Phishing

Phishing

Das Kunstwort "Phishing" entstand aus den Begriffen "Password" und "Fishing", also das Abfischen von online eingegebenen Passwörtern. Die Anti-Phishing Working Group (APWG) hat im Dezember 2005 ihrem Bericht entsprechend weltweit 7.197 Phishing-Webseiten gezählt, die in betrügerischer Absicht eingerichteten Webseiten waren dabei im Durchschnitt etwa 5 Tage lang erreichbar. Laut der Studie "eCommerce 2006" beteiligten sich Anfang 2006 bereits 71,5% der deutschen Internet-User am Online-Banking ihrer jeweiligen Hausbank. Phishing setzt ein erhebliches kriminelles Potential voraus und ist ein offensichtlich extrem einträgliches Geschäft, das weltweit tief in bestehende mafiöse Strukturen eingebunden ist. Wer sich leichtsinnig mit Phishern anlegen will, riskiert durchaus Leib und Leben.

Online-Banking ist auf zwei verschiedene Arten möglich:
  • PIN/TAN (HBCI-basiert)
    Die Online-Banking Webseite wird über eine gesicherte Verbindung (HTTPS) aufgerufen. Der Kunde hat von seiner Bank eine geheime PIN (Personen-Identifikationsnummer) und eine ebenfalls geheime TAN-Liste (Transaktionsnummern) erhalten. Die PIN benötigt der Kunde zusammen mit seiner Kundennummer zum Login auf sein Bankkonto. Will er Überweisungen tätigen oder einen Dauerauftrag einrichten, dann benötigt er zusätzlich noch eine TAN für jeden Auftrag (bzw. Sammelauftrag). TAN-Nummern müssen nicht unbedingt auf langen Papierlisten übermittelt werden. Einige Banken stellen ihren Kunden auch kleine elektronische Lesegeräte zur Verfügung, die zusammen mit dem GeldKarte-Chip der Maestro-Karte (früher "ec-Karte" genannt) auf Knopfdruck über ein Display entsprechende TAN-Nummern ausgeben. Hat der Kunde seine Bankgeschäfte erledigt, loggt er sich wieder aus. Es sind bis heute keine Fälle bekannt, in denen ein Angreifer ohne Kenntnis von PIN und TAN eine Transaktion durchführen konnte.

  • HBCI (Homebanking Computer Interface)
    Auch hier wird die Online-Banking Webseite über eine gesicherte Verbindung (HTTPS) aufgerufen. Der Kunde hat von seiner Bank neben der geheimen PIN noch eine Chipkarte im Format einer Kreditkarte erhalten. Außerdem benötigt er noch ein kleines Chipkarten-Lesegerät, das er an seinen PC anschließt. Anstatt nun für jede Transaktion eine TAN aus der Liste einzugeben, werden alle Transaktionen über das HBCI-Protokoll in der Chipkarte fälschungssicher elektronisch signiert und anschließend an die Bank übermittelt. Der Kunde kann also bequem beliebig viele Transaktionen durchführen (sofern die Bank ihm dies zuvor erlaubt hat). Hat der Kunde seine Bankgeschäfte erledigt, loggt er sich wieder aus und entnimmt die Chipkarte aus dem Lesegerät. Da der Erwerb von Chipkarte und zugehörigem Lesegerät mit Kosten für die Bank und den Kunden verbunden ist, konnte sich das HBCI-basierte Online-Banking nur bei wenigen Banken durchsetzen. Wie beim PIN/TAN-Verfahren sind bis heute keine Fälle bekannt, in denen ein Angreifer ohne PIN und Chipkarte eine Transaktion durchführen könnte.
Wie können bei derartig sicheren Verfahren dann Passwörter abgefischt werden? Ganz einfach: die Phisher richten gefälschte Webseiten ein, die den Originalseiten der jeweiligen Bank täuschend ähnlich sehen und fragen dort Name, Kontonummer, BLZ, PIN und TAN ab. Jetzt müssen nur noch mehrmals am Tag millionenweise Spam-eMails über anonyme Botnetze mit Betreff-Zeilen wie "SEHR WICHIG" oder "DRINGEND BEACHTEN" an alle möglichen eMail-Empfänger geschickt werden, damit diese auch möglichst schnell auf die gefälschten Seiten gelockt werden. Natürlich werden auch Empfänger erreicht, die überhaupt kein Konto bei dieser Bank haben. Da der Absender der Spam eMails nicht existiert, können sich diese aber nirgendwo beschweren.
Die eMails enthalten dann scheinbar extrem dringende Hinweise über die baldige Schliessung des Kontos oder über dringend zu aktualisierende Kontodaten usw. Klickt der besorgte Bankkunde dann auf den in der Spam-eMail angegebenen Link, so wird er aufgefordert, dort alle seine Kontodaten samt geheimer PIN und bis zu 10 (!) seiner ebenfalls geheimen TAN-Nummern einzugeben. Hat er dies getan, dann landen die Eingaben natürlich nicht bei seiner Hausbank, sondern bei den Phishern. Diese wiederum arbeiten unter Hochdruck daran, das Konto so schnell wie möglich mit diesen Daten zu plündern.

Das Geld kann aber nicht einfach auf ein eigenes Konto der Phisher überwiesen werden, weil Bankkonten weltweit nur nach Vorlage gültiger Ausweisdokumente eingerichtet werden und die Betrüger sofort zu ermitteln wären. Zur Bewahrung ihrer Anonymität benötigen die Phisher also Mittelsmänner (siehe Kommentar zum bundesweit zweiten Urteil gegen Phishing-Geldwäsche). Um diese anzuwerben, verschicken sie zusätzliche Spam-eMails mit Stellenanzeigen zum "Finanz-Kurier" (natürlich sind auch andere Bezeichnungen möglich). Wie in einem Artikel der Arbeitsgruppe Identitätsschutz im Internet vom 09.11.2006 nachzulesen ist, erschien am 14.10.2006 sogar in der F.A.Z. eine gleichlautende Stellenanzeige. Hier können sich alle erwachsenen Personen bewerben, die ein eigenes Konto, eMail und Telefon haben. Gelockt werden sie mit hohen Provisionen und guten Karrierechancen.
Den "Finanz-Kurieren" werden nun nach telefonischer Voranmeldung per Online-Banking hohe Geldbeträge von denjenigen Konten überwiesen, deren Kontodaten zuvor in das gefälschte Internet-Formular eingegeben wurden. Sobald das Geld auf dem privaten Konto der "Finanz-Kuriere" angekommen ist, muss es nach Einbehalten der versprochenen Provision so schnell wie möglich als Bargeld-Transfer per "Western Union Bank" meist nach Russland übertragen werden. Bei Bargeld-Transfers teilt die Bank dem Einzahlenden einen geheimen Transaktions-Datensatz mit, den der Empfänger bei der Auszahlung dann vorlegen muss. Der "Finanz-Kurier" übermittelt diese Daten also an die Phisher, damit diese das Geld bequem in bar und ohne Angabe ihrer Identität in Russland abholen und damit verschwinden können.
Nach wenigen Tagen wird der Betrug aufgedeckt und der ursprüngliche Eigentümer erstattet Anzeige bei der Polizei. Der vermeintliche "Finanz-Kurier" wird wg. Betrugs und Geldwäsche angezeigt und erleidet zum Verlust des überwiesenen Geldes auch noch eine empfindliche Geldstrafe. Immer mehr Banken führen die indexierte TAN (iTAN) ein, bei der für jede Transaktion eine genau vorgegebene TAN-Nummer aus der TAN-Liste verwendet werden muss. Die von Phishern erbeuteten TANs werden nutzlos, wenn nicht gleichzeitig auch deren Index-Nummer aus der TAN-Liste bekannt ist.

Phishing bleibt eine sehr ernsthafte Bedrohung, auch wenn sich die angegriffenen Ziele mehr und mehr auf kleinere und gezielte Opferkreise konzentrieren. Der folgende Auszug aus einem Artikel des Fraunhofer-Instituts für Sichere Informationstechnologie SIT bestätigt dies:
Die Leiterin des Fraunhofer-Instituts für Sichere Informationstechnologie, SIT, in Darmstadt, Professor Claudia Eckert, hält Phishing für das derzeit drängendste IT-Sicherheitsproblem. "Phishing ist, so trivial sich das anhört, immer noch das Problem Nummer eins, besonders für Banken", sagte Eckert im Interview mit Technology Review online. "Der Benutzer als Endglied der Kette agiert da immer noch ein bisschen naiv." Diese Naivität betreffe aber nicht nur den Privatnutzer, erklärte Eckert, auch das "sagenumwobene Abhören von WLAN vom sprichwörtlichen Parkplatz vor der Haustür" sei nach wie vor ein Problem. "Das ist keineswegs Schnee von gestern; das ist etwas, das hohe Konjunktur hat. Obwohl man weiß, dass es Sicherheitstechnologien gibt, mit denen man hier vorankommen könnte, setzen über 50 Prozent der Unternehmen diese Technologien nicht ein, weil sie nicht wissen, wie man das macht, weil sie denken, bei ihnen wäre nichts zu holen, oder weil sie dann doch wieder nicht genau wissen, was damit möglich ist."
Am 20.03.2006 haben Interpol und Microsoft eine breit angelegte Initiative gegen Phishing gestartet. Weltweit wollen sie gegen Trickbetrüger vorgehen, die über das Internet Zugangsdaten für Online-Bankkonten stehlen oder andere sensible Daten von Netzanwendern ausspähen.

Betrüger sind erfinderisch: Am 21.03.2006 ist die erste Phishing eMail aufgetaucht, in der auf ein scheinbares Gewinnspiel der Postbank hingewiesen wird. Nach der ausführlichen Beschreibung aller Preise (Auto, Laptop, DigiCam, usw.) wird der Kunde gebeten, seine Kontonummer, PIN und eMail-Adresse zur Anmeldung am Gewinnspiel einzutragen. Klar, dass die Daten nicht bei der Postbank, sondern bei Phishern landen.

Im Jahre 2004 entstanden durch Identitätsdiebstahl laut einer Meldung vom 02.04.2006 bereits 6,4 Milliarden US-Dollar Schaden. Die Hälfte der Fälle geht auf das Konto von Kreditkartenmissbrauch, etwa 25% davon wurden Opfer von erfolgreichem Phishing. Eine Meldung vom 09.09.2006 erläutert den Beschluss des OLG Hamburg vom 07.07.2006, nach dem der Kontoinhaber das nach erfolgreichem Phishing auf sein Konto überwiesene und anschließend zum Bargeld-Transfer an die Phisher wieder abgehobene Geld an seine Bank zurückzahlen muss. Das Gericht hat die eingelegte Berufung am 02.08.2006 zurückgewiesen.

Eine weitere Meldung vom 27.09.2006 berichtet über die Verurteilung eines 46 Jahre alten Mannes aus Meersburg (Deutschland), der aufgrund seiner Tätigkeit als "Finanzagent" mit der Zahlung von 30 Tagessätzen bestraft wurde. Zitat: "Unbekannte hatten sich mit so genanntem Phishing unberechtigt Zugang zu Bankdaten der Geschädigten verschafft und damit Geldbeträge auf das Konto des Verurteilten überwiesen. Dieser sollte das Geld abzüglich einer Provision von 8,5 Prozent bar abheben und über Western Union ins Ausland transferieren." Die Aktion wurde durch rechtzeitige Kontensperrung der betroffenen Bank rechtzeitig vereitelt.

Neue Phishing-Dimension: Telefonbanking ("Vishing")
Viele Bankkunden meiden aus Angst vor Betrug das Internet-Banking und benutzen stattdessen das Telefonbanking. Doch auch hier kann sich niemand mehr sicher sein. Eine entsprechende Meldung vom 26.04.2006 weist darauf hin, dass Visher (Voice-Phisher) per Spam scheinbare Telefonbanking-Nummern verbreiten, die per Internet-Telefonie (VoIP) auf gehackte Server verweisen und dadurch genauso schwierig aufzufinden sind, wie herkömmliche Phishing-Seiten. Wer eine solche Nummer anruft, wird den folgenden Sprachcomputer kaum vom echten Telefonbanking seiner Hausbank unterscheiden können. Die Preisgabe von PIN und TAN führt auch hier zum Abräumen des Kontos durch die Phisher. Visher benutzen aber nicht nur Spam, sondern auch fingierte Telefonanrufe mit einer Bandansage zum Rückruf einer betrügerischen Telefonbanking-Nummer.
Eine weitere Meldung vom 15.05.2006 zeigt, dass die Phisher mit neuen Phishing-Ideen nachziehen. Anstelle von PIN und TAN wird jetzt die für das Telefonbanking benötigte fünfstellige Telefon-Geheimzahl erfragt. Gibt ein Kontoinhaber diese Daten preis, so können die Phisher so lange "auf dem Konto schalten und walten, bis dem Opfer die Manipulation auffällt".

Lücke im eBay-Bezahldienst Paypal ausgenutzt
In einer Meldung vom 19.06.2006 wurde berichtet, dass Phisher eine Lücke im Code der von eBay betriebenen Paypal-Seite entdeckt und für kurze Zeit ausgenutzt haben. Eine massive Spamwelle sollte Paypal-Benutzer dazu bringen, ihren User-Namen plus Passwort einzugeben. Dieser Umstand wäre nichts neues, wenn die hierzu angegebene Web-Seite nicht tatsächlich auf den Paypal-Server verwiesen hätte. Auf diesem konnten Phisher über eine Lücke eigene Anzeigetexte einschleusen. Die anschließende Umleitung führte dann aber weiter auf die Seite der Phisher. Das Erkennen von gefälschten Phishing-Seiten war bisher immer relativ einfach über fehlende HTTPS-Verbindungen sowie den meist als solchen erkennbaren Link möglich. Paypal hat diese sehr gefährliche Lücke am 19.06.2006 geschlossen.

BKA: Internet-Betrüger haben neue Methoden zur Kontenplünderung
In einer Meldung vom 20.10.2006 weist das BKA darauf hin, dass Phisher eine neue Methode zur Geldwäsche etabliert haben: "Die Täter gingen zum Schein auf kostspielige Geschäfte ein, um wenig später die geleisteten Vorauszahlungen etwa für Gebrauchtwagen oder Ferienwohnungen zurückzuverlangen", berichtete das BKA am Freitag. "Typisch seien auch große Bestellungen hochwertiger Waren, die später storniert oder auf ein Minimum reduziert würden. Gemeinsames Ziel der Geschäfte ist die Geldwäsche, bei der die arglosen Geschäftspartner zu unfreiwilligen Mittätern werden könnten. Die Vorauszahlungen stammten regelmäßig von per Phishing ausgespähten Konten ahnungsloser Privatleute, die nach Entdeckung des Schadens natürlich ebenfalls ihr Geld zurückverlangten. Wenn der Verkäufer dann schon auf die Stornierung samt Bar-Überweisung ins Ausland eingegangen ist, bleibt er möglicherweise auf dem Schaden sitzen."
Erfreulicherweise finden die Phisher immer weniger Opfer, die sich als Finanzagenten zur Geldwäsche anwerben lassen.

"Phlash": Neuer Trick umgeht Phishing-Erkennung im Internet Explorer 7
In einer Meldung vom 03.01.2007 wird berichtet, dass Phisher ihre bisher durch die neue Erkennungssoftware im Internet Explorer 7 identifizierbaren Eingabefelder neuerdings durch nicht erkennbare Flash-Objekte ersetzen:
"Phisher haben sich eine neue Masche ausgedacht, um herkömmliche Anti-Phishing-Toolbars und Echtzeitanalysen, wie sie etwa der Internet Explorer 7 bietet, auszutricksen. Dazu fragen die Betrüger Log-in-Daten nicht mehr über herkömliche HTML-Formulare ab, sondern setzen stattdessen auf Flash-Elemente, in die das Opfer seine Daten eingeben soll. Bislang untersuchen Anti-Phishing-Tools allenfalls HTML- und JavaScript-Code in einer Seite daraufhin, ob er Phishing-Merkmale aufweist. Bei Flash ist dies bislang noch nicht möglich. Zwar funktioniert auf diesen Flash-Seiten nur das Eingabeformular, während sich alle anderen Links nicht anklicken lassen, dennoch sind die bereits aufgetauchten Seiten so gut gemacht, dass einige Anwender darauf reinfallen werden. Einzige Abhilfe ist, einen Flash-Blocker zu installieren, der verhindert, dass Flash-Filme automatisch starten, etwa das Plug-in FlashBlock für den Firefox."
Universelles "Phishing-Kit" für Betrüger
In einer Meldung vom 11.01.2007 wird über ein Phishing-Kit berichtet, das "Betrügern bei der Entwicklung von automatisierten Angriffen auf Anwender zum Klau von Log-in-Daten sowie PIN und TANs" hilft:
"Mit diesem Angriff ließe sich auch das mittlerweile von einigen Banken eingeführte iTAN-Verfahren aushebeln: Meldet sich das Opfer mit seiner PIN auf der vermeintlich echten Seite an, so verwendet die Phishing-Seite diese in Echtzeit zum Log-in - allerdings bei der echten Bank. Versucht das Opfer nun eine Überweisung anzustoßen, so tut es die betrügerischen Seite ihm gleich - wiederum bei der echten Bank. Das Opfer erhält in diesem Fall von der Bank aber keine Nachfrage nach einer iTAN. Stattdessen fragt die Bank die Phishing-Seite nach der iTAN xyz für ihren Überweisung. Da sie die nicht kennt, gaukelt sie nun ihrem Opfer eine Nachfrage der Bank vor. In der Annahme, die Nachfrage sei für seine Überweisung, tippt das Opfer die gewünschte iTAN ein, die anschließend auf der Phishing-Seite landet, die damit die eigene Überweisung durchführen kann."

© 2006-2007 impact e.V.
Jegliche Kopien, auch auszugsweise, sind nur mit Angabe des Urhebers gestattet.
Letzte Aktualisierung: 19.08.2007

Themenliste

HAUPTSEITE
Update: 11.08.2007

Ad-Ware
Update: 11.08.2007

Affiliates
Update: 29.03.2006

Chatrooms
Update: 29.03.2006

Gästebuch-Spam
Update: 20.10.2006

Handys
Update: 08.09.2006

Internet-Betrug
Update: 22.09.2007

Internetspiele
Update: 19.06.2006

Parental-Control
Update: 29.03.2006

Phishing
Update: 19.08.2007

Premium-SMS
Update: 29.03.2006

Spam eMail
Update: 19.08.2007

Spuren im Internet
Update: 09.10.2006

Stockspam
Update: 19.08.2007

Viren/Trojaner
Update: 19.12.2006