10
2006

Wie funktioniert eigentlich Phishing?

Das Phishing ist eine Methode, die das Ausspähen von Zugangsinformationen zu Rechnersystemen unter Zuhilfenahme psychologischer Tricks bezeichnet. Der Begriff setzt sich aus „Passwort“ und „Fishing“ zusammen. In Phishing-Mails werden z.B. die Gestaltungsmerkmale von Banken täuschend echt nachgeahmt und es wird beispielsweise behauptet, es müssten Datenbanken aktualisiert werden. Daher müssten unbedingt Passwörter überprüft werden. Die in solchen Mails angegebenen Links führen jedoch auf Seiten, die den vorgeblichen Bankseiten zwar ähneln, aber lediglich dem Sammeln der Zugangsinformationen der Opfer dienen.
Auch sogenannte Trojaner, also Schadprogramme zum Ausspähen von Computerdaten, können sich über das Internet auf den PCs argloser Online-Banker installieren und bei der Eingabe einer TAN eine Fehlermeldung generieren, wonach die soeben eingegebene TAN bereits verbraucht sei. Gibt der Überweisende dann unbedacht eine neue TAN ein, wird die unverbrauchte TAN zusammen mit anderen Nutzerdaten an den Täter weitergeleitet, der dann seinerseits Überweisungen vom fremden Bankkonto veranlassen kann. Um die Spur des Geldstromes zu verschleiern benötigt der Täter Helfer. Diese werden ebenfalls mit dubiosen Mails rekrutiert, in denen lukrative Nebenjobs in Aussicht gestellt werden. Der Nebenjob besteht darin, das eigene Bankkonto zur Verfügung zu stellen, um dort eingehende Beträge unter Abzug einer 10%igen Provision über die Western Union Bank weiterzuleiten. Wer sein Konto zur Verfügung stellt, um Geld, das aufgrund von Phishing-Attacken transferiert wurde, anzunehmen und an Hintermänner weiter zu überweisen, macht sich wegen Beihilfe zum Computerbetrug strafbar. Dass der Mittelsmann zunächst annimmt, bei den Transfergeschäften gehe es mit rechten Dingen zu, entlastet ihn dann nicht, wenn aufgrund von Indizien (z.B. Anweisung der Hintermänner, größere Summen nicht in einem Betrag zu überweisen) feststeht, dass er billigend in Kauf nahm, dass die Transaktionen illegal sind und es ihm wesentlich auf die versprochenen Provisionen ankam.
Letztlich hilft in solchen Fällen wegen der nicht ermittelbaren Hintermänner nur die Prävention. Deswegen sollte man PIN und TANs niemals in Bankingprogrammen speichern, denn was auf einem PC abgelegt wurde, kann von Unbefugten gelesen werden. Banken und andere Geldinstitute verlangen von Ihren Kunden niemals die Übermittlung einer PIN oder einer TAN außerhalb eines Onlinebankingvorgangs, also sollten entsprechende Mails ignoriert werden. Schließlich sollten TANs nach Gebrauch gewissenhaft auf der Papierliste gestrichen und der Dialog mit dem Bankrechner am Bildschirm mitverfolgt werden. Durch den Einsatz neuer Kommunikationsformen zur Arbeitserleichterung werden eben auch neue Wege für kriminelle Machenschaften eröffnet. Diese sind jedoch lediglich Ausdruck des allgemeinen Lebensrisikos. Wer daher mit offenen Augen und einer gewissen Problemsensibilität durch die Online-Welt spaziert, den können solche Attacken kalt lassen.

‹ zurück zur Übersicht