Content Security-Spezialist SurfControl warnt vor einer neuen Vorgehensweise beim Phishing, der selbst erfahrene und vorsichtige Email-Nutzer zum Opfer fallen können. Die Spezialisten von SurfControl haben eine betrügerische Technik entdeckt, welche Fehler in den Websites von Banken wie der SunTrust Bank oder der Citibank Australien ausnutzt. Dabei ersetzen Phisher den legitimen Inhalt der Citibank‑ und SunTrust-Websites durch einen gefälschten Inhalt, wobei jedoch die URL-Adresse der Geldinstitute beibehalten wird. Durch diese Vorgehensweise ist es selbst für kundige Computerbenutzer nahezu unmöglich, den Unterschied zwischen echter und gefälschter Website zu erkennen.
Unter Ausnutzung eines Fehlers im Such-Skript der Online-Banking-Seiten wird eine Javascript-Seite gestartet, die an Stelle der legitimen Citibank‑ oder SunTrust-Website die Phishing-Site auf dem Bildschirm erscheinen lässt. Das Erscheinungsbild dieser gefälschten Webseiten entspricht exakt demjenigen der Citibank‑ bzw. SunTrust-Websites.
„Dies ist zweifellos eine der ausgefeiltesten Phishing-Techniken, mit denen wir es je zu tun hatten“, sagt Gernot Huber, Marketing Manager bei SurfControl. „Bisher hatte ein informierter Computernutzer die Chance, eine verdächtige URL zu erkennen, wenn er genügend Vorsicht walten ließ. Erschreckend ist auch, dass die Betrüger immer mehr Wege nutzen, um an ihre Opfer zu gelangen – sei es via Internet, Email, Instant Messaging oder Peer-to-Peer-Kommunikation.“
Schon etwa acht Prozent der Spam-Fingerprints in der SurfControl-Datenbank sind mittlerweile Phishing-Emails. Seit Januar 2004 bedeutet das eine Steigerung um 1.200 Prozent. SurfControl bedient sich einer ganzen Reihe von Erkennungs-Technologien, um weltweit rund um die Uhr nach Scams, Spams, Viren und anderen schädlichen Inhalten zu suchen, bevor sich diese ausbreiten können. Da die globalen Content-Security-Teams ständig das Internet nach neuen Bedrohungen scannen, ist SurfControl in der Lage, etwaige Bedrohungen früher als andere zu erkennen und bezüglich ihres Gefahrenpotenzials einzuschätzen bzw. Abwehrmaßnahmen zu ergreifen.
SurfControl rät zu folgende Maßnahmen, um sich vor Phishing und Online-Scams zu schützen:
- Niemals auf eine unaufgefordert eintreffende Email hin vertrauliche Informationen preisgeben. Wenn Zweifel bezüglich der Legitimität einer Mail bestehen, sollte direkt mit der betreffenden Firma Kontakt aufgenommen werden.
- Niemals einen Link in einer unaufgefordert eintreffenden Email anklicken. Schon das bloße Aufrufen einer Website kann eine ganze Serie von IT-Risiken auslösen.
- Eindeutige Nutzungsregelungen für die Mitarbeiter einführen, welche die am Arbeitsplatz zulässigen Web-Inhalte klar definieren – vor allem auch zum Schutz der Mitarbeiter.
- Virenabwehr‑ und Betriebssystem-Software stets auf dem neuesten Stand halten.
- Regelmäßig das Informationsangebot von Internet‑ und Spam-Sicherheits-Anbietern nutzen (z.B. die SurfControl Network Risk Alerts).
Unter Ausnutzung eines Fehlers im Such-Skript der Online-Banking-Seiten wird eine Javascript-Seite gestartet, die an Stelle der legitimen Citibank‑ oder SunTrust-Website die Phishing-Site auf dem Bildschirm erscheinen lässt. Das Erscheinungsbild dieser gefälschten Webseiten entspricht exakt demjenigen der Citibank‑ bzw. SunTrust-Websites.
„Dies ist zweifellos eine der ausgefeiltesten Phishing-Techniken, mit denen wir es je zu tun hatten“, sagt Gernot Huber, Marketing Manager bei SurfControl. „Bisher hatte ein informierter Computernutzer die Chance, eine verdächtige URL zu erkennen, wenn er genügend Vorsicht walten ließ. Erschreckend ist auch, dass die Betrüger immer mehr Wege nutzen, um an ihre Opfer zu gelangen – sei es via Internet, Email, Instant Messaging oder Peer-to-Peer-Kommunikation.“
Schon etwa acht Prozent der Spam-Fingerprints in der SurfControl-Datenbank sind mittlerweile Phishing-Emails. Seit Januar 2004 bedeutet das eine Steigerung um 1.200 Prozent. SurfControl bedient sich einer ganzen Reihe von Erkennungs-Technologien, um weltweit rund um die Uhr nach Scams, Spams, Viren und anderen schädlichen Inhalten zu suchen, bevor sich diese ausbreiten können. Da die globalen Content-Security-Teams ständig das Internet nach neuen Bedrohungen scannen, ist SurfControl in der Lage, etwaige Bedrohungen früher als andere zu erkennen und bezüglich ihres Gefahrenpotenzials einzuschätzen bzw. Abwehrmaßnahmen zu ergreifen.
SurfControl rät zu folgende Maßnahmen, um sich vor Phishing und Online-Scams zu schützen:
- Niemals auf eine unaufgefordert eintreffende Email hin vertrauliche Informationen preisgeben. Wenn Zweifel bezüglich der Legitimität einer Mail bestehen, sollte direkt mit der betreffenden Firma Kontakt aufgenommen werden.
- Niemals einen Link in einer unaufgefordert eintreffenden Email anklicken. Schon das bloße Aufrufen einer Website kann eine ganze Serie von IT-Risiken auslösen.
- Eindeutige Nutzungsregelungen für die Mitarbeiter einführen, welche die am Arbeitsplatz zulässigen Web-Inhalte klar definieren – vor allem auch zum Schutz der Mitarbeiter.
- Virenabwehr‑ und Betriebssystem-Software stets auf dem neuesten Stand halten.
- Regelmäßig das Informationsangebot von Internet‑ und Spam-Sicherheits-Anbietern nutzen (z.B. die SurfControl Network Risk Alerts).
