Phishing ist unprofitabel

Bislang lautet die allgemeine Einschätzung, gestützt auf Umfragen bei Internet-Nutzern, dass Phishing jährlich mehrere Milliarden Euro an Gewinnen abwirft. Dem widersprechen jedoch Forscher von Microsoft, die das Geschäftsmodell der Phisher unter ökonomischen Gesichtspunkten untersucht haben. Dabei sind sie zu dem Schluss gekommen, dass es kaum noch möglich sei mit Phishing große Gewinne zu machen. Es gebe zu viele Phisher und zu wenig Phishe, sprich: zu wenig potenzielle Opfer.

Die Microsoft-Forscher Cormac Herley und Dinei Florêncio ziehen in ihrer Studie "A Profitless Endeavor: Phishing as Tragedy of the Commons" (PDF) einen Vergleich zum normalen Fischfang. Wenn zu viele Fischer ihre Netze auswerfen und sich die Fischbestände nicht schnell genug erholen können, bleibt für den einzelnen Fischer zu wenig Ertrag. Die realen Verluste durch Phishing seien um einen Faktor 50 niedriger als in bislang veröffentlichen Studien geschätzt.

So sei das Phishing-Geschäft mittlerweile eine Tätigkeit für minder begabte Neueinsteiger, die mit großen Gewinnerwartungen angelockt werden. Fortgeschrittene, die längst eingesehen haben, dass sich Phishing nicht mehr lohnt, machen ihre Geschäfte inzwischen mit diesen Neulingen. Sie verkaufen oder vermieten ihnen etwa Botnets zu Preisen, die nicht zu den realistisch zu erwartenden Gewinnen passen. Teilweise werden die Phishing-Neulinge auch noch um ihre Gewinne betrogen, weil sie manipulierte Phishing-Kits benutzt haben.

Noch bevor die Welt mitleidig in Tränen ausbrechen kann, widersprechen jedoch Unternehmensberatungen wie Gartner dem Vorwurf, ihre Zahlen seien weit übertrieben. Von den Banken sei nicht viel über die Verluste durch Phishing zu erfahren, daher müsse man die Nutzer von Online-Banking befragen. Diese Befragungen würden sorgfältig und methodisch sauber durchgeführt, die Ergebnisse seien daher sehr wohl tragfähig. Die über Jahre recht konstanten Zahlen würden dies bestätigen.