Internetbetrug: Phishing wird zum Auslaufmodell

Mit schlichten Phishing-Tricks gelangen Betrüger nicht mehr so oft an Bankdaten ihrer Opfer wie noch vor einigen Jahren. Inzwischen wissen die meisten Internet-Nutzer: Man klickt eben nicht auf Links in E-Mails unbekannter Absender und man gibt auf gefälschten Webseiten, die dann im Browser erscheinen, auch nicht persönliche Daten fürs Online-Banking ein. "Das klassische Phishing über E-Mail ist ein Auslaufmodell", sagt der Sicherheitsexperte beim IT-Branchenverband Bitkom, Lutz Neugebauer.

So haben die Täter längst dazugelernt. Eine erste Weiterentwicklung von Phishing war eine zusätzliche technische Manipulation, bei der dem Opfer im Browser die korrekte Internet-Adresse der Bank vorgegaukelt wird, obwohl die dargestellte Webseite auf einem Computer des Betrügers liegt. Einem solchen DNS-Spoofing oder Pharming fiel im Januar 2009 auch der Rentner zum Opfer, über dessen Fall am Dienstag der Bundesgerichtshof in Karlsruhe beriet.

Phishing ist ein Auslaufmodell

Die statistischen Zahlen zeigen das Ausmaß der Betrugsdelikte in der Vergangenheit: Das Bundeskriminalamt zählte 2010 noch 5300 Fälle, in denen Phishing im Zusammenhang mit Online-Banking zur Anzeige gebracht wurde - das waren 82 Prozent mehr als ein Jahr zuvor. Für 2011 liegen noch keine Angaben vor.

Bei der Sicherheitssoftwarefirma G Data hat der Experte Ralf Benzmüller festgestellt: "Das Phishing ist vom Online-Banking in andere Bereiche umgezogen." Weil die Phishing-Betrüger kaum noch an die einmaligen Transaktionsnummern (TAN) herankommen, attackieren sie jetzt vor allem Webseiten, bei denen man sich nur mit Nutzername und Passwort anmelden muss. Das betrifft neben Sozialen Netzwerken wie Facebook und Twitter auch finanziell lukrative Ziele wie Online-Kasinos und Betreiber von Pokerspielen, aber auch den Bezahldienst PayPal, der noch häufig zum Ziel von Phishing-Attacken wird. Nach einer Studie von Microsoft handelt es sich bei 4,1 Prozent aller ausgewerteten Spam-E-Mails um Phishing-Attacken.

Werkzeuge werden raffinierter

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt fest: "Klassisches Phishing ist praktisch nicht mehr festzustellen." Das bedeute aber nicht, dass der sogenannte Identitätsdiebstahl - also die Übernahme der Nutzeridentität durch einen Betrüger - keine Bedrohung mehr darstelle.

Die Werkzeuge der Betrüger sind jetzt raffinierter geworden. Diese versuchten zunehmend, mit Hilfe von Trojanern oder in sogenannten Drive-By-Attacken beim Aufrufen infizierter Webseiten den ganzen Rechner zu kapern, erklärt Bitkom-Experte Neugebauer. Über eine als Keylogger bezeichnete Software kann der Angreifer dann jede Tastatureingabe protokollieren. Oft benutzten die ersten Angreifer die erbeuteten Zugangsdaten dann nicht selbst, sondern handelten damit auf dem Schwarzen Markt der Cyberkriminalität.

Bei Webseiten, die ihren Datenverkehr verschlüsseln und an der Eingangsziffernfolge "https" zu erkennen sind, scheitern auch Trojaner, die sich als "Man in the Middle" in den Datenverkehr zwischen Nutzer und Bank einzuschleichen versuchen. "Das funktioniert nicht mehr, weil jetzt der gesamte Bankenverkehr verschlüsselt wird", erklärt Benzmüller.

Neue Masche: Man in the Browser

Aktuelle Schadsoftware jedoch schleust einen "Man in the Browser" (MITB) auf dem Computer des Betrugsopfers ein. Hier werden die Daten fürs Online-Banking manipuliert, wenn sie noch nicht oder nicht mehr verschlüsselt sind - je nachdem, ob sie vom Nutzer zur Bank oder in umgekehrter Richtung verschickt werden. "Die entsprechende Software gibt es im Untergrund", erklärt Benzmüller. "Für 5000 bis 8000 Euro kann man sich für jede Bank der welt den entsprechenden Bausatz kaufen."

Als Beispiel für einen MITB-Angriff nennt Benzmüller die Forderung nach einer Rücküberweisung. Hier wartet der "Mann im Browser" darauf, dass die Verbindung mit der Bank hergestellt wird. "Dann werden manipulierte Inhalte live in die Webseite injiziert." Dem Betrugsopfer wird mitgeteilt, dass jemand fälschlicherweise Geld auf sein Konto überwiesen hat. Eine Abfrage des Kontostands wird so manipuliert, dass diese Überweisung dort tatsächlich auftaucht. Schließlich wird der Bankkunde gebeten, das Geld zurückzuüberweisen - und leitet dann meist die entsprechende Transaktion auf das Konto des Täters ein. Phishing war nur ein Anfang - Sicherheit beim Online-Banking bleibt eine Daueraufgabe für alle Beteiligten.