Phishing

Phishing bedeutet, dass Daten von Internetnutzern zB über gefälschte Internet-Adressen, E-Mails oder SMS abgefangen werden. Absicht ist, persönliche Daten zu missbrauchen und Inhaber von Bankkonten zu schädigen. Der Begriff Phishing ist angelehnt an fishing in Verbindung mit dem P aus Passwort, bildlich gesprochen das Angeln nach Passwörtern mit Ködern. Begriffstypisch ist das Nachahmen des Designs einer vertrauenswürdigen Website.

Phishing meint meist kriminelle Handlungen, die Anwender sind die sog Phisher; diese versuchen als Anbieter von persönlichen Dienstleistungen ein Vertrauensverhältnis zum Internetnutzer aufzubauen, um in weiterer Folge durch gefälschte elektronische Nachrichten sensible Daten wie Benutzername und Passwort für Online-Banking oder Kreditkarteninformationen zu erhalten. Phishing-Nachrichten werden meist per E-Mail oder SMS versandt; darin wird der Empfänger aufgefordert, auf einer manipulierten Internetseite oder am Mobiltelefon persönliche Zugangsdaten zu nennen.

Es gelingt Phishern v.a. mithilfe von Malware (Schadsoftware, wie ua Trojaner), sich in die Kommunikation zwischen Bankkunde und Bank einzuschalten und Daten abzufangen. Der Umweg, den Bankkunden über das Versenden einer E-Mail zur Preisgabe seiner Zugangsdaten zu verleiten, ist dann nicht mehr notwendig. Eine weiterentwickelte Form des klassischen Phishings ist Pharming, das auf einer Manipulation der DNS-Anfragen von Webbrowsern basiert (DNS = Domain Name System; engl: to browse = durchsuchen).

Durch Phishing entstehen Vermögensschäden (zB Überweisung von Geldbeträgen fremder Konten), Rufschädigung (zB Versteigerung gestohlener Waren unter fremdem Namen bei Online-Auktionen) oder Schäden durch Aufwendungen für Aufklärung und Wiedergutmachung.

Kostenlosen Schutz gewährt zunächst ein gesundes Misstrauen und Risikobewusstsein gegenüber bislang unbekannten Absendern von E-Mails sowie das aufmerksame Lesen der Phishing-E-Mails. Kein seriöses Kreditinstitut wird bspw von Kunden verlangen, „ein Form auszufüllen“ oder „TAN einzugeben“. Fehlerhafte Rechtschreibung ist ein weiteres Verdachtsmoment. Andere Merkmale, die oft in Phishing-Mails anzutreffen sind, sind unpersönliche Anreden bzw eine in Bankangelegenheiten unübliche Dringlichkeit der erbetenen Antwort (zB: „Falls Sie nicht innerhalb von zwei Tagen bestätigen, wird ihre Kreditkarte gesperrt!“).

Der Ausdruck „Whaling“ ist eine Anspielung auf die phonetische Ähnlichkeit von (engl) phishing und fishing (fischen). Man möchte damit „große Fische“, idR Führungskräfte, angeln, dh betrügen. Dadurch wollen die Betrüger ihre Opfer dazu verleiten, einen Link zu nutzen, der angeblich zu mehr Information, wie zB zur vollständigen Version eines Schreibens führt. In Wahrheit verbirgt sich dahinter jedoch ein Malware-Download. Beim Whaling kommen statt Massen-Spammails an ein genaues Ziel angepasste Betrugs-E-Mails zum Einsatz.

Die Angreifer verwenden die persönliche Anrede oder die präzise Funktionsbezeichnung des Adressaten. Das Netz bietet dem Angreifer unzählige Möglichkeiten, zu solchen Kontaktdaten zu kommen. Ist der Kontakt hergestellt, wird der User idR zum Öffnen eines Attachments aufgefordert, das einen Code enthält, der es dem Hacker erlaubt, Zugriff zum Computer zu bekommen und die Dateien zu durchsuchen. Oft reicht auch schon das Öffnen der Mail durch Doppelklick. Wird das Attachment oder die Mail geöffnet, ist der Computer mit einem Schadprogramm infiziert; in weiterer Folge werden zB Informationen gestohlen bzw dann veröffentlicht.