Innovative Softwarelösung optimiert den Pishing-Schutz

Immer noch werden Internetnutzer Opfer von Spam- und Pishing-Angriffen. Aktuelle Studien besagen, dass rund 70 bis 90 Prozent des weltweiten E-Mail-Volumens aus illegalen Mails bestehen. Vornehmlich handelt es sich dabei um Spam und Pishing. Der durch Pishing verursachte finanzielle Schaden bewegt sich alleine im Bundesgebiet im zweistelligen Millionenbereich; Tendenz steigend. Ständig werden neue Maschen bzw. Tricks initiiert, um an die begehrten Daten der User heranzukommen.

Bildquelle: pixelery / crestock.de

Bildquelle: pixelery / crestock.de

Nunmehr scheinen auch die sozialen Netzwerke rund um Facebook, Twitter und Co. nicht mehr vor den überfallartigen Pishing-Attacken sicher zu sein. Jedenfalls warnen Sicherheitsexperten vehement vor dort gelisteten Anwendungen, die den jeweiligen Nutzer via Benachrichtigung auf eine Webseite lockt, auf der dann die persönlichen Zugangsdaten quasi „gestohlen“ werden sollen.

Die Gefahren durch Pishing und Spam
Zwar eliminieren die in der Regel funktionell arbeitenden Spamfilter den Großteil dieser zweifelhaften E-Mails, ohne dass der jeweilige User respektive Empfänger davon etwas mitbekommt, dennoch erreichen immer noch viele Spam-Mails ihr Ziel. So haben Verbraucherschutzexperten und IT-Fachleute festgestellt, dass ca. 20.000 bis 50.000 eigenständige Pishing Seiten pro Monat registriert werden.

Das Hauptangriffsziel bilden die Vereinigten Staaten, in denen die Pishing-Attacken nach neuesten Schätzungen folgenschwere Schäden von mehreren Milliarden Dollar verursachen. In Deutschland wurden im Jahr 2011 nahezu 6.500 Pishing-Fälle nur in Bezug auf das Onlinebanking (durchschnittliche Schadenssumme: ca. 4.500 Euro) aktenkundig.

Pishing-Attacken dieser Art können auch ganz direkt die Klientel eines Unternehmens schädigen. Zudem beeinflusst zum Beispiel ein Spamversand mit Offerten eigener gestohlener oder gefälschter Produkte zum einen das unternehmerische Geschäftsergebnis und zum anderen die für Geschäftsabschlüsse wichtige Reputation.

Pishing-Attacken: verschiedene Möglichkeiten der Verschleierung
In Bezug auf die angewandte Methodik rund um die unerlaubte Beschaffung von Datenmaterial mittels Pishing-Attacken kommen verschiedene Verschleierungstaktiken zum Einsatz:

– E-Mail bzw. Pishing-Mail: Während der sichtbare Verweistext die Originaladresse anzeigt, verweist das unsichtbare Verweisziel auf eben eine Adresse der falschen bzw. gefälschten Webseite (Link-Spoofing).
– SMS (SmiShing): Ein fieser Trick ist hierbei, dass per SMS beispielsweise eine Abobestätigung eingeht, gleichzeitig aber eine Seite bzw. eine Internet-Adresse genannt wird, auf der sofort eine Abmeldung realisiert werden kann. Kaum ist der Empfänger aber auf dieser Seite gelandet, wird ihm ein Trojaner untergeschoben.
– Webpräsenz: Die Pishing-Initiatoren legen gefälschte Zielseiten mit ähnlich klingenden Bezeichnungen oder Namen analog der offiziellen Unternehmensseiten an; die entsprechenden Seiten mit dem Webformular sehen dabei nahezu identisch aus, so dass eine Fälschung nur schwerlich erkannt werden kann. Die Betrüger setzen diesbezüglich vornehmlich Maßnahmen wie das URL-Spoofing oder den homographischen Angriff ein.

Von generellen Schutzfunktionen und innovativen Software-Lösungen
Jeder User kann grundlegende Schutzmaßnahmen ergreifen wie z.B.:

– Deaktivierung des Java-Scripts und der HTML-Darstellung innerhalb des eigenen E-Mail-Programms.
– Kontinuierliche Aktualisierung des eigenen Antivirenprogramms.
– Auf Warnhinweise von E-Mail-Programmen und auch Browsern achten; in der Regel generieren diese einen auf einer so bezeichneten Blacklist basierenden Pishingschutz.
– Beim Onlinebanking darauf achten, dass das ausführende Kreditinstitut ein EV-SSL-Zertifikat nutzt.
– Zudem sollte bei Onlinebankingtransaktionen grundsätzlich das signaturgestützte HBCI-Verfahren mit Chipkarte verwendet werden.
– Auch das so genannte iTAN-Verfahren bietet einen vergleichsweise guten Schutz gegen Pishingattacken, wobei es gegen die artverwandten Man-in-the-middle-Angriffe wirkungslos bleibt.

Diese prinzipiell möglichen Schutzmaßnahmen sollte jeder User bei seinen Bemühungen rund um die Pishing-Abwehr berücksichtigen. Allerdings ist auch hier ein umfassender Schutz nicht garantiert. Der Anbieter Xqueue (www.xqueue.de) hat jetzt aber auf der in Köln stattfindenden Messe Dmexco 2013 eine Software-Lösung in Bezug auf Spam- und Pishingschutz präsentiert, die im Rahmen von neuen digitalen Technologien und Lösungen einen entsprechenden Schutz nachhaltig optimieren kann. So wird anhand dieses Programms ein Pishing-Radar in das eigene System integriert, der ankommende E-Mails per Volltext-Analyse auf Spam- bzw. Pishingfallen durchleuchtet. Zu Grunde gelegt bei der Überprüfung werden dabei bis zu 100 Millionen der aktuellsten Spam- bzw- Pishing-E-Mails.

Spam und Pishing sind nach wie vor eine echte Bedrohung sowohl für private Nutzer wie auch für Unternehmen. Wer dabei aber auf die grundlegenden Möglichkeiten achtet, die von den jeweiligen Programmen und Anwendungen als Schutzmaßnahme angeboten wird, steigert im gewissen Umfang die diesbezügliche Sicherheit. Einen umfassenden Schutz garantieren diese Maßnahmen indes nicht. Durch innovative Software-Lösungen wie beispielsweise den erwähnten Spam & Pishing Radar von Xqueue ist ein optimierter Schutz durchaus im Bereich des Möglichen.

Sicherheitsexperten sind sich diesbezüglich einig, dass durch Programme dieser Art die Schäden durch Pishingattacken eingeschränkt werden können. Denn: Obwohl sich laut des Hightech-Verbands Bitkom im vergangenen Jahr die Betrugsanzeigen aufgrund von Pishing-Attacken nahezu halbiert haben, ist noch längst keine Zeit für Entwarnung. Ganz im Gegenteil: Die Betrüger werden immer raffinierter in ihren Methoden und setzen nunmehr vermehrt auf Pishing-Viren.