Thema der Woche

19. Mai 2004

Phishing auch auf deutsch

Nach Informationen von [externer Link] Message Labs kursiert seit vergangenem Freitag eine E-Mail, die deutsche eBay-Kunden dazu auffordert, per E-Mail-Antwort ihre Zugangskennungen für den Auktionsdienst zu "bestätigen", da angeblich ein Wasserschaden im Rechenzentrum für Probleme gesorgt habe. Auch die Basler Kantonalbank war laut Message Labs bereits (indirektes) Opfer einer solchen "Passwort-Abfischerei" geworden. Damit scheint der Trend des Password Fishing, kurz Phishing genannt, aus dem englischsprachigen nun auch auf den deutschsprachigen Raum übergesprungen zu sein.

Phishing-E-Mails versuchen arglosen Anwendern vertrauliche Informationen zu entlocken (beispielsweise Kreditkarten- und Bankdaten oder Passwörter), indem sie unter der vorgeblichen Absendeadresse einer vertrauenswürdigen Instanz (Banken, Dienstleister o. Ä.) ihre "Kunden" auf täuschend echt nachgeahmte Webseiten locken, um dort die entsprechenden Daten abzugreifen – oder gleich um die Preisgabe per E-Mail bitten. Zwar betonen die meisten Unternehmen, in ihren Allgemeinen Geschäftsbedingungen (AGB), dass sie vertrauliche Informationen und Zugangskennungen niemals per E-Mail oder am Telefon erfragen, doch erfahrungsgemäß liest nur ein Bruchteil der Nutzer wirklich solche Sicherheitshinweise im "Kleingedruckten".

Der beste Schutz gegen derartiges Social Engineering ist und bleibt die Aufklärung der Anwender verbunden mit einem gesunden Maß an Misstrauen. In Unternehmen sollten die Mitarbeiter zwar ohnehin gegen derartiges Aushorchen sensibilisiert sein, aber das Umlenken auf ein täuschend echt nachgeahmtes Unternehmen- oder Partner-Portal unterscheidet sich ja durchaus vom "altbekannten" simplen Schema der vorgeblichen Administrator-E-Mail, die ein Passwort erfragt.

Vertrauliche Informationen sollte man möglichst nur auf Webseiten eingeben, die über ein SSL-Zertifikat verfügen: Im Browser wird dann üblicherweise ein spezielles Sicherheitssymbol angezeigt (z. B. "Vorhängeschloss" in der Statusleiste des Internet Explorers), die Webadresse sollte sichtbar auf "https://..." lauten. Anwender sollten auch in der Lage sein, gegebenfalls Warnmeldungen des Browsers bezüglich "unpassender" Zertifikate korrekt zu interpretieren.

Zudem sollten Anwender die angewählte Web-Adresse kritisch überprüfen: Leichte Variationen gegenüber gewohnten Adressen von Dienstleistern oder Unternehmensressourcen sollten Verdacht erregen. Besonders unauffällig sind Änderungen der verwendeten Top-Level-Domain (z. B. .com statt .de) oder "eingeschobene" Bindestriche und "Unternehmensformen" (z. B. ebay-ag.de statt ebay.de). Für eine korrekte Anzeige der besuchten URL sind zudem auch sichere Browsereinstellungen notwendig: Denn beispielsweise per JavaScript lassen sich Adress- und Statuszeilen auch mit gefälschten Angaben überdecken.

Links aus E-Mails sollte man ohnehin nur unter Vorbehalt benutzen. Besser ist es, stets die gewünschte Adresse aus den Web-Lesezeichen (Favoriten, Bookmarks o. Ä.) anzuspringen oder manuell im Browser einzugeben; so entgeht man zudem der Beobachtung des Lese- und Antwortverhaltens durch den Anbieter über so genannte Tracking-URLs, die aus personalisierten E-Mails heraus eine Rückmeldung an den Absender beziehungsweise eine gezielte Protokollierung des Besuchs erlauben.

[externer Link] Finjan Software weist zudem darauf hin, dass Anti-Spam-Lösungen auch gegen massenhaft versandte Phishing-Mails helfen und empfiehlt überdies, durch den Einsatz von Sicherheitssoftware sicherzustellen, dass sich beim Besuch von Webseiten keine unerwünschten aktiven Inhalte im PC "verewigen" können (ActiveX-Controls, eingeschleuste Dialer usw.).

zum nächsten Thema der Woche

zum vorigen Thema der Woche

Valid HTML 4.01! | Valid CSS!

Haben Sie einen Fehler gefunden? Bitte benachrichtigen Sie uns per  E-Mail. Vielen Dank.