(Frankfurter Rundschau, November 2005)
Unbemerkte Zugriffe
Der internationale Kampf gegen Online-Betrüger macht langsam, aber sicher Fortschritte. So haben Bundeskriminalamt (BKA) und die estnische Polizei einen Ring mutmaßlicher Computerbetrüger zerschlagen, wie das BKA kürzlich bekannt gab. Nach gemeinsamen Ermittlungen wurden in Estland mehrere Verdächtige festgenommen, die mit Hilfe von Tricks insgesamt 100.000 Euro von Bankkonten in Deutschland geplündert haben sollen. Dieses "Fischen" auf fremden Konten ist unter der Bezeichnung Phishing bekannt geworden.
Online-Bankkunden hatten zuvor bemerkt, dass größere Beträge von ihren Konten an Banken in Estland überwiesen worden waren. In Zusammenarbeit mit den Banken und privaten EDV-Sicherheitsunternehmen wurde festgestellt, dass die PCs der Geschädigten mit einer neuen Variante des "Bizex-E" infiziert waren - eines so genannten Trojaners, mit dem Kontonummern sowie Geheim- und Überweisungsnummern (PIN und TAN) ausgespäht werden konnten. Der Trojaner unterbrach die Verbindung zum Bank-Server und übermittelte die ausgelesenen Daten an einen Server in den USA.
Ein geradezu typischer Fall der zunehmenden Plünderung von Konten via Computervernetzung. Das gilt auch für die Täter, denn zu den "klassischen" Cyber-Kriminellen zählen zum einen osteuropäische Mafiagruppen, die meist aus Nachfolgestaaten der Sowjetunion heraus agieren. Das kriminelle Geschäft haben sie früher "offline" betrieben, das heißt mit klassischen Delikten der organisierten Kriminalität wie Schutzgelderpressung. Doch in den letzten Jahren ist auch die Mafia online gegangen und hat damit ihre Aktivitäten quasi "diversifiziert". Betrügereien, zum Beispiel durch Phishing, bilden dabei einen Schwerpunkt. Auch die Vorteile des Outsourcing sind dem organisierten Verbrechen nicht verborgen geblieben, denn das nötige IT-Fachwissen kauft es sich auf dem schwarzen Online-Markt ein.
Ein Sprecher der britischen National Hi-Tech Crime Unit (NHTCU) sagt: "Uns liegen Beweise vor, dass das europäische organisierte Verbrechen Hacker engagiert, um Computerangriffe auszuführen." Angeheuert werden sogar schon jugendliche Hacker, um bösartige Programme für Phishing, Kreditkartenbetrug und Erpressungstricks zu schreiben. "Die Computer-Freaks haben sich mit der organisierten Kriminalität zusammengetan. Sie kommt oft aus Weißrussland, Litauen, Estland und Rumänien", sagt Christoph Fischer, Phishing-Detektiv und Geschäftsführer der BFK edv-consulting. Die Firma ist auf die Ermittlung von Cybercrime und Industriespionage spezialisiert und zählt staatliche Stellen und die Bankbranche zu ihren Kunden.
Eine andere Tätergruppe neben der "traditionellen" Mafia sind lose, quasi virtuelle Gruppen, die sich in Chatrooms, aber nie persönlich treffen. "Das reicht vom Jugendlichen bis zum Berufskriminellen", sagt Paul Bresson, Pressesprecher des FBI für Cyberkriminalität. Überdurchschnittlich viele agierten außerhalb der USA. Die meisten Phishing-Websites werden allerdings von US-Servern aus ins weltweite Netz gestellt.
Die Hintermänner geben auch Viren, Würmer und Trojaner in Auftrag. Letztere bilden nach Fischers Einschätzung die größte Gefahr. Mit Hilfe dieser Schadprogramme werden Computer infiziert. Die befallenen PCs werden dabei laut dem Virtual Criminology Report von McAfee, einem Anbieter von IT-Sicherheitslösungen, oft zu ferngesteuerten Bot-Netzwerken zusammengefasst. Sie bestehen aus Hunderten oder Tausenden von Computern, die zum Beispiel durch Trojaner heimlich gekapert wurden. Die Besitzer der Rechner ahnen von der Fremdsteuerung nichts. Schätzungsweise eine Million PCs werden so unsichtbar für kriminelle Zwecke genutzt, darunter die massenhafte Verbreitung von Spam oder Phishing-Mails. Die Untersuchung stellt fest, dass diese Bots bereits ab 100 britische Pfund pro Stunde zu haben sind.
Auf dem kriminellen Cyber-Schwarzmarkt ist alles zu bekommen, was zur Grundausstattung des Online-Verbrechers gehört. Angeboten wird beispielsweise ein komplettes Phishing-System von der Mail bis zur nachgemachten Webseite - inklusive der Bereitstellung eines Internet-Servers. Im russischen Network Terrorism Forum waren laut der Tageszeitung San Francisco Chronicle die nachgemachten Webseiten von 34 großen US-Banken im Angebot, Kostenpunkt jeweils 50 Dollar. Gegen einen Aufpreis von 100 Dollar gab es die passenden Phishing-Mails dazu. Auch für das Versenden der kriminellen Elektropost lassen sich Dienstleister schnell und problemlos finden.
Die Wellen der massenhaften Phishing-Mails schwappen in immer kürzeren Zeitabständen in die Mailboxen der Internet-Nutzer. Nach Angaben der Anti-Phishing Working Group, eines Verbands betroffener Unternehmen und Organisationen, hat sich die Zahl der gefälschten Websites von Oktober 2004 bis Mai 2005 von 1142 auf 3326 verdreifacht. Stammten anfangs die meisten Mails noch angeblich von Banken mit Sitz in den USA, so kursieren inzwischen auch etliche deutschsprachige Versionen von einheimischen Banken. Die Professionalität der Phisher ist dabei rapide gestiegen: Die oft krude Rechtschreibung und verquere Grammatik wich sprachlich und stilistisch überzeugenden Mails mit originalem Bankenlogo und in den Text eingestreuten "korrekten" Links, die den Nutzer in Sicherheit wiegen sollen.
Auch technisch legen die Kriminellen nach: Sie locken Surfer auf gefälschte Webseiten, selbst wenn die Nutzer die richtige Adresse eingegeben haben. Seit einigen Monaten kristallisiert sich ein neuer Trend beim Abgreifen der begehrten Daten heraus: Pharming. Es hat sich als Oberbegriff für verschiedene Arten von Angriffen auf das Domain Name System etabliert. Eine gängige Methode ist die Manipulation der Host-Datei mit Hilfe von Trojanern oder Viren. Das hat die Konsequenz, dass von diesem System nur noch gefälschte Websites abrufbar sind, selbst wenn die Adresse korrekt eingegeben wurde. Das funktioniert so: Internetadressen müssen in Zahlenfolgen umgewandelt werden, damit der Abruf klappt. Dafür gibt es Übersetzungstabellen. Eine befindet sich in jedem PC, nämlich die Datei .hosts. Wird sie, etwa von einem Computervirus, heimlich umgeschrieben, kann der Surfer auf einer gefälschten Bank-Website landen, obwohl er die Adresse seines Geldinstituts eingegeben hat. Die Kriminellen leiten so Zugriffe auf die richtigen Adressen der Banken um auf ihre Seiten, die den Originalen nachgeahmt sind. Dort verführen sie die Anwender dazu, ihre Passwörter einzugeben. Diese Übersetzungstabellen sind auch auf Rechnern im Netz gespeichert, Fachleute sprechen von Domain Name Servern. Auch sie sind Ziele von Manipulationsversuchen. Gelingen sie, werden Surfer selbst dann auf gefälschte Seiten umgeleitet, wenn der eigene Rechner virenfrei ist. Allerdings sind für diese Betrugsmethode weit bessere technische Kenntnisse nötig als beim Phishing.
Der beste Schutz für den "Normalnutzer" besteht aus einer Kombination von hoher Aufmerksamkeit und einem gesunden Maß an Misstrauen. Die Banken weisen immer wieder darauf hin, dass sie nicht per e-Mail zur Eingabe von Kontodaten, PIN oder Transaktionsnummern (TAN) auffordern. Nutzer sollten daher niemals einen Link in einer solchen Mail anklicken. Stattdessen gibt man die Firmen-URL direkt in die Adresszeile des Browsers ein oder verwendet dabei Lesezeichen.
So funktioniert Phishing:
Der Kunstbegriff setzt sich aus "password", "harvesting" und "fishing" zusammen und bedeutet sinngemäß soviel wie "das Fischen nach sensiblen Daten". Er bezeichnet einen Trickbetrug, bei dem Kunden von Banken, Kreditkartenfirmen oder Online-Auktionshäusern in einer e-Mail mit Weblinks dazu verleitet werden, auf gefälschten Websites ihre Kontodaten oder Kreditkartennummern anzugeben. Diese Zugangsdaten werden dann von den Betrügern dazu genutzt, Geld auf eigene Konten zu überweisen. Es ist also eine Form des Identitätsdiebstahls. Oft pflanzt sich die Kriminalität noch fort. Denn zum internationalen Geldtransfer werden gerne gutgläubige bis naive Finanzkuriere eingesetzt, die unter einem legalen Vorwand angelockt von ihrem kriminellen Tun beim Botengang nichts ahnen. Da die falschen Websites den originalen oft täuschend ähnlich sehen, fällt so mancher Internet-Nutzer auf die Masche herein. Damit die Phishing-Mails möglichst viele Empfänger erreichen, arbeiten die Betrüger oft mit Spammern zusammen.
Webadressen:
www.harvardpr.com/home/article_details.asp?id=7225
www.bankenverband.de/index.asp?channel=901010
www.antiphishing.org
www.pharming.org/index.jsp