Achtung vor Trickbetrug im Internet
Kriminelle mit immer raffinierteren Methoden auf Passwort-Fang im Netz
Ohne Passwörter und Geheimcodes lässt es sich in der Informationsgesellschaft kaum mehr leben. Sie gewähren den Zugang zum Bankkonto, E-Mail-Server oder zur Online-Auktion. Daran hat sich auch die Kriminalität angepasst.
Von David Rosenthal
Es war an einem Sonntag diesen Sommer, als die Schlagzeile gemeldet wurde: Auf Postfinance wurde eine so genannte Phishing-Attacke durchgeführt. Wer ans Angeln dachte, lag nicht falsch, der Köder war jedoch nicht für die Post, sondern für ihre Kunden: Eine E-Mail mit angeblichem Postfinance-Absender forderte zahlreiche Internet-Benutzer auf, deren Adresse unter einer in der E-Mail genannten Website zu bestätigen. Wer den Link anklickte, wurde auf eine Website mit Postfinance-Logo geführt und gebeten, seinen Benutzernamen und seine Geheimcodes einzugeben.
So häufig wie Viren-E-Mails
Die englisch abgefasste E-Mail und ihr Absender waren selbstverständlich gefälscht und ebenso die in Tat und Wahrheit in Russland betriebene Website. Die eingegebenen Geheimcodes wurden umgehend an die Täter weitergeleitet, die damit Zugriff auf die dazugehörigen Konten bekamen. Die Postfinance gab sich zunächst zuversichtlich: Ihre Kundschaft sei gegen solche Betrugsversuche sensibilisiert, hiess es. Doch schon am Tag darauf wurde bekannt, dass bereits ein Dutzend Personen den «Passwort-Anglern» zum Opfer gefallen war. Die Postfinance übernahm den Schaden ohne Rechtspflicht, wie sie in einer Mitteilung betonte.
Was der Postfinance widerfahren ist, ist kein Einzelfall. Wie Provider melden, haben E-Mails von Trickbetrügern, die es auf alle Arten von Passwörtern von Internet-Benutzern abgesehen haben, zahlenmässig mittlerweile das Niveau von E-Mails mit Computerviren erreicht. Auch in der Schweiz ist die Postfinance-Attacke nicht die Erste dieser Art. Die Täter, die meistens keine Kundenlisten der betroffenen Institute besitzen, senden ihre E-Mails jeweils an eine so grosse Anzahl Personen, dass immer einige davon ins Netz gehen. Deshalb sind vor allem Kunden bekannter Geldinstitute und Internet-Handelsplattformen Ziel solcher Angriffe.
Gutgläubigkeit ausgenutzt
Die Täter nutzen die Gutgläubigkeit und Hilfsbereitschaft vieler Internet-Benutzer aus. Trotz Warnungen lassen sich Kunden immer wieder durch gefälschte E-Mails täuschen. Das Beispiel Postfinance zeigt: Obwohl die Aufforderung in der gefälschten E-Mail in englischer Sprache abgefasst war, wurden nicht alle Kunden misstrauisch. Hinzu kommt, dass in diesen E-Mails den Kunden häufig Nachteile oder Unannehmlichkeiten suggeriert werden, sollten die Anweisungen nicht genau und rasch befolgt werden. Ziel ist es in solchen Fällen, die Benutzer zum Anklicken eines präparierten Internet-Links in der E-Mail zu veranlassen. Die Benutzer werden dann nichtsahnend auf eine nachgemachte Website der Täter weitergeleitet, die einzig dazu dient, von unwissenden Benutzern eingegebene Passwörter zu sammeln. Dieses Verhalten hat dieser Betrugsform den Namen gegeben: Password-Phishing, das Fischen nach Passwörtern.
Gewisse «Phisher» beherrschen ihr Handwerk inzwischen so gut, dass selbst Experten die zum Teil perfekt nachgebauten und getarnten Websites nicht auf den ersten Blick als solche ausmachen können. Einige «Phisher» arbeiten mit Domain-Namen, die denjenigen der Originale sehr ähnlich sind, aber zu einer anderen Adresse führen. Ein besonders heimtückischer Trick ist der Einsatz von Fremdzeichen. Das kyrillische «a» sieht genauso aus wie das lateinische «a». Andere «Phisher» programmieren ihre E-Mails so, dass diese zwar eine Originaladresse anzeigen, der Benutzer-PC beim Anklicken aber eine andere, verborgene Adresse anwählt. Wiederum andere «Phisher» bauen ihr Passwortformular gleich in die E-Mail ein. Zunehmend ist aber auch die Zahl so genannter Trojaner-Software, die sich wie Computerviren via E-Mails und andere Internet-Kanäle selbst verbreiten. Sie installieren sich unbemerkt auf dem Benutzer-PC und können so den Benutzer und seine Internet-Zugriffe überwachen und manipulieren, indem sie zum Beispiel Zugriffe auf die Original-Website unbemerkt umleiten oder Tastatureingaben und damit auch Geheimcodes aufzeichnen. Laufend nachgeführte Antiviren-Programme können hier zeitweilig einen gewissen Schutz bieten.
Adressen von Hand eintippen
Die jeweils betroffene Firma kann solche Machenschaften nicht verhindern, da der Angriff nicht auf ihre Website, sondern auf ihre Kunden zielt. Immerhin kann die Firma ihre Kundinnen und Kunden aufklären und warnen und ihnen Hilfsmittel zur Verfügung stellen, um Fälschungen zu erkennen. So hat eine bekannte Internet-Auktionsplattform eine Gratis-Software entwickelt, die mit roter oder grüner Farbe anzeigt, ob der Benutzer mit der Original-Website verbunden ist oder über den Link in einer präparierten E-Mail auf einer Fälschung gelandet ist.
Internet-Nutzern ist zu empfehlen, immer nur die ihnen schon vertrauten Adressen zu verwenden und diese von Hand selbst einzutippen oder als Lesezeichen im Browser zu speichern. Im Zweifelsfall sollte ein Umweg über die ebenfalls von Hand eingetippte Adresse der Hauptseite genommen oder beim Kundendienst zurückgefragt werden. Auch die Art der Zugangscodes kann das Phishing-Risiko senken: Bei Internet-Banken etwa, die einen sich alle 60 Sekunden wechselnden Zufallscode in Ergänzung zum Passwort verwenden, haben die Täter ein sehr viel kürzeres Zeitfenster für ihren Online-Beutezug zur Verfügung als bei bekannten Streichlisten.
Identitätsdiebstahl nimmt zu
Das Phishing ist eine Spielform eines wachsenden Problems: Identitätsdiebstahl oder auf Englisch Identity Theft.
sda.- Die Täter geben sich für eine andere, real existierende Person aus, um unter deren Namen auf deren Rechnung einzukaufen, eine Kreditkarte zu beantragen und zu benutzen oder sich deren Konten zu bemächtigen. Damit dies funktioniert, müssen die Täter zunächst an genügend persönliche Angaben ihrer Opfer gelangen.
Die Täter wissen, dass im Alltag genaue Personenkontrollen wegen Effizienz oder Technik häufig nicht mehr durchgeführt werden oder nicht möglich sind. Sie wissen auch, wie viel sie über ihre Opfer wissen müssen, um in deren Identität zu schlüpfen. Die Opfer selbst bemerken den Identitätsdiebstahl oft erst viel später, wenn ihnen unbekannte Rechnungen oder Belastungen ins Haus flattern oder ein Kreditkartenantrag abgelehnt wird, weil sich der eigene Name auf einer schwarzen Liste einer Kreditauskunftei befindet.
Zahlen über Opfer und Deliktsummen gibt es hierzulande keine. Laut Schätzungen waren in den USA allein letztes Jahr zehn Millionen Personen davon betroffen. Gemäss einer Studie der kalifornischen Javelin Strategy & Research verursachte dort Identity Theft einen Schaden von 52,6 Mrd. Dollar.
Auf das Internet entfiel davon ein verhältnismässig kleiner Teil; in 72 Prozent der Fälle gelangten die Täter offline an die Daten ihrer Opfer. In der Hälfte der Fälle waren sogar eigene Verwandte, Bekannte und Nachbarn die Täter. Im Schnitt betrug die Deliktsumme 15 607 Dollar. Anonyme Online-Diebe brachten es dagegen «nur» auf 2320 Dollar pro Fall.
Täter rasch erkannt
Zwar fürchten sich manche Personen nirgendwo so sehr vor Identitätsdieben wie im Internet, umgekehrt hilft das Internet jedoch, Täter sehr viel rascher zu erkennen und zu stoppen. Die Zahlen der besagten Studie sind deutlich: Opfer, die einen unerlaubten Zugriff auf ihr Konto via Internet-Banking entdeckten, hatten im Schnitt einen Schaden von lediglich 551 Dollar, während die Schäden jener, die ihr Konto erst mit dem monatlichen Kontoauszug kontrollierten, mit 4543 Dollar im Schnitt mehr als acht Mal so hoch waren.
Opfer nicht ohne Rechte
Rechtlich können die Opfer zwar oft nicht belangt werden, soweit sie beweisen können, dass sie ihre Sorgfaltspflichten nicht verletzt, ihre Geheimcodes also etwa nicht verraten und ihre Ausweise und Kreditkarten sicher verwahrt haben. Häufig jedoch werden die Opfer bis zum Beweis ihrer Unschuld als schuldig betrachtet und haben oft erhebliche Mühe, ihre Namen wieder reinzuwaschen. In diesem Zusammenhang wissen auch viele Personen nicht, dass ihnen zumindest in der Schweiz das Datenschutzgesetz das Recht gibt, die sie betreffenden Daten bei Firmen einzusehen und zu berichtigen.
Quelle
http://www.suedostschweiz.ch
< zurück
[Seite Drucken]