Eine einzige Gruppe von Angreifern zeichnet für zwei Drittel der Phishing-Attacken in der zweiten Hälfte des Jahres 2009 verantwortlich. Zu diesem Ergebnis kommt die Anti-Phishing Working Group (APWG) in ihrem aktuellen Jahresbericht.
Die APWG, ein Konsortium mit über 3.200 Mitgliedern wie etwa Symantec, McAfee und VeriSign, aber auch Kreditkartenunternehmen wie VISA und Mastercard, hat mit Veröffentlichung ihres Reports für die zweite Hälfte des Jahres 2009 eindringlich vor der unverändert bestehenden Gefahr durch Phishing gewarnt. So bleibt Phishing für Cyberkriminelle unverändert attraktiv, da es mit geringen Kosten einhergeht und geringe Hürden zu überschreiten seien; gleichwohl lassen sich Millionen damit verdienen. Doch kaum jemand habe Phishing annähernd so perfektioniert wie die Operation „Avalanche“, so die APWG. Sie habe ein System zur Massenproduktion von Phishing-Angeboten geschaffen; hinter etwa 66 Prozent der 126.697 Angriffe in der zweiten Hälfte 2009 stecke diese Gruppierung. Besonders beunruhigend: gegenüber den 55.698 Angriffen in der ersten Jahreshälfte hat sich die Zahl der Angriffe damit verdoppelt; als Angriff wertet die APWG dabei eine Website, die eine einzelne Marke oder ein einzelnes Unternehmen zu Phishing-Zwecken ins Visier nimmt. Dazu wurden 28.775 Domains registiert, 4.141 wiederum allein von der „Avalanche“-Gruppe. In 22.403 Fällen gelangten die Angreifer durch Hacking oder verletzbare Webhoster in den Besitz der Domains.
Unter den Top Level Domains bleiben mit .be, .com, .eu, .net und .uk fünf Endungen die Favoriten bei den Phishern, wobei auf die letzten vier 76 Prozent aller Angriffe entfielen. Unter den Länderendungen führt Thailand (.th) vor Korea (.kr) und Irland (.ie), Deutschland spielt keine nennenswerte Rolle. Vor allem die vermeintlich besonders vertrauenswürdige thailändische Regierungsdomain .go.th ist bei Phishern beliebt. Dabei scheinen die Phisher das Interesse an Kennzeichenrechtsverletzungen zu verlieren: lediglich 3,6 Prozent der untersuchten Adressen nutzten eine Marke, um durch Täuschung die Echtheit eines Angebots zu suggerieren. Das proaktive Scannen registrierter Domains nach Rechtsverletzungen und ihre Verfolgung scheint Markeninhabern daher ein effektives Hilfsmittel gegen Phishing geworden zu sein. Gleichwohl setzt man auf Marken, die nun aber verstärkt in Subdomains und Unterverzeichnissen eingesetzt worden, um so Seriösität zu vermitteln. Bisher uninteressant für Phisher sind IDNs, was sich allerdings mit deren zunehmender Verbreitung ändern dürfte; wie die homographische Angriffe mit xn--hotmal-t9a.net zeigt, bleiben aber auch IDNs nicht gänzlich verschont. Dafür sorgen URL-Verkürzer, wie sie bei Twitter und Facebook beliebt sind, für eine gewisse Sorglosigkeit im Umgang mit Internetadressen und erleichtern Phishern damit ihr kriminelles Geschäft.
Wer sich vor Phishing schützen will, sollte als Grundregel unverändert beachten, dass seriöse Banken und Finanzunternehmen ihre Kunden nie per eMail anschreiben und zur Eingabe ihrer persönlichen Daten auffordern. Wer eine solche eMail erhält, kann und sollte sie in der Regel also einfach löschen, oder wenigstens mit der Bank beziehungsweise dem Unternehmen telefonisch Rücksprache halten, um die Legitimität einer eMail zu überprüfen.