Als Phishing bezeichnet man Versuche, über eine gefälschte WorldWideWeb-Adresse an Daten von Internet-Usern zu kommen. Dazu werden vertrauenswürdige Internetseiten nachgebildet, auf die die User gelockt werden und dort ihre Zugangsdaten hinterlassen sollen.
Der Begriff Phishing leitet sich vermutlich von den englischen Wörtern fishing und Phreaking ab. Fishing bedeutet soviel wie Angeln oder Fischen und Phreaking bezeichnet das „Angeln nach Passwörtern mit Ködern“.
Phishing – Kriminelle Handlungen
Meist handelt es sich um kriminelle Handlungen, bei denen Techniken des Social Engineering benutzt werden. Ein Pisher gibt sich als eine vertrauensvolle Person aus und versucht mittels gefälschter E-Mails Daten wie Benutzernamen und Passwörter zu bekommen, die für das Online-Banking benutzt werden. Auch haben es die Betrüger oft auf Informationen für Kreditkarten abgesehen.
Die Phishing-Mails werden oft per E-Mail versendet, die den Empfänger dazu auffordern, auf einer gefälschten Internetseite persönliche Daten einzugeben.
Am 2. Januar 1996 fand der erste dokumentierte Phishing-Versuch in der Usenet-Newsgroup statt.
Zur Geschichte des Phishing
Hierbei handelt es sich keineswegs um eine neue Erscheinung. Lange bevor das Internet als Kommunikationsmittel verwendet wurde, versuchten Kriminelle per Telefon an persönliche Daten zu kommen, in dem sie sich das Vertrauen ihrer Opfer erschlichen.
Seit Ende der 1990er Jahre nahmen die Phishing-Vorfälle im Internet immer mehr Gestalt an. Dabei wurden per Instant-Messanger wie ICQ User aufgefordert, in einem in einer E-Mail beigefügten Formular ihre Zugangsdaten einzugeben, die dann missbraucht wurden und sich die Betrüger anschließend als der User ausgaben.
Pishing beim Online-Banking
Gefälschte Homepages von Geldinstituten entlocken den Usern ihre Zugangsdaten wie PIN und TAN, die dann von den Kriminellen zur Tätigung von Überweisungen etc. genutzt werden, wodurch es zu einen hohen Schaden für den Betroffenen kommen kann.
Im Besonderen sind Bankpasswörter und Passwörter von PayPal beliebte Phishing-Ziele. Aber auch die Passwörter von Versandhäusern und Auktionshäusern stehen hoch im Kurs.
Wie kann man sich schützen?
Bei den meisten Phishing-Mails werden HTML-Darstellung und Scripte verwendet. Durch das Deaktivieren der HTML-Darstellung sowie von Java-Script kann Schutz geboten werden.
Einige Antivirenprogramme können Pishing-Mails erkennen und diese entfernen, jedoch sollte das Programm ständig auf dem neuesten Stand sein. Gängige Browser wie Firefox, Opera oder Internet Explorer warnen ebenfalls vor Phishing-Seiten.
So genannte EV-SSL-Zertifikate werden von immer mehr Kreditinstituten für das Online-Banking verwendet. Hierbei wird in der Adresszeile ein zusätzliches Feld angezeigt, in welchem die Zertifikats- und Domaininhaber sowie die Zertifizierungsstelle im Wechsel angezeigt werden.
Es ist zu empfehlen, für jede Anwendung ein anderes Passwort zu benutzen, damit im Fall des Datendiebstahls kein weiterer Schaden angerichtet werden kann.