Mehr Spionage-E-Mails zu den Feiertagen

Nicht um "fishing for compliments", sondern um das Abfischen vertraulicher Daten geht es beim so genannten Phishing mittels betrügerischer Mails, die scheinbar von seriösen Firmen stammen.

Die Phishing-E-Mails sind raffiniert gemacht: Einige kommen daher wie schicke Formbriefe mit Kopf und Firmenlogo, stammen scheinbar von einem glaubwürdigen Absender und enthalten ebensolche Verweise auf Web-Adressen. Die soll der Benachrichtigte unbedingt ansteuern und dort dann etwa seine Kreditkartennummer erneut eingeben, weil dies nach einer Software-Umstellung erforderlich sei. Oder eBay-USA hat angeblich gerade Hinweise darauf bekommen, dass der Account des Adressaten zu Betrugszwecken missbraucht würde, weshalb man seinen Zugang eingeschränkt habe. Um den wieder voll freizuschalten, möge er auf folgende URL (innerhalb der E-Mail, versteht sich) klicken und dort sein Passwort und andere Account-Infos eingeben.

Explizit beobachtet wurden solche Ausspionierversuche beispielsweise bei Kunden von eBay, PayPal, Visa oder Citibank, doch dürfte es nur eine Frage der Zeit sein, bis Online-Kunden anderer Institutionen nach vertraulichen Zugangsdaten angegangen werden. Hinterhältig ist dabei, dass immer mehr solcher E-Mails Lücken in Internet Explorer und in Mozilla nutzen, sodass diese Browser auch in ihren Statusanzeigen auf authentische Web-Adressen verweisen, während sie tatsächlich auf getürkte Seiten führen, die nur zum Einsammeln persönlicher Daten eingerichtet wurden.

Das Online-Magazin Techweb berichtet zum Beispiel, dass speziell im Vorfeld der Weihnachtsfeiertage die Angriffe durch Phishing-E-Mails um 400 Prozent gestiegen seien. Anscheinend spekulierten die Angreifer auf eine verringerte Aufmerksamkeit der Empfänger im Trubel der Vorweihnachtszeit. Schätzungen gehen davon aus, dass etwa fünf Prozent der Angeschriebenen tatsächlich auf die Fälschungen hereinfallen und ihre Daten preisgeben.

Selbst das Erschleichen von AOL-Accounts hat der Betreiber der Website Anti-Phishing.org kürzlich konstatieren müssen: Angeblich könnten eingegangene elektronische Grußkarten erst ausgeliefert werden, wenn sich der Anwender mit seinen AOL-Account-Daten einloggen würde. Aber auch eBay-Anwender stehen stark unter Beschuss: So seien sie in den USA in den vergangenen 60 Tagen allein mehr als 20 verschiedenen Phishing-Attacken ausgesetzt gewesen. Finanzdienstleister -- also Banken, Kreditkartenunternehmen bis hin zu Online-Payment-Anbietern -- unterlagen insgesamt nur 35 solcher Angriffe.

Solange solche Mails, die sich ähnlicher Verbreitungsmechanismen bedienen wie gewöhnliche Spam-Mails, überwiegend in englischer Sprache abgefasst sind, ist ihr Gefahrenpotenzial hierzulande vergleichsweise gering. Denn noch darf man eine englische Anfrage als erstes Indiz nehmen, dass mit einer solchen E-Mail, die auf Herausgabe intimer Daten dringt, etwas faul ist. Allerdings dürften im Zuge von Globalisierung und Einsparungen immer weniger Anwender irritiert sein, von ihrem internationalen Bankhaus in Englisch angesprochen zu werden.

Doch deutschsprachige Nachahmer werden vermehrt nachziehen, und getürkte Web-Adressen, die Sicherheitslücken in Browsern zum Verschleiern von Umleitungen auf Datensammel-Sites ausnutzen, sind auch für erfahrene Anwender nicht auf Anhieb als Fälschungen zu erkennen. Wer folglich auf Nummer sicher gehen will, dass Online-Aufforderungen zur Preisgabe von Zugangsdaten aus der echten Quelle stammen, sollte sich stets explizit über die dazu vorgesehenen Kanäle seines Anbieters an diesen wenden und keinesfalls vorbereitete Web-Adressen in E-Mails anklicken oder gar direkt per E-Mail Auskunft geben. Wenn es tatsächlich Probleme mit Daten oder dem Login bei einem Anbieter gibt, erfährt man das nebst Abhilfe üblicherweise sofort, wenn man sich bei diesem über den Standardweg einloggt. (bo)