Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor so genannten „Phishing-Mails“ – aus gegebenem Anlass. Denn in den letzten Tagen schwappte eine Welle betrügerischer Emails durchs Netz, die alle nur das eine Ziel hatten: die Mailempfänger dazu zu bringen, vertrauliche Bankdaten an die Betrüger weiterzuleiten. Mittlerweile sind die gefälschten Webseiten vom Netz. Die Ermittlungsbehörden wurden eingeschaltet und vermuten die Urheber der Phishing-Mail-Welle in Osteuropa. Doch dieser kriminelle Phish-Zug wird keineswegs der letzte bleiben. Das BSI gibt deshalb Tipps, wie man den Daten-Phishern nicht ins Netz geht.
„password“ + „fishing“ = „phishing“
„Phishing“ ist ein Kunstwort und stammt aus dem amerikanischen Englisch. Es setzt sich aus den beiden Worten „password“ und „fishing“ zusammen, und diese beiden Ausdrücke beschreiben schon recht gut, worum es den Phishing-Mail-Betrügern geht. Sie fischen im Internet nach Passwörtern und anderen vertraulichen Daten, um mit diesen Daten auf die zugehörigen Accounts etwa bei eBay oder Paypal zuzugreifen oder mit den entsprechenden Zugangsinformationen (Kontonummer, Passwort, PIN- und TAN-Nummern) online die Bankkonten derjenigen zu plündern, die den Phishern ins Netz gegangen sind.
Immer das gleiche Muster
Nur die wenigsten User werden vertrauliche Daten freiwillig preisgeben. Deshalb haben sich die Phishing-Betrüger eine Reihe von Tricks ausgedacht, um ihre potenziellen Opfer dazu zu bringen, die gewünschten Daten anzugeben. Der Phish-Zug beginnt in aller Regel mit einer gefälschten Massen-Email. Diese Mail gibt vor, von einer Bank oder einem anderen seriösen Unternehmen wie etwa eBay zu kommen. Sie fordert den Empfänger auf, seine Account- oder Kontodaten zu aktualisieren, weil seine Daten veraltet oder seine Zugangsdaten „leider“ verloren gegangen seien. Damit es der Empfänger „einfach“ hat, wird ihm in der Mail gleich der entsprechende Link etwa zu „seiner Bank“ angeboten.
Falsche Webadresse führt auf gefälschte Webseiten
Bei diesen Phishing-Mails handelt es sich immer um HTML-Mails. Jeder, der sich ein wenig mit HTML auskennt, weiß, dass sich hinter der im Nachrichtentext angezeigten Linkadresse eine ganz andere Webadresse verbergen kann. Es gibt noch weitere Tricks etwa durch ein eingefügtes JavaScript, um die wirkliche Webadresse auch in der Adressleiste des benutzten Browsers zu verschleiern. In jedem Fall führt der Klick auf die vermeintlich seriöse Adresse immer auf eine gefälschte Webseite, die der Originalwebseite oftmals täuschend ähnlich sieht. Hier wird man aufgefordert, seine Daten einzugeben, die dann postwendend an die Server der Betrüger weitergeleitet werden. Für die Betrüger ist nun Eile geboten. Sie verschicken ihre Mails massenhaft und wahllos an alle möglichen Emailadressen. Deshalb bleiben ihre betrügerischen Absichten meist nicht lange geheim. Je schneller sie die erschlichenen Daten für ihre Zwecke nutzen können, desto größer ist ihre Chance, dass sich ihr Phish-Zug lohnt.
eBays Toolbar gibt grünes Licht
Auch das Internetauktionshaus eBay war in der letzten Zeit immer wieder Opfer von Phishing-Mail-Betrügern. Sie versandten gefälschte eBay-Mails und forderten die Empfänger auf, eine gefälschte Webseite anzusteuern und dort ihre Accountdaten zu aktualisieren. Damit die Umleitung auf gefälschte Webseiten nicht mehr so problemlos wie bisher funktioniert, bietet eBay seit Februar 2004 ein spezielles Werkzeug zum Download an, eine Toolbar, in die eine spezielle Sicherheitsfunktion integriert ist. Nach Installation der Toolbar gibt ein integrierter Sicherheitsbutton „grünes Licht“, wenn man sich auf offiziellen eBay-Seiten befindet. Andere Firmen arbeiten laut BSI ebenfalls an solchen Lösungen.
Wie man nicht „abgephischt“ wird
Zwar gehen die Phishing-Mail-Betrüger insgesamt recht trickreich vor, doch der einzelne User ist ihnen keinesfalls schutzlos ausgeliefert. Es reicht, ein paar grundlegende Verhaltensregeln zu befolgen, und die Phishing-Netze bleiben leer. Seriöse Unternehmen und Banken schicken ihren Kunden niemals Mails, in denen sie die Angabe von vertraulichen Daten einfordern. Wer solche Mails erhält, sollte den dort angegebenen Link niemals anklicken. Wer sich auf Grund der Phishing-Nachricht Sorgen wegen seines Accounts oder seiner Zugangsdaten etwa zum Online-Banking macht, sollte sich immer direkt mit den entsprechenden Stellen in Verbindung setzen, also entweder eine Mail an die gewohnte Adresse schicken oder die entsprechende Firmen- oder Bankwebseite mit der gewohnten, meist gebookmarkten Webadresse aufrufen. Persönliche Daten sollte man sowieso niemals per Email verschicken. Emails sind wie Postkarten und können theoretisch ohne großen Aufwand mitgelesen werden.
Bank informieren, Konto sperren lassen
Wer seine persönlichen Bankdaten versehentlich preisgegeben hat, sollte sich sofort mit seiner Bank in Verbindung setzen und den Account sperren lassen. Im Interesse anderer Kunden sollte man seine Bank grundsätzlich informieren, wenn man Phishing-Mails mit der Bank als Absender erhalten hat. Je früher die Bank Bescheid weiß, desto schneller kann sie reagieren und beispielsweise alle verdächtigen Online-Überweisungen sperren.
Zurück zur News-Übersicht