Impressum Copyright Datenschutz Danksagung Banner Kontakt
Phishing
Allgemeines
Startseite
Warum PC-Sicherheit
Wichtige Verweise
Nützliche Software
Glossar
Die Gefahren
Aktive Inhalte
Backdoors
EMails
EMailwürmer
Faktor Mensch
Hacker
Hoaxes
Newsgroups
Phishing
Pharming
PhoneHome
Ransomware
Rootkits
Social Engineering
Spam
Spoofing
Spyware
Tauschbörsen
Trojaner
Viren
Visual Spoofing
Webbugs
Webseiten
Würmer
Die Verteidigung
Die Checkliste
Richtig konfigurieren
Windows aktualisieren
Software aktualisieren
Antivirenprogramme
Entfernungsprogramme
Sicherungskopien
Der Webbrowser
Umgang mit dem Web
Datenaustausch
DSL Router
Infektionswege erkennen
Die Infektion erkennen
Der Fall der Fälle
Viren halten sich
Kinder- und Jugendschutz
Gefährdungen
Was Eltern tun können
Technische Möglichkeiten
Inhaltsfilterprogramme

Phishing

Zum höchst aktuellen Thema Phishing muß zunächst einmal eines vorweg in aller Eindringlichkeit gesagt werden:

Weder Ihre eigene Hausbank noch irgendein anderes Kreditinstitut dieser Welt wird Ihnen jemals unaufgefordert eine EMail senden, in welcher Sie zur Eingabe Ihrer PIN oder einer bzw. mehrerer TAN-Nummern aufgefordert werden.

Auch wird Ihnen keine Bank dieser Welt eine EMail senden, in welcher Sie durch einen Verweis auf die Webseite dieser Bank gelangen, auf der Sie die Zugangsdaten für Ihren Onlinebanking-Zugang eingeben müssen.

Auch das Internetauktionshaus Ebay und der Bezahldienst Paypal wird Ihnen niemals eine solche EMail zusenden, in welcher nach Ihren Zugangsdaten gefragt wird.

Derartige EMails sind ausnahmslos Fälschungen!

Das Wort Phishing, welches in letzter Zeit in aller Munde ist, setzt sich zusammen aus den Begriffen "Passwort" und "Fishing" und meint das Erschleichen von Zugangsdaten. Insbesondere im Bereich des Onlinebanking hat die Methode nicht nur von sich reden gemacht, sondern auch zahlreiche Opfer gefunden. Doch auch Nutzer der Internetauktionshäuser wie Ebay sind Opfer der Phisher.

Der Trick ist so einfach wie genial. Man bastelt sich eine Webseite, die exakt so aussieht wie diejenige einer großen Bank. Das ist nicht besonders schwierig und wenn man im Umgang mit HTML ein wenig geübt ist, benötigt man nur wenige Stunden, um eine solche Seite zu erstellen.

Anschließend versendet man massenweise EMails, deren Erscheinungsbild idealerweise mit dem einer großen Bank oder Sparkasse übereinstimmen. Irgendwann wird eine davon schon einen Kunden dieser Bank erreichen. In den EMails schickt man einen Link mit, der auf die gefälschte Seite führt. Alternativ baut man in die EMail selbst ein Eingabeformular ein, so dass sich die Erstellung der gefälschten Webseite erübrigt.

Unter Vortäuschung einer falschen Tatsache (Überprüfung der Daten, Nutzung eines neuen Systems) soll sich das Opfer nun über diesen Verweis auf die gefälschte Webseite bewegen und dort seine vertraulichen Daten eingeben. Geschieht dies dann tatsächlich, werden die eingegebenen Daten einfach durch ein entsprechendes Programm zu einer EMail zusammengesetzt und an die EMailadresse des Täters gesendet, der diese dann nur noch abrufen muß.

Immer mehr Kunden auch in Deutschland werden trotz der immer wiederkehrenden Warnungen Opfer der Phisher, vor allem im Bereich des Onlinebanking. In den USA sind durch das Phishing bisher Milliardenschäden entstanden.

Eine neue Methode der Phisher ist das "Anheuern" von ahnungslosen Menschen als Mittelsmänner für ihren Diebstahl. Hierbei gibt es zwei Wege. Zum einen werden Anwender in EMails aufgefordert, ihre Konten für Transaktionen zur Verfügung zu stellen, wofür sie eine Provision erhalten sollen.
Der andere Weg arbeitet mit ganz gewöhnlichen Arbeitsangeboten, funktioniert ansonsten jedoch nach dem gleichen Schema.
Tatsächlich sind bereits Fälle bekannt, in denen dieses Vorgehen funktionierte. So wurde ein Rentner unfreiwillig zum Strohmann und ließ eine Überweisung von etwa 20.000 Euro auf sein Konto zu. Das Geld hat er anschließend auf ein ausländisches Konto weitergeleitet. Die entstandenen Kosten hat er nun zu tragen. Die wirklichen Drahtzieher werden vermutlich niemals gefunden.

Es ist unbedingt zu beachten, dass Banken und Sparkassen niemals derartige EMails versenden, in denen ihre Kunden aufgefordert werden, ein neues System zur Abwicklung der Bankgeschäfte zu nutzen oder online ihre Zugangsdaten unter Eingabe von TAN-Nummern zu bestätigen. Diese Benachrichtigungen, sofern jemals nötig, werden ausnahmslos per Post zugestellt.

Doch wie schon erwähnt sind nicht nur Banken das "Material" der Phisher. Auch Online-Auktionshäuser wie etwa Ebay und Bezahldienste wie PayPal sind davon betroffen.

Gefälschte Ebay Mail


Die obige Grafik zeigt eine Phishing-EMail. In dieser EMail stimmt alles, sogar das Logo führt tatsächlich zu Ebay. Selbst die Links am unteren Rand der EMail, die auf "sicheres Handeln" verweisen, stimmen.
Nur der eine Link "click here" führt nicht zu Ebay, sondern in diesem Falle zur Adresse http://playboy-bg.co.uk/cgi-bin/login.htm.

In den Radio-, Fernseh- und Zeitungsnachrichten war häufig im Zusammenhang mit Phishing-Attacken zu hören und zu lesen, dass bei Bank-Webseiten darauf geachtet werden sollte, dass in der Adresszeile des Browsers statt dem üblichen "http://" ein "https://" die Sicherheit der Verbindung anzeigt. Dies muß nicht zwangsläufig richtig sein und kann den Benutzer in die Irre führen!

Im Normalfall zeigt das Kürzel "https://" tatsächlich eine verschlüsselte und somit einigermaßen sichere Verbindung an. Mittlerweile sind jedoch Webseitenfälschungen aufgetaucht, die eine komplette Browseroberfläche samt Adresszeile nachbilden und dabei das "https" einfach an die richtige Stelle schreiben und so den Eindruck erwecken, es handele sich um eine sichere Verbindung.
Dabei wird die gesamte Benutzeroberfläche mittels HTML, Javascript und ein paar Grafiken nachgebaut und lässt es für den Benutzer so aussehen, als ob er tatsächlich die Webseite seiner Bank nutzt.

Bei einzelnen Browsertypen und -versionen war und ist es offensichtlich auch möglich, dem Anwender eine verschlüsselte Verbindung schlicht vorzugaukeln.

Hier hilft nur : Adresse nur per Hand eingeben und nicht über einen Link auf die Seite der Bank wechseln. Wie Sie jedoch im Artikel "Pharming" lesen können, ist diese Methode auch nicht absolut sicher.

Der neueste Trick der Phisher ist es, ihre Opfer mit Geld zu locken. In den versendeten EMails werden die Opfer aufgefordert, an einer bezahlten Umfrage teilzunehmen. Für die Teilnahme verspricht der "Veranstalter" eine Belohnung, die direkt auf das Konto gutgeschrieben wird. Es versteht sich fast schon von selbst, dass der Benutzer dazu die Nummer seiner Bankkarte und die zugehörige PIN eingeben muß.

Eine weitere recht neue Methode, an die Zugangsdaten der Anwender zu kommen, ist das Versenden von EMails mit integrierten Eingabeformularen. Damit können unter Umständen die gefälschten Webseiten eingespart werden.
Der Benutzer wird dabei wie bei "klassischen" Phishing-EMail aufgefordert, seine Zugangsdaten (nebst PIN und TAN-Nummer) in das Formular der EMail einzutragen. So ist man schließlich nicht gezwungen, extra eine Webseite dafür öffnen zu müssen.
Diese Methode funktioniert übrigens nur, wenn der Anwender in seinem EMailprogramm die HTML-Anzeige nicht abgeschaltet hat. Aufgrund der weiteren Gefahren, die sich durch HTML-EMails ergeben, sollte dies aber grundsätzlich getan werden.
Im Zusammenhang mit dieser Art von EMails schlagen übrigens Antivirenprogramme oft an. Allerdings handelt es sich bei den Meldungen selten um die Entdeckung eines wirklichen Schädlings. Lediglich bestimmte Elemente in der EMail werden dann vom Antivirenprogramm erkannt und es meldet eine Phishing-EMail.

Gegenmaßnahmen

Wie eingangs bereits erwähnt : wenn Sie eine EMail Ihrer oder irgendeiner anderen Bank erhalten, löschen und vergessen Sie diese. Haben Sie dennoch Zweifel, kontaktieren Sie Ihre Bank und fragen Sie nach.
Eventuell wird man Sie dort bitten, die EMail an eine bestimmte EMailadresse des Kreditinstitutes weiterzuleiten, da bei den Banken ein berechtigtes Interesse an der Aufklärung von Phishing-Attacken besteht.

In keinem Fall dürfen Sie jedoch die Webseite aufrufen und schon gar nicht dürfen Sie Ihre persönlichen Daten dort eintragen. Ebensowenig dürfen Sie Ihre persönlichen Zugangsdaten in ein Formular in einer EMail eintragen und dieses absenden. Sonst haben die Betrüger freien Zugriff auf Ihr Konto.

Beispiele

Auf der nächsten Seite haben wir für Sie einige Beispiele von Phishing-EMails und -Webseiten aufgelistet. Wo es möglich war, haben wir die gefälschten und die echten Webseiten zum Vergleich nebeneinander gestellt.

Zu den Beispielen
Netzwerke
Allgemeines
Datenpakete
Das TCP/IP-Protokoll
Das ICMP-Protokoll
Was ist ein Port?
Portscan
Linux
Linux - Jenseits von Microsoft
Was ist Linux
Die Vorteile von Linux
Auch Linux hat Nachteile
Was Sie wissen sollten
Software für Linux
Linux per Live-CD
Linux per VMware
Erste Schritte mit Linux
Erste Schritte mit Linux 2
In aller Kürze
Was ist ein Byte?
Was ist ein Botnetz?
Gute Passwörter?
Was ist ein Cookie?
Was ist ein Betriebssystem?
Was ist ein Zertifikat?
Was bedeutet "https"?
Was ist die HOSTS-Datei?
EMails
Umgang mit Emails
Email-Anhänge
Verweise in Emails
SIDES FST
SIDESforum
Berühmte Schädlinge
CIH
Loveletter
Michelangelo
Slammer
Sasser
Valid XHTML 1.0 "SIDES - Computersicherheit für Privatanwender" ist ein Projekt von Klaus Wockenfoth
Jetzt neu: Der aktuelle SEO-Contest für SommerSEO
Die Inhalte dieser Webseite unterliegen der Creative Commons Attribution-NonCommercial-NoDerivs 3.0 Germany 		Valid CSS