Daten-Piraten unterwegs

Die Bedrohung wächst rasant: Gerade läuft eine neue Welle von betrügerischen E-Mails durchs Web, mit denen Online-Konten geräumt werden. Die neuen Tricks in Sachen Phishing, Pharming und Trojaner

Wie die Freibeuter und Seeräuber zu Zeiten von Sir Francis Drake segeln sie unter falscher Flagge. Doch moderne Datenpiraten surfen auf dem Datenhighway. Und sie kämpfen längst mit High-tech-Waffen. Nur eines bleibt: Haben die Computerpiraten erst Flagge gezeigt, ist alles zu spät, das Opfer ausgeraubt.

Und die Bedrohung durch die Cyber-Kriminellen wächst rasant, wie der brandaktuelle Sicherheitsreport des auf Antiviren-Programme spezialisierten Software-Hauses Symantec vom 7. März zeigt. So wurden im zweiten Halbjahr 2005 weltweit 7,92 Millionen Phishing-Mails am Tag verschickt. "Im ersten Halbjahr waren es 5,7 Millionen", weiß Candid Wüest, Virenjäger bei Symantec. Doch für Cyber-Kriminelle ist Phishing nur der Anfang. Die neueste Masche heißt Pharming. Dabei werden Opfer auf gefälschte Internetseiten von Online-Banken gelockt. Allein im Dezember 2005 wurden weltweit 7197 gefälschte Bankseiten auf Servern gefunden.

"Um die Bankkunden dorthin zu lotsen, infizieren die Gauner die Rechner der Online-Kunden meist mit sogenannten Trojanern", weiß Kriminalhauptkommissar Andreas Klingbeil vom Berliner Landeskriminalamt (LKA).

Diese Programme operieren wie militärische Kommandos. Getarnt als E-Mail-Anhang erobern sie massenhaft Computer, sammeln dort Daten, leiten den User auf gefälschte Websites von Online-Banken oder öffnen geheime Türen ins Internet. So können Cyber-Kriminelle sogar die Kontrolle über Tausende Rechner erhalten. "Solche Netzwerke werden inzwischen wiederum zum Versenden von Spam- oder Phishing-Mails stundenweise vermietet", weiß der russische Virenjäger Jewgenij Kaspersky, Chef des gleichnamigen Unternehmens für Sicherheitssoftware. Und laut Symantec-Sicherheitsreport kapern Computergangster täglich über 9100 Computer weltweit, mißbrauchen sie für ihre eigenen Zwecke. Dabei müssen sie nicht mal mehr überragende Programmierer sein. Im Internet kursieren inzwischen schon Bausätze für Phishing-Sites. So enthält das "Rock Phishing Kit" gefälschte Seiten von über 20 Banken.

Darunter viele amerikanische, aber auch deutsche. Es wird immer schlimmer. "Ende der 90er Jahre haben wir 100 neue Viren und Trojaner pro Woche registriert. Heute sind es 200 pro Tag", sagt Virenexperte Kaspersky. "Wir müssen lernen, daß wir es bei diesen Angriffen mit einem realen Problem zu tun haben. Es geht um ein Milliardengeschäft." So wurde in Israel ein Computerexperte verhaftet, der eine japanische Bank fast um 420 Millionen Dollar erleichtert hätte. Und in Brasilien ergaunerten Internetgangster 50 Millionen Euro mit gestohlenen Zugangsdaten.

Dabei sieht es zu Beginn ganz harmlos aus. So wie bei Peter G. aus Frankfurt. Per E-Mail forderte ihn scheinbar seine Online-Bank auf, im Kampf gegen Internetbetrug zu helfen. Dafür solle er "zwei auf einander folgende TAN-nummern ein tasten, um die online-missetaeter zu ermitteln, die mitteldiebstaehle ausfuehren". Zwar hat sich der Angestellte über das seltsame Deutsch und die komische Rechtschreibung gewundert, die Aufforderung aber doch befolgt. "Ich habe aus Dummheit meine PIN und zwei TAN-Nummern herausgegeben. Damit wurden dann 10000 Euro abgebucht."

Wie dem Frankfurter ergeht es immer mehr "Online-Bankern". Allein das Berliner LKA ermittelte Ende 2005 in 340 Fällen. Meist waren zwischen 6000 und 12000 Euro ergaunert worden. In einem Fall sogar knapp 30000 Euro. Insgesamt ging es um einen Schaden von über vier Millionen Euro. Ein halbes Jahr zuvor hatten die Berliner Fahnder nur 40 Phishing-Attacken auf dem Tisch. Der Begriff leitet sich aus den englischen Wörtern Password und Fishing ab und bedeutet "Paßwort angeln". Dabei agieren die Betrüger immer ähnlich. Mit E-Mails, die längst nicht mehr in allen Fällen an schlechtem Deutsch und fehlenden Sonderzeichen wie ä, ö, ü oder ß als Fälschung zu erkennen sind, werden Internetuser aufgefordert, persönlichen Zugangsdaten für ihre Online-Konten preiszugeben.

Die Cyber-Gangster setzen dabei vor allem auf Namen großer Banken – etwa Deutsche Bank, Citibank, Commerzbank, Dresdner Bank, Postbank, Sparkassen, Volks- und Raiffeisenbanken. Aber auch kleinere Institute wie 1822direkt oder Netbank sind schon ins Visier der Cyber-Kriminellen geraten. Auch Ebay, die Telekom, das Bundeskriminalamt, der Internet-Bezahldienst Paypal, ja sogar der ADAC mußten bereits mit ihrem guten Namen herhalten.

Hat der gutgläubige Onliner die Daten preisgegeben, beginnt Teil zwei des virtuellen Piraten-Akts. Mit den Zugangsdaten gehen die meist im ehemaligen Ostblock, in China oder Südamerika sitzenden Banden online und überweisen Geld auf die Konten ahnungsloser Mittelsmänner. Diese wurden per Zeitungsannonce oder E-Mail als "Finanzmanager" angeworben – aktuell im Umlauf: eine Mail von "swis invest". Die "Manager" müssen nichts anderes tun, als die auf ihrem Konto eingehenden Gelder per Western Union bar ins Ausland zu schicken. Oder Variante zwei: Sie überweisen das Geld auf ein Konto im Ausland. Dafür dürfen sie bis zu zehn Prozent der transferierten Summen behalten. Bis dort die Polizei zuschlägt, sind die Konten längst gelöscht, die Spuren verwischt. Nur die "Finanzmanager" gehen der Justiz ins Netz, müssen sich wegen Computerbetrug verantworten. Die Banken versuchen zwar den Internetbetrug zu verhindern, aber es bleibt ein ständiger Wettlauf mit den Kriminellen. Derzeit setzen immer mehr Institute – unter anderem 1822direkt, Postbank und neuerdings auch die Deutsche Bank – auf sogenannte i-TAN, indexierte TAN-Nummern. Dabei kann der Kunde für eine bestimmte Überweisung keine beliebige Nummer aus einer Liste wählen, vielmehr muß es eine ganz bestimmte sein. Diese ist zudem nur ein paar Minuten gültig. Die VW-Bank wiederum setzt auf den Bankey, der TANs auf Knopfdruck generiert. Und die ING-Diba fragt zusätzliche zufällig ausgewählte persönliche Daten ab, wie das Geburtsdatum.

Auch die Kunden können die Sicherheit beim Online-Banking erhöhen, wenn sie einige Regeln beachten (siehe Kasten). Nicht zuletzt aus Eigeninteresse: Bisher haben die Banken die Schäden durch Online-Betrug meist übernommen. Damit könnte es vorbei sein, wenn die Cyber-Gangster noch erfolgreicher werden. "Zwar tragen die Banken grundsätzlich das Risiko, aber auch die Kunden müssen Sorgfaltspflichten erfüllen", sagt Jura-Professor Georg Borges, Sprecher der Arbeitsgruppe Identitätsschutz im Internet. Nur Vorsichtigen wird der Verlust dann noch ersetzt.

Und Peter G.? Hatte Glück im Unglück: "Als ich die Abbuchungen bemerkte, rief ich sofort die Bank an. Und die hat den Schaden ersetzt – aus Kulanz."

 

Quelle: finanzen.net  

Schreibe einen Kommentar