Das Böse lauert überall – auch im Internet. Wir zeigen Ihnen nicht nur, welche Tricks die Kriminellen anwenden, um an Ihr Geld zu kommen, sondern auch, wie Sie sich schützen können.
Mal schnell online ein Schnäppchen ersteigern, eine Überweisung veranlassen und gleich noch neue Tinte für den Drucker bestellen – im Netz Geld auszugeben ist modern, bequem und selbstverständlich. Doch Spezialisten warnen davor, dass mit dem steigenden Online-Handel auch die Online-Kriminalität wächst. Betrug bei eBay, Phishing, Raubkopien im E-Mail-Vertrieb und Bettelbriefe aus Nigeria sind einige der beliebtesten Methoden, dem Onliner das Geld abzunehmen.
Phishing
Hinter dem englischen Wort Phishing (sprich: „Fisching“) steckt der Versuch, Ihnen Geld mit Hilfe fingierter E-Mails und Webseiten aus der Tasche zu ziehen. Es handelt sich dabei um eine besonders perfide Methode, die darauf abzielt, Ihnen Benutzernamen und Passwörter für Webseiten oder PINs und TANs für den Homebanking-Zugang zu entlocken. Der Betrüger gibt dazu vor, Ihre Hausbank, eBay, Amazon oder ein anderer zu sein, mit dem Sie online Geschäfte abwickeln. Die Phishing-Mail ist in Firmenfarben gehalten und auch der Absender passt dazu. Ihnen wird mitgeteilt, dass Sie im Rahmen eines routinemäßigen Vorgangs bitte die online hinterlegten Kundendaten durch Besuch einer ebenfalls in der E- Mail angegebenen Webadresse überprüfen sollen. Viele Phishing-Mails kombinieren eine solche Bitte mit besonderem Nachdruck, z. B. indem Sie mit einer Deaktivierung des Online-Zugangs drohen, sofern man nicht binnen einer kurzen Frist den angegebenen Link benutzt und die Daten kontrolliert. Nun mag der Link zu der in der Mail angegebenen Seite auf den ersten Blick so aussehen, als verweise er auf die Ihnen vertraute Bankadresse – nur vielleicht ist die Domain etwas anders geschrieben, oder die Domainendung stimmt nicht. Und schon nimmt das Unglück seinen Lauf: Die gefälschte Seite kann so gestaltet sein, dass sie der Originalseite optisch völlig entspricht. Wie perfekt sie dem Original ähnelt, hängt nur vom Aufwand ab, den der Betrüger betreibt. Unter Umständen muss er bestimmte Änderungen einbauen. Er könnte, um beim Beispiel der Bank zu bleiben, beim Login neben den gewohnten Feldern für Benutzername und PIN auch noch eines für die TAN einfügen, denn diese Information benötigt er, um eine Überweisung durchzuführen. Hauptsächlich werden dazu Empfängerkonten im Ausland genutzt, bei denen es praktisch unmöglich ist, das Geld wieder zurückzubekommen. Außerdem fällt es in der Regel schwer, den Empfänger im Ausland strafrechtlich zu belangen, zumal es sich hier oft um Strohmänner handelt und die wahren Täter die Fäden aus dem Hintergrund ziehen.
Was ist zu beachten
Phishing funktioniert, weil viele Anwender zu unerfahren und sorglos im Umgang mit dem Internet sind und weil bisher kaum technische Abwehrmöglichkeiten bestehen. Will man sich wehren, dann gilt es zunächst einmal, im Internet das gleiche gesunde Misstrauen walten zu lassen wie in der realen Welt. Es ist eben alles andere als wahrscheinlich, dass eine Bank mit der Sperrung des Online-Zugangs droht, nur weil man nicht binnen Tagen die eigene Anschrift kontrolliert hat. Grundsätzliche Vorsicht bei der Preisgabe der eigenen Daten, insbesondere wenn man irgendwo aufgefordert wird, Benutzernamen und Kennwort einzugeben, ist ebenso anzuraten. Wenn sich die Methoden des Phishings auch von Fall zu Fall unterscheiden, ist das Grundmuster doch immer das gleiche. Sie werden über eine E-Mail oder einen Link im Web auf eine Seite gelockt, die Ihnen vortäuscht, dass es sich dabei um den Webauftritt eines Ihnen bekannten Unternehmens handelt – sei es Ihre Bank, eBay, ein Freemail-Dienst oder ein Online-Shop. Dazu wird die Optik der Originalseite kopiert. Tippen Sie dann Ihre Zugangsdaten ein, um sich einzuloggen, landen die Daten aber nicht beim gewünschten Unternehmen, sondern auf dem Server der Betrüger, die damit natürlich einigen Schaden anrichten können, z. B. Überweisungen vom Konto vornehmen, einkaufen.
Die Zahl der Fälle, bei denen es zu Angriffen auf die Daten der Anwender kommt, steigt stark. So gehören Phishing-Angriffe nach Angaben von Content-Security-Spezialist Surf- Control mit einer Steigerungsrate von 1.200 Prozent (!) mittlerweile zu den weltweit am schnellsten um sich greifenden Online-Betrügereien. Das Security-Unternehmen TRUSTe gibt an, dass sieben von zehn Internet-Nutzer bereits Ziel von Phishing-Spams sind. 15 Prozent davon, so TRUSTe, gingen den Betrügern auf den Leim.
Darüber hinaus können Sie mit dem einen oder anderen Kniff Phishing-Versuche auch auf technischem Weg enttarnen. Deuten Sie bspw. mit dem Mauszeiger auf einen in einer E-Mail hinterlegten Link, dann zeigen Programme wie Outlook Express oder Thunderbird in der Statuszeile am unteren Fensterranddie Webadresse an, zu der der Link führt. Lautet der Linktext in der E-Mail auf musterbankbank.de, der in der Statuszeile aber auf 45.46.60.01 oder musterbankbank.de.vu, dann ist etwas faul.
Weil die Möglichkeit besteht, die Anzeige in der Statuszeile über inder E-Mail eingebundenes JavaScript zu manipulieren, sollten Sie JavaScript in Ihrem E-Mail-Programm deaktivieren. Eine andere beliebte Methode zur Verschleierung von Domainnamen ist die Anmeldungvon optisch ähnlichen Domains, die bei- spielsweise an Stelle des Buchstabens „o“ eine Null enthalten. So wird aus „musterbankbank.de“ ganz schnell „mosterbank.de“. Ganz neu sind Versuche, sich Ähnlichkeiten im kyrillischen und lateinischen Alphabet zu Nutze zu machen. Im Browserfenster sieht einkyrillisches „a“ genauso aus wie das lateinische „a“, doch können auf diese Weise mit musterbank.de zwei völlig unterschiedliche Websites angesteuert werden. Hier sind die Browserhersteller gefordert, ihre Programme so zu erweitern, dass sie auf die außergewöhnlichen Zeichenkombinationenaufmerksam machen. Zumindest von den Mozilla-Entwicklern ist bekannt, dass sie entsprechende Aktivitäten Ende Februar begonnen haben. Den Internet Explorer betrifft dieses Problem nicht, da er die neuen internationalen Domainnamen wegen seines fortgeschrittenen Alters ohnehin nicht unterstützt.
Falsche Sicherheit
Auch die SSL-Datenverschlüsselung, die man im Browser an einem kleinen gelben Schlossam Rand erkennt, ist kein Garant für Sicherheit. Aktiviertes SSL besagt lediglich, dass der Datentransfer verschlüsselt stattfindet. Doch ob der Betreiber der Website, mit der Datenausgetauscht werden, vertrauenswürdig ist, darüber gibt sie keine Auskunft. Sie sollten sich das Zertifikat, das über den Betreiber derWebsite informiert, deshalb durch einen Doppelklick auf das Schlüsselsymbol anzeigen lassen. So können Sie bei aufkeimendem Misstrauen überprüfen, ob Zertifikatsinhaber und Website-Betreiber auch übereinstimmen.
Vorsichtsmaßnahmen
Die für Sie wichtigen Webseiten zum Online- Banking, zu Auktionshäusern und Online- Shops sollten Sie immer über Ihre Bookmarks ansteuern. Oder, noch sicherer: die URL stets manuell in die Browserzeile eintippen. Achten Sie bei Ihren Streifzügen durchs Netz auf die SSL-Seitenverschlüsselung, wenn sie Handel treiben und geben Sie niemals Bankdaten in Zusammenhang mit Pin oder Tan Preis.
