darüber, wie die von den Betrügern nachgeahmten Firmen arbeiten. Viele legitime Seiten enthalten spezielle Warnungen, die erklären, dass Anwender niemals in Mails gebeten werden, vertrauliche Daten zu übermitteln. Dennoch schicken nach wie vor Anwender ihre Zugangsdaten an Phisher. Deshalb wurde vor einigen Jahren die Anti-Phishing Working Group (APWG) gegründet, zu der sowohl die von den Betrügern angegriffenen Firmen, aber auch Hersteller von Anti-Phishing/Anti-Spam-Software gehören. Die APWG bietet Informationsveranstaltungen, bei denen die Anwender über die Gefahr aufgeklärt werden. Zudem informieren sich die APWG-Mitglieder gegenseitig über neue Phishing-Seiten und -Bedrohungen. Derzeit zählt die APWG 2.500 Mitglieder, darunter auch große internationale Banken und führende IT-Firmen. Wenn man optimistischen Schätzungen glauben darf, werden die Anwender in naher Zukunft bei Phishing-Seiten vorsichtiger werden, genau wie sie es bei Nachrichten mit Anhang von unbekannten Absendern geschafft haben. In der Zwischenzeit bleiben Spam-Filter die beste Verteidigung gegen Phishing.