Internetbetrug Phisher treiben Banken vor sich her


Viele Banken haben wegen des Phishing-Problems neue Sicherheitsverfahren für das Online-Banking eingeführt - und behaupten nun, das Problem sei gelöst. Doch die Phisher schlafen nicht. Mit neuen Tricks umgehen sie die höher gewordenen Hürden.
Von Stephan Zimprich

Es ist ein bisschen wie bei der alten Geschichte von Hase und Igel. Die Banken entwerfen ein neues Sicherheitskonzept nach dem anderen - und die Phisher haben schon eine Antwort darauf. "Die Phisher passen sich neuen Gegebenheiten an", bestätigt Frank Eißmann vom LKA Baden-Württemberg, einem der profiliertesten Spezialisten auf dem Gebiet.

Das klassische Phishing, bei dem ein Link in einer Lock-E-Mail auf eine gefälschte Bankseite führt, um dort die Kundendaten abzugreifen, hat sich längst zu einer variantenreichen und komplexen Form der Internet-Kriminalität entwickelt. "Das geht bis hin zum Einsatz von Trojanern und Key-Loggern", so Eißmann. "Pharming" und "Man-in-the-middle-Attacken" sind heute die Schlagwörter, mit denen der Experte die Machenschaften der Phisher beschreibt.

Arbeitsteilige Organisation

Die Tage des Einzeltäters sind längst vorbei. Die Datenräuber haben sich organisiert - und setzen auf Arbeitsteilung. "Es gibt den eigentlichen Phisher, der einen Programmierer beauftragt und dann einen Spammer, der über Bot-Netzwerke verfügt, darunter stehen dann diejenigen, die die Finanzagenten anwerben und ganz unten die Finanzagenten selbst", sagt Eißmann. Die Kontaktaufnahme der Beteiligten laufe über Messagedienste wie IRC, die eine Verschleierung der Identität ermöglichen.

Die Betrüger nutzen längst nicht mehr nur die Naivität der Kunden aus, sondern gezielt technische Lücken. Kunden werden beim Surfen mittels Trojanern - Programmen, die sich unbemerkt auf einem Rechner einnisten und dort vom Nutzer unentdeckt die Kontrolle übernehmen - auf Phisher-Seiten umgeleitet, ohne es zu merken, oder die Phisher kapern gleich ganz einen DNS-Server - die zentralen Knoten des Internets - und programmieren die Wegweiser im Internet, die IP-Adressen, einfach um. Das nennt sich dann "Pharming" - der Kunde als Datenherde. Bei einer "Man in the middle"-Attacke klinkt sich der Phisher in den Datenstrom zwischen Kunden und Bank ein und verändert die jeweiligen Überweisungen nach seinen Wünschen. Dabei muss der Phisher nicht einmal selbst am Rechner sitzen: Die Arbeit übernimmt eine Software.

Das Ausspähen von Kontodaten ist allerdings längst nicht mehr der schwierigste Part für die Betrüger. Größere Probleme bereitet der Finanztransfer ins Ausland. Um selbst nicht entdeckt zu werden, sind die Phisher nämlich auf die Möglichkeit angewiesen, die gekaperte Überweisung auf ein fremdes Konto umzuleiten. Inzwischen sind aber mehr und mehr Menschen aufgeklärt und fallen nicht mehr auf einfache Anwerbemails (Für ihre Dienste erhalten Sie zehn Prozent der Summe X") herein. Die Phisher setzen auf neue Tricks: Sie kaufen beispielsweise bei Ebay ein und bezahlen mittels einer "gephishten" Überweisung. Allerdings überweisen sie eine viel zu hohe Summe - und bitten dann den Verkäufer, das überschüssige Geld auf ein anderes Konto zurück zu erstatten. Dort wird das Geld abgehoben und per Bargeldtransferfirmen ins Ausland verbracht.

Sicherheitskonzepte mit Schwächen

Die Banken hinken der Entwicklung hinterher. Sie setzen im Wesentlichen auf vier verschiedene Konzepte. eTan, iTan, mTan und die - meist kostenpflichtige - HBCI-Lösung, bei der Kunden ihre Identität mittels eines Cardreaders am eigenen Rechner verifizieren. Doch bis auf letztgenannte Lösung haben die Konzepte ihre Schwächen. Das eTan-System, bei dem der Bankrechner eine Antwortnummer generiert, die vom Kunden wiederum auf der Homepage der Bank eingeben muss, hilft zwar gegen das klassische Phishing mit täuschend ähnlich nachgebauten Bankseiten. Gegen das Datenfischen mittels eines Trojaners oder "Man in the middle"-Software ist aber auch dieses System machtlos.

Ähnliches gilt für die iTan: Hier muss der Kunde einen bestimmten, von der Bank ermittelten Zahlenblock von seiner Tan-Liste eingeben, statt diese wie bislang einfach von oben nach unten abzuarbeiten. Findige Phisher programmierten daraufhin schon Mails, in denen die Kunden "zur Überprüfung" nach allen Tan-Nummern gefragt wurden. Das dritte Tan-System, die mTan, funktioniert im Zusammenspiel mit dem Handy des Kunden. Veranlasst er eine Überweisung, schickt der Bankrechner eine SMS mit den Daten und einem Code an den Kunden zurück. Dieser bestätigt dann die Überweisung - und genau hier liegt wieder eine Schwachstelle. Zwar verhindert auch das mTan-System den Zugriff über gefälschte Bankseiten, aber Trojaner oder "Man in the middle"-Software können die bestätigten Daten abgreifen und verändern.

Neue Phishing-Attacken

Die Banken behaupten dennoch, dass die Systeme funktionieren. "Nach der Einführung von eTan, mTan und E-Mailsignatur sehen wir einen spürbaren Rückgang von Phishing-Mails", sagt ein Postbank-Sprecher. "Seit Einführung der iTan haben wir keine gegen uns gerichteten Versuche mehr gehabt", will auch ein Sprecher der Deutschen Bank wissen. Im Phishing-Archiv des Arbeitsgruppe Identitätsschutz im Internet (A-I3) kann man jedoch nachlesen, dass für die Postbank, die Deutsche Bank, die Volks- und Raiffeisenbanken, die Citibank und anderen auch im Oktober und November wieder neue Phishing-Mails im Umlauf waren - zum Teil sogar auf die neuen Sicherheitskonzepte zugeschnitten.

"Die Zahlen sind im Vergleich zu 2005 eher gestiegen", sagt LKA-Experte Eißmann. Allein in Baden-Württemberg lag die Schadenssumme im vergangenen Jahr bei 1,8 Mio. Euro. Nach Eißmanns Einschätzung ist die Dunkelziffer allerdings hoch. Dazu trägt offenbar auch eine gewisse Neigung der Banken bei, die Zusammenarbeit mit der Polizei zu meiden. Zu groß ist die Angst vor dem Reputationsverlust des inzwischen extrem wichtig gewordenen Online-Banking-Systems. "Die Banken gleichen in der Regel still und leise den Schaden aus, um nicht ins Gerede zu geraten", sagt Frank Ackermann vom Eco-Verband. In Internetforen werden sogar Gerüchte über unverblümte Aufforderungen verbreitet, nicht zur Polizei zu gehen. Im Gegenzug sollen die Banken eine großzügige Kulanzregelung versprochen haben.

FTD

Mehr zum Thema


Wissenscommunity


Newsticker