Trickbetrüger auf Datenfang
Hackertrends erreichen Europa

Allgemein

Die Zeiten, in denen Phishing nur die E-Mail-Kommunikation betroffen hat, sind nun auch in Europa vorüber. Neuerdings versuchen Trickbetrüger, über Mobil-SMS und per VoIP an Passwörter und Zugangsdaten zu gelangen.

Phishing per Telefon

Trickbetrüger auf Datenfang

Beim »Vishing« (Voice-Phishing) werden automatisierte Massen-VoIP-Anrufe gestartet und versucht, die Angerufenen zur Herausgabe von Daten zu bewegen. Bei der Gesprächsannahme meldet sich oft eine Stimme vom Band, die PINs oder Daten von EC-Karten abfragt. Gelegentlich werden Anwender auch per Mail aufgefordert, eine entsprechende Nummer anzurufen und auf Band Daten zu hinterlassen. Ein hinterhältiges Vorgehen, weil es den Ratschlag von Finanzinstituten ausnutzt, im Zweifel besser den telefonischen Kontakt zu suchen. Es mögen nicht sehr viele Anwender sein, die darauf hereinfallen, trotzdem lohnt sich der VoIP-Trick: »Solche Attacken sind günstig durchzuführen, so dass Phisher einen ausreichenden Return on Investment sehen«, so Zulfikar Ramzan von Symantec in seinem Blog zum Thema.

Verwandt damit und nicht weniger perfide ist »Smishing« (Kunstwort aus Phishing und SMS): Dabei erhält das Opfer per SMS einen Hinweis auf eine »tägliche Strafgebühr«, wenn ein vermeintlicher Auftrag bei einer Website nicht storniert wird. Besucht der Betroffene in Panik die Seite, werden dort wiederum Daten abgefragt. Oder es werden auf Systeme, die nicht auf dem aktuellen Stand der Sicherheit sind, Keylogger überspielt, die die Urheber dann mit Daten beliefern. Für Phishing und Smishing gilt: auflegen und derartige SMS-Nachrichten löschen.

Phishing für Dummies

Ein weiterer Trend ist Phishing für Einsteiger: So hat RSA Security nach eigenen Angaben im Januar ein Phishing-Kit für Man-in-the-Middle-Attacken entdeckt. Angreifer generieren damit gefälschte URLs. Die kommunizieren im Gegensatz zu statischen Betrugs-Seiten mit der realen Website eines Unternehmens – etwa mit der Banking-Seite eines Finanzinstituts. Ist das Opfer auf der Fake-Seite, erhalten Betrüger direkten Zugang zu den eingegebenen Daten. Mehr dazu gibt RSA derzeit noch nicht preis.

Wer also beim Online-Banking auf Nummer sicher gehen will, gibt die https://-URL der Bank am besten per Hand in die Browser-Adressleiste ein.