G DATA Software AG: Antivirus, Virenschutz, Virenscanner, Internet Security

Im Jahresrückblick von Messagelabs wird die Zunahme der Phishing Attacken eindrucksvoll belegt. Während im September 2003 lediglich 279 Phishing Mails gezählt wurden, waren es ein Jahr später knapp 2,1 Millionen und im November mehr als 4,5 Millionen. Neben Viren und Spam, hat sich Phishing damit als weiteres Online-Übel etabliert. Aber nicht nur die Anzahl ist gestiegen. Den anfänglichen Briefen mit Inhalten a la "man möge doch bitte seine Accountdaten bestätigen, damit man den Zugang weiterhin nutzen kann", folgten bald subtilere Nachrichten, die teilweise auch auf die Gefahren des Phishings hinweisen. Neuerdings werden auch Phishing-Mails verwendet, um Trojaner zu installieren, die den Link der Online-Bank auf eine gefälschte Webseite lenken oder die eingegebenen Daten mitschreiben und versenden. Aber auch die Kopien der gefälschten Webseiten werden immer professioneller. In vielen Fällen wurden auf den Phishing-Seiten die URLs gefälscht, um die Opfer zu täuschen. Bei eBay wurden sogar spezielle Skripten verwendet, um die Daten bei fingierten Auktionen zu ermitteln. Das ist mittlerweile nicht mehr möglich. Es wurden aber Methoden entwickelt, die es erlauben den Phishing-Code in die Originalseite einzuschleusen. Dazu werden Fehler in Skripten der Seite genutzt oder Sicherheitslücken bei der Verarbeitung von Frames. Und vorgestern wurde von Secunia eine neue Methode veröffentlicht, die es ermöglicht den Inhalt von Pop-Up Fenstern zu kontrollieren, wenn mehrere Browserfenster geöffnet sind (Artikel bei Heise).

Aber offensichtlich wollen die betroffenen Banken, Online-Dienstleister und Internetauktionshäuser in den USA diesem Höhenflug jetzt Einhalt gebieten. Es reicht nicht aus, Software zu verbreiten, die vor gefälschten URLs warnt (auch bei einem Browser wie Deepnet nicht), ebenso wenig wie die Aktivitäten der Anti Phishing Working Group. Auch spezielle Anti-Phishing Software schützt zwar den Verbraucher, setzt aber an der falschen Stelle an. Daher wurde jetzt Digital Phishnet gegründet. Hier verbünden sich führende Internet Service Provider und Banken mit den Sicherheitsbehörden FBI, Secret Service, US Postal Inspection Service, Federal Trade Commission und einer Reihe von Electronic Task Forces. Sie wollen durch den Austausch von Daten die Urheber, Verbreiter und Nutznießer von Phishing-Angriffen aufspüren, dingfest machen und einer Verurteilung zuführen. Wir hoffen, dass das klappt.

Bis die ersten Resultate erzielt sind, sollten Sie phorsichtig sein - insbesondere wenn Sie ihre Geldgeschäfte Online erledigen. Gerade in der Weihnachtszeit sollte man den Online-Shop mit Bedacht wählen. Es wurde bekannt, dass einige Phisher Shops mit Lockangeboten eröffnen und dabei einzig und allein darauf aus sind die Kreditkartennummern und Bankdaten zu erfahren. Also Phorsicht, sonst feiert jemand anderes auf Ihre Kosten ein phrohes Phest.

Weitere Informationen:

MessageLabs Intelligence Annual Email Security Report 2004 (engl.)

Secunia: Multiple Browsers Window Injection Vulnerability Test (engl.)

Digital Phishnet Homepage (engl.)