Internet-Sicherheit

Wirksamere Methoden der Phisher

Betrüger finden gültige Adressen durch massenhafte E-Mail-Registrierungen
Von Björn Brodersen

Das amerikanische IT-Sicherheitsunternehmen Blue Security [Link entfernt] warnt vor neuen Phishing-Methoden, mit denen persönliche Daten von unbedarften Internetnutzerna erschlichen werden können. Bei der ersten Variante der Angriffe, den so genannten "Registration Attacks", registrieren die Phisher über automatisierte Scripts Tausende von fingierten E-Mail-Adressen auf Websites von Banken oder Online-Händlern. Erhalten sie die Rückmeldung, dass die E-Mail-Adressen bereits registriert sind, haben sie die Bestätigung, dass die verwendete Adresse gültig ist. Auch mit Hilfe der zweiten Variante, den so genannten "Password Reminder Attacks", können die Betrüger gültige E-Mail-Adressen herausfinden, indem sie vorgeben, ihr Passwort für den Internetdienst-Zugang vergessen zu haben. Die Bestätigung liefert hier die Antwort "Wir haben Ihnen das Passwort erneut zugesandt".

Durch diese Tricks können die Phisher nach Angaben von Blue Security nicht nur E-Mail-Adressen und Passwörter von Internetnutzern sammeln, sondern durch die Art der Webseiten, bei denen sich ein User angemeldet hat, auch Benutzerprofile zu bestimmten E-Mail-Adressen erstellen. Blue Security spricht deshalb auch allgemein von "feindlichem Profil-Erstellen" ("Hostile Profiling"). Damit können die Betrüger ihre Phishing-E-Mails oder Spammer ihre unerwünschten Werbe-Mails gezielter und möglicherweise wirksamer absetzen.

Acht der zehn amerikanischen Top-Websites waren anfällig

Beispielsweise sei es wahrscheinlich, dass Besucher von Online-Shops dort per Kreditkarte einkaufen gehen, erklärt Eran Reshef, CEO des kalifornischen Sicherheitsunternehmens. Diesen Usern werde dann eine vermeintlich von einem Kreditkartenunternehmen stammende E-Mail zugesandt, mit der der E-Mail-Empfänger zur Preisgabe von persönlichen Daten verleitet werden soll. In einem Test hat Blue Security herausgefunden, dass acht der zehn meistbesuchten Websites in den USA anfällig für "Hostile Profiling" sind. Schwachstelle sei dabei, dass Banken und Online-Händler E-Mail-Adressen als Identifikation akzeptieren.

Einige amerikanische Websites haben laut Blue Security bereits Maßnahmen ergriffen, die es den Phishern erschweren sollen, massenhaft E-Mail-Zugänge zu eröffnen. Beispielsweise müssen in einigen Fällen für jede Registrierung auch Informationen für die Rechnungslegung angegeben werden. In anderen Fällen müssen die User dafür eine Grafik auslesen und das entsprechende Wort in das Anmeldeformular eingeben (CAPTCHA). Weitere Informationen zur Sicherheit im Internet finden Sie in unserem Ratgeber.