Home » Home » Informationen » Glossar » Phishing
Phishing
Phishing [ˈfɪʃɪŋ] werden Versuche genannt, über gefälschte WWW-Adressen Daten eines Internet-Benutzers zu erlangen. Der Begriff ist ein englisches Wortspiel, das sich an fishing („Angeln“, „Fischen“,), evtl. in Anlehnung an Phreaking auch password fishing, bildlich das „Angeln nach Passwörtern mit Ködern“, anlehnt.
Es handelt sich meist um kriminelle Handlungen, die Techniken des Social Engineering verwenden. Phisher geben sich als vertrauenswürdige Personen aus und versuchen, durch gefälschte elektronische Nachrichten an sensible Daten wie Benutzernamen und Passwörter für Online-Banking oder Kreditkarteninformationen zu gelangen. Phishing-Nachrichten werden meist per E-Mail oder Instant Messaging versandt und fordern den Empfänger auf, auf einer präparierten Webseite oder am Telefon geheime Zugangsdaten preiszugeben. Versuche, der wachsenden Anzahl an Phishing-Versuchen Herr zu werden, setzen unter anderem auf geänderte Rechtsprechung, Anwendertraining und technische Hilfsmittel.
Der erste dokumentierte Phishing-Versuch fand am 2. Januar 1996 in der Usenet Newsgroup alt.online-service.america-online statt, der Begriff Phishing tauchte jedoch möglicherweise bereits zuvor in der Druckausgabe des Hacker-Magazins 2600 auf. Die verbreitete Theorie, nach der Phishing ein Kofferwort aus password harvesting ist, ist ein Beispiel für Volksetymologie.
Der Urheber einer Phishing-Attacke schickt seinem Opfer offiziell wirkende Schreiben als E-Mail, die es verleiten sollen, vertrauliche Informationen, vor allem Benutzernamen und Passwörter oder PIN und TAN von Online-Banking-Zugängen, im guten Glauben dem Täter preiszugeben. Übergibt der Besucher korrekte Daten, kann der Betrüger mit der abgefangenen PIN und TAN eine Geldüberweisung zulasten des Opfers tätigen.
Phishing-Angriffsziele sind Zugangsdaten, z. B. für Banken (Onlinebanking) oder Bezahlsysteme (z. B. PayPal), Versandhäuser, Internet-Auktionshäuser, webbasierende Onlineberatungen oder Kontaktportale. Mit den gestohlenen Zugangsdaten kann der Urheber der Phishing-Attacke die Identität seines Opfers übernehmen (Identity Theft) und in dessen Namen Handlungen ausführen. Durch den Missbrauch der persönlichen Daten entstehen beträchtliche Schäden in Form von Vermögensschäden (z. B. Überweisung von Geldbeträgen fremder Konten), Rufschädigung (z. B. Versteigerung gestohlener Waren unter fremdem Namen bei Online-Auktionen) oder Schäden durch Aufwendungen für Aufklärung und Wiedergutmachung. Über die Höhe der Schäden gibt es nur Schätzungen, die zwischen mehreren hundert Millionen Dollar und Milliarden-Beträgen variieren (Stand: Februar 2005).
Eine neuere Variante des Phishing wird auch als Spear-Phishing bezeichnet (abgeleitet von der englischen Übersetzung des Begriffs „Speer“), worunter ein gezielter Angriff zu verstehen ist. Hierbei beschafft sich der Angreifer z. B. über die Studentenvertretung einer Hochschule die Mailadressen der dort eingeschriebenen Studenten, um an diese gezielt eine Phishing Mail einer lokal ansässigen Bank oder Sparkasse zu übersenden. Die "Trefferquote" bei dieser Art von Phishing-Attacken ist ungleich höher als bei normalen Angriffen, da die Wahrscheinlichkeit, dass ein Student seine Bankverbindung bei diesem Institut unterhält, sehr hoch ist.
Eine weiterentwickelte Form des klassischen Phishing ist das Pharming.