McAfee Fakten zum Thema Sicherheit

Bewährte Verfahren zur Abwehr von Phishing-Angriffen

Gerade als man glaubte, es sei sicher, auf heutigen E-Commerce-Gewässern in See zu stechen, ist Phishing als eines der weltweit gefährlichsten Betrugsmanöver aufgetaucht.

Phishing besteht in der Verteilung von E-Mail-Nachrichten mit Rückantwort-Adressen, Links und Grafiken, welche die Mails als echte Aussendungen von Geldinstituten an ihre Kunden erscheinen lassen.

Das Ziel dieser E-Mails ist aber, nichts ahnende Empfänger zur Preisgabe von Informationen zu persönlichen Konten, Kreditkarten und anderen vertraulichen Dingen zu verleiten. Hat ein Kunde solche Informationen dann herausgegeben, können die Phisher mit den gestohlenen Daten falsche Identitäten annehmen und betrügerische Transaktionen durchführen.

Phisher stehlen auch firmeninterne Informationen von Kunden, indem sie sie zum Besuch einer Phishing-Website verleiten, aber auch durch die Installation von Spyware auf dem Kunden-Computer, sodass auch beim Besuch einer legitimen Website Informationen gestohlen werden können.

Angriff auch auf Minderheiten

Niemand ist heutzutage sicher vor den bösen Absichten von Betrügern. Ob Kunden von Großkonzernen, Geldinstituten, Versicherungsagenten oder Kreditinstituten: Sie alle sind schon Opfer von Phishing-Angriffen geworden.

Phisher zielen auf bekannte Organisationen, weil die meisten E-Mails zufällig verteilt werden. Etablierte Organisationen bieten normalerweise mehr Kunden und vergrößern dadurch die Wahrscheinlichkeit, dass eine betrügerische E-Mail einen Kunden der jeweiligen Organisation erreicht.

Tatsächlich sind betrügerische E-Mails, die vorgeblich von der Federal Deposit Insurance Corp. stammen, weltweit in den Eingangskörben gelandet. Sogar das FBI kann sich zu den Phishing-Opfern zählen.

Es gibt keine Anzeichen dafür, dass die Phishing-Bedrohung nachlässt. Wie die Anti-Phishing Working Group berichtet (ein Industrieverband, der Identitätsdiebstahl und -missbrauch bekämpft), wurden im Januar 2004 176 neue Phishing-Angriffe registriert, was 5,7 Angriffen pro Tag entspricht. Bis zum Juni 2004 war diese Zahl dann bereits auf 1422 einzelne Angriffe hochgeschnellt.

Analysten schätzen, dass bis zu 5 Prozent der betrügerischen E-Mail-Anfragen tatsächlich erfolgreich an vertrauliche Daten kommen. Aber die Verbraucher sind nicht die Einzigen, die von einer Phishing-Bedrohung behelligt werden. Eine der Top-20-Banken der USA nahm kürzlich bis zu 90.000 Telefonanrufe pro Stunde an, als eine Phishing-Attacke im Februar die Bank fünf Stunden lang lahm legte.

Darüber hinaus laufen Firmen, die Phishing-Angriffen zum Opfer fallen, Gefahr, das Vertrauen ihrer Online-Kunden zu verlieren. Wenn eine Bank beispielsweise Opfer eines Betrügers wird, schrecken ihre Kunden viel eher vor Transaktionen via Online-Banking zurück.

Lassen Sie sich nicht ködern!

Heutzutage konzentrieren sich Phisher auf immer ausgefeiltere Taktiken zur Irreführung ahnungsloser Besucher, etwa die Verwendung von Pop-up-Fenstern oder falschen Vorhängeschloss-Symbolen. Es gibt jedoch Möglichkeiten zu vermeiden, dass man ein Phishing-Opfer wird. McAfee empfiehlt Firmen, unternehmensweite Sicherheitsrichtlinien für E-Mail-Inhalte zu entwickeln und regelmäßig mitzuteilen, damit legitime E-Mails nicht mit Phishing verwechselt werden können.

Eine solche Richtlinie ist, dass eine Firma von ihren Kunden niemals verlangt, in E-Mails eingebundene Formulare auszufüllen. Auf diese Weise kann ein Kunde eine eintreffende E-Mail mit anhängendem Formular sofort als Phishing-Angriff identifizieren.

Als nächstes sollten Firmen ihren Kunden immer eine Prüfmethode dafür an die Hand geben, ob eine E-Mail-Nachricht echt ist und nicht von einem Phisher stammt. Zu diesem Zweck sollte eine Firmenrichtlinie aufgestellt werden, durch die Authentizitätsinformationen in jede an Kunden versandte E-Mail eingebettet wird.

Manche Firmen bitten zum Beispiel ihre Kunden, sich eine personalisierte Grafik auszusuchen, die in eine E-Mail einzubinden ist. Dadurch wird es Phishern schwerer gemacht, Firmen-E-Mails zu simulieren.

Firmen sollten es vermeiden, anklickbare Links in HTML-kodierte E-Mails einzubetten. Auch sollten es Unternehmen vermeiden, ihre Kunden beim Einloggen in eine Website zur Eingabe sensibler Informationen aufzufordern, weil Phisher auf das Extrahieren von Passwörtern aus sind. Tatsächlich sind Smartcards und andere Authentizitätsmittel weitaus ausgefeiltere Authentifizierungsmethoden als Passwörter und Sozialversicherungsnummern.

Kunden tun auch gut daran, die Sicherheitseinstellungen ihrer Web-Browser so hoch wie möglich zu setzen und sie so zu konfigurieren, dass HTTP-Warnungen angezeigt werden, damit sichtbar wird, ob eine sichere Site besucht wird oder nicht.

Phisher können sofort gestoppt werden, wenn Firmen das Internet aktiv auf potenzielle Phishing-Websites hin überwachen, die oft vor dem Abschicken der Phishing-E-Mails erscheinen.

Schließlich tun Unternehmen immer gut daran, qualitativ hoch stehende Sicherheitslösungen für Content-Management zu implementieren – Werkzeuge, welche Firmen oft ihren Kunden als Dienstleistungen anbieten. McAfee bietet zum Beispiel Anti-Spam-Lösungen, die Phish am Gateway identifizieren können, des weiteren Virenschutz-Lösungen für Desktop-Rechner, die Key-Logger abfangen, und Intrusion-Protection-Tools für das Website-Hosting. Wenn Sie diese Art Schutz installieren, können Sie sicher sein, dass ihr gesamter ein- und ausgehender Nachrichtenverkehr geschützt ist, noch ehe unerwünschte Inhalte Ihr Netzwerk infizieren oder Ihre Anwender beeinträchtigen können.