RUB » Stabsstellen » Stabsstelle für Informationssicherheit

Bild1 Bild1 Bild3 Bild4

Phishing

Beim Begriff Phishing, gesprochen wie „fisching“, handelt es sich um ein Kunstwort, das aus den beiden englischen Worten „password“ und „fishing“ (engl. für angeln) gebildet wird.

Phishing ist eine Methode, bei welcher Kriminelle durch Anwenden von sogenannten Social Engineering Taktiken versuchen, an vertrauliche Informationen wie Kontozugangsdaten, Kreditkarteninformationen oder Passwörter argloser Dritter zu gelangen. Ziel dieser Angriffe ist es, mit den gewonnenen Daten unter der Identität des Inhabers im Online-Datenverkehr betrügerische Handlungen (z.B. Überweisungen im Online-Banking) vorzunehmen.

Phishing-Mail

Die häufigste Erscheinungsform des Phishings ist die Phishing-E-Mail. In auf den ersten Blick trügerisch echt aussehenden E-Mails von Bankinstituten oder Online-Bezahlsystemen wird aus Service- oder Sicherheitsgründen nach vertraulichen Konto- und Zugangsinformationen gefragt. Ein Beispiel für einen Text in so einer E-Mail ist:


Phishing-Webseite

Zur Eingabe der Daten wird, wie im obigen Beispiel zu sehen, ein Internet-Link angegeben, welcher zu einem Online-Formular führt. Diese Online-Formulare sehen, genau wie die E-Mails, trügerisch echt aus. In diesen Formularen können alle möglichen persönlichen Informationen erfragt werden. Meist wird jedoch nach PIN und TAN-Nummer und der zugehörigen Kontonummer gefragt.


Die häufigste Form des Phishing ist der Versuch, an Bankdaten zu gelangen. Mittlerweile wird Phishing jedoch auch in anderen Bereichen eingesetzt. Zum Beispiel wurden Daten für die DHL-Packstationen abgefragt. Dadurch erlangten unberechtigte Zugang zu den Paketen in der Packstation.

Hinweise auf Phishing in Software

Aktuelle Browser und E-Mail Programme verfügen über die Möglichkeit, eventuelle Phishing E-Mails oder Webseiten zu erkennen und dann den Benutzer entsprechend zu warnen. Solch eine Meldung im Browser Firefox sieht wie folgend aus:


Das Mail Programm Thunderbird warnt folgendermaßen:

Weiterhin bieten die Browser einen optischen Hinweis, ob die Seite verschlüsselt ist. Dieser Hinweis ist verschiedenfarbig und in der Regel im Bereich des Adressfeldes angesiedelt. Grün bedeutet hier, dass eine höchstmögliche Sicherheit durch sogenannte Extended-Validation-Zertifikate, gewährleistet wird. In diesem Fall kann davon ausgegangen werden, dass es sich nicht um eine Phishing-Webseite handelt. Wenn die Identität der Webseite nicht verifiziert werden kann, wird das auch angezeigt, jedoch in allen Browsern unterschiedlich. Nähere Informationen dazu finden Sie hier.
Es ist auch möglich, dass beim Aufrufen der Webseite der Browser anzeigt, dass der Verbindung zur aufgerufenen Webseite nicht vertraut wird, weil z.B. dem Aussteller des Zertifikat und somit auch dem Zertifikat selbst
nicht getraut wird oder das Zertifikat nicht mehr gültig ist. In diesem Fall wird von einem Aufruf der Webseite abgeraten, es ist aber nicht in jedem Fall davon auszugehen, dass es sich dabei um eine Phishing-Webseite handeln muss. Ein solcher Hinweis im Browser (hier Firefox) sieht wie folgend aus:


Spear-Phishing

Eine spezielle Variante des Phishing ist das sogenannte Spear-Phishing (engl. für Speer). Bei dieser Variante werden die Phishing E-Mails nur an einen ausgewählten Personenkreis gesendet. Bei diesem Personenkreis kann es sich z.B. um alle Studierende einer Uni oder alle Mitarbeiter einer Firma handeln. Ziel dieser Variante ist, durch das so gewonnene falsche Vertrauen leichter an die Daten der Zielperson zu gelangen. So eine E-Mail zeichnet sich dadurch aus, dass sie speziell auf diesen Personenkreis zugeschnitten ist, also z.B. vertraute Bezeichnungen enthält.

Auch die RUB war schon von solchen Angriffen betroffen.


Generell gilt: Um sich zu schützen sollten Sie E-Mails, welche zur Übersendung vertraulicher Informationen aufrufen oder diese per Link oder gar E-Mail-Anhang abfragen, immer skeptisch betrachten. Kein Dienstleister wird Sie so dazu auffordern. Im Zweifel lohnt sich der Griff zum Telefon, um sich bei der Hotline des Onlinedienstes zu erkundigen.
Für weitere Informationen zum Thema Phishing besuchen Sie www.a-i3.org oder www.polizei-beratung.de

Martin Land

Bild: iStockphoto.com/Skodonnel