Phishing brummt allerorten

EnterpriseSicherheit

Innerhalb der letzten sechs Monate gab es weltweit einen sprunghaften Anstieg der so genannten Phishing-E-Mails.

Innerhalb der letzten sechs Monate gab es weltweit einen sprunghaften Anstieg der so genannten Phishing-E-Mails. Getarnt als seriöse Nachricht fordern solche E-Mails den Empfänger beispielsweise zur Aktualisierung persönlicher Daten auf und locken ihn auf Websites, die dem Login des jeweiligen Finanzdienstleisters täuschend ähnlich sehen. Ziel ist, die Kontozugangsdaten zu ergaunern – mit allen Konsequenzen für den arglosen Kunden.
Während den Sicherheitsexperten des Dienstleisters Messagelabs im September 2003 mit 279 Exemplaren noch eine vergleichsweise geringe Anzahl solcher Phishing-Mails ins Netz gingen, so belief sich die Zahl im März 2004 auf 215.643. Das bisher absolute Phishing-Hoch konnte mit insgesamt 337.050 Mails im Januar dieses Jahres verzeichnet werden.

Zahlreiche Banken und Finanzdienstleister zählen mittlerweile zu den Opfern solcher Phishing-Attacken, die das Vertrauen in Online-Payment und -Banking massiv beeinträchtigen. Jüngst sah sich die Basler Kantonalbank, eine der größten Regionalbanken der Schweiz, mit ‘Kontodaten-Fischern’ konfrontiert. Sie warnt ihre Kunden nun eindringlich davor, auf E-Mails zu reagieren, die nach sensiblen persönlichen Daten fragen. Im Visier der Betrüger waren bisher unter anderem die Kunden der britischen Geldinstitute Barclays, NatWest, Lloyds TSB sowie Halifax und der US-Finanzdienstleister TD Canada Trust, Citibank, Ebays PayPal sowie Visa. Auch die großen australischen Banken waren betroffen. 

Die offizielle Vertretung der britischen Banking-Industrie APACS (Association for Payment Clearing Services) veröffentlichte kürzlich Zahlen, die zwar von weniger als 100 ‘echten’ Opfern im Jahr 2003 ausgehen. Zieht man allerdings in Betracht, dass allein eine einzige Phishing-Attacke auf einen großen britischen Finanzdienstleister über 200.000 entsprechender E-Mails zu Tage gefördert hat, so könnte die Dunkelziffer höher sein.

Wirksame Schutzmaßnahmen für Organisationen, die sich gegen solche Phishing-Attacken schützen wollen, sind: Ein Fraud Protection Service; Kontakt zu den entsprechenden Justizbehörden und deren so genanntem Incident Response Team; prophylaktisch sollte jeder Finanzdienstleister seine Kunden darüber informieren, auf welchem Wege die Kundenkorrespondenz abgewickelt und welche Art von Information üblicherweise abgefragt wird. Aufklärung über die potentiellen Gefahren von Phishing-Attacken ist demnach am dringendsten vonnöten und dürfte den wirksamsten Schutz darstellen, so Messagelabs.