Vorsicht: Die neuen Tricks der Online-Bankräuber - Phishing 2.0i

Die Phishing-Landschaft bringt zunehmend Web-2.0-Phishing-Techniken hervor. Wie das Sicherheitsunternehmen BitDefender am Montag mitgeteilt hat, sind Benutzerkonten bei sozialen Netzwerken Schlüsselelemente für die Ausführung neuer Angriffe, mit denen Kriminelle Zugang zu Bankkonten erhalten wollen.

Phisher „kidnappen“ Benutzerkonten

Die Ergebnisse der BitDefender-Studie zeigen, dass die meisten Web-2.0-Phishing-Versuche im ersten Halbjahr 2009 auf die Naivität der Benutzer spekulierten. Ein Beispiel ist der Betrug mit den sogenannten Twitter Porn Names: Der User wird beispielsweise aufgefordert, den Namen seines ersten Haustieres oder den Namen der ersten Straße, in der er gelebt hat, anzugeben.

Die Antworten auf diese Fragen werden häufig für Sicherheitsfragen verwendet. Ein Cyberkrimineller, der über diese Antworten und den Benutzernamen einer Person verfügt, kann auf einfache Weise ein Passwort abfragen und so auf das Benutzerkonto des jeweiligen Opfers zugreifen, um darüber Spamnachrichten zu versenden, Zugang zu Transaktionen zu erhalten oder das Konto anderweitig zu missbrauchen. Für "gekidnappte" Benutzerkonten wurde sogar schon Lösegeld gefordert.

Top 3 der gefälschten Unternehmensidentiäten

Die Lieblingsziele der Phisher bleiben laut den Sicherheitsexperten jedoch die gleichen. So kommen die durchschnittlich am häufigsten benutzen Identitäten aus dem Finanzsektor, vornehmlich Banken sowie Institutionen für elektronische Geldüberweisungen.

Top 3 der gefälschten Unternehmensidentitäten im ersten Halbjahr 2009:

1. Bank of America
2. Paypal
3. Abbey

Geschätzte 330.000 Phishing-Opfer

BitDefender schätzt, dass monatlich mehr als 55.000 Menschen Opfer von Phishing-Betrügereien werden. Für das erste Halbjahr 2009 ergibt sich dadurch die beeindruckende Gesamtzahl von 330.000 Opfern, so die Schätzung der Analysten. Um diese erfolgreich zu täuschen, muss der Phisher die Originalseite so präzise wie möglich kopieren (sogenanntes "Spoofing"). Während es sich beim Replizieren der Originalwebsite lediglich um simples "Copy and Paste" handelt, stellt man bei der Spamnachricht üblicherweise Rechtschreibfehler und/oder schlampige Formatierungen fest. Bei der Mehrheit der Phishing-Angriffe auf die Bank of America ist dies allerdings nicht der Fall. Hier ist nicht nur der Text handwerklich gut gemacht; die Phishing-Seite zeigt zudem eine ungewöhnliche Detailtreue, was vermuten lässt, dass es sich bei den für die Angriffe Verantwortlichen um eine hochgradig organisierte Gruppierung von Cyberkriminellen handelt.

Der Expertenrat

"Am allerwichtigsten ist, dass es sich bei Phishing-Angriffen und Spam, im Gegensatz zu Malware, um universelle Sicherheitsbedrohungen handelt, die unabhängig vom Betriebssystem und Security-Updates auf allen Computern funktionieren", so BitDefender-Sicherheitsforscher Vlad Vâlceanu. Besondere Vorsicht und eine hochwertige Anti-Malware-Lösung mit Anti-Spam-, Anti-Phishing- und Anti-Malware-Modulen seien ein absolutes Muss für alle, die im Internet surfen.

Sicherheit & Internet-Newsletter bestellen