Phishing: Betrüger rüsten auf

Anti-Phishing-Toolbars bieten nur bedingt Schutz

Das Security-Unternehmen RSA http://www.rsasecurity.com erwartet laut dem aktuellen Phishing-Bericht eine Diversifizierung der Angriffstechniken. Die Betrüger-Community sei derzeit dabei technologisch aufzurüsten, so das Unternehmen in einer entsprechenden Aussendung. Dies geschieht vor dem Hintergrund, dass Banken dem kriminellen Treiben zunehmend wirkungsvolle, starke Authentifizierungs- und Anti-Fraud-Lösungen entgegen setzen würden. In den kommenden Monaten könnte laut RSA eine Reihe neuer Angriffstechniken zum Einsatz kommen.

Konkrete Szenarien konnte das Unternehmen auf Anfrage von pressetext nur wage beschreiben. So ist jedoch für 2007 zu erwarten, dass Angriffe auf beschränkte, kleinere Zielgruppen fokussiert werden. Aufgrund der schärferen Sicherheitsvorkehrungen der großen Banken würden sich Phisher künftig eher auf kleinere Finanzinstitute, aber auch auf Organisationen aus anderen Branchen verlegen, so RSA. Zudem ist ein Anstieg von Echtzeitangriffen mit Hilfe von Man-in-the-Middle-Trojanern zu erwarten, um die neuen Sicherheitsmaßnahmen beim Login zu brechen.

Zum Schutz vor Phishing greifen viele User mittlerweile zu Anti-Phishing-Toolbars. Zehn verbreitete Browser-Toolbars haben sich Forscher der Carnegie Mellon University in Pittsburgh http://www.cylab.cmu.edu vorgenommen und kommen zu einem ernüchternden Ergebnis. "Insgesamt lassen die untersuchten Anti-Phishing-Toolbars sehr zu wünschen übrig", so die Autoren. Den Ergebnissen zufolge erkannten selbst die besten Testkandidaten (Earthlink, Netcraft, Google, Cloudmark und IE 7) nur knapp 85 Prozent der Phishing-Seiten. Bei den Toolbars von TrustWatch, eBay und Netscape lag die Erkennungsrate sogar unter 50 Prozent, beanstanden die Forscher. Völlig versagte McAfees SiteAdvisor, der im Test keine einzige Seite identifiziert haben soll.

Ein zweites, großes Problem ist laut Forscher die hohe Anzahl an False Positives. Viele vertrauenswürdige Webseiten wurden von den getesteten Programmen als Phishing-Seite klassifiziert. Die daraus entstehende Flut von Fehlalarmen könnte die Nutzer dazu bringen, Alerts zu ignorieren und damit erst recht in die Phishing-Falle zu tappen.

Eine härtere Gangart gegen Phishing schlägt auch der Softwarekonzern Microsoft ein. Abseits der Integration eines neu entwickelten Datenschutzprogramms in Windows Vista geht der Konzern auch gerichtlich gegen Phishing-Betrüger vor. In Europa und im Nahen Osten wurden nach eigenen Angaben bereits 129 Klagen eingereicht. Zudem werden die Ermittlungen der Behörden unterstützt. Dabei konzentriere man sich auf die Türkei, wo bereits 50 Strafprozesse begonnen wurden, und Deutschland mit 28 Fällen. Für 2006 wird der durch Phishing verursachte Schaden auf 2,8 Mrd. Dollar geschätzt.

(Quelle: pte