Phishing-Schäden: Die Summe machts

Zwar fallen einzelne Bankkunden selten einem Phishing-Angriff zum Opfer, in der Summe lohnt es sich für Kriminelle dennoch. Jedes US-Bankinstitut verliert laut Schätzung pro 1 Million Kunden mehr als 9 Millionen US-Dollar.

In Pocket speichern vorlesen Druckansicht 77 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Die Masse machts: Zwar fallen einzelne Bankkunden nur selten einem Phishing-Angriff zum Opfer, in der Summe lohnt es sich für Kriminelle dennoch, so das Ergebnis einer Studie (PDF-Dokument) des Sicherheitsdienstleisters Trusteer. Nach der Beobachtung von Trusteer landeten bei einer Phishing-Attacke auf US-Bankinstitute rund 13 von einer Million Kunden auf einer Phishing-Seite, etwa indem sie einem Link in einer Mail folgen. Von diesen 13 Kunden gibt laut Bericht fast die Hälfte ihre Zugangsdaten auf der Phishing-Seite ein.

Bei mehr als 800 Phishing-Angriffswellen pro Jahr gegen jedes Bankinstitut gelangen nach Rechnung von Trusteer die Kriminellen so an circa 4700 Zugangsdaten bezogen auf eine Million Kunden. Bei einem angenommen Verlust pro Konto von 2000 US-Dollar würden die Phisher so insgesamt 9,4 Millionen US-Dollar durch betrügerische Überweisungen stehlen können. Selbst bei einem Verlust von nur 500 Dollar pro Konto würde die Summe 2,35 Millionen US-Dollar (pro Bankinstitut pro 1 Million Kunden) ausmachen – und dies sind nur die durch Phishing verursachten Verluste. Dazu kommen noch Verluste durch Schäden, die auf das Ausspähen der Bankzugangsdaten durch Trojaner verursacht werden.

Die Studie lässt aber offen, ob sich das Geschäft für einzelne Phishing-Banden lohnt. Anfang des Jahres veröffentlichte Microsoft eine Studie, wonach sich Phishing nicht lohne, da es zu viele Phisher gebe, die sich um die Kunden rangeln würde. Geht man davon aus, dass es sich bei den 800 Phishing-Wellen um jeweils unterschiedliche Kriminelle handelt, so brächte im Schnitt jeder Beutezug nur 12.000 US-Dollar (sechs Kunden mit jeweils 2000 Dollar Schaden).

Besonders überraschend an der Trusteer-Studie ist jedoch, dass von den auf eine Phishing-Seite gelangten Kunden jeder zweite seine Daten eingibt. Eine kürzlich ebenfalls von Microsoft veröffentlichte Studie zu Sicherheitsratschlägen könnte eine Antwort darauf geben: Da es kein Risiko für US-Bankkunden gibt, muss man auch nicht besonders aufpassen. Üblicherweise ersetzen US-Banken Schäden ohne Probleme – vermutlich auch, weil es bei den meisten Instituten keine besonderen Legitimationsverfahren wie das TAN-Verfahren gibt.

Siehe dazu auch:

(dab)