Zehn Jahre Phishing
Dieses Jubiläum ist kein Grund zum Feiern.
Bereits im Jahr 1996 gab es die ersten Phishing-Versuche. War dies anfangs noch ein eher unbeachtetes Phänomen, entwickelte es sich bald zu einem globalen Problem. Das Sicherheitsunternehmen Internet Security Systems (ISS) und dessen Forschungsabteilung "X-Force" widmen dem Jubiläum einen Rückblick.
Es begann 1996 mit dem Diebstahl von Zugangsdaten zu AOL. Erst ein Jahr später setzte sich der Begriff "Phishing" allgemein durch und bezeichnete fortan jegliche Form von Identitätsdiebstahl durch Vortäuschen falscher Tatsachen. Das Kunstwort ist aus den englischen Begriffen "Password" und "fishing" (angeln) zusammen gesetzt.
Der Versand der heute bekannten PhishinGoogle-Mails begann erst nach dem Jahrtausendwechsel. Mit angeblich von einer Bank stammenden Mails werden die Opfer auf eine gefälschte Website gelockt, wo sie die Zugangsdaten zu ihrem Konto eingeben sollen. Dazu verwenden die Täter ("Phisher") auch gerne Web-Adressen, die denen der echten Banken sehr ähnlich sind.
Eine weitere Entwicklung ist das so geannte "Pharming" oder auch "Domain-Spoofing", bei dem die Opfer trotz Eingabe der richtigen Web-Adresse auf einer nachgeahmten Website der Täter landen. Durch eingeschleuste Programme wird die Namensauflösung des Browsers manipuliert und Anwender auf eine andere IP-Adresse umgeleitet.
Beim "Spear-Phishing" hingegen wissen die Täter bereits einiges über ihre Opfer, etwa aus voran gegangenem erfolgreichen Phishing oder durch Spionage. Sie gehen dann ganz gezielt vor und suchen nach weiteren vertraulichen Informationen. Diese Methode findet auch im Bereich Wirtschaftsspionage Anwendung.
Inzwischen sind Dank VoIP (Internet-Telefonie) auch telefonische Phishing-Versuche an der Tagesordnung. Bei Telefonverbindungen über das Internet kann ein Anrufer seine eigene Telefonnummer (Caller-ID), die beim Angerufenen angezeigt wird, beliebig manipulieren. So kann er etwa einen Anruf aus der Banken-Metropole Frankfurt am Main vortäuschen, während er in Nigeria, China oder in den USA sitzt.
Für die nähere Zukunft prognostiziert ISS eine weitere Zunahme bei Spear-Phishing und VoIP-Angriffen, während PhishinGoogle-Mails weiterhin an der Tagesordnung sein werden. Bei derzeitigen Erfolgsquoten um die 5 Prozent ist diese Methode immer noch lukrativ. Unternehmen wie Privatanwender sollten sich durch Vorsichtsmaßnahmen und Information schützen sowie bekannt werdende Sicherheitslücken schnell schließen.
