HOME

Internetbetrug: Phisher haben keine Freunde

"Password Fishing" - kurz: Phishing - nennt man das Erschleichen von vertraulichen Kundendaten mittels gefälschter E-Mails. Ein Trend, der sich verbreitet.

Spam und Viren machen den E-Mail-Verkehr schon lästig genug. Zunehmende Verbreitung findet jetzt eine weitere Seuche, die als "Phishing" bezeichnet wird. Mit diesem Kunstwort, gebildet aus "Password fishing", wird der Trick bezeichnet, mit Hilfe von gefälschten E-Mails an vertrauliche Kundendaten zu gelangen.

Die Opfer sind keineswegs nur vertrauensselige Zeitgenossen, die sich nicht mit den Tücken im Internet auskennen. Kürzlich fiel auch der Betreiber eines Online-Geschenke-Shops in den USA, Mark Nichols, unbekannten Betrügern zum Opfer. Er erhielt eine E-Mail, deren Absender das Internet-Auktionshaus Ebay zu sein schein. Darin wurde Nichols aufgefordert, einem Link zu folgen und sein Ebay-Passwort zusammen mit anderen persönlichen Daten auf einer Web-Site einzugeben. Kurz zuvor war die Kreditkarte von Nichols abgelaufen, so dass er die Aufforderung zur Erneuerung seiner Daten für glaubwürdig hielt.

Noch mal gut gegangen

"Ich dachte: 'Richtig, ich muss meinen Account erneuern'", sagte Nichols, der in Crosby in North-Dakota lebt. "Und prompt bin ich darauf hineingefallen." Zum Glück erkannte er den Betrug noch früh genug, so dass er sein Passwort schnell ändern konnte, ehe ein Schaden entstand.

Genau hinsehen

Die Phishing-Betrüger gehen immer raffinierter vor, um an persönliche Daten zu gelangen. So kopieren sie die echten Formulare von Web-Seiten renommierter Firmen und bauen diese in ihre eigenen ein. Zudem haben sie sich Internet-Adressen registriert, die sich nur geringfügig von diesen Firmen unterscheiden. Ein beliebter Trick ist es etwa, den Buchstaben l durch die Ziffer 1 zu ersetzen, was das flüchtige Auge so gut wie nicht erkennen kann. Am Anfang sei Phishing nur ein betrügerisches Spiel gewesen, sagt der frühere Vorstandschef des Online-Zahlungssystems PayPal, Bill Harris. "Inzwischen hat man erkannt, dass die Sache lukrativ sein kann, und gibt sich dabei richtig Mühe."

Die meisten Betrügen sitzen in Osteuropa und Asien

Die im Oktober vergangenen Jahres gebildete Arbeitsgruppe gegen Phishing (Anti-Phishing Working Group) hat im Februar 282 verschiedene Phishing-Fälle gezählt; im Januar waren es noch 176. In etwa 70 Prozent der Betrugsfälle führt die Spur nach Osteuropa oder Asien, wie der Vorsitzende der Arbeitsgruppe, David Jevans, erklärt. Aber auch in Texas läuft zurzeit ein Verfahren gegen einen 19-Jährigen aus Houston, der gestanden hat, mit Hilfe von fremden Daten online eingekauft zu haben. Ihm droht eine Haftstrafe bis zu 15 Jahren.

Für die durch Phishing entstandenen Schäden gibt es keine Schätzungen. Jevans ist ohnehin der Ansicht, dass der Vertrauensverlust bei den Verbrauchern sehr viel schwerer wiegt und potenzielle Kunden fern hält.

Technische Gegenmittel

Neben der Aufklärung setzen die betroffenen Firmen jetzt auch auf technische Mittel gegen Phishing. Auf Sicherheitssoftware spezialisierte Unternehmen entwickeln entsprechende Tools für Banken und Online-Händler. Bei Ebay gibt es seit Februar eine neue Funktion für die Toolbar des Auktionsportals, eine spezielle Menü-Leiste zum Internet Explorer. Dieser "Account Guard" leuchtet grün, wenn man sich tatsächlich auf einer von Ebay oder PayPal betriebenen Web-Site befindet. Bei bekannten Betrugsseiten leuchtet ein rotes Licht auf. Außerdem gibt es jedes Mal eine Warnung, wenn Kunden ihr Passwort auf einer anderen Seite eingeben wollen.

Schwieriger zu bekämpfen als Spam

Bei PostX wird zurzeit ein Plugin für den Browser wie für E-Mail-Programme entwickelt, das den Datenverkehr auf vier grundlegende Phishing-Verfahren kontrolliert. Das für Juni angekündigte Werkzeug schlägt Alarm, wenn etwa eine E-Mail einen Link enthält, dessen Text nicht mit der im HTML-Code eingebetteten Adresse übereinstimmt. Ähnliche Projekte sind bei Yahoo oder Microsoft in Arbeit. Phishing sei schwieriger zu bekämpfen als Spam, weil der Inhalt der Mails so täuschend echt wirke, sagt Gleb Budman von der Firma MailFrontier, deren Anti-Spam-Software jetzt auch einen Schutzmechanismus gegen möglichen Betrug enthält.

Im Wettlauf zwischen Phishing und technischen Gegenmitteln haben die Betrüger aber wahrscheinlich die Nase vorn. Langfristig könnten nur Aufklärung und Wachsamkeit helfen, sagt Jeffrey Guifoyle von der Sicherheitsfirma Solutionary. "Die Technik hinkt immer hinterher."

Anick Jesdanun/AP / AP / DPA