Die Anti-Phishing Working Group (APWG) vermeldet eine explosionsartige Zunahme von Phishing-Seiten im Internet: in ihrem Report für April 2007 vermeldet die APWG einen Anstieg der betrügerischen Internetseiten um 35.000 auf inzwischen 55.643.
Die APWG, ein Konsortium mit über 2.700 Mitgliedern wie etwa Symantec, McAfee und VeriSign, aber auch Kreditkartenunternehmen wie VISA und Mastercard, hat mit Veröffentlichung ihres April-Reports einmal mehr eindringlich vor der zunehmenden Gefahr durch Phishing gewarnt. Bei dieser Betrugsmasche werden massenhaft eMails verschickt mit der Aufforderung, einen Link anzuklicken und über die aufgerufene Internetseite persönliche Daten wie Passwörter, PINs oder TANs für Online-Überweisungen einzugeben. Die eMails sollen aufgrund ihrer graphischen Gestaltung den Empfänger in den Glauben versetzen, es handele sich beispielsweise um eine authorisierte Nachfrage der Bank des eMail-Empfängers; betroffen sind zahlreiche Großbanken wie Postbank, Raiffeisenbanken und Deutsche Bank. Wer den Link dann anklickt, auf einer ebenso täuschend nachgebauten Banken-Website landet und dort seine Daten preisgibt, ermöglicht den Betrügern, diese so für Online-Überweisungen zu missbrauchen. Waren die eMails zu Beginn noch häufig anhand ihrer zahlreichen Rechtschreibfehler leicht zu enttarnen, sind sie inzwischen oft perfekt formuliert und selbst für Experten nicht sofort zu erkennen.
Vor diesem Hntergrund müssen die aktuellen Zahlen der APWG erschrecken: neben der Zunahme der Betrugsseiten geraten immer mehr Marken, darunter vor allem US-Banken, ins Visier der Phisher; Tippfehler-Domains sollen dabei den Eindruck stützen, es handle sich um ein echtes Angebot. Die meisten Phishing-Angebote stammen dabei aus den USA. Durchschnittlich sind die Webseiten 3,8 Tage online, bevor sie wieder verschwinden oder entdeckt werden. Zu den neuesten Taktiken der Phisher zählt nach Angaben von Laura Mather dabei, möglichst viele URLs unter eine Domain zu packen, teilweise mehrere tausend. Die Phisher versprechen sich davon, die Schutzmechanismen von Internet Explorer und Firefox umgehen zu können. Das grösste Risiko, Opfer von Phishing-Angeboten zu werden, haben dabei mit 92,5 Prozent Anbieter von Finanzdienstleistungen, aber selbst Internet-Provider zählen bereits zu den geschädigten Unternehmen.
Wer sich vor Phishing schützen will, sollte als Grundregel beachten, dass seriöse Banken und Unternehmen ihre Kunden nie per eMail anschreiben und zur Eingabe ihrer persönlichen Daten auffordern. Wer eine solche eMail erhält, kann und sollte sie in der Regel also einfach löschen, oder wenigstens mit der Bank bzw. dem Unternehmen telefonisch Rücksprache halten, um die Legitimität einer eMail zu überprüfen.
Weitere Informationen findet man bei antipishing.org und BSI für Bürger.