Ratgeber

"Phishing über E-Mail ist Auslaufmodell": Cyber-Mafia hat aufgerüstet

Jahrelange Aufklärung zeigt ihre Wirkung: Die faulen Tricks für das Abfischen von Passwörtern ziehen bei den meisten Bankkunden nicht mehr. Die Betrüger verlegen sich zunehmend darauf, den Rechner ihrer Opfer zu übernehmen oder agieren als "Man in the Browser".

Die meisten Nutzer haben inzwischen gelernt, dass Banken keine Mails voller Rechtschreibfehler schicken.
Die meisten Nutzer haben inzwischen gelernt, dass Banken keine Mails voller Rechtschreibfehler schicken.(Foto: Panda Software)

Die Zeiten für Online-Betrüger sind schwieriger geworden. Mit simplen Phishing-Tricks gelangen sie heute deutlich seltener an fremde Bankdaten als noch vor einigen Jahren. Inzwischen wissen die meisten Internet-Nutzer: Man klickt nicht auf Links in E-Mails unbekannter Absender. Und wenn man es doch tut, dann gibt man auf der folgenden Website zumindest keine persönlichen Daten fürs Online-Banking ein. "Das klassische Phishing über E-Mail ist ein Auslaufmodell", sagt der Sicherheitsexperte beim IT-Branchenverband Bitkom, Lutz Neugebauer.

Doch nicht nur die Nutzer, auch die Täter haben dazugelernt. Zunächst entwickelten sie das klassische Phishing insoweit weiter, dass der Browser bei der gefälschten Bankenwebsite die korrekte Internet-Adresse der Bank anzeigt, obwohl die dargestellte Webseite auf einem Computer des Betrügers liegt. Einem solchen DNS-Spoofing oder Pharming fiel im Januar 2009 auch der Rentner zum Opfer, über dessen Fall nun der Bundesgerichtshof entschieden hat.

Die statistischen Zahlen zeigen das Ausmaß der Betrugsdelikte in der Vergangenheit: Das Bundeskriminalamt zählte 2010 rund 5300 Fälle, in denen Phishing im Zusammenhang mit Online-Banking zur Anzeige gebracht wurde - das waren 82 Prozent mehr als ein Jahr zuvor. Für 2011 liegen noch keine Angaben vor, ein Rückgang in diesem Bereich ist aber nicht unwahrscheinlich. "Das Phishing ist vom Online-Banking in andere Bereiche umgezogen", stellt Ralf Benzmüller von der Sicherheitssoftwarefirma G Data fest.

Identitätsklau bleibt ein Problem

Das liegt auch an den höheren Sicherheitsstandards der Banken. Die meisten haben die klassischen TAN-Listen abgeschafft oder bieten zumindest optional moderne Verfahren wie eTAN oder mobileTAN. Betrüger kommen also kaum noch an die Transaktionsnummern heran, die für Abbuchungen nötig sind. Das heißt aber nicht, dass Cyber-Kriminalität auf dem Rückzug wäre. Nach einer Studie von Microsoft handelt es sich bei 4,1 Prozent aller ausgewerteten Spam-E-Mails um Phishing-Attacken.

In den Fokus geraten nun vor allem Webseiten, bei denen man sich nur mit Nutzername und Passwort anmelden muss. Das betrifft neben Sozialen Netzwerken wie Facebook und Twitter auch finanziell lukrative Ziele wie Online-Kasinos und Betreiber von Pokerspielen. Auch der Bezahldienst PayPal wird noch häufig zum Ziel von Phishing-Attacken. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) meldet zwar: "Klassisches Phishing ist praktisch nicht mehr festzustellen." Das bedeute aber nicht, dass der sogenannte Identitätsdiebstahl - also die Übernahme der Nutzeridentität durch einen Betrüger - keine Bedrohung mehr darstelle.

Neue Tricks beim Online-Banking

Die Werkzeuge der Betrüger sind raffinierter geworden. Zunehmend werde versucht, mit Hilfe von Trojanern oder in sogenannten Drive-By-Attacken beim Aufrufen infizierter Webseiten den ganzen Rechner zu kapern, erklärt Bitkom-Experte Neugebauer. Über eine als Keylogger bezeichnete Software kann der Angreifer dann jede Tastatureingabe protokollieren. Oft nutzen die ersten Angreifer die erbeuteten Zugangsdaten gar nicht selbst, sondern handeln damit auf dem Schwarzen Markt der Cyberkriminalität.

An Webseiten, die ihren Datenverkehr verschlüsseln und an der Eingangsziffernfolge "https" zu erkennen sind, scheitern auch Trojaner, die sich als "Man in the Middle" in den Datenverkehr zwischen Nutzer und Bank einzuschleichen versuchen. "Das funktioniert nicht mehr, weil jetzt der gesamte Bankenverkehr verschlüsselt wird", erklärt Benzmüller.

Doch auch darauf haben die Kriminellen längst eine Antwort gefunden: Aktuelle Schadsoftware schleust einen "Man in the Browser" (MITB) auf dem Computer des Betrugsopfers ein. Hier werden die Daten fürs Online-Banking manipuliert, wenn sie noch nicht oder nicht mehr verschlüsselt sind - je nachdem, ob sie vom Nutzer zur Bank oder in umgekehrter Richtung verschickt werden. "Die entsprechende Software gibt es im Untergrund", erklärt Benzmüller. "Für 5000 bis 8000 Euro kann man sich für jede Bank der Welt den entsprechenden Bausatz kaufen."

Als Beispiel für einen MITB-Angriff nennt Benzmüller die Forderung nach einer Rücküberweisung. Hier wartet der "Mann im Browser" darauf, dass die Verbindung mit der Bank hergestellt wird. "Dann werden manipulierte Inhalte live in die Webseite injiziert." Dem Betrugsopfer wird mitgeteilt, dass jemand fälschlicherweise Geld auf sein Konto überwiesen hat. Eine Abfrage des Kontostands wird so manipuliert, dass diese Überweisung dort tatsächlich auftaucht. Schließlich wird der Bankkunde gebeten, das Geld zurück zu überweisen - und leitet dann meist die entsprechende Transaktion auf das Konto des Täters ein. Phishing war nur ein Anfang - Sicherheit beim Online-Banking bleibt eine Daueraufgabe für alle Beteiligten.

Quelle: n-tv.de

Empfehlungen