Bonn/Karlsruhe - Schon im März hat das Bundeskriminalamt vor so genannten Phishing-Mails gewarnt. Seitdem ist die Gefahr, über das Internet beklaut zu werden, stetig gestiegen. Hacker «angeln» nach Home-Banking-Daten, indem sie gefälschte E-Mails versenden.
Computernutzer sollen dazu gebracht werden, ihre Bankdaten oder Kreditkartennummern einzutippen, damit Betrüger Geld abbuchen können. Die gefälschten Webseiten können sehr gute Kopien der originalen Internetauftritte von Banken oder anderen Unternehmen sein.
Um dieser Art des Datenklaus einen Namen zu geben, wurde der Buchstabe «F» im Wort Fishing (englisch für Fischen) beim Schreiben durch ein «Ph» ersetzt. «Derzeit läuft in Deutschland eine Angriffswelle mit Phishing-Mails», sagt Frank W. Felzmann, Leiter des Referats Abwehr von Schadprogrammen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn.
In der Vergangenheit seien hauptsächlich englischsprachige Länder Ziel der kriminellen Datensammler gewesen. Nach Versuchen hier zu Lande, in Englisch oder in schlechtem Deutsch formulierte E-Mails zu verschicken, tauchten nun immer raffiniertere Fälschungen auf.
Kunden, die Internet-Banking nutzen und verdächtige Mails in ihrer elektronischen Post finden, rät Felzmann, auf keinen Fall den angegebenen Link zu verwenden, um mit dem Geldinstitut in Verbindung zu treten. Die scheinbare Direktverbindung endet nicht selten auf einem Phishing-Server mit gefälschtem Internet-Auftritt einer Bank. Mit Tricks lasse sich sogar die angezeigte Internetadressen im Browserfenster fälschen.
Selbst Pop-Up-Fenster, die sich wie bei der originalen Bank-Seite öffnen, seien schon vorgekommen, um die Opfer in Sicherheit zu wiegen, so Felzmann. Aktive Inhalte auf Basis von Active X und auch Javascript seien für diese Möglichkeiten verantwortlich. Auf keinen Fall sollte eine Transaktionsnummer (TAN) eingetippt werden, die zu einer Geldüberweisung berechtigt und Kriminellen die Möglichkeit gibt, das Konto leer zu räumen.
Wegen einer angeblichen «Sicherheitsaktualisierung» oder «Aktualisierung» sind kürzlich Kunden der Postbank, der Deutschen Bank und des Internet-Auktionshauses Ebay zur Eingabe ihrer Daten auf einem Phishing-Server aufgefordert worden. Die Eingabemasken sehen den Originalen nicht selten zum Verwechseln ähnlich, erläutert die Postbank auf ihrer Homepage. Ein Anruf bei der imitierten Bank oder Firma genügt meist, um sich Klarheit zu verschaffen.
«Jeder ist gefordert, aufmerksam zu sein», sagt Felzmann. Wer sicher sein will, auch tatsächlich auf der Internet-Seite seiner Bank zu sein, sollte die Adresse per Hand in die Adresszeile des Browsers eintippen. Um den Browser sicher zu machen, rät das BSI, die Funktionen Javascript und Active X im entsprechenden Menüpunkt zu deaktivieren und nur die neuesten Browser-Versionen zu verwenden.
Neben den «normalen» Pishing-Mails warnt der Verband britischer Anbieter von Bezahlsystemen APACS auch vor E-Mails, die den Benutzer auf eine Seite leiten, auf der ihm ein so genanntes Trojanisches Pferd installiert wird. Diese protokolliert alle eingetippten Daten. Ziel ist es offenbar, auf diese Weise an Bank- oder Kreditkartendaten zu kommen. Trojaner sind Virenprogramme, vor denen sich Webnutzer am besten mit einer Firewall schützen können. Beseitigen lassen sie sich mit Anti-Virensoftware.
Weit weniger Möglichkeiten für Betrüger gebe es, wenn die Banken mit dem etwas umständlichen, aber dafür sicheren Home-Banking Computer Interface (HBCI) arbeiten, sagt Christoph Fischer, Geschäftsführer des Computer-Sicherheitsunternehmens BFK EDV- Consulting in Karlsruhe. «HBCI arbeitet mit einer eigenen Software, die auf den Computer aufgespielt wird», sagt Fischer. Der Aufwand, einen HBCI-Datenstrom zu verfälschen oder das auf dem Computer installierte Programm zu imitieren, sei extrem hoch.
Beim Internet-Banking mit dem 1995 vom zentralen Kreditausschuss (ZKA) eingeführten Standard könnten die Geldinstitute allerdings weniger Informationen oder Werbung im Dateneingabefeld unterbringen. Zudem habe die Eingabe der Daten bei den damals üblichen Modemanschlüssen lange gedauert. So seien Banken dazu übergegangen, Eingabeseiten in der üblichen Sprache HTML zu programmieren.
«Jede Bank oder Sparkasse hat die Möglichkeit, ihren Kunden Online-Banking mit HBCI anzubieten», sagt Jens Walter, Sprecher des Bundesverbands deutscher Banken in Berlin. Neben der herkömmlichen Identifikation mit PIN- und TAN-Nummern können die Daten beim HBCI außerdem auf einer Chipkarte verschlüsselt werden. Erst nach der Übertragung werden sie von der Bank decodiert. Das dafür notwendige Chipkartenlesegerät, das der Benutzer an den Computer zu Hause anschließt, kann bei der Bank beantragt werden.
Ein baldiges Abflauen der Flut an Phishing-Mails ist nach Ansicht der Experten nicht zu erwarten. Vor kurzem sind laut der IT- Sicherheitsfirma Sophos aus Nieder-Olm in Rheinland-Pfalz «Phishing- Werkzeuge» aufgetaucht.
Damit hätten auch Laien die Möglichkeit, mit Hilfe von Webcodes, Texten und Grafiken die Internet-Seiten von Geldinstituten nachzubauen. Die Baukästen enthielten auch Massenmail- Programme, mit denen Links zu den gefälschten Bankseiten verbreitet werden können.
Login
Kostenlos anmelden
Beiträge
Suche
Hilfe
Dateien
