(openPR) - Der Trickbetrug im Internet wird 10 Jahre alt
- Jede 20ste Phishing-Mail erfüllt ihren Zweck
KASSEL/ATLANTA, 8. Mai 2006 - Wie die X-Force, das 120-köpfige Forschungs- und Entwicklungsteam von Internet Security Systems (ISS) berichtet, feiert das Phishing dieses Jahr sein zehnjähriges Jubiläum. Was 1996 zunächst mit einem „Böse-Jungen-Streich“ begann, avancierte im Laufe der Jahre zu einer hochorganisierten Form der internationalen Kriminalität. Dabei steht vor allem die finanzielle Bereicherung im Vordergrund, demnach kaum verwunderlich, dass inzwischen auch das Thema Geldwäsche im Zusammenhang mit Phishing einen neuen Stellenwert erfährt. Aber auch Unternehmen einen wirtschaftlichen Schaden oder einen Imageverlust zuzufügen, spielt bei den Aktivitäten der Internetkriminellen nach wie vor eine signifikante Rolle. Auch für 2006 prophezeit Internet Security Systems keine Abnahme der Phishing-Angriffe. Vielmehr befürchtet das Unternehmen eine starke Zunahme neuer Angriffsformen wie des „Spear Phishings“. Bei dieser gezielten Form des Betrugs, die sich Social-Engineering-Techniken zu Nutze macht, geht es vor allem darauf, die Kontrolle über gesamte Netzwerke zu erlangen.
Wie alles begann ...: Eine Zeitreise
Der Begriff „Phishing“ wird erstmals geprägt, als Hacker 1996 die Zugangsdaten von America Online (AOL) - Teilnehmern stehlen. Ein Jahr später greift ein Computermagazin den Terminus auf und sorgt dafür, dass dieser sich als gängige Bezeichnung für diese Angriffsform durchsetzt. In den folgenden Jahren versuchen Phisher vorwiegend vertrauliche Daten über spezielle Newsgroups oder Internet-Diskussionsforen zu ergaunern. Eine beliebte Methode stellen kurz darauf Keylogger-Programme dar, die in Form von Trojaner Verbreitung finden. Diese ermöglichen Hackern, Tastatureingaben ahnungsloser Nutzer mitzuprotokollieren und damit Kenntnis über Kennwörter und PINs zu erlangen. Erst im neuen Jahrtausend beginnen Phisher mit dem Massenmail- oder URL-Versand, um Anwender auf imitierte Bankseiten zu lenken und dort ihre vertraulichen Daten „abzufischen“.
Doch damit nicht genug. Die Täter verfeinern ihre Methoden permanent und setzen auf immer ausgeklügeltere Techniken, um an vertrauliche Daten zu gelangen und diese für den eigenen finanzielle Profit zu nutzen. So entwickelt sich bis zum Jahr 2005 das „Pharming“. Bei dieser auch unter der Bezeichnung „Domain-Spoofing“ bekannten weiterentwickelten Phishing-Variante kapert der Internetpirat eine Domain und verändert über vorhandene Sicherheitslöcher in Browsern die Originaladresse. Auch im Falle der manuellen Eingabe der richtigen Internetadresse landet der Anwender somit auf der gefälschten Internetseite.
Im vergangenen Jahr tauchte mit dem „Spear Phishing“ eine weitere Betrugsvariante auf. Hierbei versenden die Täter gefälschte E-Mails gezielt an eine bestimmte Empfängergruppe - beispielsweise an sämtlich Beschäftigte eines Unternehmens - und fragen unter einem Vorwand Benutzernamen oder Kennwörter an. Erschreckend ist, dass sie dabei einen dem Opfer bekannten Absendernamen verwenden und so Vertrautheit vorgaukeln. Gehen die Angestellten ins Netz, indem sie beispielsweise auf die Nachricht antworten, beigefügte Anhänge öffnen oder auf einen angegebenen Link klicken, ist der Schaden für das Unternehmen groß.
Auch vor Angriffen auf Voice-over-IP-Umgebungen schrecken Phisher inzwischen nicht mehr zurück. Denn Infrastrukturen, die das kostengünstige Telefonieren über IP ermöglichen, sind grundsätzlich den gleichen Risiken ausgesetzt wie Datennetze. Die Umwandlung von Sprachsignalen in über das Internet übermittelbare Datenpakete leistet dem Spoofing - der Fälschung oder Vortäuschung von Identitäten - Vorschub. Somit entsteht eine neue Spielwiese für die Datenfischer, dies belegen die ersten Anfang des Jahres erfolgten Angriffe.
Was bringt die Zukunft?
Laut ISS liegt die Erfolgsquote bei Phishing-Angriffen in Spitzenzeiten bei 5 Prozent. Somit trifft jede zwanzigste Phishing-Mail ins Schwarze. Zudem werden die Techniken, um Anwender auszutricksen, immer raffinierter. Obwohl Massen-E-Mails auch künftig an der Tagesordnung sein werden, laufen nach Aussage des Sicherheitsspezialisten vor allem gezielte Angriffe auf Unternehmen diesen künftig den Rang ab. Dabei birgt vor allem die zunehmende Migration auf VoIP-Infrastrukturen besonderes Gefahrenpotenzial. „Bei der Vermittlung von Sprachsignalen über IP-Netze kommen spezifische und oftmals noch proprietäre Protokolle zum Einsatz, die spezielle Schwachstellen aufweisen. Hinzu kommt, dass jede auf dem Internet-Prototokoll basierende Angriffsform auch sofort über VoIP übertragbar sein wird. Dem lässt sich nur mit Produkten begegnen, die mögliche Sicherheitslücken kennen und die Analyse gängiger VoIP-Protokolle unterstützen. Leider sind diese noch Mangelware, so dass die verhältnismäßig junge Kommunikationstechnologie vermutlich schneller als uns lieb ist in den Fokus von Internetkriminellen gerät“, so Georg Isenbürger, der als Director Sales das Deutschlandgeschäft von ISS verantwortet. „Bedenklich ist zudem die Zunahmen gezielter Spear Phishing-Angriffe. Unternehmen sind sich den Gefahren dieser neuen Technik noch nicht in vollem Ausmaß bewusst, häufig ist ihnen nicht einmal der Begriff geläufig. Hier besteht aus unserer Sicht Aufklärungsbedarf.“
Vorsicht ist die Mutter der Porzellankiste
Um die Gefahr zu umgehen, einem Phishing-Angriff anheim zu fallen, empfiehlt Internet Security Systems, E-Mails mit unbekanntem Absender in gar keinem Fall zu öffnen. Zudem rät der Hersteller niemals auf Grund einer E-Mail-Anfrage persönliche Daten preis zu geben. Unternehmen sollten auf einen umfassenden Schutz der Systeme wert legen. Besonders vor dem Hintergrund der erwarteten steigenden Angriffe auf VoIP-Infrastrukturen gilt es, Schwachstellen, die als mögliche Einfallstore dienen können, zu ermitteln und umgehend zu schützen. Entgegen klassischer Sicherheitskonzepte, die Systeme in erster Linie vor bekannten Angriffsformen schützt, bietet ISS mit seinen Produkten und Services einen umfassenden Schutz von Schwachstellen, um Angriffsformen jeglicher Art Herr zu werden.
Kurzprofil Internet Security Systems: Global agierende Unternehmen und Regierungsbehörden vertrauen Internet Security Systems (ISS) bei der Abwehr von Internetgefahren sowie Bedrohungen in firmeneigenen Netzwerken. Dafür liefert der Hersteller ein weites Spektrum an Produkten und Services. Als eines der weltweit führenden Security-Unternehmen bietet ISS seinen Kunden kosteneffiziente Lösungen zur Minimierung von Geschäftsrisiken. Alle Lösungen basieren auf der Expertise und dem Know-how der ISS X-Force, dem Forschungs- und Entwicklungsteam. Das 1994 gegründete Unternehmen hat seinen Hauptsitz in Atlanta, USA, und ist auf allen Kontinenten vertreten. Sitz der deutschen Niederlassung ist Kassel. Mehr Informationen erhalten Sie unter www.iss.net.
X-Force: Forschung und Entwicklung „made by ISS“
ISS’ Vorsprung bei der Entwicklung leistungsstarker IT-Security-Lösungen, die Infrastrukturen jeder Größenordnung präventiv schützen, baut unter anderem auf der Arbeit des eigenen Forschungs- und Entwicklungsteams und dessen enger Zusammenarbeit mit Regierungsbehörden, Branchenverbänden und Softwareentwicklern auf. Die X-Force unterzieht Netzwerkkomponenten, Betriebssysteme, Datenbanken und weitere geschäftskritische Anwendungen kontinuierlich umfassenden Tests, um potenzielle Schwachstellen und mögliche Angriffspunkte aufzuspüren. Ebenso deckt das Team permanent mit dem Internet im Zusammenhang stehende Bedrohungspotenziale auf. Nicht zuletzt kennen die Security-Experten die Techniken genau, die Hacker nutzen, um Schädlingsprogramme zu schreiben und diese in unternehmensweite Netze einzuschleusen. Die Korrelation sämtlicher Informationen ermöglicht der X-Force Sicherheitslücken weit vor anderen auf diesem Gebiet tätigen Institutionen zu entdecken: Über die Hälfte aller zwischen 1998 und 2005 weltweit entdeckten kritischen und als äußerst risikoreich eingestuften Angriffspunkte gehen auf die Arbeit des Teams zurück. Hierzu zählen unter anderem auch die Schwachstellen, auf welche die Slammer- und Zotob-Würmer abzielten. Aber auch neue Kommunikationstechnologien wie VoIP stehen im Fokus. Beispielsweise legte die X-Force im vergangenen Jahr unter anderem die Schwachstelle in dem von Cisco Systems angebotenen Call Manager offen. Basierend auf den Forschungsergebnissen entwickelt das Team Verteidigungsmechanismen und setzt diese in entsprechende Produkt-Updates um. Kunden sind somit bereits vor neuen Angriffsformen geschützt, bevor diese allgemein bekannt werden.
Weitere Informationen:
