Das Bundesamt für Sicherheit in der Informationstechnik (BSI)…
…hat eine Warnung vor Phishing-E-Mails veröffentlicht: Im Namen der Bonner Behörde versenden Internet-Kriminelle gefälschte Mails, die Nutzer zum Herunterladen eines Formulars verleiten sollen. Das Ziel: Einen als Dateianhang getarnten Virus auf den Computern der Empfänger installieren. In den E-Mails mit gefälschter Absenderangabe werden Rechtsverstöße erwähnt, die angeblich von dem Empfänger stammen sollen. Um „anwaltliche Schritte“ zu vermeiden, solle der Empfänger ein Formular herunterladen und ausfüllen.
Beispiel einer Phishing-E-Mail im Namen des Bundesamts für Sicherheit in der Informationstechnik – © bsi.bund.de
Das BSI weist in seiner Kurzmitteilung darauf hin, dass derartige oder ähnlich lautende E-Mails nicht vom BSI stammen. Bei den bisherigen Warnungen hatte das BSI auch keine E-Mails versendet, sondern Selbsttest-Seiten eingerichtet, auf denen Internet-Nutzer überprüfen konnten, ob ihre Online-Konten kompromittiert wurden. Allerdings sagt der Selbstcheck wenig darüber aus, welche Gefahr den Betroffenen tatsächlich droht. Denn die Betroffenen wissen nicht unbedingt, wo das Leck tatsächlich ist – schließlich hat man nicht unbedingt im Kopf, mit welcher E-Mail-Adresse man sich in seinem Internet-Leben bereits bei welchem Online-Shop oder Internet-Forum angemeldet hat.
Empfängern dieser E-Mails wird empfohlen, den Anweisungen im Text nicht zu folgen, sondern die E-Mail zu löschen. Auch soll auf die E-Mail nicht geantwortet werden. Empfänger, die das erwähnte Formular bereits heruntergeladen haben, sollten ihren Computer mit einem aktuellen Virenscanner überprüfen.
Was ist eigentlich „Phishing“?
Das klingt nach fischen gehen – und genau so ist es auch. Das Wort setzt sich aus „Password“ und „fishing“ zusammen, zu Deutsch „nach Passwörtern angeln“. Immer öfter fälschen Phishing-Betrüger E-Mails und Internetseiten und haben damit einen neuen Weg gefunden, um an vertrauliche Daten wie Passwörter, Zugangsdaten oder Kreditkartennummern heran zu kommen – die Nutzer geben ihre Daten einfach freiwillig preis.
Laut BSI gehört der Identitätsdiebstahl zu den größten Risiken bei der Internetnutzung. Online-Kriminelle stehlen dabei die digitalen Identitäten von Internetnutzern, um in deren Namen aufzutreten, E-Mails zu versenden, auf fremde Kosten in Online-Shops einzukaufen oder sich auf andere Weise zu bereichern und/oder den Betroffenen zu schaden.
Personenbezogene Anwendungen wie E-Mail- oder Messenger-Dienste, Online-Shops oder soziale Netzwerke bieten personalisierte Services, für die man sich anmelden muss, um seine Daten zu erhalten oder die Dienstleistung in Anspruch nehmen zu können. Zur Authentifizierung wird in den meisten Fällen immer noch die Kombination aus Benutzername und Passwort genutzt. Geraten diese Authentifizierungsdaten in die falschen Hände, können sie für den Identitätsmissbrauch verwendet werden. Meist geschieht dies durch eine Infektion des genutzten Internet-Rechners mit Schadsoftware. Die Schadprogramme werden unbemerkt auf den Rechnern der Anwender platziert, um beispielsweise Tastatureingaben und Anmeldevorgänge anzugreifen und auf entsprechend präparierte Rechner umzuleiten oder um Transaktionen direkt zu manipulieren.
„Vishing“ gibt es auch
Phishing ist nicht nur auf das Internet beschränkt – Datendiebe machen auch Jagd auf die Nutzer über das Telefon unter Verwendung von Internettelefonen (VoIP). Eine eigene Bezeichnung für diese neue Technik gibt es auch schon: „Vishing“ („Voice Phishing“). Vishing ist ein Kunstwort aus VoIP und Phishing und bezeichnet die Methode, Daten mithilfe der Internettelefonie zu ergaunern.
Die Betrüger benutzen einen sogenannten War Dialer, ein Programm, das über das Internet Rufnummern aus einem Vorwahlbereich „abscannt“. Das Programm ruft die Nummern per Internettelefonie an und nimmt der Besitzer ab, hört er eine automatisierte Ansage. Diese teilt ihm zum Beispiel mit, dass seine Kreditkarte oder EC-Karte missbraucht worden sei und bittet ihn deshalb eine bestimmte Telefonnummer anzurufen. Tut der gutgläubige Kunde worum er gebeten wurde, erwartet ihn eine weitere Ansage, die ihn zu der Eingabe seiner sensiblen Daten (Kreditkartennummer, PIN, Kontonummer, o.ä.) auffordert, angeblich um seinen Account zu verifizieren. Gibt der Kunde diese Daten tatsächlich über die Tasten seines Telefons preis, stellt er damit die Verbindung zwischen seiner Rufnummer, also seinem Namen sowie seiner Adresse, und den Bankdaten her. Damit haben die Betrüger alles bekommen, das sie benötigen und ihre Vishing-Atacke war erfolgreich. Die Betrüger kostet diese Masche fast nichts, schliesslich nutzen sie die günstigen Tarife der Internettelefonie.
Wie auch in anderen Bereichen des täglichen Lebens sollten Bank- und Kreditkartenkunden aufmerksam sein und ihr Kreditinstitut nur über die Rufnummer, E-Mail-Adresse bzw. Website kontaktieren, die ihnen von dem Institut selbst genannt wurde.