« Mein Web 2.0 | Start | Forenhaftung, die unendliche Geschichte »
Phishing feiert Geburtstag
Wer glaubt, das Phishing eine relative neue Erscheinung ist, der muss sich heute von Security-Anbieters ISS eines Besseren belehren lassen: Bereits vor zehn Jahren ereignete sich offenbar der erste Phishing-Fall - damals zum Ausspionieren von AOL-Zugangsdaten. Die Idee eine einzelnen Hackers von damals hat sich bis heute jedenfalls zu einem veritablen Bereich der organisierten Kriminalität entwickelt, mit der sich Ermittler vom FBI ebenso beschäftigen wie deutsche Staatsanwaltschaften.
Die Geschichte des Phishing stellt ISS in seiner heutigen Pressemitteilung so übersichtlich dar, dass ich sie hier einfach wörtlich zitieren will:
Der Begriff *Phishing" wird erstmals geprägt, als Hacker 1996 die Zugangsdaten von America Online (AOL) - Teilnehmern stehlen. Ein Jahr später greift ein Computermagazin den Terminus auf und sorgt dafür, dass dieser sich als gängige Bezeichnung für diese Angriffsform durchsetzt. In den folgenden Jahren versuchen Phisher vorwiegend vertrauliche Daten über spezielle Newsgroups oder Internet-Diskussionsforen zu ergaunern. Eine beliebte Methode stellen kurz darauf Keylogger-Programme dar, die in Form von Trojaner Verbreitung finden. Diese ermöglichen Hackern, Tastatureingaben ahnungsloser Nutzer mitzuprotokollieren und damit Kenntnis über Kennwörter und PINs zu erlangen. Erst im neuen Jahrtausend beginnen Phisher mit dem Massenmail- oder URL-Versand, um Anwender auf imitierte Bankseiten zu lenken und dort ihre vertraulichen Daten *abzufischen".
Doch damit nicht genug. Die Täter verfeinern ihre Methoden permanent und setzen auf immer ausgeklügeltere Techniken, um an vertrauliche Daten zu gelangen und diese für den eigenen finanzielle Profit zu nutzen. So entwickelt sich bis zum Jahr 2005 das *Pharming". Bei dieser auch unter der Bezeichnung *Domain-Spoofing" bekannten weiterentwickelten Phishing-Variante kapert der Internetpirat eine Domain und verändert über vorhandene Sicherheitslöcher in Browsern die Originaladresse. Auch im Falle der manuellen Eingabe der richtigen Internetadresse landet der Anwender somit auf der gefälschten Internetseite.
Im vergangenen Jahr tauchte mit dem *Spear Phishing" eine weitere Betrugsvariante auf. Hierbei versenden die Täter gefälschte E-Mails gezielt an eine bestimmte Empfängergruppe - beispielsweise an sämtlich Beschäftigte eines Unternehmens - und fragen unter einem Vorwand Benutzernamen oder Kennwörter an. Erschreckend ist, dass sie dabei einen dem Opfer bekannten Absendernamen verwenden und so Vertrautheit vorgaukeln. Gehen die Angestellten ins Netz, indem sie beispielsweise auf die Nachricht antworten, beigefügte Anhänge öffnen oder auf einen angegebenen Link klicken, ist der Schaden für das Unternehmen groß.
Auch vor Angriffen auf Voice-over-IP-Umgebungen schrecken Phisher inzwischen nicht mehr zurück. Denn Infrastrukturen, die das kostengünstige Telefonieren über IP ermöglichen, sind grundsätzlich den gleichen Risiken ausgesetzt wie Datennetze. Die Umwandlung von Sprachsignalen in über das Internet übermittelbare Datenpakete leistet dem Spoofing - der Fälschung oder Vortäuschung von Identitäten - Vorschub. Somit entsteht eine neue Spielwiese für die Datenfischer, dies belegen die ersten Anfang des Jahres erfolgten Angriffe.
Geschrieben von Franz Neumeier am 8. Mai 2006 in Weblife | Permalink
TrackBack
TrackBack-Adresse für diesen Eintrag:
http://www.typepad.com/services/trackback/6a00d83451bdb469e200d835618ab169e2
Listed below are links to weblogs that reference Phishing feiert Geburtstag:
