Das Phishing ist für Internet-Nutzer und Unternehmen ein großes Problem. Bei dem klassischen Phishing werden im Namen vertrauenswürdiger Firmen E-Mails verschickt mit dem Ziel, sensible Daten zu sammeln, zum Leidwesen der betroffenen Unternehmen und mit dem resultierenden Vertrauensverlust der Verbraucher.
Was ist Phishing?
Das Wort „Phishing“ ist ein Kunstwort, gebildet aus „password fishing“. Es bezeichnet den Trick, mit dessen Hilfe Spaßvögel und Kriminelle an Kundendaten gelangen. Die Betrüger kopieren Formulare renommierter Unternehmen in ihre eigenen und verschicken sie per E-Mail an Internetnutzer. Die Absenderadresse ähnelt der E-Mail-Adresse der entsprechenden Firma sehr. Zum Beispiel ersetzen die Betrüger den Buchstaben l durch die Ziffer 1 in der Absenderkennung. Der Empfänger erkennt diesen Umstand nur bei genauerem Hinsehen. In den versendeten Formularen und auf den verlinkten Internetseiten werden persönliche Daten, Passwörter und Kreditkartendaten abgefragt. Antwortet der Empfänger oder folgt er dem in der E-Mail enthaltenen Link und gibt auf der authentisch wirkenden Webseite seine Daten ein, gelangen seine Angaben nicht etwa an das vertrauenswürdige Unternehmen, sondern an den „Phishing“-Betrüger.
Auch andere Phishing-Methoden sind bekannt. Dabei erhalten unter anderem Bankkunden E-Mails, in denen eine Rufnummer angegeben ist, unter der sie angeblich Unklarheiten in Bezug auf ihr Bankkonto klären sollen. Ruft der Kunde dort an, wird sein Gespräch über Internettelefonie an eine Telefonanlage vermittelt, die dem Kunden vorgaukelt, die sprachgesteuerte Hotline seiner Bank zu sein. Der Kunde wird aufgefordert, seine persönlichen und sensiblen Daten preiszugeben.
Üblich ist auch die Beteiligung von Schadprogrammen an dem Phishing. Beispielsweise in einem E-Mail-Anhang oder bei dem Surfen auf einer Internetseite wird ein Trojaner auf den Computer des Opfers geschleust. Die protokollieren meist unbemerkt die Aktivitäten des Nutzers und gelangen dadurch auch an sensible Daten.
Was ist Pharming?
Technisch wesentlich ausgefeilter ist die Methode des Pharming. Dabei geht es ebenfalls darum, den Nutzern ihre sicherheitsrelevanten Daten, wie Kreditkarteninformationen oder Passwörter für das Online-Banking, zu stehlen. Meistens nutzen die Betrüger eine Schadsoftware, die die Einstellungen der hosts-Datei in dem Computer-Betriebssystem des Nutzers ändert oder es werden manipulierte DNS-Server verwendet. Dadurch werden die User trotz korrekter Adresseingabe in ihrem Browser auf gefälschte Internetseiten umgeleitet. Auch vermeintlich sichere https-Verbindungen können so vorgetäuscht werden. In diesem Fall schafft lediglich die strenge Überprüfung des Zertifikats der Internetseite völlige Gewissheit.
Mittel gegen Phishing und Pharming
Für große Unternehmen wie eBay, PayPal, Microsoft und natürlich die Kreditinstitute ist das Phishing rufschädigend und oft auch teuer. Die Firmen versuchen, ihre Kunden gegen die „Passwort-Fischer“ zu schützen. Sie lassen Sicherheitssoftware entwickeln, die ihre Kunden warnen soll, wenn die Daten nicht auf einer ihrer Seiten eingegeben werden. Auch E-Mails werden überprüft und es ist Software erhältlich, die einen Schutzmechanismus gegen Phishing enthält. So warnen zum Beispiel einige Browser vor verdächtigen Webseiten und es ist spezielle Onlinebanking-Software erhältlich. Schutzsoftware, wie das Anti-Virus-Programm und das eigene Betriebssystem auf dem aktuellen Stand zu halten, ist ohnehin unverzichtbar. Die Nutzung einer Firewall ist zudem ratsam.
Im Kampf gegen Phishing und Pharming werden die technischen Gegenmittel jedoch letztlich nicht viel ausrichten können. Deshalb ist es ratsam, wachsam zu sein und bei Erhalt verdächtiger E-Mails nicht dem enthaltenen Link zu folgen, sondern die Seite des Anbieters immer direkt aufzurufen. Ob es sich um einen Phishing-Versuch handelt, kann auch mit einem einfachen Trick herausgefunden werden. Wenn bei Eingabe inkorrekter Zugangsdaten eine Fehlermeldung erscheint und der Nutzer nicht in den vermeintlich geschützten Bereich geleitet wird, handelt es sich vermutlich nicht um eine unseriöse Phishing-Seite, sondern um die echte Seite des Anbieters.