Das Potjomkinsche Dorf ist das gleiche, die Fassaden sind aber neu: Phisher versuchen verstärkt auch die Webseiten der Hersteller von Antiviren-Software zu imitieren, um ihren betrügerischen Aktivitäten nachzugehen. Dazu verschicken sie Phishing-Mails, in denen eine kostenlose Demo-Version der Antispyware von Trend Micro angepriesen wird. Neben der recht ausführlichen Beschreibung der Vorzüge solcher Software enthalten die Mails auch einen Link auf eine täuschend echt nachgemachte Webseite. Mehr Informationen finden Sie bei www.heise.de .
In einem Artikel bei heise Security berichtet Jürgen Schmidt über Sicherheitslücken bei der SEB-Bank. Es war möglich über Parameter in der URL externe Seiten nachzuladen. Betrüger konnten damit Phishing-Seiten bauen, die man kaum noch als Fälschung erkennen konnte: Die URL verwies tatsächlich auf die SEB-Bank, im Adressfeld steht SEB-Bank, doch der Inhalt hätte von einem gekaperten Server unter Kontrolle der Kriminellen stammen können. Mittlerweile soll die SEB-Bank den Fehler behoben haben.
Mehr Informationen hierzu finden sie unter www.heise.de.
Trotz der Aufklärung durch die Medien und die Polizei, trotz der Hinweise der Geldinstitute, dass sie nie Zugangscodes per Mail verlangen, finden die Betrüger genügend Opfer. 2006 hat das Bundeskriminalamt in Österreich 381 Fälle von Phishing registriert. Dabei versuchten die Täter, rund eine Million Euro von fremden Konten an sich zu bringen. Der Dunkelziffer dürfte laut Insidern durchaus höher sein, denn nicht immer wird die Polizei eingeschaltet. "Die Banken sind zurückhaltend, wenn wir nach Schäden fragen", erklärte etwa Kriminalhauptkommissar Mirko Manske vom deutschen BKA bei einer Pressekonferenz. Schadensmeldungen verunsichern die Kunden und verschlechtern das Image der betroffenen Kreditinstitute.
In Großbritannien hat das House of Lords in seinem Bericht zu dem Thema „Personal Internet Security“ unter anderem zu Phishing und Identitätsdiebstahl Stellung genommen. Der Bericht enthält alarmierende Informationen, nicht zuletzt zu den durch Phishing und Identitätsdiebstahl verursachten Schäden.
Der US-Amerikaner Jacob Vincent Green-Bessler aus Tucson im US-Bundesstaat Arizona wurde kürzlich wegen Kreditkartenbetrugs und Identitätsdiebstahl zu einer Haftstrafe von sieben Jahren verurteilt. Er hatte die Daten von Internetkriminellen erworben, die sie zuvor unbedarften Anwendern im Rahmen von Phishing-Versuchen stahlen.
Derzeit kursieren gefälschte E-Mail-Nachrichten des Internet-Auktionshauses eBay, die dem Empfänger ein Geschenk versprechen. Beim Klick auf den angegebenen Link landet der User laut den Antivirus-Experten von G Data auf einer Webseite, die einen hinterlistigen Trojaner-Downloader auf dem Rechner installiert.Absender der E-Mail scheint aufgrund der Adresse fun@ebay.de tatsächlich die Domäne des Auktionshauses zu sein. Auch der angegebene Link http://cgi.ebay.de/ws/eBayISAPI.dll[…] verweist angeblich auf eine rechtmäßige URL. In der html-Ansicht der Nachricht wird allerdings deutlich, dass sie den User auf eine Geocities-Webseite locken soll.
Keine zehn Jahre ist es her, dass der berüchtigte "Spam-König" Sanford Wallace versprach, sich umbesonnen zu haben: Nie wieder wolle er Internet-Anwendern unerwünschte Werbe-Mails senden. Jetzt hat ihn eine Bezirksrichterin in Los Angeles von MySpace ausgeschlossen – wegen Spamming. Die MySpace-Betreiber hatten dort im März eine Klage eingereicht. Wallace hatte sich per Password-Phishing unberechtigten Zugang zu MySpace-Konten verschafft und unter deren Namen Spam-Nachrichten an andere Mitglieder verschickt. Mehr bei www.heise.de.
IT-Sicherheit spielt auch bei kleineren Firmen eine wichtige Rolle, allerdings meist nur in der Theorie, so die jüngste Studie des Security-Experten Websense. In der Praxis endet der Schutz oft schon bei Fire¬wall und Virenscanner und ist damit ziemlich lückenhaft. Wie die aktuelle Studie von Websense zeigt, sind kleine und mittlere Unternehmen generell sehr schlecht auf IT-Sicherheitsrisiken vorbereitet. Für eine Studie von Websense wurden 750 IT-Manager und andere IT-Angestellte in fünf europäischen Ländern befragt.
Shop-und-Service warnt vor einer Phishing-Methode. eBay Power Seller werden von Phishern gezielt angegriffen. Im Gegensatz zum klassischen Phishing, bei dem, wie bei Spam, dieselbe E-Mail an tausende Empfänger verschickt wurde, werden bei der neuen Methode einzelne lukrative Ziele recherchiert und mit E-Mails, die gezielt auf ein echtes Angebot des Opfers Bezug nehmen, angegriffen. Diese neue Variante ist als sehr gefährlich einzustufen, da sie Angriffsmails beinahe perfekt ausgearbeitet sind, über die eBay-Funktion „Frage an den Verkäufer“ generiert werden und in Folge dessen echt wirken. Weitere Informationen finden Sie bei Shop-und-Service.
Bankenseiten weisen nach wie vor Schwachstellen auf: Der Internetauftritt sparkasse.de zeigte sich für Frame-Spoofing verwundbar, mit dem es möglich war, den im Internet Explorer dargestellten Inhalt zu manipulieren. Phisher hätten dies für ihre Zwecke missbrauchen können, um Bankkunden glauben zu lassen, eine angezeigte Abfrage von PIN und TAN stamme von der Bank. Nach der Benachrichtigung durch heise Security wurde das Problem behoben, allerdings nutzten immer noch weitere Seiten Frames auf sparkasse.de, mit denen sich im Internet Explorer 6 Inhalte austauschen ließen. Dazu gehört unter anderem finanzen.sparkasse.de.