Phishing im Internet
Mit Phishing werden meist kriminelle Handlungen bezeichnet, die das Ziel verfolgen, sensible Daten wie Bank- oder Kreditkarteninformationen zu ergaunern. Mit diesen Daten kann der Urheber des Phishing-Angriffs die Identität des Bestohlenen übernehmen. Phishing-Attacken finden über E-Mail, über speziell vorbereitete oder manipulierte Webseiten oder via SMS statt. In der Vergangenheit hatten Phishing-Angriffe oft den Zweck, Bankkunden zur Preisgabe ihrer Zugangsdaten und TANs zu verleiten. Neuere Formen des Phishings verwenden oft Trojaner (Schadsoftware), die den Kommunikationsweg zwischen Bankkunden und Bank überwachen, um heimlich sensible Daten an den Angreifer zu übermitteln.
Phishing E-Mails enthalten in der Regel viele Rechtschreibfehler, sind in schlechtem Deutsch verfasst und enthalten keine persönlichen Daten, außer solchen, die ohnehin frei verfügbar sind. Die Webseiten, auf die diese E-Mails verweisen, sind meistens täuschend ähnliche Kopien des Originals. Hier gilt es auf ungewöhnliche Domänennamen (URLs), fehlende Funktionen und fehlende Verschlüsselung bei Finanzdienstleistern zu achten. Wird der Computer über eine präparierte Webseite mit Malware (Schadsoftware) infiziert, erlangt der Internetnutzer oft keine Kenntnis von der Infektion seines Rechners. Daher gilt diese Form des Phishing als besonders gefährlich.
Beim SMS-Phishing (SMiShing) wird beispielsweise eine Bestätigung für ein vermeintliches Abonnement mit einer URL für die Abmeldung dieses Abos verschickt. Beim Aufruf der Webseite wird dann der Versuch unternommen, heimlich Malware zu installieren.
Um sich effektiv vor Phishing zu schützen, sollten das Betriebssystem, der eingesetzte Web-Browser, die Add-ons des Web-Browsers und das Antivirusprogramm immer auf dem aktuellen Stand gehalten werden. Aktuelle Browser und E-Mail-Programme können, teilweise mit Erfolg, vor Phishing-Attacken warnen. Es ist zu empfehlen, im E-Mail-Programm die HTML-Darstellung sowie JavaScript zu deaktivieren.
Verwenden Server beim Internetbanking das »Extended Validation SSL-Zertifikat«, wird in der Adresszeile aktueller Browser der Zertifikats- und Domaininhaber sowie die Zertifizierungsstelle angezeigt. Außerdem wird bei gültigen oder ungültigen Zertifikaten die Adressleiste unterschiedlich eingefärbt.
Beim Onlinebanking ist das HBCI-Verfahren gegen Phishing-Attacken unempfindlich. Es setzt jedoch einen Chipkartenleser und eine Chipkarte voraus. Die Variante mit der höchsten Sicherheit besitzt eine Tastatur im Kartenleser für die Eingabe der PIN, sodass ein Trojaner oder Keylogger die PIN nicht mitlesen kann. Natürlich bietet auch dieses Verfahren nur dann einen hohen Schutz, wenn der benutzte Rechner frei von Schadsoftware ist.
Grundsätzlich sollte dem Medium E-Mail misstraut werden. Seriöse Banken beherrschen die deutsche Grammatik und Rechtschreibung. Auch besondere Dringlichkeiten (»Sie müssen innerhalb der nächsten 24 Stunden reagieren, sonst wird ihr Konto gesperrt.«) und unpersönliche Anreden (»Sehr geehrte Dame, sehr geehrter Herr«) sind für eine Phishing-E-Mail sehr typisch. In der Regel wird die Bank nicht die E-Mail Adresse ihrer Kunden besitzen, sodass sie für die Kommunikation mit großer Wahrscheinlichkeit den Postweg beschreitet.
