"Mit dem Secured Phishing-Verfahren können Phisher als kriminelle Zwsichenhändler fungieren, indem sie sensible Informationen wie Log-ins und Passwörter, Kreditkartennummern oder persönliche Daten ausspähen. Dies kann durch Senden der betreffenden Informationen direkt an die Phishing-Seite oder durch unbemerktes Abfangen der Daten zwsichen der Phishing-Seite und der legitimen Seite geschehen", erläutert Gernot Huber, Marketing Manager Central Europe von SurfControl.
https://XY...die Verbindung in die Datenfalle
Wichtige Sicherheits-Ebenen, die Schutz vor Online-Betrug und Datendiebstahl bieten sollen, sind Verschlüsselung und digitale Zertifikate zur Authentizitätsprüfung einer Website. Solche verschlüsselten Websites sind an der mit https:// beginnenden URL in der Adressleiste und am Schloss-Symbol unten im Browserfenster erkennbar, beides sind allgemein anerkannte Symbole für die Sicherheit einer Website. Greift der Benutzer auf eine so geschützte Seite zu, prüft Windows die Gültigkeit des digitalen SSL-Zertifikats (Secure Sockets Layer). Stellt Windows dabei ein Problem mit dem SSL-Zertifikat fest, wird der Benutzer mit einer Pop-up-Dialogbox gewarnt, die auf den problematischen Bereich des digitalen Zertifikats der betreffenden Seite hinweist. Der Nutzer kann daraufhin entscheiden, ob er weiter auf der Seite bleiben will oder nicht. In trügerischer Echtheit stellen sich die durch Secured Phishing-Technik manipulierten Seiten für den Benutzer genauso dar.
"Die meisten Internet-Benutzer sind der Überzeugung, dass sie sich in einem sicheren Bereich bewegen, sobald das Schloss-Symbol unten in der Ecke erscheint. Mit der neuen, geschickt ausgetüftelten Secured Phishing-Technik wird dieses Vertrauen radikal ausgenutzt", so Huber. "Leider sind viele Anwender mit dem Inhalt der Warnung in der Pop-up-Dialogbox nicht vertraut oder sehen diese Warnmeldung auch so häufig, dass sie gewohnheitsmäßig auf Ja drücken, um auf der Seite zu bleiben."
Phishing-Attacken verursachen Schaden in Millionenhöhe
Nach Angaben der deutschen Landeskriminalämter liegen derzeit mehr als 1000 Fälle von Kunden vor, deren Bank-Zugangsdaten zu betrügerischen Überweisungen missbraucht wurden. Die Betrüger ergaunerten sich dabei per E-Mail sensible Daten; der geschätzte Schaden beläuft sich auf insgesamt 4,5 Millionen Euro. Diese Summe entspricht vermutlich jedoch nicht der tatsächlichen Schadenshöhe, da nicht jeder Fall dem zuständigen LKA gemeldet wird.
SurfControl gibt folgende Ratschläge zur Abwehr von Secured Phishing-Attacken:
- IT-Abteilungen sollten einen Warnhinweis an die Mitarbeiter herausgeben, in der auf die Möglichkeit solcher Attacken hingewiesen wird. Außerdem sind zusätzliche Maßnahmen zur Durchsetzung der Konventionen für die firmeninterne Internet-Nutzung unter Einschluss von Informationen über Browser-Sicherheit erforderlich.
- Alle Benutzer sollten Warnmeldungen über digitale Zertifikate ernst nehmen und ihre IT-Abteilung oder eine andere vertrauenswürdige Stelle ansprechen, wenn sie Hilfestellung bei der Identifikation potenzieller Betrugsversuche benötigen.
- Alle Benutzer sollten Online-Transaktionen nur mit bekannten Anbietern abwickeln und darauf achten, das Finanz-Seiten über ein gültiges SSL-Zertifikat einer Trusted Certificate Authority verfügen. Bei solchen Seiten erscheinen deshalb niemals Warnmeldungen.
- Benutzer sollten niemals auf E-Mails reagieren, mit denen persönliche oder finanzielle Informationen abgefragt werden.
- Unaufgefordert eintreffende E-Mails oder E-Mails mit unsinnigen Betreffzeilen sollten ungeöffnet gelöscht werden.