Phishing: Webfalle Phishing

Wer Phishing-Betrügern ins Netz geht, verliert meist viel Geld. Die Ganoven nützen Schwachstellen des Webbrowsers aus und jubeln Internetnutzern gefälschte Webseiten unter – meist angebliche Bankseiten – die zur Eingabe der Kontozugangsdaten auffordern. Dann wird abgeräumt.

Unter Vorspiegelung falscher Webseiten

Von Loredana Covaci/Peter Riedlberger

Unter „Phishing“ versteht man das betrügerische Abgreifen von relevanten Daten – typischerweise Bankdaten –, und zwar über eine gefälschte Webseite, die der Originalseite täuschend genau ähnelt.

Phishing funktioniert folgendermaßen: Ein Betrüger baut eine Website auf, die ganz exakt dem Design einer bestehenden Bankenwebsite entspricht, sagen wir der „Bank X“. Dann verschickt er eine Massen-E-Mail zigmillionenfach an alle ihm zugänglichen E-Mail-Adressen. Diese Sendung gibt vor, von der „Bank X“ zu stammen; zur Sicherheitsüberprüfung sei es notwendig, dass der Empfänger den der E-Mail beigefügten Link anklicke. Hinter diesem Link wartet dann die Betrügersite. Dort wird das Opfer aufgefordert, Name, Kontonummer, PIN und mehrere TANs einzugeben.

Massenmail mit übler Absicht

Die allermeisten Empfänger der E-Mail werden vielleicht gar kein Konto bei der „Bank X“ haben und die Mail deswegen sofort kopfschüttelnd löschen. Und von den Menschen, die tatsächlich Kunde bei der „Bank X“ sind, werden die meisten nicht auf den Betrug hereinfallen. Aber dennoch wird jeder Phishing-Angriff dem Kriminellen Dutzende von Kontonummer-PIN-TAN-Kombinationen bringen, mit denen sich dann Überweisungen durchführen lassen.

Serie: IT-Sicherheit
Teil 1 beschreibt die heutige IT-Sicherheitslage: Das Web bietet Angreifern bequeme Einfallstore. Teil 2 benennt die Lücken in Firmennetzwerken und zeigt die Tricks von Hackern und Spionen. Teil 3 skizziert die Zukunft der Gefahrenabwehr: System und Sicherheit unter einem Hut.

Es gibt eine relativ einfache Abwehrmaßnahme gegen Phishing: Man darf niemals einem übersendeten Link zu einer Website folgen, auf der man sich einloggen muss. Wer also Homebanking bei der „Bank X“ betreiben will, soll entweder die URL der „Bank X“ selbst in den Browser eintippen, oder aber einem persönlich angelegten Bookmark folgen.

Umleitung auf die Server-Falle

Es gibt noch eine technisch anspruchsvollere Variante des Phishing, die sogar solche Vorsichtsmaßnahmen aushebeln kann. Die Rede ist vom Pharming. Beim Pharming gelingt es dem Angreifer, dem Opfer ohne dessen Zutun gefälschte Sites zu präsentieren. Üblicherweise hat der Kriminelle dazu einen Trojaner oder eine andere Malware auf dem Opferrechner platziert. Die verborgene Schadsoftware lenkt dann Anfragen des Browsers nach der Website von „Bank X“ kurzerhand auf eine gefälschte Website um.

Eine andere Pharming-Variante arbeitet mit einem Hack eines DNS-Servers: Jede Anfrage nach einer Website (damit auch nach der Site der „Bank X“) muss ja in eine IP-Adresse umgewandelt werden. Dazu fragt ein Computer mit Internet-Zugang bei seinem DNS-Server nach, der vom Provider gestellt wird. Kann ein Krimineller die Kontrolle über einen DNS-Server gewinnen, kann er alle Anfragen nach der Domain von „Bank X“ auf eine gefälschte Seite umleiten.

Wieso eigentlich „Phishing“?
Das Wort „Phishing“ bezieht sich sehr anschaulich auf das „Angeln“ (engl. „fishing“) der sensiblen Daten. Es ist in Hackerkreisen üblich, Zeichen zu ersetzen, also etwa eine Null statt dem Buchstaben O zu schreiben, oder eben „f“ durch „ph“ zu ersetzen. So wird aus „Fishing“ eben „Phishing“.

Genauso entsteht „Pharming“ aus „Farm“, nämlich der Server-Farm. Solche Betrüger müssen extrem gut organisiert sein, denn ihre gefälschten Sites liegen auf Servern mit statischen IP-Adressen, und zudem muss Malware speziell programmiert werden. Bei so viel krimineller Energie steht dann oft auch gleich eine eigene Server-Farm zur Verfügung, auf der sich die gefälschten Bankseiten bequem platzieren lassen.

Egal, welche Pharming-Methode zum Einsatz kommt: Letztlich bedeutet das, dass das Opfer selbst die URL eintippt, danach eine echt aussehende, aber gefälschte Seite sieht und um seine sicherheitsrelevanten Daten betrogen wird.

Die Geldwäsche kommt gar nicht nach

Dennoch gibt es keinen Grund, aufgrund dieser Bedrohungen gleich in Panik zu geraten. Pharming ist zwar theoretisch viel gefährlicher als Phishing, in der Praxis aber keine so große Bedrohung. Denn wer Kontodaten abgreifen will, hat bereits mit der erheblich einfacheren Phishing-Methode so viel Rücklauf, dass er gar nicht zum komplizierten Pharming greifen muss.

Die Schranke, an der dieser Betrug seine Grenzen findet, ist sowieso nicht die Kontodatengewinnung, sondern das Problem, wie das transferierte Geld gewaschen werden soll. Ein Krimineller kann sich das Geld seines Opfers ja nicht einfach aufs private Girokonto überweisen lassen, weil er dann sofort gefasst würde. Deswegen sucht er leichtgläubige Helfer: Dem unwissenden Komplizen wird gesagt, dass Geld auf sein Konto eingehen werde; davon könne er einen Prozentsatz behalten, beispielsweise 20 %. Den Rest solle per internationalem Geldtransfer (Western Union etc.) ins Ausland weiterschicken. Da sich beim Geldtransfer die Spuren leicht verwischen lassen, ist der Urheber des Betrugs damit aus dem Schneider. Das Opfer kann sich natürlich immer noch an den Helfer halten, denn dessen Kontodaten liegen ja vor.

Weil es nun immer schwieriger wird, so leichtgläubige Finanzagenten zu finden, haben Phisher zwar genug gestohlene Kontodaten, aber zu wenig Möglichkeiten, das Geld wegzuüberweisen.

Fazit: Der Mittelstand im Fadenkreuz

In der Vergangenheit waren es in erster Linie Privatpersonen, auf die es die Betrüger abgesehen hatten – mittlerweile geraten mehr und mehr mittelständische Unternehmen ins Visier der Kriminellen, die ihre Mails hier z.T. ganz gezielt adressieren (Spear Phishing) und sich sogar als Bundeswirtschaftsministerium ausgeben und nach Kreditkartendaten phischen. Der Grund: Die CIO von kleinen und mittleren Unternehmen sind oft zu sehr auf den laufenden Betrieb konzentriert, so dass die Einführung einer aktiven Abwehrstrategie meist zu kurz kommt. Daher kann es nicht schaden, wenn der Chef selber bei den Verantwortlichen einmal nachbohrt.

Nützliche Links