Kategorien
Was ist Phishing?
Phishing ist eine Form des Internet-Betrugs. Es besteht darin, Menschen zu betrügen, indem sie auf eine gefälschte (Bank-)Website gelockt werden, die eine Kopie der echten Website ist, und sie dazu zu bringen, sich "arglos" mit ihrem Log-in-Namen und Passwort oder ihrer Kreditkartennummer anzumelden. Dadurch erhält der Betrüger Zugriff auf die Daten, mit allen damit verbundenen Konsequenzen. Die Opfer werden oft per E-Mail auf diese gefälschte Website gelockt, die einen Link zur (gefälschten) Website enthält mit der Aufforderung, "die Anmeldedaten zu überprüfen".
Methode
Beim Phishing wird häufig das URL-Spoofing eingesetzt. Dabei handelt es sich um die Nachahmung der URL von z. B. einer Bank, so dass der Benutzer denkt, er besuche die echte Website, während die URL die des Betrügers ist.
Seit der Verwendung des IDN-Systems (International Domain Name), das die Verwendung von Nicht-ASCII-Zeichen in Domain-Namen erlaubt, kann Phishing dies ausnutzen, indem ein echter Domain-Name mit entsprechenden ausländischen Zeichen imitiert wird, so dass der Benutzer nicht merkt, dass die Adresse falsch ist.
Auch eine normale ASCII-URL kann betrügerisch sein: Die Adresse www.googIe.com, bei der der Kleinbuchstabe l durch einen Großbuchstaben i (I) ersetzt wird, sieht zum Beispiel www.google.com sehr ähnlich und kann je nach Schriftart sogar genau so aussehen.
Die meisten Banken verwenden heutzutage ein Extended Validation Certificate. In modernen Internetbrowsern wird der erste Teil der Adressleiste mit einem grünen Hintergrund dargestellt, damit der Benutzer sicher weiß, dass er sich auf der richtigen Seite befindet.
In der Regel erhält das Opfer eine E-Mail, in der es aufgefordert wird, sein Konto z. B. bei einer Bank zu überprüfen und zu bestätigen. Auch Instant Messaging wird eingesetzt. Manchmal wird der Kontakt per Telefon hergestellt. Betrüger verwenden häufig gefälschte Seiten von Finanzinstituten, eBay und PayPal. Phishing ist schwer zu erkennen. Internet-Benutzer müssen besonders wachsam sein und sollten niemals auf eine E-Mail antworten, in der sie aufgefordert werden, persönliche (finanzielle) Daten wie Bankkontonummer, PIN-Nummer, Sozialversicherungsnummer oder Kreditkartendaten anzugeben. Der erste Fall von Phishing geht auf das Jahr 1996 zurück.
Wie zu erkennen?
In einer Phishing-Nachricht finden Sie häufig die folgenden Elemente:
- Die E-Mail ist nicht persönlich an den Kunden gerichtet, sondern beginnt mit einer allgemeinen Eröffnung wie "Lieber Kunde"
- Die E-Mail enthält Sprach- und Stilfehler
- Es wird vorgeschlagen, dass das Konto mit den Anmeldedaten des Kunden "verifiziert" werden muss.
- Es werden Konsequenzen angedroht, wenn der E-Mail nicht sofort nachgegangen wird
Eine gängige Methode ist, dass der Betrüger eine E-Mail mit einem Anhang versendet, in dem ein Keylogger versteckt ist. Die E-Mail fungiert dann als Trojanisches Pferd. Sobald der Benutzer den Anhang geöffnet hat, wird der Keylogger im Hintergrund aktiviert. So kann der Betrüger über das Internet sehen, mit welchen Passwörtern sich der Benutzer bei seiner Bank anmeldet.
Wie kann man es verhindern?
- Stellen Sie sicher, dass der Computer ordnungsgemäß mit einem Virenscanner und einer Firewall gesichert ist. Stellen Sie sicher, dass das Betriebssystem, der Virenscanner und der Browser auf dem neuesten Stand sind.
- Führen Sie Ihre Bankgeschäfte nur von einem Konto mit eingeschränkten Rechten aus (nicht immer möglich, wenn zusätzliche Software installiert werden muss).
- Stellen Sie den Spamfilter so ein, dass er automatisch alle E-Mails löscht, die den Namen einer Bank im Absender oder in der Betreffzeile enthalten. Wenn eine Bank etwas Wichtiges zu sagen hat, wird sie dies niemals per E-Mail tun, so dass es keinen Grund gibt, dass Post von der Bank im Posteingang ankommt.
Beispiele für Phishing:
Weitere Informationen über sicheres Banking und Phishing finden Sie auch unter diesem Link.
Quelle: Wikipedia