Die technischen Tricks beim Daten-Phishing

Beim Versuch, betrügerische an fremde Passworte wie PIN und TAN zu kommen, setzen die Täter nicht nur auf die Hoffnung, dass sie an leichtgläubige Opfer geraten. Sie arbeiten auch mit einer ganzen Reihe technischer Tricks.

Phishing-Mails im html-Format

Beim Versuch des Datendienstahls werden in aller Regel eMails im html-Format eingesetzt, also in der gleichen Technik, in der Webseiten erstellt sind. Das ermöglicht den Täter zum einen, Logos und Grafiken der vorgetäuschten Banken und Firmen wie Ebay, Sparkasse, Volksbank oder Deutscher Bank einzusetzen. Zum anderen können so die Links auf die gefälschten Webseiten vertuscht werden. Im Zusammenspiel mit der leicht zu fälschenden Absenderadresse ergeben sich Mails, die auf den ersten Blick tatsächlich so aussehen, als stammten sie von den vorgegebenen Unternehmen.

Ähnlich ist es mit den Zielseiten selbst. Auch hier kommen die vertrauten grafischen Elemente der vorgetäuschten Unternehmen oder Banken zum Einsatz. In vielen Fällen wird zugleich der Browser der Opfer derart manipuliert, dass sogar eine sichere Verbindung – die SSL-Verschlüsselung – vorgegaukelt wird. Dies verstärkt bei den Betroffenen den Eindruck, es tatsächlich mit dem seriösen Unternehmen zu tun zu haben – und nicht mit Betrügern.

Nachfolgende drei Beispiele zeigen, wie Phishing-Mails aussehen können.

Phishing-Mail mit Ziel Ebay-Kunden

Im ersten Fall kommt die Mail scheinbar vom Internetauktionshaus ebay. Das Opfer wird darin aufgefordert, über den angegebenen Link auf die ebay-Startseite zu gehen und dort erneut seine gesamten Zugangsdaten zu „aktualisieren“. Tatsächlich führt der Link aber nicht auf www.ebay.com, sondern auf eine ganz andere Seite. Dies ist in der Mail nicht zu erkennen:

 

Phishing-Mail mit Ziel Postbank-Kunden

Im zweiten Fall wurde die Postbank – und deren Kunden – Ziel der Betrüger. Auch hier schien die Mail tatsächlich von dem deutschen Unternehmen zu kommen. Behauptet wurde, dass eine monatliche Überprüfung stattfinde und auf der Webseite des Kreditinstituts die Zugangsdaten der Kunden kontrolliert werden müssten. Auch hier führte der angegebene Link – auf den ersten Blick überhaupt nicht ersichtlich – auf eine andere Seite als die vorgegebene:

 

Phishing-Mail mit Ziel Sparkassen-Kunden

In diesem Fall hofften die Täter darauf, dass sie bei Kunden der Sparkasse Opfer finden. Auch hier werden angeblich neue Sicherheitsvorkehrungen vorgetäuscht, um den potenziellen Opfer einen Grund zu geben, ihre Daten einzutippen:

phishing mail sparkasse

 

 

Die Liste ließe sich fortsetzen, da mittlerweile fast alle Banken, Kreditinstitute, und Firmen, die im großen Ausmaß und mit hoher Kundenzahl Finanzgeschäfte im Internet abwickeln, Ziel des Phishings geworden sind.

Der Trick URL-Spoofing

Im Zusammenhang mit Phishing-Versuchen nutzen die Täter sehr oft auch Sicherheitslücken in Webbrowsern aus, nämlich in Form des so genannten URL-Spoofings. Dabei wird dem Internetnutzer der Link zu einer bestimmten Internetadresse URL) vorgegaukelt. In Wirklichkeit führt eben dieser Link zu einer ganz anderen Adresse – nämlich der gefälschten Internetseite der Täter. In der Vergangenheit waren alle beliebten Browser von entsprechenden Sicherheitslecks betroffen, sowohl der Internet Explorer, als auch Opera und Mozilla.

Der Trick Pharming

Ebenfalls im Zusammenhang mit Phishing-Versuchen geriet das so genannte Pharming in die Schlagzeilen. Pharming ist eine gezielte Manipulation auf Ihrem PC. Dabei wird auf Ihren Rechner ein Schadprogramm eingeschleust, das die Hosts-Datei verändert. Die Datei „hosts“ ist eine Textdatei, die Ihr Rechner für die Zuordnung von Internetadressen verwendet. Beim Pharming wird diese Hosts-Datei verändert. Die Folge ist, dass Sie bei der Eingabe einer bestimmten Internetadresse in Ihren Browser auf eine falsche Seite geführt werden – unter Umständen ohne, dass Sie das bemerken.

Der Trick Trojaner im Anhang

Im September 2007 wurde nach eineinhalbjährigen Ermittlungen eine zehnköpfige Bande ausgehoben, die mit Phishing einen sechsstelligen Betrag erbeutet hatte. Die Täter hatten laut Ermittlungen falsche Rechnungen (unter anderem im Namen von 1&1 und Ikea) per Mail verschickt. In den Anhängen der Mails verbargen sich als Rechnungen getarnte Trojaner, die dann die Kontodaten von den Rechnern der Betroffenen stahlen.