Phisher treiben Banken vor sich her
Viele Banken haben wegen des Phishing-Problems neue Sicherheitsverfahren für das Online-Banking eingeführt - und behaupten nun, das Problem sei gelöst. Doch die Phisher schlafen nicht. Mit neuen Tricks umgehen sie die höher gewordenen Hürden.
Es ist ein bisschen wie bei der alten Geschichte von Hase und Igel. Die Banken entwerfen ein neues Sicherheitskonzept nach dem anderen - und die Phisher haben schon eine Antwort darauf. "Die Phisher passen sich neuen Gegebenheiten an", bestätigt Frank Eißmann vom LKA Baden-Württemberg, einem der profiliertesten Spezialisten auf dem Gebiet.
Das klassische Phishing, bei dem ein Link in einer Lock-E-Mail auf eine gefälschte Bankseite führt, um dort die Kundendaten abzugreifen, hat sich längst zu einer variantenreichen und komplexen Form der Internet-Kriminalität entwickelt. "Das geht bis hin zum Einsatz von Trojanern und Key-Loggern", so Eißmann. "Pharming" und "Man-in-the-middle-Attacken" sind heute die Schlagwörter, mit denen der Experte die Machenschaften der Phisher beschreibt.
Arbeitsteilige Organisation
Die Tage des Einzeltäters sind längst vorbei. Die Datenräuber haben sich organisiert - und setzen auf Arbeitsteilung. "Es gibt den eigentlichen Phisher, der einen Programmierer beauftragt und dann einen Spammer, der über Bot-Netzwerke verfügt, darunter stehen dann diejenigen, die die Finanzagenten anwerben und ganz unten die Finanzagenten selbst", sagt Eißmann. Die Kontaktaufnahme der Beteiligten laufe über Messagedienste wie IRC, die eine Verschleierung der Identität ermöglichen.
Die Betrüger nutzen längst nicht mehr nur die Naivität der Kunden aus, sondern gezielt technische Lücken. Kunden werden beim Surfen mittels Trojanern - Programmen, die sich unbemerkt auf einem Rechner einnisten und dort vom Nutzer unentdeckt die Kontrolle übernehmen - auf Phisher-Seiten umgeleitet, ohne es zu merken, oder die Phisher kapern gleich ganz einen DNS-Server - die zentralen Knoten des Internets - und programmieren die Wegweiser im Internet, die IP-Adressen, einfach um. Das nennt sich dann "Pharming" - der Kunde als Datenherde. Bei einer "Man in the middle"-Attacke klinkt sich der Phisher in den Datenstrom zwischen Kunden und Bank ein und verändert die jeweiligen Überweisungen nach seinen Wünschen. Dabei muss der Phisher nicht einmal selbst am Rechner sitzen: Die Arbeit übernimmt eine Software.
Das Ausspähen von Kontodaten ist allerdings längst nicht mehr der schwierigste Part für die Betrüger. Größere Probleme bereitet der Finanztransfer ins Ausland. Um selbst nicht entdeckt zu werden, sind die Phisher nämlich auf die Möglichkeit angewiesen, die gekaperte Überweisung auf ein fremdes Konto umzuleiten. Inzwischen sind aber mehr und mehr Menschen aufgeklärt und fallen nicht mehr auf einfache Anwerbemails (Für ihre Dienste erhalten Sie zehn Prozent der Summe X") herein. Die Phisher setzen auf neue Tricks: Sie kaufen beispielsweise bei Ebay ein und bezahlen mittels einer "gephishten" Überweisung. Allerdings überweisen sie eine viel zu hohe Summe - und bitten dann den Verkäufer, das überschüssige Geld auf ein anderes Konto zurück zu erstatten. Dort wird das Geld abgehoben und per Bargeldtransferfirmen ins Ausland verbracht.
Sicherheitskonzepte mit Schwächen
Die Banken hinken der Entwicklung hinterher. Sie setzen im Wesentlichen auf vier verschiedene Konzepte. eTan, iTan, mTan und die - meist kostenpflichtige - HBCI-Lösung, bei der Kunden ihre Identität mittels eines Cardreaders am eigenen Rechner verifizieren. Doch bis auf letztgenannte Lösung haben die Konzepte ihre Schwächen. Das eTan-System, bei dem der Bankrechner eine Antwortnummer generiert, die vom Kunden wiederum auf der Homepage der Bank eingeben muss, hilft zwar gegen das klassische Phishing mit täuschend ähnlich nachgebauten Bankseiten. Gegen das Datenfischen mittels eines Trojaners oder "Man in the middle"-Software ist aber auch dieses System machtlos.
Dieses ist ein kostenpflichtiger Inhalt der FTD. Bitte melden Sie sich an, um fortzufahren!
Abonnenten
Sie haben kostenlosen Zugang zum Weiterlesen oder Herunterladen. Bitte melden Sie ich mit Ihren Zugangsdaten über die Anmeldebox an.
Nicht-Abonnenten
Wenn Sie Interesse an einem FTD-Abo haben, informieren Sie sich über die verschiedenen Abo-Angebote unter www.ftd.de/abo-vergleich.
Alternativ können Sie für den Zugriff auf den gewünschten Inhalt ein Tagesticket erwerben. Für den Erwerb eines Tagestickets müssen Sie bei uns registriert sein (zur Registrierung). Nach Registrierung melden Sie sich einfach über die Anmeldebox an. Anschließend können Sie das Tagesticket erwerben.
- ...alle Premium-Artikel auf FTD.de
- ...das aktuelle ePaper (Zeitung als PDF) und 1-Monats-Archiv der FTD
- ...die Nachmittagsausgabe FTD 17 Uhr (PDF)
- ...alle Sonderbeilagen der FTD (PDF)
- ...alle älteren Ausgaben der FTD über einen Archiv-Zugang
- ...alle archivierten Online-Artikel
Statten Sie Ihre Mitarbeiter oder Key-Accounts mit dem Informationsangebot der FTD aus. Über Unternehmenslösungen für Abonnements oder Online-Zugänge informiert Sie gern unsere Abteilung Business Cooperations, corporate-solutions(at)ftd.de.
Bei Fragen rund ums Abo wenden Sie sich bitte an unsere Service-Zentrale unter kundenservice@ftd.deBei Fragen oder Problemen zu Ihrer Einzelverkaufsabrechnung wenden Sie sich bitte direkt an Click & Buy
-
FTD.de, 02.12.2006
© 2006 Financial Times Deutschland,
© 1999 - 2012 Financial Times Deutschland
Aktuelle Nachrichten über Wirtschaft, Politik, Finanzen und Börsen
Börsen- und Finanzmarktdaten:
Bereitstellung der Kurs- und Marktinformationen erfolgt durch die Interactive Data Managed Solutions AG. Es wird keine Haftung für die Richtigkeit der Angaben übernommen!
Über FTD.de | Impressum | Datenschutz | Disclaimer | Mediadaten | E-Mail an FTD | Sitemap | Hilfe | Archiv
Mit ICRA gekennzeichnet
VW | Siemens | Apple | Gold | MBA | Business English | IQ-Test | Gehaltsrechner | Festgeld-Vergleich | Erbschaftssteuer
G+J Glossar
Partner-Angebote
Aktuelle Nachrichten über Wirtschaft, Politik, Finanzen und Börsen
Börsen- und Finanzmarktdaten:
Bereitstellung der Kurs- und Marktinformationen erfolgt durch die Interactive Data Managed Solutions AG. Es wird keine Haftung für die Richtigkeit der Angaben übernommen!
Über FTD.de | Impressum | Datenschutz | Disclaimer | Mediadaten | E-Mail an FTD | Sitemap | Hilfe | Archiv
Mit ICRA gekennzeichnet
VW | Siemens | Apple | Gold | MBA | Business English | IQ-Test | Gehaltsrechner | Festgeld-Vergleich | Erbschaftssteuer
G+J Glossar
Partner-Angebote