«Beware of the phishing hook» – Die Phishing-Kampagne
Phishing ist keine neue Erscheinung. Tatsächlich gab es unter dem Begriff Social Engineering ähnliche Betrugsversuche bereits lange, bevor E-Mail und Internet zum alltäglichen Kommunikationsmittel wurden. Dabei versuchten Betrüger beispielsweise auf telefonischem Weg, sich das Vertrauen der Opfer zu erschleichen und ihnen vertrauliche Informationen zu entlocken. Durch die Verbreitung von kostengünstiger VoIP-Telefonie wird dieses nun Vishing genannte Vorgehen wieder lohnend für Betrüger. Ein aktuelles Beispiel für verwendete Trickbetrügereien ist der Enkeltrick. Neu sind beim Phishing lediglich die Werkzeuge, die eine weitaus größere Verbreitung ermöglichen.
Die Anfänge des Phishings im Internet reichen bis zum Ende der 1990er Jahre zurück. Damals wurden Nutzer von Instant-Messengern wie z. B. ICQ per E-Mail aufgefordert, ihre Zugangsdaten in ein in der E-Mail enthaltenes Formular einzutragen. Mit den so erhaltenen Zugangsdaten konnten die Betrüger die Chat-Zugänge ihrer Opfer unter deren Identität nutzen.
Die ersten Phishing-Angriffe im Bereich des Online-Banking begannen damit, dass der Urheber einer Phishing-Attacke seinem Opfer offiziell wirkende Schreiben als E-Mail schickte, die ihn dazu verleiten sollen, vertrauliche Informationen, vor allem Benutzernamen und Passwörter oder PIN und TAN von Online-Banking-Zugängen, dem Täter im guten Glauben preiszugeben. Übergibt der Besucher korrekte Daten, kann der Betrüger mit der abgefangenen PIN und TAN eine Geldüberweisung zu Lasten des Opfers tätigen. Diese relativ simple Methode, Kontozugangsdaten abzufangen, wird heute nur noch vergleichsweise selten angewendet, nachdem die meisten Banken ihre TAN-Systeme verbessert haben.
TCS Internet-Schutzbrief setzt sich für den Schutz seiner Mitglieder ein
Da wir ständig online unterwegs sind, lauern im Internet diverse Gefahren, welchen es zu begegnen gilt. Der TCS möchte aktiv mithelfen diese Gefahren und Risiken zu bekämpfen und ist darum Mitglied der SISA Swiss Internet Security Alliance geworden. «STOP. THINK. CONNECT.» ist eine internationale Initiative der APWG (Anti-Phishing Working Group), die in der Schweiz von der Swiss Internet Security Alliance vertreten wird. Phishing-Angriffe starten mit einer E-Mail. Eine Phishing-Mail kann ein verlockendes Angebot unterbreiten oder sofortige Handlung Ihrerseits verlangen, um Sie dazu zu bringen:
- Ein gefälschtes Formular auszufüllen.
- Einen Link zu einer gefälschten Webseiten zu klicken.
- Einen infizierten Anhang zu öffnen.
Häufig benutzen Phisher dabei Logos bekannter Unternehmen, um Ihr Vertrauen zu gewinnen.
Schützen Sie sich!
- Beantworten Sie niemals E-Mail-Anfragen nach Passwörtern, Sicherheitscodes, PIN-Codes, etc.
- Öffnen Sie nur E-Mail-Anhänge von Absendern, denen Sie vertrauen.
- Seien Sie misstrauisch bei E-Mails, die «umgehendes Handeln» erfordern.
- Trauen Sie keiner E-Mail mit einer allgemeinen Anrede, wie «Lieber Kunde» oder «Sehr geehrte Damen und Herren».
- Seien Sie misstrauisch gegenüber E-Mails mit Rechtschreib- und Grammatikfehlern.
- Behandeln Sie E-Mails von einer bekannten Person, aber ungewöhnlichen E-Mail-Adresse mit Vorsicht.
- Ein Link in einer E-Mail? Fahren Sie mit der Maus darüber und finden Sie heraus, wo der Link wirklich hinführt.
Haben Sie eine Phishing-Mail oder eine Phishing-Webseite entdeckt? Helfen Sie mit, das Internet sicherer zu machen! Melden Sie die Phishing-Adresse an www.antiphishing.ch. Weitere wichtige Informationen finden Sie im TCS-Artikel «Vorsicht vor Phishing».
Weitere Hinweise und Quellen
- Phishing (Link zu Wikipedia: Definition und Geschichte)
- SISA Swiss Internet Security Alliance
- Anti-Phishing Working Group
- TCS-Original-Artikel «Vorsicht vor Phishing»
- Phishing-Adresse: www.antiphishing.ch
- Social Engineering
