Der Trick bleibt der gleiche, doch die Art seiner Anwendung wird immer dreister: mit einer Welle von so genannten Phising-Mails erlebt das klassische Domain-Grabbing derzeit ein ungeahntes Comeback. Zu den aktuellen Opfern dieser neuen Betrugsmasche zählen jetzt auch die Postbank und die Deutschen Bank.
Phishing ist ein Kunstwort aus »Password« und »fishing«, und meint das »Fischen« von Passwörtern. So wurden etwa wie im Fall der Deutschen Bank wahllos eMails versandt und deren Leser aufgerufen, aus Sicherheitsgründen ihr Konto zu überprüfen. Diese eMails, welche regelmäßig im HTML-Format versandt werden, enthalten einen Link, der angeblich zur Unternehmensseite führt. Tatsächlich stecken hinter diesen Links jedoch oft Vertipper-Domains wie deutsche-bnk.info, über die man zu Internetseiten gelangt, die dem Original zwar täuschend ähnlich sind, aber kriminellen Zwecken dienen.
Dort wird man dann zur Eingabe persönlicher Daten wie Kreditkartendaten bewegt. Um die Falle zu entdecken, muss man aber entweder den Quelltext der eMail lesen oder bei Aufruf die Adresszeile im Browser prüfen. Doch selbst hier gibt es Manipulationsmöglichkeiten. Besonders perfide waren die Macher von postbanks.info, deren Website exakt dem Online-Login der Postbank glich; im Gegensatz zum Original wurden aber gleich zu Beginn sowohl PIN als auch TAN abgefragt, die so in die Hände der Betrüger gerieten.
Erst vor wenigen Wochen war der Fall der inzwischen abgeschalteten Domain ebay-ag.de bekannt geworden. Dort wurden die Internetnutzer wegen eines angeblichen Wasserrohrbruchs beim Online-Auktionshaus eBay dazu aufgefordert worden, sich einzuloggen. Viele User bemerkten ihren Irrtum erst zu spät. Ermittlungsbehörden und betroffene Unternehmen haben oft das Nachsehen, da die Phising-Sites häufig nur wenige Stunden online sind. Nach Angaben der »Anti Phishing Working Group« (APWG) beträgt die Lebenszeit durchschnittlich 54 Stunden, nur in Einzelfällen sind es über zwei Wochen.
Wer regelmäßig Online-Geschäfte tätigt, sollte daher noch misstrauischer sein und aufpassen, wem er seine Daten anvertraut. Reine Text-Mails (also ohne HTML-Format) sind ein erster Schritt um Irrtümer auszuschalten. Ein einfaches, aber effektives Hilfsmittel ist es auch, etwa beim Online-Banking stets nur über einen selbst gesetzten und geprüften Bookmark die Banken-Website aufzurufen. Für Unternehmen dagegen heisst es einmal mehr, ihr Domain-Portfolio unbedingt durch naheliegende Vertipper-Domains zu ergänzen und wenigstens die wichtigsten Top Level Domains abzudecken.
Weitere Informationen zum Thema Domain-Phising unter antiphishing.org, postbank.de und bsi-fuer-buerger.de.