02.01.2005

NETZBETRUG

Das Jahr der "Phisher" 2005

Für 2005 ist unschwer zu prophezeien, dass sich die Mitte des abgelaufenen Jahres erstmals massenhaft zu beobachtenden "Phishing"-Angriffe vervielfachen werden.

Die Versuche, arglose User via Spam-Mails zum Eingeben ihrer persönlichen Finanzdaten - Nummer und PIN-Codes von Kreditkarten etc. - in ein gefälschtes Web-Formular zu veranlassen, haben in den letzten Monaten deutlich an Raffinesse gewonnen.

Sobald diese Daten auf der gefälschten Website einer Bank oder Kreditkartenfirma eingegeben sind, versuchen die Betrüger sofort, von diesen Konten Gelder auf Auslandskonten zu verschieben. Wie hoch der dabei angerichtete Schaden sein könnte, läßt sich erahnen, wenn man weiß, dass noch immer ungefähr jeder zehnte User dazu neigt, auf Phishing hereinzufallen.

Anfang Oktober 2004 wurde einer der frechsten Phish-Züge in den USA auf VISA-Kreditkartendaten mit einer sehr authentisch wirkenden Massenaussendung eröffnet. Unter der [leicht zu fälschenden] Absenderadresse der Kreditkartenfirma Visa wurden die Empfänger aufgefordert, ihre Karteninformation zu aktualisieren. Der beigefügte Link führte auf eine Domain visa-secure.com, die mit SSL-Verschlüsselung aufwarten konnte [https://...] - ganz wie bei echten Transaktionen mit Kreditkarte.

"Phishing"-Großangriff auf Visa-Karten

Generalstabsmäßig durchgezogen

Eine Untersuchung des Security-Unternehmens CipherTrust während der ersten Oktoberhälfte 2004 hatte ergeben, dass alle Angriffe auf Kreditkarten-Daten leichtgläubiger Benutzer bis dahin von weniger als einer Handvoll Leuten ausgeführt wurden.

Alle bekanntgewordenen Phishing-Angriffe wurden zwar in vergleichsweise kleinem Rahmen, aber dafür bis ins Detail geplant und generalstabsmäßig operativ durchgezogen.

Für alle beobachteten Angriffe in den USA kamen abwechselnd fünf so genannte "Zombie-Networks" zum Einsatz, die aus je etwa tausend ferngesteuerten Rechnern nichtsahnender Benutzer bestehen.

Wenig Phisher, fette Beute

Microsoft und FBI fischen Phisher
In den USA haben sich Microsoft, VeriSign, AOL, das FBI, die US-Handelskammer und zahlreiche andere Firmen und Behörden zu einer Anti-Phishing-Allianz zusammengeschlossen. "Digital PhishNet" soll Online-Betrügern auf die Schliche kommen und sie möglichst rasch vor Gericht bringen.

Digital PhishNet