Von *Horst Joepen
Phishing ist eine der aktuellsten Gefahren im Internet. Laut einer Gartner Studie stieg die Anzahl der Phishing-Attacken um über 50 Prozent im letzten Jahr. Auch in Deutschland sind Kunden bekannter Unternehmen wie eBay und Postbank Opfer solcher Tricks gewesen.
Wie funktioniert Phishing?
Seriös wirkende E-Mails werden allem Anschein nach von einer vertrauenswürdigen Quelle verschickt. Darin wird der Empfänger aufgefordert, seine persönlichen Daten zu aktualisieren. Ein Link in der E-Mail leitet den Empfänger auf eine Website mit einer scheinbar regulären URL. Dort soll der Nutzer vertrauliche Informationen wie Passwörter, Kontonummer, Zugangsdaten oder Kreditkartennummer bestätigen.
Die Website ist allerdings eine gefälschte, und die Informationen gehen nicht an die angegebene vertrauenswürdige Quelle, sondern an Unbekannte, die diese persönlichen Daten für ihre eigenen Zwecke verwenden.
Natürlich ist der beste Schutz, grundsätzlich keine persönlichen Daten wie Passwörter oder Kontonummer über das Internet zu verschicken. Der häufigste proaktive Schutzmechanismus sind URL-Filter. Da Phishing-Attacken über E-Mails gefahren werden, können solche Filter aber erst eingreifen, wenn der Anwender auf den Link klickt.
Mehrere Filter notwendig
Ein Filter allein ist zuwenig gegen Phishing, zu raffiniert sind die heutigen Angreifer aus dem Netz. Zu empfehlen ist eine mehrstufige Strategie. Zuallererst fängt ein Spam-Filter bereits am Gateway alle verdächtigen Massen-Mails ab. Sollte eine Phishing-E-Mail trotzdem durchkommen und der Link angeklickt werden, blockt anschließen der URL-Filter alle bekannte Phishing-Sites ab.
Angesichts der steigenden Anzahl solcher Websites sollte diese URL-Datenbank natürlich fortlaufend aktualisiert werden.
Zu guter Letzt bringt ein SSL-Scanner eine weitere Sicherheitsstufe. Damit wird der Datenverkehr auf sichere Verschlüsselung mit einem vertrauenswürdigen, akzeptierten und gültigen Zertifikat überprüft - was bei Phishing-Attacken nicht der Fall ist.
* Der Autor dieses Artikels, Dr. Horst Joepen, ist CEO der Webwasher AG