Ähnliche Betrugsversuche wie z. B. „der Enkeltrick“ gab es schon früher. Die Anfänge reichen bis zum Ende der 1990er-Jahr.
ICQ Nutzer wurden per E-Mail aufgefordert, Zugangsdaten einzutragen. Die Hacker konnten so die Chat-Zugänge unter falscher Identität nutzen.
Erste Angriffe im Online-Banking begannen mit offiziell wirkenden Schreiben, gesendet als E-Mail. Durch übergebene Daten wie Benutzername, Passwort, PIN und TAN konnte man schnell Geldüberweisungen machen.
Über gefälschte E-Mails, Webseiten und sogar Kurznachrichten versucht man, an persönliche Daten eines “Users” zu gelangen, um damit die Identität zu stehlen.
Das Ziel des Betrugs ist meistens das Konto zu plündern und so dem “User” zu schaden. Da hierbei die Naivität des Opfers ausgenutzt wird, ist diese Methode eine Form des Social Engineering.
Unter diesem Angriff versteht man einen gezielten Angriff. Er leitet sich von der englischen Übersetzung des Begriffs Speer ab. Angreifer verschaffen sich über die Studentenvertretung einer Hochschule die E-Mail-Adressen der dort Studierenden, um an diese im Corporate Design einer lokal ansässigen Bank gezielt eine Phishingmail zuzusenden.
Die „Trefferquote“ ist höher, da die Wahrscheinlichkeit, dass ein Student seine Bankverbindung bei diesem Institut unterhält, sehr groß ist.
Mit Hilfe von „Trojanischen Pferden“ stellt man sich physisch zwischen die Kommunikation des Kunden und der Bank (Man-in-the-Middle-Angriff). Der Datenverkehr kann so abgegriffen werden, sodass sie nie bei der Bank ankommen. Phishing-Angriffsziele sind dabei Zugangsdaten für:
Onlinebanking oder Online-Bezahlsysteme (zum Beispiel PayPal). Angriffe werden auf folgende Einrichtungen durchgeführt:
Durch eine HTML-E-Mail kann man E-Mails grafisch mittels Webdesign erstellen. So stellt der Verweistext zwar die Originaladresse da, aber in Wirklichkeit ist das unsichtbare Verweisziel auf die Adresse der gefälschten Webseite verlinkt (Link-Spoofing).
Die Mehrdeutigkeit sichtbarer Zeichen kann bei E-Mails wie bei Webseiten ausgenutzt werden. Damit wird der Benutzer über die wahre Adresse des Absenders einer Mail oder die wirkliche URL einer Webseite getäuscht.
Der im E–Mail–Programm sichtbare Verweis kann mit der Einbindung von HTML tatsächlich auf eine ganz andere Webseite verweisen. Angaben darüber können zusätzlich über Skripttechniken verfälscht werden, sofern das E-Mail-Programm solche Skripte ausführt. In anderen Fällen wird der Verweis als Grafik dargestellt, um die Texterkennung durch automatische Filtersysteme zu erschweren. Auf dem Bildschirm des Anwenders erscheint dann zwar Text, dieser ist allerdings eine Grafik.
Um die Mail echter aussehen zu lassen, wird bei Phishing häufig auch die E-Mail-Adresse des Absenders gefälscht.
Gefälschte Seiten sind sehr schwer als Fälschungen identifizierbar. Ähnlich klingende Namen oder Bezeichnungen, wie die offiziellen Seiten oder Firmen, sind typisch für gefälschte Zielseiten.
Mit der Möglichkeit internationalisierte Domainnamen in URLs zu verwenden, entstanden neue Möglichkeiten zum URL-Spoofing.
Bsp.
Originaladresse: http://www.ue-nationalbank.rlp.de/
Fälschung: http://www.ü-nationalbank.rlp.de/
Tipps zur allgemeinen IT-Sicherheit zu Phishing E-Mails.
Man sollte die Kennzeichen für Phishing wahrnehmen können, indem man ein gesundes Misstrauen an den Tag legt. Eine E-Mail ohne Anrede und in schlechtem Deutsch, die Sie zu Tätigkeiten drängt, ist ein Indiz dafür. Meist besitzt diese E-Mail eine vorgetäuschte Absender-URL aus dem Ausland.
Wir verwenden Cookies, und Google reCAPTCHA, das Google Fonts lädt und mit Google-Servern kommuniziert. Durch die weitere Nutzung unserer Website stimmen Sie der Verwendung von Cookies und unserer Datenschutzerklärung zu.