G Data SecurityLabs

Sicherheitsrisiken, die auf Ihre Kunden zukommen können

28.12.2009

Datendiebstahl & Phishing

Die Anzahl der Datenvorfälle steigt ständig. Etliche Banken mussten im Verlauf des Jahres 2009 vorsorglich die Kreditkarten von Kunden austauschen, deren Daten gestohlen wurden.

Das klassische Phishing ist nicht die einzige Ursache für Datenverlust. Insbesondere Bankdaten werden mittlerweile von Spionageprogrammen und Keyloggern eingesammelt und an die Angreifer versendet. Das klassische Phishing wendet sich derzeit vom Online-Banking ab. Es kommt immer seltener vor, dass der Empfänger einer massenhaft versendeten Mail unter einem Vorwand auf eine Seite gelockt wird, die dem Original oft sehr gut nachempfunden ist, und er dort seine Zugangsdaten eingeben soll. Ausnahmen sind englische und amerikanische Banken und PayPal, denn hier reichen Anmeldename und Passwort aus, um vollständigen Zugang zur Seite zu erhalten.

Bei vielen Banken sind mittlerweile umfangreichere Schutzvorkehrungen getroffen. Aber es gibt immer noch viele Dienste im Internet, deren einziger Zugangsschutz ein Log-in Name und ein Passwort ist. Häufige Angriffsziele sind E-Mail-Accounts (wie MSN, Yahoo, Google), soziale Netzwerke (wie Facebook, Twitter, MySpace) Onlineauktionen (wie eBay) und Onlinespiele wie WoW. Diese Angriffe haben einen klaren Bezug zur Schattenwirtschaft:

  • Öffentliche E-Mail-Accounts bereiten reputationsbasierten Spamfiltern Probleme

  • Die Daten aus sozialen Netzwerken haben auf dem Schwarzmarkt Wert

  • Spam in Foren bleibt weiterhin eine Plage

  • Die Accounts aus und Gegenstände in Onlinespielen können unter anderem mit gekaperten eBay Accounts verkauft werden.

Das breit angelegte Phishing ist aber nicht die einzige Gefahr. Die Informationen, die auf öffentlichen Webseiten und in sozialen Netzwerken über Firmen und deren Mitarbeiter angeboten werden, können dazu dienen, gezielte Angriffe auf bestimmte Personen einer Firma vorzubereiten. Man nennt diese Methode Spear-Phishing oder auch Whale-Phishing. So kann zum Beispiel der Vertriebsleiter eine auf ihn angepasste E-Mail bekommen, die ein manipuliertes PDF namens "Angebot.pdf" im Anhang enthält. Derartige gezielte Angriffe auf vermeintlich dicke Fische eines Unternehmens können zu schwerwiegenden Datenverlusten führen.

Für beide Arten des Phishings, wie auch für alle anderen Formen des Datendiebstahls, gibt es einen großen Markt. G Data geht davon aus, dass 2010 noch mehr Daten gestohlen werden als 2009.

Zur Startseite