Verigo/EuGH > Verigo/Content-Management-System > Verigo/E-Administration > Verigo/DynDNS-Provider > Verigo/Phishing

Der Begriff des Phishing leitet sich von den Wörtern Passwort und Fishing ab und meint das Verschaffen sensibler Daten von Internetnutzern.

Vorgehensweise

Dabei fälschen Phishing-Betrüger beispielsweise E-Mails von Banken oder anderen Unternehmen, um vorzugeben, der Benutzer müsse sich aus bestimmten Gründen über den darin enthaltenen Link bei der Webseite anmelden.

In Wahrheit kommen Benutzer dann jedoch nicht auf die authentischen Seiten, sondern werden vielmehr auf jenen ähnlich sehende Betrügerseiten gelenkt, auf denen nach Informationen wie Kontonummer, PIN, Kreditkartennummern oder Passwörtern gefragt wird.

Technischer Hintergrund

Technisch wird der Betrug durch ebenso glaubwürdig aussehende E-Mails vorgenommen, die meist im HTML-Format versendet werden. Dadurch kann beim Leser der Nachricht besser der Glaube erweckt werden, ein darin enthaltener Link sei gültig und stamme von der vorgegebenen Webseite. Außerdem greift JavaScript-Code teilweise auf die Adresszeile des Browsers zu und blendet diese aus. Somit wird gerade weniger versierten Internetnutzern eine Kontrolle der angesprochenen URL erschwert.

Beispielnachricht

Sehr geehrter Kunde,

im Rahmen unserer Serverupdates müssen wir regelmäßig die Korrektheit
unserer Datenbestände überprüfen. Dazu bitten wir Sie, sich auf folgender 
Seite mit Ihrer Kundennummer und Ihrer PIN einzuloggen:

www.beispielscam.de

Wir danken für Ihre Mitarbeit!

Mit freundlichen Grüßen
Bankhaus XY

Maßnahmen

Von Experten wird stete Vorsicht gefordert, wenn Nutzer über das Internet (sei es per E-Mail, Chat, o.Ä.) dringlich zur Eingabe persönlicher Daten aufgefordert werden. Diese sind in einigen Fällen allein schon daran zu erkennen, dass sie dem Empfänger nicht in personalisierter Form zugehen („Sehr geehrter Kunde“) und ohne Umschweife zum Öffnen eines in der Nachricht enthaltenen Hyperlinks aufrufen.

Werden Links dennoch angesteuert, sollte der Benutzer unbedingt die in der Adresszeile des Browsers zu sehende Adresse genau kontrollieren. Auch wenn dies viele Angriffsversuche ausschließen könnte, wird selbst davon abgeraten. Sinnvoller und sicherer ist die selbständige Eingabe der URL (also per Hand oder über ein Lesezeichen), um Umleitungsversuche zu vermeiden.

Weitere Maßnahmen:

• In Zweifelsfällen vertrauliche Informationen nur per Telefon, Fax oder Brief mitteilen
• Die gängigen Browser bieten sog. Toolbars an, die Phishingseiten automatisch erkennen und den User warnen sollen, bevor er Daten preisgibt
• Das schiere Bestehen einer vermeintlich gesicherten Verbindung (“[Dieser Link muss bestätigt werden](bestätigen)”) ist kein Garant für die Legitimität eingehender Anfragen. Phishing-Betrüger wissen um das Vertrauen auf die SSL-Verbindungen und bieten diese selbst an, um Vertrauen zu erwecken