Ziel des Betrugs ist es z. B. an persönliche Daten eines Internet-Benutzers zu gelangen oder ihn z. B. zur Ausführung einer schädlichen Aktion zu bewegen.
In der Folge werden dann beispielsweise Kontoplünderung oder Identitätsdiebstahl begangen oder eine Schadsoftware installiert. Es handelt sich dabei um eine Form des Social Engineering, bei dem die Gutgläubigkeit des Opfers ausgenutzt wird.
Typisch ist dabei die Nachahmung des Internetauftritts einer vertrauenswürdigen Stelle, etwa der Internetseite einer Bank. Um keinen Verdacht zu erregen, wird das Corporate Design der betroffenen Stelle nachgeahmt, so werden etwa dieselben Firmenlogos, Schriftarten und Layouts verwendet.
Der Benutzer wird dann auf einer solchen gefälschten Seite etwa dazu aufgefordert, in ein Formular die Login-Daten oder auch Transaktionsnummern für sein Onlinebanking einzugeben. Diese Daten werden dann an den Betrüger weitergeleitet und dazu missbraucht, das Konto zu plündern.
Phishing-Nachrichten werden meist per E-Mail oder Instant-Messaging versandt und fordern den Empfänger auf, auf einer präparierten Webseite oder am Telefon geheime Zugangsdaten preiszugeben. Versuche, der wachsenden Anzahl an Phishing-Versuchen Herr zu werden, setzen unter anderem auf geänderte Rechtsprechung, Anwendertraining und technische Hilfsmittel.
Geschichte
Phishing ist keine neue Erscheinung. Tatsächlich gab es unter dem Begriff Social Engineering ähnliche Betrugsversuche bereits lange, bevor E-Mail und Internet zum alltäglichen Kommunikationsmittel wurden. Dabei versuchten Betrüger beispielsweise auf telefonischem Weg, sich das Vertrauen der Opfer zu erschleichen und ihnen vertrauliche Informationen zu entlocken.
Durch die Verbreitung von kostengünstiger VoIP-Telefonie wird dieses nun Vishing genannte Vorgehen wieder lohnend für Betrüger. Ein aktuelles Beispiel für verwendete Trickbetrügereien ist der Enkeltrick. Neu sind beim Phishing lediglich die Werkzeuge, die eine weitaus größere Verbreitung ermöglichen.
Die Anfänge des Phishings im Internet reichen bis zum Ende der 1990er Jahre zurück. Damals wurden Nutzer von Instant-Messengern wie z. B. ICQ per E-Mail aufgefordert, ihre Zugangsdaten in ein in der E-Mail enthaltenes Formular einzutragen. Mit den so erhaltenen Zugangsdaten konnten die Betrüger die Chat-Zugänge ihrer Opfer unter deren Identität nutzen.
Die ersten Phishing-Angriffe im Bereich des Online-Banking begannen damit, dass der Urheber einer Phishing-Attacke seinem Opfer offiziell wirkende Schreiben als E-Mail schickte, die ihn dazu verleiten sollen, vertrauliche Informationen, vor allem Benutzernamen und Passwörter oder PIN und TAN von Online-Banking-Zugängen, dem Täter im guten Glauben preiszugeben.
Übergibt der Besucher korrekte Daten, kann der Betrüger mit der abgefangenen PIN und TAN eine Geldüberweisung zu Lasten des Opfers tätigen. Diese relativ simple Methode, Konto-Zugangsdaten abzufangen, wird heute nur noch vergleichsweise selten angewendet, nachdem die meisten Banken ihre TAN-Systeme verbessert haben.
Neuere Methoden
In der Gegenwart gelingt es Phishing-Betrügern vor allem mit Hilfe von Schadprogrammen wie beispielsweise mit trojanischen Pferden, sich in dem Kommunikationsweg zwischen Bankkunde und Bank zwischenzuschalten (Man-in-the-Middle-Angriff) und Daten abzugreifen, die dann nie bei der Bank ankommen. Der Umweg, den Bankkunden über das Versenden einer E-Mail zur Preisgabe seiner Zugangsdaten zu verleiten, ist damit nicht mehr notwendig.
Diese moderne Form des Abgreifens von Kontozugangsdaten ermöglichte es den Tätern, auch vergleichsweise moderne Systeme wie das iTAN-Verfahren mit indizierten Transaktionsnummern zu überlisten.
Phishing-Angriffsziele sind dabei Zugangsdaten, zum Beispiel für Onlinebanking oder Online-Bezahlsysteme (zum Beispiel PayPal), Versandhäuser, Internet-Auktionshäuser, webbasierende Onlineberatungen, Packstationen oder Singlebörsen. Mit den gestohlenen Zugangsdaten kann der Urheber der Phishing-Attacke die Identität seines Opfers übernehmen (Identitätsdiebstahl) und in dessen Namen Handlungen ausführen.
Durch den Missbrauch der persönlichen Daten entstehen beträchtliche Schäden in Form von Vermögensschäden (zum Beispiel Überweisung von Geldbeträgen fremder Konten), Rufschädigung (beispielsweise die Versteigerung gestohlener Waren unter fremdem Namen bei Online-Auktionen) oder Schäden durch Aufwendungen für Aufklärung und Wiedergutmachung.
Über die Höhe der Schäden gibt es nur Schätzungen. Wie Sicherheitsexperten des auf IT-Sicherheit spezialisierten Unternehmens RSA herausfanden, gab es allein in den USA im Jahr 2011 etwa 280.000 Phishing-Attacken und damit einen Anstieg um 37 Prozent gegenüber dem Vorjahr. Im Schnitt konnten die Täter mit jedem Angriff ungefähr 4.500 Dollar erbeuten.
Spear-Phishing
Eine neuere Variante des Phishing wird als Spear-Phishing bezeichnet (abgeleitet vom englischen Wort für Speer), worunter ein gezielter Angriff zu verstehen ist. Hierbei beschafft sich der Angreifer zum Beispiel über die Studentenvertretung einer Hochschule die Mailadressen der dort eingeschriebenen Studenten, um an diese gezielt eine Phishing-Mail einer lokal ansässigen Bank oder Sparkasse zu übersenden. Die „Trefferquote“ bei dieser Art von Phishing-Attacken ist höher als bei normalen Angriffen, da die Wahrscheinlichkeit, dass ein Student seine Bankverbindung bei diesem Institut unterhält, sehr groß ist. Weiter spricht man in Fachkreisen von Whaling, wenn sich die gezielte Attacke gegen hohe Führungskräfte richtet.
Pharming
Eine weiterentwickelte Form des klassischen Phishings ist das Pharming, welches auf einer Manipulation der DNS-Anfragen von Webbrowsern basiert.
Methoden der Datenbeschaffung
Im Allgemeinen beginnt eine Phishing-Attacke mit einer persönlich gehaltenen, offiziell anmutenden E-Mail oder einem Massenversand von E-Mails, wobei der Empfänger stets mit „Sehr geehrter Kunde“ angesprochen wird anstatt mit dem eigentlichen Namen, welcher normalerweise der Bank bekannt ist – eine der Möglichkeiten, Phishing-Mails zu erkennen.
Der Empfänger soll eine betrügerische Webseite besuchen, die mehr oder weniger täuschend echt aussieht und unter einem Vorwand zur Eingabe seiner Zugangsdaten auffordert.
Die gefälschten Webseiten sind in aller Regel schon allein aus ungeschickten Formulierungen (oft Ergebnis einer Computerübersetzung), orthographischen oder syntaktischen Fehlern erkennbar. Manchmal sind Mails mit gefälschten Absendern einfach an der falschen Sprache erkennbar, wenn etwa eine angeblich deutsche Bank ihr Rundschreiben mit dem Gruß „Yours truly“ oder anderen nicht authentischen Formulierungen abschließt.
Oft erkennt man Fälschungen auch daran, dass der Versender eine falsche Kodierung verwendet, sodass statt eines Sonderzeichens westlicher Sprachen (zum Beispiel deutsche Umlaute oder Buchstaben mit französischen, oder italienischen Akzenten) in einem lateinisch kodierten Text einzelne kyrillische Buchstaben erscheinen.
Meistens wird das Opfer zusätzlich in falscher Sicherheit gewiegt, indem im Text das Problem des Datendiebstahls thematisiert wird und behauptet wird, dass das Ausfüllen des Formulars nötig sei, damit ein „neuartiges Sicherheitskonzept“ wirksam werden könne.
Folgt er dieser Aufforderung, gelangen seine Zugangsdaten in die Hände der Urheber der Phishing-Attacke. Was dann folgt, soll nur noch nachträgliches Misstrauen des Opfers zerstreuen – eine kurze Bestätigung oder eine falsche Fehlermeldung.
In den gefährlicheren Angriffsformen befindet sich die Malware auf einer infizierten Webseite. Diese wird dann allein durch den Besuch der Website auf dem Computer des Internet-Nutzers installiert.
Hierbei ist es möglich, dass auch eine seriöse Internetseite ohne Kenntnis des Betreibers infiziert wurde. In diesem Fall ist das Versenden einer E-Mail entbehrlich.
Eine andere Variante bindet ein Formular direkt innerhalb einer HTML-E-Mail ein, das zur Eingabe der vertraulichen Daten auffordert und diese an die Urheber sendet. Auf eine Phishing-Webseite wird hierbei verzichtet.
Die Frankfurter Allgemeine Zeitung berichtete 2009 von einem Man-in-the-Middle-Angriff von Tätern aus St. Petersburg, die im Jahre 2008 430 Internetknotenrechner scannten und auf diese Weise 25 Mio. € erbeutet hatten.
Methoden der Verschleierung
E-Mail
Die E-Mail wird als HTML-E-Mail, eine E-Mail mit den grafischen Möglichkeiten von Webseiten, verfasst. Der Verweistext zeigt die Originaladresse an, während das unsichtbare Verweisziel auf die Adresse der gefälschten Webseite verweist (Link-Spoofing).
Sowohl in E-Mails wie in Webseiten kann die Mehrdeutigkeit sichtbarer Zeichen ausgenützt werden. In den Schriften Calibri oder Arial sieht der Kleinbuchstabe „l“ (12. Buchstabe des Alphabets) so aus wie der Großbuchstabe „I“ (9. Buchstabe des Alphabets), auch die Null und der Großbuchstabe „O“ lassen sich leicht verwechseln, desgleichen verwenden Fälschungen bisweilen die Ziffer „1“ statt den Kleinbuchstaben „l“ (12. Buchstabe des Alphabets) und umgekehrt. Damit wird der Benutzer über die wahre Adresse des Absenders einer Mail oder die wirkliche URL einer Webseite getäuscht.
Mit der Einbindung von HTML kann der im E-Mail-Programm sichtbare Verweis tatsächlich auf eine ganz andere Webseite verweisen. Zwar lässt sich ersehen, dass das Ziel des Verweises auf eine andere Webseite verweist, allerdings können auch diese Angaben über Skripttechniken verfälscht werden, sofern das E-Mail-Programm solche Skripte ausführt. In anderen Fällen wird der Verweis als Grafik dargestellt, um die Text-Erkennung durch automatische Filtersysteme zu erschweren. Auf dem Bildschirm des Anwenders erscheint dann zwar Text, dieser ist allerdings eine Grafik.
Bei Phishing wird meistens auch die E-Mail-Adresse des Absenders gefälscht, um die Mail echter aussehen zu lassen. Es wird auch beobachtet, dass Phishing-Mails Wörter enthalten, die bayessche Spamfilter ansprechen lassen.
Webpräsenz
Die gefälschten Zielseiten haben meistens gefälschte Namen oder Bezeichnungen, die ähnlich klingen wie die offiziellen Seiten oder Firmen. Die Zielseiten mit dem Webformular haben das gleiche Aussehen wie die Originalseiten. Sie sind also nur sehr schwer als Fälschungen identifizierbar.
Mit der Möglichkeit, internationalisierte Domainnamen in URLs zu verwenden, entstanden neue Möglichkeiten zum URL-Spoofing. Beispielsweise könnte eine Originaladresse lauten http://www.oe-bank.example.com/ und als Fälschung http://www.ö-bank.example.com/. Die beiden Namen sind sachlich identisch, allerdings technisch unterschiedlich, denn sie werden im Hintergrund zu unterschiedlichen Adressen aufgelöst und können zu völlig unterschiedlichen Webseiten führen.
Noch schwerer zu erkennen ist die Verwendung von ähnlich aussehenden Buchstaben aus anderen Alphabeten (Homographischer Angriff). So unterscheidet sich z. B. das kyrillische „а“ bei den üblicherweise verwendeten Schriftarten optisch in keiner Weise vom lateinischen „a“. Falls das „a“ in „http://www.bank.example.com/“ kyrillisch dargestellt wird, ist die Adresse unterschiedlich und somit falsch. Allerdings zeigt die Adresszeile des Browsers keinen sichtbaren Unterschied zur Original-Bankadresse.
Als generisches Schutzprotokoll vor Phishing-Attacken auf Basis von IDNs wurde das Protokoll IDN Char Collision Detection (IdnCCD) entwickelt.
Es wurden Trojaner entdeckt, die gezielt Manipulationen an der Hosts-Datei des Betriebssystems vornahmen. In der Hosts-Datei können rechnerindividuelle Umsetzungen hinterlegt werden. Eine Manipulation dieser Datei kann bewirken, dass anstatt der Original-Seite nur noch die gefälschte Seite aufgerufen werden kann, obwohl die korrekte Adresse eingegeben wurde. Auch die im Router eingetragene DNS-Konfiguration kann Ziel von Schadsoftware sein. Perfide an dieser Angriffsmethode ist, dass das Opfer unabhängig vom Endgerät auf entsprechende gefälschte Dienste weitergeleitet wird.
Eine weitere Methode des Phishings ist das Access-Point-Spoofing, bei dem der Angreifer die Kennung eines vertrauenswürdigen Funknetzes kopiert, damit sich das Ziel mit einem bösartigen Zugangspunkt verbindet. Letztere Methode kann sowohl bei lokalen Funknetzen (W-LAN) als auch im Mobilfunknetz zum Einsatz kommen.
Eine Studie der Universität Cambridge (The Impact of Incentives on Notice and Take-down, s. Literatur) hat gezeigt, dass Banken es im Durchschnitt innerhalb von vier bis acht Stunden schaffen, zur Kenntnis gelangte Phishing Websites weltweit löschen zu lassen.
SMS (SMiShing)
Hierbei wird per SMS z. B. eine „Abobestätigung“ oder eine Paketankündigung verschickt. Darin wird eine Internet-Adresse zur Abmeldung genannt, bei Besuch dieser Seite wird z. B. ein Trojaner eingeschleust.
SchutzDa die HTML-Darstellung und der Einsatz von Scripten bei den meisten Phishing-E-Mails eingesetzt werden, kann man bei seinem E-Mail-Programm die HTML-Darstellung sowie Java-Script deaktivieren. Auch sollten eigene E-Mails zumindest auch als reiner Text versendet werden, damit der Empfänger in seinem E-Mail-Programm die HTML-Darstellung deaktivieren und sich so vor Phishing-E-Mails schützen kann.
Die E-Mail-Filter einiger Antivirenprogramme können Phishing-E-Mails unter günstigen Umständen erkennen und eliminieren. Voraussetzung dafür ist es, das Antivirenprogramm stets auf aktuellem Stand zu halten. Auch E-Mail-Programme wie z. B. Mozilla Thunderbird und Browser wie der Internet Explorer 8, Mozilla Firefox 3.6 oder Opera 9.xx warnen vor Phishingseiten. Der Phishingschutz basiert dabei entweder auf einer Blacklist, welche über das Internet aktualisiert wird, oder es werden typische Merkmale von Phishing-E-Mails wie z. B. Verweise auf IP-Adressen oder Verweise mit einem anderen Hostnamen als im Verweistext überprüft.
Seit einiger Zeit nutzen immer mehr Kreditinstitute im Internetbanking Extended Validation-SSL-Zertifikate (EV-SSL-Zertifikate). In der Adresszeile aktueller Browser (bspw. Internet Explorer 9, Mozilla Firefox 7.0.1) wird hierbei zusätzlich ein Feld angezeigt, in dem Zertifikats- und Domaininhaber im Wechsel mit der Zertifizierungsstelle eingeblendet werden. Zudem wird je nach verwendetem Browser die Adresszeile grün eingefärbt. Internetnutzer sollen so noch schneller erkennen, ob die besuchte Webseite echt ist, und damit besser vor Phishingversuchen geschützt sein.
Auch für Microsoft Outlook gibt es eine Möglichkeit, sich vor gefährlichem Phishing zu schützen. Dabei wird eine Symbolleiste in Outlook eingebunden, und jede eingehende E-Mail kann auf gefährliche Verweise und verdächtige Header hin überprüft werden.
Symbolleisten und E-Mail-Filter, die auf schwarzen Listen beruhen, sind prinzipbedingt auf deren Aktualität angewiesen. Dies schränkt ihre Wirksamkeit bei neuen Phishingattacken deutlich ein.
Eine phishingresistente Möglichkeit, Onlinebankingtransaktionen durchzuführen, besteht darin, das signaturgestützte HBCI-Verfahren mit Chipkarte zu nutzen. Diese Variante des Onlinebankings ist darüber hinaus sehr komfortabel, da die Eingabe von TANs entfällt. Als weiterer Sicherheitsgewinn ist die sichere PIN-Eingabe (entsprechender Chipkartenleser mit eigenem PIN-Pad vorausgesetzt) zu nennen, bei der ein Belauschen der PIN-Eingabe mit einem Keylogger oder Trojaner nicht möglich ist. Demgegenüber stehen die Nachteile einer Softwareinstallation für HBCI, die notwendigen Installationen für den Kartenleser im Betriebssystem und damit die mangelnde Mobilität gegenüber. Auch wenn bisher keine massiven Angriffe gegen HBCI beobachtet wurden, bietet das Verfahren naturgemäß nur dann einen hohen Schutz, wenn das unterliegende Betriebssystem frei von Schadsoftware wie trojanischen Pferden ist.
Einen guten Schutz gegen Phishing bietet auch das iTAN-Verfahren. Es gibt allerdings (von Phishing zu unterscheidende) Man-in-the-middle-Angriffe, gegen welche die iTAN wirkungslos ist.
Ein gesundes Misstrauen gegenüber dem unsicheren Medium E-Mail sowie das aufmerksame Lesen der Phishing-E-Mails ist ebenfalls hilfreich. Kein seriöses deutsches Kreditinstitut verlangt von seinen Kunden, „ein Form auszufüllen“ oder „TAN einzutasten“. Mangelhafte Grammatik und Orthographie sind zwar kein sicheres Kennzeichen für Phishing, aber auf jeden Fall höchst verdächtig.
Weitere Merkmale, die häufig in Phishing-Mails anzutreffen sind, sind namenlose Anreden („Sehr geehrter Kunde“ – bei „echten“ Newslettern ist die Anrede meistens direkt an den Adressaten, also z. B. „Sehr geehrter Herr XYZ“) und eine vorgebliche besondere Dringlichkeit („Wenn Sie nicht innerhalb der nächsten zwei Tage eine Verifikation durchführen, wird ihr Konto / ihre Kreditkarte gesperrt“). Kein Unternehmen erwartet derart kurze Reaktionszeiten, und die meisten Banken und Sparkassen haben sowieso keine E-Maildaten von ihren Kunden, so dass bei wichtigen Mitteilungen meistens der Postweg gewählt wird.
Die meisten Phishing-Mails sind in einem ungewöhnlich holprigen, schlechten Deutsch geschrieben. Durch aufmerksames, kritisches Lesen des Textes fällt bei vielen Mails sofort auf, dass diese nicht von einem seriösen Absender stammen können.
Im Zweifel kann man (bei Thunderbird oder Firefox einfach mit Strg-U) den Quelltext der Phishing-E-Mail anzeigen und untersuchen. Meist erkennt man darin relativ schnell den eigentlichen Absender oder einen URL aus dem Ausland, der mit dem vorgetäuschten Absender nichts zu tun hat.
Es empfiehlt sich, für jede Anwendung ein anderes Kennwort zu vergeben. Wird das Kennwort einer Anwendung durch einen Angreifer ermittelt, bleibt für den Angreifer der Zugriff auf eine andere Anwendung weiterhin verwehrt.
Empfangene Phishing-Mails können umstandslos zur Lageverdichtung an die entsprechende E-Mail-Adresse der Verbraucherzentrale weitergeleitet werden.
Haftung
Das Landgericht Nürnberg-Fürth warf im Jahre 2008 die Frage auf, ob Banken im Jahre 2005 verpflichtet gewesen wären, das ältere PIN/TAN-Verfahren durch das modernere iTAN-Verfahren abzulösen. Diese Frage blieb im konkreten Streitfall damals offen, da sie nicht streitentscheidend war.
Im Jahre 2010 entschied dann erstmals ein Oberlandesgericht in Deutschland, dass Banken zur Bereithaltung sicherer Systeme verpflichtet sind, die es entsprechend dem Stand der Technik den Straftätern erschweren, Bankzugangsdaten abzugreifen. Das Gericht sah eine Sorgfaltspflichtverletzung der Bank dann als gegeben an, wenn die Bank ein System verwendet, das bei der Mehrzahl der Kreditinstitute nicht mehr im Einsatz ist und hinter den Sicherheitsstandards von neueren Systemen zurückbleibt.