08.05.2006, 12:19 Uhr

ISS blickt auf 10 Jahre Phishing zurück

Trickbetrug im Internet, so genanntes Phishing, wird zehn Jahre alt. Und noch immer hat jedes zwanzigste Betrugsmail Erfolg. Das Forschungsteam der Sicherheitsspezialistin Internet Security Systems (ISS) hat aus diesem Anlass einen historischen Abriss zum Thema Phishing zusammengestellt.
Überblick über die zehnjährige Geschichte des Trickbetrugs im Internet.
Die Betrugsmethode Phishing begeht heuer ihr Zehn-Jahr-Jubiläum. Was 1996 zunächst mit einem "Böse-Jungen-Streich" begann, avancierte im Laufe der Jahre zu einer hochorganisierten Form der internationalen Kriminalität. Dabei steht vor allem die finanzielle Bereicherung im Vordergrund, demnach kaum verwunderlich, dass inzwischen auch das Thema Geldwäsche im Zusammenhang mit Phishing einen neuen Stellenwert erfährt. Aber auch Unternehmen einen wirtschaftlichen Schaden oder einen Imageverlust zuzufügen, spielt bei den Aktivitäten der Internetkriminellen nach wie vor eine signifikante Rolle.
Der Begriff "Phishing" wird erstmals geprägt, als Hacker 1996 die Zugangsdaten von AOL-Mitgliedern stehlen. Ein Jahr später greift ein Computermagazin den Terminus auf und sorgt dafür, dass dieser sich als gängige Bezeichnung für diese Angriffsform durchsetzt. In den folgenden Jahren versuchen Phisher vorwiegend vertrauliche Daten über spezielle Newsgroups oder Internet-Diskussionsforen zu ergaunern. Eine beliebte Methode stellen kurz darauf Keylogger-Programme dar, die in Form von Trojaner Verbreitung finden. Diese ermöglichen Hackern, Tastatureingaben ahnungsloser Nutzer mitzuprotokollieren und damit Kenntnis über Kennwörter und PIN"s zu erlangen. Erst im neuen Jahrtausend beginnen Phisher mit dem Massenmail- oder URL-Versand, um Anwender auf imitierte Bankseiten zu lenken und dort ihre vertraulichen Daten "abzufischen". Doch damit nicht genug. Die Täter verfeinern ihre Methoden permanent und setzen auf immer ausgeklügeltere Techniken, um an vertrauliche Daten zu gelangen und diese für den eigenen finanziellen Profit zu nutzen. So entwickelt sich bis zum Jahr 2005 das "Pharming". Bei dieser auch unter der Bezeichnung "Domain-Spoofing" bekannten weiterentwickelten Phishing-Variante kapert der Internetpirat eine Domain und verändert über vorhandene Sicherheitslöcher in Browsern die Originaladresse. Auch im Falle der manuellen Eingabe der richtigen Internetadresse landet der Anwender somit auf der gefälschten Internetseite. Im vergangenen Jahr tauchte mit dem "Spear Phishing" eine weitere Betrugsvariante auf. Hierbei versenden die Täter gefälschte E-Mails gezielt an eine bestimmte Empfängergruppe - beispielsweise an sämtliche Beschäftigte eines Unternehmens - und fragen unter einem Vorwand Benutzernamen oder Kennwörter an. Erschreckend ist, dass sie dabei einen dem Opfer bekannten Absendernamen verwenden und so Vertrautheit vorgaukeln. Gehen die Angestellten ins Netz, indem sie beispielsweise auf die Nachricht antworten, beigefügte Anhänge öffnen oder auf einen angegebenen Link klicken, ist der Schaden für das Unternehmen gross. Auch vor Angriffe auf Voice-over-IP-Umgebungen schrecken Phisher inzwischen nicht mehr zurück. Denn Infrastrukturen, die das kostengünstige Telefonieren über IP ermöglichen, sind grundsätzlich den gleichen Risiken ausgesetzt wie Datennetze. Die Umwandlung von Sprachsignalen in über das Internet übermittelbare Datenpakete leistet dem Spoofing - der Fälschung oder Vortäuschung von Identitäten - Vorschub. Somit entsteht eine neue Spielwiese für die Datenfischer, dies belegen die ersten Anfang des Jahres erfolgten Angriffe.
Laut ISS liegt die Erfolgsquote bei Phishing-Angriffen in Spitzenzeiten bei 5 Prozent. Somit trifft jede zwanzigste Phishing-Mail ins Schwarze. Zudem werden die Techniken, um Anwender auszutricksen, immer raffinierter. Obwohl Massen-E-Mails auch künftig an der Tagesordnung sein werden, laufen nach Aussage der Sicherheitsspezialisten vor allem gezielte Angriffe auf Unternehmen diesen künftig den Rang ab. Dabei birgt vor allem die zunehmende Migration auf VoIP-Infrastrukturen besonderes Gefahrenpotenzial. Um die Gefahr zu umgehen, einem Phishing-Angriff anheim zu fallen, empfiehlt Internet Security Systems, E-Mails mit unbekanntem Absender in gar keinem Fall zu öffnen. Zudem rät die Herstellerin niemals auf Grund einer E-Mail-Anfrage persönliche Daten preis zu geben. Unternehmen sollten auf einen umfassenden Schutz der Systeme wert legen.



Das könnte Sie auch interessieren