Lassen Sie sich nicht ködern!

Phishing ist der Versuch, jemanden durch einen Trick dazu zu bringen, wertvolle persönliche Angaben online preiszugeben. Dabei kann es sich um Kreditkartennummern, Kennwörter und andere Kontodaten handeln. Bereits seit Mitte der neunziger Jahre versenden Phisher zahllose betrügerische E-Mail-Nachrichten in der Hoffnung, einige ahnungslose Opfer zu verführen.

Der Betrug beginnt, wenn Sie eine E-Mail-Nachricht erhalten, die von einem vertrauenswürdigen, seriösen Unternehmen zu stammen scheint. Häufig sind dies eBay, PayPal, Amazon.com oder eine bekannte Bank. In der Nachricht geht es häufig um ein dringendes Anliegen im Zusammenhang mit Ihrem Konto. Wenn Sie auf den angegebenen Link klicken, werden Sie zu einer Website geleitet, die wie eine offizielle Unternehmenswebsite aussieht. Tatsächlich ist es aber eine gefälschte Website, die den Trickbetrügern gehört. Sie werden aufgefordert, Ihre persönlichen Daten in ein Formular einzugeben.

Auch wenn Sie Ihre persönlichen Angaben nicht preisgeben, kann bereits der Besuch der gefälschten Website gefährlich sein. Die Website könnte versuchen, Schadsoftware auf Ihrem Computer zu installieren. Dazu gehören Keylogger und Trojanische Pferde, mit denen die Betrüger die gewünschten Informationen auf anderem Wege bekommen.

Häufig wurde mir von Phishingopfern erzählt, dass sie überrascht waren, wie "echt" Phishing tatsächlich wirkt. Letzte Woche habe ich gehört, wie sich ein Buchhalter für das Klicken auf einen Phishinglink mit der Bemerkung rechtfertigte: "Sie haben mir eine Rechnung geschickt, was hätte ich sonst machen sollen?" Untersuchen wir einmal eine Phishing-E-Mail, die ich kürzlich erhalten habe, damit Sie sehen können, wie echt diese Nachrichten aussehen können. Ich habe diese spezielle Nachricht ausgewählt, da der betroffene Anbieter, eBay, zusätzliche Maßnahmen ergriffen hat, um uns vor solchem Schwindel zu schützen. Ich gehe darauf weiter unten in dieser Kolumne noch genauer ein.

Diese E-Mail sieht echt aus, ist aber eine Fälschung

In diesem Beispiel sieht die E-Mail-Adresse des Absenders seriös aus, und es scheint sich um eine echte Nachricht zu handeln. Ich habe schon eine Zeit lang nichts mehr über eBay verkauft. Aber wie kann ich sicher sein, dass niemand meine Kontodaten gestohlen hat oder dass kein Fehler passiert ist?

Sehen wir uns etwas Verdächtiges genauer an: den Link in der Nachricht. Wenn ich den Mauszeiger über die Schaltfläche zum Antworten bewege, wird auf der Statusleiste unten in der Nachricht eine URL (Websiteadresse) angezeigt (in einigen E-Mail-Programmen erscheint die URL in einem Popupfeld). Überraschenderweise gehört die IP-Adresse in der URL, 83.234.183.44, zu einem Server in Samara, Russland, obwohl in der Nachricht vorgegeben wird, sie stamme von eBay in den USA. Dies ist ein eindeutiges Indiz dafür, dass die Nachricht gar nicht von eBay ist. Darüber hinaus wird für die meisten seriösen Websites keine IP-Adresse im ersten Teil der URL verwendet: eine weitere Warnung.

Wenn Sie regelmäßig mit einem Onlineshop oder einer Bank zu tun haben, sollten Sie sich über die jeweiligen E-Mail-Richtlinien informieren, sodass Sie Phishingnachrichten besser identifizieren können. Beispielsweise bittet eBay Sie nie per E-Mail um persönliche Informationen (sehen Sie sich dazu das Lernprogramm zu gefälschten E-Mails (möglicherweise in englischer Sprache) auf der eBay-Website an). Weitere Tipps zum Erkennen von Phishing-E-Mail finden Sie unter Erkennen von Phishingversuchen und betrügerischen E-Mails (möglicherweise in englischer Sprache) auf der Microsoft-Website.

Ich möchte Ihnen zeigen, was in Internet Explorer 7 geschieht, wenn Sie auf einen Link in einer Phishingnachricht klicken, deshalb klicke ich auf die Schaltfläche zum Antworten in der gefälschten eBay-Nachricht. (Warnung: Sie sollten dieses Experiment sicherheitshalber nicht mit eigenen Phishing-E-Mails nachmachen. Der von mir verwendete Computer verfügt über einen aktuellen Schutz vor Viren und Schadsoftware. Darüber hinaus gehen mir keine Daten verloren, falls etwas schief geht und ich den Computer neu formatieren muss.)

Wenn ich auf die Schaltfläche klicke, werde ich sofort von Internet Explorer gewarnt, dass ich eine gemeldete Phishingwebsite besuche, und die Adressleiste wird rot. Das ist der Phishingfilter in Aktion. Als eine Neuerung in Internet Explorer 7 blockiert der Phishingfilter automatisch den Zugriff auf bekannte unsichere Websites, und Sie werden gewarnt, wenn Sie verdächtige Websites besuchen. Die Funktionsweise werde ich gleich näher ausführen.

Wenn Sie diese Seite sehen, beachten Sie bitte die Warnung!

Vor dem Hintergrund, dass ich einen sehr gut geschützten Computer verwende, dass dies alles im Interesse der Wissenschaft ist und dass es wirklich keine Rolle spielt, wenn sich der Computer in Rauch auflöst, klicke ich auf "Laden dieser Website fortsetzen (nicht empfohlen)". In Internet Explorer wird die Phishingwebsite geöffnet, die sich als eine bemerkenswert gute Kopie der Anmeldeseite von eBay erweist. Jeder einzelne Hyperlink auf der Seite verweist auf eine echte eBay-Seite. Es ist sogar ein TRUSTe-Logo für die Datenschutzerklärung der Website abgebildet. Der einzige Zweck dieser gefälschten Website ist es, die eingegebene ID und das Kennwort aller eBay-Benutzer zu erfassen.

Was haben wir vor uns, wenn wir von der roten Adressleiste mal absehen? Eine nahezu perfekte Kopie einer eBay-Seite

Nachdem ich so weit gekommen bin, kann ich es auch zu Ende bringen. Ich gebe eine falsche Benutzer-ID und ein Kennwort ein (alles wird akzeptiert) und klicke auf die Schaltfläche für die sichere Anmeldung. Auf Umwegen gelange ich auf die echte eBay-Website.

Wie geschickt! Jetzt, wo die Betrüger meinen Benutzernamen und mein Kennwort kennen, schieben sie mich auf die echte eBay-Website ab. Ende des Phishings.

Häufig gibt es auf Phishingwebsites Hinweise, die die Besucher alarmieren können, dass nicht alles mit rechten Dingen zugeht. Manchmal sind die Hinweise jedoch so raffiniert, dass sie nur mit entsprechender Erfahrung entdeckt werden können. Der Phishingfilter in Internet Explorer 7 kann uns schützen, indem wir mit auffälligen visuellen Signalen vor gefährlichen Websites gewarnt werden.

Wenn der Phishingfilter aktiviert ist, werden Phishingwebsites mithilfe einer Kombination von Analysen in Echtzeit und Vergleichen mit Listen bekannter sicherer und unsicherer Websites ermittelt. Und das funktioniert wie folgt.

• Liste sicherer Websites. Wenn Sie zu einer Website surfen, überprüft der Phishingfilter zuerst eine Liste sicherer Websites, die lokal auf Ihrem Computer gespeichert ist. Die Liste enthält die Websites mit den meisten Aufrufen in wichtigen Märkten weltweit. Diese Websites werden von Quellen wie Nielsen NetRatings und internen Microsoft-Daten identifiziert. Ist die URL in dieser Liste enthalten, führt der Phishingfilter keinen weiteren Schritt aus, und Internet Explorer öffnet die Website. Die Liste sicherer Websites bleibt mithilfe von Windows Update auf dem neusten Stand.

• Liste von Phishingwebsites. Ist eine Website nicht in der Liste sicherer Websites oder in einem lokalen Cache zuvor überprüfter Websites enthalten, wird sie mit dem Microsoft-Zuverlässigkeitsdienst für URLs geprüft, dem Backbone des Phishingfilters. Dieser Dienst umfasst eine Liste bekannter Phishingwebsites, die mindestens stündlich mit Berichten von Microsoft-fremden Datenanbietern und von normalen Benutzern aktualisiert wird. Ist die URL auf der Liste, blockiert Internet Explorer den Zugriff auf die Website, zeigt eine Warnungswebsite an und färbt die Adressleiste rot.

• Analysen in Echtzeit. Wenn eine Website nicht als sichere Website oder Phishingwebsite identifiziert wird und wenn die Website nicht zur Sicherheitszone Vertrauenswürdige Websites oder einer lokalen Intranetzone gehört, analysiert der Phishingfilter die Website anhand heuristischer Methoden. Dabei wird festgestellt, ob die Website typische Merkmale von Phishingwebsites aufweist. Ist die Website verdächtig, zeigt Internet Explorer eine Warnung an und färbt die Adressleiste gelb. Der Zugriff auf die Website wird jedoch nicht blockiert.

Achtung! Seien Sie vorsichtig! Betrug ist möglich!

Der Phishingfilter ist in Internet Explorer 7 integriert, die automatische Überprüfung (das Vergleichen von Websites, die Sie besuchen, mit der Liste bekannter Phishingwebsite) ist allerdings nicht standardmäßig aktiviert. Sofern Sie nicht die automatische Überprüfung bei der ersten Verwendung von Internet Explorer 7 aktivieren, verhält sich der Phishingfilter ruhig, bis Sie eine Website besuchen, die nicht auf der Liste sicherer Websites enthalten ist. Sogar dann müssen Sie eine spezielle Berechtigung erteilen, bevor Internet Explorer URL-Daten überträgt. (Weitere Informationen zum Phishingfilter und zum Datenschutz finden Sie im Abschnitt "Phishingfilter" der Datenschutzbestimmungen für Internet Explorer 7 auf der Microsoft-Website.)

Sie sollten den Phishingfilter so einrichten, dass er Websites automatisch überprüft.

Sie können den Phishingfilter jederzeit ein- oder ausschalten. Klicken Sie im Menü Extras auf Phishingfilter und dann auf Automatische Websiteprüfung einschalten (oder ausschalten). Klicken Sie auf die gewünschte Option, und klicken Sie anschließend auf OK.

Wenn Sie es vorziehen, die automatische Überprüfung auszuschalten, können Sie Websites trotzdem von Fall zu Fall überprüfen. Klicken Sie auf das Symbol für den Phishingfilter auf der Statusleiste, und klicken Sie dann auf Diese Website überprüfen.

Einen großen Anteil am Erfolg des Phishingfilters haben die Millionen von Internet Explorer 7-Benutzern, die Microsoft potenzielle Phishingwebsites direkt melden können. Jede gemeldete Website wird von einem Mitarbeiter überprüft. Wenn sie sich als Phishingwebsite herausstellt, wird sie binnen Stunden dem Zuverlässigkeitsdienst für URLs hinzugefügt.

Um Microsoft eine potenzielle Phishingwebsite zu melden, klicken Sie im Menü Extras auf Phishingfilter und dann auf Diese Website melden. Ein neues Browserfenster wird geöffnet. Befolgen Sie die Anweisungen auf der Seite, um die URL zu übermitteln. Sie können mit dieser Methode auch Websites melden, von denen Sie annehmen, dass sie fälschlicherweise blockiert oder als verdächtig gekennzeichnet sind.

Melden Sie potenzielle Phishingwebsites – es ist ein gutes Gefühl, einen Sieg gegen die Betrüger zu erringen

Damit Sie einen Eindruck davon bekommen, welchen Einfluss die Berichte der Benutzer haben können, sehen wir uns einige Statistiken an. Seit Juni 2006, noch bevor Internet Explorer 7 veröffentlicht wurde, wurden monatlich 6.000 bestätigte Phishingwebsites dem Zuverlässigkeitsdienst für URLs hinzugefügt. Internet Explorer 7 wurde im Oktober 2006 veröffentlicht und bis Januar 2007 mehr als 100 Millionen Mal installiert. Bis März 2007 ist die Anzahl bestätigter Phishingwebsites, die dem Zuverlässigkeitsdienst für URLs hinzugefügt werden, auf 10.000 Phishingwebsites pro Woche gestiegen.

Bekannte Finanzwebsites wie eBay, PayPal und größere Banken stellen weiterhin das häufigste Ziel von Phishingversuchen dar, obwohl inzwischen auch andere Websites, darunter Websites für soziale Netzwerke und webbasierte E-Mail-Anbieter, davon betroffen sind. Es ist nicht möglich, wirklich alle Phishingwebsites zu finden und zu blockieren. Einzelne Websites können jedoch ihre Vertrauenswürdigkeit über eine branchenweite Initiative namens Extended Validation SSL (Secure Socket Layer)-Zertifikate oder EV-Zertifikate belegen.

Die EV-Zertifikate werden für eine Website ausgestellt, nachdem der Websitebesitzer strenge Prüfungen der rechtlichen Identität und der Geschäftslizenzen bestanden hat. Wenn Sie also eine Website mit einem EV-Zertifikat besuchen, können Sie sicher sein, dass es sich um eine seriöse Website handelt, hinter der ein richtiges Unternehmen steht. In Internet Explorer 7 werden Sie mit einer grünen Adressleiste darauf hingewiesen, dass Sie sich auf einer Website mit EV-Zertifikat befinden. Darüber hinaus wird auf der rechten Seite der Adressleiste abwechselnd der Name des Websiteinhabers und der Name der Zertifizierungsstelle angezeigt.

Wie bei Ampeln bedeutet grün, dass wir freie Fahrt haben

Verschiedene wichtige Websites nutzen jetzt EV-Zertifikate auf ihren Anmeldeseiten, u. a. eBay, PayPal, SecureTrust und GoDaddy. Weitere Informationen finden Sie auf der Seite für Extended Validation SSL-Zertifikate auf der Microsoft-Website.

Ich gehe davon aus, dass die Problematik des Phishings mit der Zeit nachlassen wird, da der Phishingfilter immer effektiver wird, immer mehr Menschen Phishingwebsites melden und immer mehr Websites mit EV-Zertifikaten für die Besucher ihre Identität belegen. Die Betrüger werden nicht verschwinden und zweifellos neue Tricks ausprobieren, aber es ist nicht mehr so leicht für sie, von der Unachtsamkeit der Benutzer zu pofitieren.

Informationen zur Autorin

Sandi Hardmeier ist ein Microsoft MVP (Most Valuable Professional) und hat sich auf Internet Explorer, Outlook Express und Windows Mail spezialisiert. Sie ist IT-Koordinator für eine Anwaltskanzlei sowie Besitzerin der Website www.ie-vista.com (möglicherweise in englischer Sprache), der allerersten Supportwebsite speziell für Internet Explorer 7.

Möchten Sie diesem Kolumnisten einen Kommentar zukommen lassen? Geben Sie Ihr Feedback mithilfe des folgenden Tools ein. (Das Kommentarfeld wird angezeigt, nachdem Sie auf eine der Schaltflächen geklickt haben.) Der Kolumnist liest Ihr Feedback, aber haben Sie bitte Verständnis dafür, dass er aufgrund der vielen Rückmeldungen nicht persönlich antworten kann.