Internet-Kriminalität Die Speerfischer greifen an
Phishing nach persönlichen Daten ähnelt dem Schleppnetzfischen: Viel Aufwand, wenig bleibt hängen. Wesentlich effektvoller und lukrativer ist "Spear-Phishing"
Schock für Otto Normalverbraucher aus Hintertupfingen: Das Ordnungsamt seiner Gemeinde schickt ihm eine Email. „Sehr geehrter Herr Normalverbraucher, Sie haben am 1. August um 13.30 zwischen Hintertupfingen nach Vordertupfingen die zulässige Höchstgeschwindigkeit um 50 km/h überschritten. Wir bitten Sie, dazu den Anhörungsbogen unter www.ordnungsamt.hintertupfingen.de bis zum 30. August auszufüllen.“
Wie reagiert Herr Normalverbraucher? Vermutlich wird er die genannte Internetseite mit Schweißtropfen auf der Stirn öffnen – zumal, wenn er sich an die fragliche Fahrt zu erinnern glaubt – und den „Anhörungsbogen“ downloaden. Und schon hat er sich Schadsoftware eingefangen, die jegliche Tastatur- oder Mausbewegung protokolliert, um so beispielsweise die Zugangsdaten zu seiner Bank auszuspähen oder den kompletten Inhalt seiner Festplatte zu kopieren und an Dritte zu verkaufen.
Otto N. wäre das Opfer einer spezialisierten Form von Phishing geworden. Phishing nennt man den Versuch des Ausspionierens etwa von Bankdaten durch Massenspam. Jede Mail sieht aus wie die andere; durch den unpersönlichen Charakter fallen inzwischen selbst Gutgläubige auf die Aktionen von „Schleppnetzfischern“ nicht mehr zuverlässig herein - nur noch ein verhältnismäßig kleiner Teil solcher Attacken ist erfolgreich. Heimtückischer wirkt sogenanntes Spear-Phishing . Hier wird punktgenau mit dem „Speer“ gefischt. Dabei werden die Mails mit individuellen und persönlichen Angaben des Adressaten angereichert und von einem Account verschickt, der vertrauenswürdig wirkt. So gestaltete Emails wirken glaubwürdig - und machen unvorsichtig.
Erfolgreich sind Cyberbetrüger mit individuellen Mails bereits seit rund drei Jahren in den USA. Vor einigen Wochen etwa erhielt eine Reihe von Vorstandschefs eine fingierte Vorladung des US-amerikanischen Bundesgerichts. Verisign, ein US-Unternehmen, dass sich unter anderem mit Internetsicherheit beschäftigt, schätzt, dass derartige Attacken täglich bis zu 10.000 Mal vorkommen. Schäden in Höhe von bis zu 188.000 Dollar verursachen solche Angriffe nach Auskunft des finnischen IT-Sicherheitsexperten F-Secure bei einzelnen Unternehmen.
Von Spear-Phishing gegen deutsche Topmanager ist noch nichts bekannt geworden, allerdings ist sich die Sprecherin des amerikanischen Softwarehauses Symantec sicher: „Da vielen Unternehmen das Thema unangenehm ist und sie einen signifikanten Image-Schaden fürchten, verschweigen sie diese Vorfälle - die Dunkelziffer ist hier sehr hoch und wird sicher weiter ansteigen. Die Welle ist also sicher nach Deutschland geschwappt, ihre Größe können wir leider nicht beziffern.“
Wie aber kommen die Angreifer überhaupt an die personalisierten Daten von Otto und Liese Normalverbraucher? Das ist offenbar das geringste Problem. Personenbezogene Daten sind allzu oft miserabel geschützt. Der Umgang mit ihnen geschieht auf fahrlässige Weise leichtsinnig.
- Datum 18.08.2008 - 12:02 Uhr
- Seite 1 | 2 | Auf einer Seite lesen
- Quelle ZEIT ONLINE
- Kommentare 4
- Versenden E-Mail verschicken
- Empfehlen Facebook, Twitter, Google+
- Artikel Drucken Druckversion | PDF
-
Artikel-Tools präsentiert von:
Tja, wenn unser Staat seinem Michel suggeriert, daß Datenschutz, insbesondere Datenschützer lediglich Terroristen schützen, kann man doch wirklich nicht erwarten, daß die Sensibilität von seinen eigenen Daten recht hoch ist. "Ich bin doch eine gestzestreuer Bürger, ich hab doch nichts zu verbergen" - so schallt der Tenor des braven Bürgers und ist damit einverstanden, daß er erfasst, katalogisiert und gespeichert wird, ja sogar jegliche Vorsicht bei freiwilliger Bekanntgabe seiner sensiblen Daten fahren läßt.Dieses sorgenfreie Klima spielt den Gaunern natürlich alle Asse in die Hände. Die zünden vermutlich regelmäßig eine Kerze für unseren Promie-Schläfer Schäuble an und beten inbrünstig darum, daß dieser Tölpel weiterhin so gut für sie tätig ist. Bereits in der Grundschule sollte die persönliche Datensicherheit unter anderem im Internet Inhalt des Schulstoffes sein, um die einfachste Form des Datenklaus zu erschweren. Nur müßte dann auch über die Sicherheit gespeicherter Daten und die Möglichkeiten eines Datenangriffs unterrichtet werden. Auch wenn eine Personalisierung unter einer Nummer und deren Verknüpfung mit allen Lebensbereichen eines Bürgers die Arbeit der staatlichen Verwaltung erleichtert: Der Schaden ist unermesslich, wenn diese Daten in die falschen Hände fallen- und ich spreche hier nicht nur von dem wirtschaftlichen Schaden. Eine Steuernummer (!) ab Geburt- alleine diese perverse Idee sollte einem Bürger Schauer über den Rücken jagen. Die Terroristen können Ihre Arbeit einstellen und umlernen, sie haben Ihr Ziel erreicht. Den Rest erledigt die natürliche Gier des Menschen.Zetti
unser Schäuble wirds schon richten. Ansonsten ist dem Artikel, sowie dem vorangegangenen Kommentar nichts mehr hinzu zu fügen.
z. B. im Verwaltungsrecht. Wer weiß, dass Anhörungsbögen des Ordnungsamtes nicht online zugestellt werden dürfen, ist schon mal klar im Vorteil (wie sollten sie im Beispielsfalle denn auch? Ordnungsbehörden haben dann Nummernschild und Halter des Fahrzeugs, aber nicht seine e-Mail-Adresse.).
Da stimme ich meinen Vor-Kommentatoren absolut zu.
Zu Wissen hilft:
es ist nicht nur so, dass ein ganz klein wenig Wissen über die Bürokratie helfen würde, auch ein bisschen Wissen übers Internet kann nicht schaden. Wenn z.B. HMTL-eMails nicht zugelassen werden, dann kann man sehen, wohin ein Link führt. Wenn man z.B. weiß, dass die Absender-Adresse problemlos gefälscht werden kann, dann ist man weniger leichtgläubig.
Und sonst die übliche Technik: nicht als Admin arbeiten, Virenscanner aktuell halten, prüfen, was man herunter lädt...
Bitte melden Sie sich an, um zu kommentieren