Warum funktioniert Phishing?

Auch wenn viele inzwischen wissen, dass es Phishing gibt, ist diese Masche noch so erfolgreich, dass die Täter damit reichlich Beute machen. Selbst unter sehr günstigen Umständen, also wenn ein Mensch sich der Möglichkeit bewusst ist, dass er eine Phishing-Seite vor sich haben könnte, fallen noch viele auf eine Fälschung herein. Dies zeigt eine kürzlich veröffentlichte Studie der Harvard Universität.

Eine Gruppe von 22 Testpersonen wurde mit verschiedenen Websites konfrontiert, teilweise echten Websites von Banken, teilweise Fälschungen. Sie sollten angeben, welche der Seiten ihrer Meinung nach echt waren und welche gefälscht. Anschließend wurden die Kandidaten befragt, an welchen Merkmalen der Seiten sie sich bei ihrem Urteil orientiert hatten.

Einige der Phishing-Sites waren so gut gemacht, dass fast alle Kandidaten darauf herein fielen. Dabei zeigte sich, dass weder Geschlecht, Bildung noch Computer- oder Internet-Erfahrung der Testpersonen oder der verwendete Browser die Erfolgsquote beeinflusste. Die meisten der Teilnehmer ignorierten die Sicherheitsmerkmale, die eine legitime Website von den meisten Phishing-Sites unterscheiden. Nur wenige Kandidaten achteten etwa auf die Adresszeile des Browsers, das gelbe Schlosssymbol oder untersuchten gar das Sicherheitszertifikat - soweit überhaupt vorhanden. Selbst Warnungen durch Pop-ups von Phishing-Filtern wurden von einigen ignoriert.

Die Forscher ziehen daraus den Schluss, dass die bisherigen Bemühungen um mehr Sicherheit beim Online-Banking zu sehr auf technischen Überlegungen basieren. Das Verhalten von Menschen bei der Nutzung des Internets wird bislang zu wenig berücksichtigt. Daher entwickeln die Wissenschaftler nun alternative Verfahren zur Unterscheidung zwischen legitimen und gefälschten Websites.

Die Ergebnisse der Studie "Why Phishing Works" sollen in der kommenden Woche auf der Konferenz CHI 2006 (Conference on Human Factors in Computing Systems) in Montreal, Kanada, vorgestellt werden.