Phishing werden Versuche genannt, über gefälschte WWW-Adressen an Daten eines Internet-Benutzers zu gelangen. Der Begriff ist ein englisches Kunstwort, das sich an fishing („Angeln“, „Fischen“), evtl. in Anlehnung an Phreaking auch password fishing, bildlich das „Angeln nach Passwörtern mit Ködern“, anlehnt. Häufig wird das h in dem Begriff mit Harvesting erklärt, so dass der Begriff Phishing dann Password harvesting fishing lautet.

Es handelt sich meist um kriminelle Handlungen, die Techniken des Social Engineering verwenden. Phisher geben sich als vertrauenswürdige Personen aus und versuchen, durch gefälschte elektronische Nachrichten an sensible Daten wie Benutzernamen und Passwörter für Online-Banking oder Kreditkarteninformationen zu gelangen. Phishing-Nachrichten werden meist per E-Mail oder Instant-Messaging versandt und fordern den Empfänger auf, auf einer präparierten Webseite oder am Telefon geheime Zugangsdaten preiszugeben. Versuche, der wachsenden Anzahl an Phishing-Versuchen Herr zu werden, setzen unter anderem auf geänderte Rechtsprechung, Anwendertraining und technische Hilfsmittel.

Der erste dokumentierte Phishing-Versuch fand am 2. Januar 1996 in der Usenet-Newsgroup alt.online-service.america-online statt, der Begriff Phishing tauchte jedoch möglicherweise bereits zuvor in der Druckausgabe des Hacker-Magazins 2600 auf. Die verbreitete Theorie, nach der Phishing ein Kofferwort aus password harvesting ist, ist ein Beispiel für Volksetymologie.

Geschichte

Phishing ist keine neue Erscheinung. Tatsächlich gab es unter dem Begriff Social-Engineering ähnliche Betrugsversuche bereits lange bevor E-Mail und Internet zum alltäglichen Kommunikationsmittel wurden. Dabei versuchten Betrüger beispielsweise auf telefonischem Weg, sich das Vertrauen der Opfer zu erschleichen und ihnen vertrauliche Informationen zu entlocken. Durch die Verbreitung von kostengünstiger VoIP-Telefonie wird dieses nun Vishing genannte Vorgehen wieder lohnend für Betrüger. Ein aktuelles Beispiel für verwendete Trickbetrügereien ist der Enkeltrick. Neu sind beim Phishing lediglich die Werkzeuge, die eine weitaus größere Verbreitung ermöglichen.

Die Anfänge des Phishings im Internet reichen bis zum Ende der 90er Jahre des 20. Jahrhunderts zurück. Damals wurden Nutzer von Instant-Messengern wie z. B. ICQ per E-Mail aufgefordert, ihre Zugangsdaten in ein in der E-Mail enthaltenes Formular einzutragen. Mit den so erhaltenen Zugangsdaten konnten die Betrüger die Chat-Zugänge ihrer Opfer unter deren Identität nutzen.

Die ersten Phishing-Angriffe im Bereich des Online-Banking begannen damit, dass der Urheber einer Phishing-Attacke seinem Opfer offiziell wirkende Schreiben als E-Mail schickte, die ihn dazu verleiten sollen, vertrauliche Informationen, vor allem Benutzernamen und Passwörter oder PIN und TAN von Online-Banking-Zugängen, dem Täter im guten Glauben preiszugeben. Übergibt der Besucher korrekte Daten, kann der Betrüger mit der abgefangenen PIN und TAN eine Geldüberweisung zu Lasten des Opfers tätigen. Diese relativ simple Methode, Kontozugangsdaten abzufangen, wird heute nur noch vergleichsweise selten angewendet, nachdem die meisten Banken ihre TAN-Systeme geringfügig verbessert haben.

Neuere Methoden

In der Gegenwart gelingt es Phishing-Betrügern vor allem mit Hilfe von Trojanern und anderer Schadware, sich in dem Kommunikationsweg zwischen Bankkunde und Bank zwischenzuschalten und Daten abzugreifen, die dann bei der Bank nie ankommen. Der Umweg, den Bankkunden über das Versenden einer E-Mail zur Preisgabe seiner Zugangsdaten zu verleiten, ist damit nicht mehr notwendig. Diese moderne Form des Abgreifens von Kontozugangsdaten ermöglichte es den Tätern, auch vergleichsweise moderne Systeme wie das e-TAN-Verfahren zu überlisten.

Phishing-Angriffsziele sind dabei Zugangsdaten, z. B. für Banken (Onlinebanking) oder Bezahlsysteme (z. B. PayPal), Versandhäuser, Internet-Auktionshäuser, webbasierende Onlineberatungen oder Singlebörsen. Mit den gestohlenen Zugangsdaten kann der Urheber der Phishing-Attacke die Identität seines Opfers übernehmen (Identitätsdiebstahl) und in dessen Namen Handlungen ausführen. Durch den Missbrauch der persönlichen Daten entstehen beträchtliche Schäden in Form von Vermögensschäden (z. B. Überweisung von Geldbeträgen fremder Konten), Rufschädigung (z. B. Versteigerung gestohlener Waren unter fremdem Namen bei Online-Auktionen) oder Schäden durch Aufwendungen für Aufklärung und Wiedergutmachung. Über die Höhe der Schäden gibt es nur Schätzungen, die zwischen mehreren hundert Millionen Dollar und Milliarden-Beträgen variieren.

Eine neuere Variante des Phishing wird als Spear-Phishing bezeichnet (abgeleitet von der englischen Übersetzung des Begriffs Speer), worunter ein gezielter Angriff zu verstehen ist. Hierbei beschafft sich der Angreifer z. B. über die Studentenvertretung einer Hochschule die Mailadressen der dort eingeschriebenen Studenten, um an diese gezielt eine Phishing-Mail einer lokal ansässigen Bank oder Sparkasse zu übersenden. Die „Trefferquote“ bei dieser Art von Phishing-Attacken ist ungleich höher als bei normalen Angriffen, da die Wahrscheinlichkeit, dass ein Student seine Bankverbindung bei diesem Institut unterhält, sehr hoch ist. Weiter spricht man in Fachkreisen von Whaling, wenn sich die gezielte Attacke gegen hohe Führungskräfte richtet.

Eine weiterentwickelte Form des klassischen Phishings ist das Pharming, welche auf einer Manipulation der DNS-Anfragen von Webbrowsern basiert.

Methoden der Datenbeschaffung

Im Allgemeinen beginnt eine Phishing-Attacke mit einer persönlich gehaltenen, offiziell anmutenden E-Mail oder einem Massenversand von E-Mails, wobei der Empfänger stets mit „Sehr geehrter Kunde“ angesprochen wird anstatt mit dem eigentlichen Namen, welcher normalerweise der Bank bekannt ist – eine weitere Möglichkeit, Phishingmails zu erkennen. Der Empfänger soll eine betrügerische Webseite besuchen, die täuschend echt aussieht und unter einem Vorwand zur Eingabe seiner Zugangsdaten auffordert. Meistens wird das Opfer zusätzlich in falsche Sicherheit gewiegt, indem im Text das Problem des Datendiebstahls thematisiert wird und das Ausfüllen des Formulars nötig sei, damit ein „neuartiges Sicherheitskonzept“ wirksam werden kann. Folgt er dieser Aufforderung, gelangen seine Zugangsdaten in die Hände der Urheber der Phishing-Attacke. Was dann folgt, soll nur noch nachträgliches Misstrauen des Opfers zerstreuen – eine kurze Bestätigung oder eine falsche Fehlermeldung.

Eine andere Variante bindet ein Formular direkt innerhalb einer HTML-E-Mail ein, das zur Eingabe der vertraulichen Daten auffordert und diese an die Urheber sendet. Auf eine Phishing-Webseite wird hierbei verzichtet.

Methoden der Verschleierung

E-Mail

Die E-Mail wird als HTML-E-Mail, eine E-Mail mit den grafischen Möglichkeiten von Webseiten, verfasst. Der Verweistext zeigt die Originaladresse an, während das unsichtbare Verweisziel auf die Adresse der gefälschten Webseite verweist (Link-Spoofing).

Mit der Einbindung von HTML kann der im E-Mail-Programm sichtbare Verweis tatsächlich auf eine ganz andere Webseite verweisen. Zwar lässt sich ersehen, dass das Ziel des Verweises auf eine andere Webseite verweist. Allerdings können auch diese Angaben über Skripttechniken verfälscht werden, sofern das E-Mail-Programm solche Skripte ausführt. In anderen Fällen wird der Verweis als Grafik dargestellt, um die Text-Erkennung durch automatische Filtersysteme zu erschweren. Auf dem Bildschirm des Anwenders erscheint dann zwar Text, dieser ist allerdings eine Grafik.

Bei Phishing wird meistens auch die E-Mail-Adresse des Absenders gefälscht, um die Mail echter aussehen zu lassen. Es wird auch beobachtet, dass Phishing-Mails Wörter enthalten, die bayessche Spamfilter ansprechen lassen.

Webpräsenz

Die gefälschten Zielseiten haben meistens gefälschte Namen oder Bezeichnungen, die ähnlich klingen wie die offiziellen Seiten oder Firmen. Die Zielseiten mit dem Webformular haben das gleiche Aussehen wie die Originalseiten. Sie sind also nur sehr schwer als Fälschungen identifizierbar.

Mit der Möglichkeit, Umlaute in URLs zu verwenden, entstanden neue Möglichkeiten der Adress-Namensverfälschung. Beispielsweise könnte eine Originaladresse lauten http://www.roemerbank.beispiel.com/ und als Fälschung http://www.römerbank.beispiel.com/. Die beiden Namen sind sachlich identisch, allerdings technisch unterschiedlich, denn sie werden im Hintergrund zu unterschiedlichen Adressen aufgelöst und können zu völlig unterschiedlichen Webseiten führen.

Noch schwerer zu erkennen ist die Verwendung von Buchstaben aus anderen Alphabeten. So unterscheidet sich z. B. das kyrillische „а“ optisch in keiner Weise vom lateinischen „a“. Falls das „a“ in „http://www.beispielbank.beispiel.com/“ kyrillisch dargestellt wird, ist die Adresse unterschiedlich und somit falsch. Allerdings zeigt die Adresszeile des Browsers keinen sichtbaren Unterschied zur Original-Bankadresse.

Als generisches Schutzprotokoll vor Phishing-Attacken auf Basis von IDNs wurde das Protokoll IDN Char Collision Detection (IdnCCD) entwickelt.

Es wurden Trojaner entdeckt, die gezielt Manipulationen an der Hosts-Datei des Betriebssystems vornahmen. In der Hosts-Datei können rechnerindividuelle Umsetzungen hinterlegt werden. Eine Manipulation dieser Datei kann bewirken, dass anstatt der Original-Seite nur noch die gefälschte Seite aufgerufen werden kann, obwohl die korrekte Adresse eingegeben wurde.

SMS (SMiShing)

Hierbei wird per SMS z. B. eine „Abobestätigung“ verschickt. Darin wird eine Internet-Adresse zur Abmeldung genannt, bei Besuch dieser Seite wird z. B. ein Trojaner eingeschleust.

Schutz

Da die HTML-Darstellung und der Einsatz von Scripten bei den meisten Phishing-E-Mails eingesetzt werden, kann man bei seinem E-Mail-Programm die HTML-Darstellung sowie Java-Script deaktivieren. Auch sollten eigene E-Mails zumindest auch als reiner Text versendet werden, damit der Empfänger in seinem E-Mail-Programm die HTML-Darstellung deaktivieren und sich so vor Phishing-E-Mails schützen kann.

Die E-Mail-Filter einiger Antivirenprogramme können gefälschte Phishing-E-Mails unter günstigen Umständen erkennen und eliminieren. Voraussetzung dafür ist es, das Antivirenprogramm stets auf aktuellem Stand zu halten. Auch E-Mail-Programme wie z. B. Mozilla Thunderbird und Browser wie der Internet Explorer 7, Mozilla Firefox 2.0 oder Opera 9.xx warnen vor Phishingseiten. Der Phishingschutz basiert dabei entweder auf einer Blacklist, welche über das Internet aktualisiert wird, oder es werden typische Merkmale von Phishing-E-Mails wie z. B. Verweise auf IP-Adressen oder Verweise mit einem anderen Hostnamen als im Verweistext überprüft.

Seit einiger Zeit nutzen immer mehr Kreditinstitute im Internetbanking Extended Validation-SSL-Zertifikate (EV-SSL-Zertifikate). In der Adresszeile aktueller Browser (bspw. Internet Explorer 7, Mozilla Firefox 3) wird hierbei zusätzlich ein Feld angezeigt, in dem Zertifikats- und Domaininhaber im Wechsel mit der Zertifizierungsstelle eingeblendet werden. Zudem wird je nach verwendetem Browser die Adresszeile grün eingefärbt. Internetnutzer sollen so noch schneller erkennen, ob die besuchte Webseite echt ist und besser vor Phishingversuchen schützen.

Auch für Microsoft Outlook gibt es eine Möglichkeit, sich vor gefährlichem Phishing zu schützen. Dabei wird eine Symbolleiste in Outlook eingebunden, und jede eingehende E-Mail kann auf gefährliche Verweise und verdächtige Header hin überprüft werden. Das Programm Delphish ist dabei kostenlos verfügbar und versetzt den Nutzer entweder in die Lage, eigenständig eine Entscheidung über ein mögliches Phishing zu treffen, oder es stuft die E-Mail automatisch als Phishing ein. Bei der automatischen Einstufung wird auf eine Datenbank mit Phishing-E-Mails zurückgegriffen, oder es werden die Verweise in der E-Mail auf verdächtige Merkmale hin überprüft.

Symbolleisten und E-Mail-Filter, die auf schwarzen Listen beruhen, sind prinzipbedingt auf die Aktualität derer angewiesen. Dies schränkt ihre Wirksamkeit bei neuen Phishingattacken deutlich ein.

Eine phishingresistente Möglichkeit, Onlinebankingtransaktionen durchzuführen, besteht darin, das signaturgestütze HBCI-Verfahren mit Chipkarte zu nutzen. Diese Variante des Onlinebankings ist darüber hinaus sehr komfortabel, da die Eingabe von TANs entfällt. Als weiterer Sicherheitsgewinn ist die sichere PIN-Eingabe (entsprechender Chipkartenleser mit eigenem PIN-Pad vorausgesetzt) zu nennen, bei der ein Belauschen der PIN-Eingabe mit einem Keylogger oder Trojaner nicht möglich ist. Demgegenüber stehen die Nachteile einer Softwareinstallation für HBCI, die notwendigen Installationen für den Kartenleser im Betriebssystem und damit die mangelnde Mobilität gegenüber. Auch wenn bisher keine massiven Angriffe gegen HBCI beobachtet wurden, bietet das Verfahren naturgemäß nur dann einen hohen Schutz, wenn das unterliegende Betriebssystem frei von Schadsoftware wie trojanischen Pferden ist.

Einen guten Schutz gegen Phishing bietet auch das iTAN-Verfahren. Es gibt allerdings (von Phishing zu unterscheidende) Man-in-the-middle-Angriffe, gegen welche die iTAN wirkungslos ist.

Ein gesundes Misstrauen gegenüber dem unsicheren Medium E-Mail sowie das aufmerksame Lesen der Phishing-E-Mails ist ebenfalls hilfreich. Kein seriöses deutsches Kreditinstitut verlangt von seinen Kunden, „ein Form auszufüllen“ oder „TAN einzutasten“. Mangelhafte Grammatik und Orthographie sind zwar kein ausschließliches Merkmal für oder gegen Phishing, aber auf jeden Fall höchst verdächtig.

Weitere Merkmale, die häufig in Phishing-Mails anzutreffen sind, sind namenlose Anreden („Sehr geehrter Kunde“ – bei „echten“ Newslettern ist die Anrede meistens direkt an den Adressaten, also z. B. „Sehr geehrter Herr XYZ“) und eine vorgebliche besondere Dringlichkeit („Wenn Sie nicht innerhalb der nächsten zwei Tage eine Verifikation durchführen wird ihr Konto / ihre Kreditkarte gesperrt“). Kein Unternehmen erwartet derart kurze Reaktionszeiten, und die meisten Banken und Sparkassen haben sowieso keine E-Maildaten von ihren Kunden, so dass bei wichtigen Mitteilungen meistens der Postweg gewählt wird.

Es empfiehlt sich, für jede Anwendung ein anderes Kennwort zu vergeben. Wird das Kennwort einer Anwendung durch einen Angreifer ermittelt, bleibt für den Angreifer der Zugriff auf eine andere Anwendung weiterhin verwehrt.

Speziell gegen Phishing im Internet empfiehlt es sich das Passwort als Hashwert aus einem Kennwort, welches sich der Benutzer aussucht, sowie der Domäne der Webseite gebildet wird. Dies führt einerseits dazu, dass jede Webseite automatisch ein anderes Kennwort bekommt, selbst wenn der Benutzer immer das gleiche Kennwort eingeben sollte. Phishing kann auf diese Weise ausgeschlossen werden.