Phishing: Unterbezahlte Arbeit für Unterqualifizierte
Phishing funktioniert im Grunde nicht, meinen Herley und Florencio. Nur ein gewisser Prozentsatz aller Web-Nutzer ist überhaupt zu übertölpeln, und diese nur ein-, höchstens zweimal. Der Pool potentieller Opfer schrumpft also, auch durch die in Browsern und Suchmaschinen integrierten Anti-Phishing-Techniken, während die Zahl der Phisher ständig zunimmt, da der Mythos des schnell verdienten Geldes nicht totzukriegen ist.
Phishing kann deshalb kein profitabler (wenn auch illegaler) „Wirtschaftszweig“ werden, weil es unter dem Allmende-Problem leidet. Der ständig steigende Anteil von Phishing im Mailverkehr ist deshalb kein Zeichen dafür, dass es der Branche gut geht, sondern ganz im Gegenteil: Sie ist vielmehr „überfischt“, die Mails werden deshalb ständig mehr, weil prozentual immer weniger dabei hereinkommt.
Nach Berechnungen von Microsoft Research fallen gerade einmal 0,37 Prozent aller Empfänger einer Phishing-Nachricht auf diese herein, und weniger als die Hälfte dieser verlieren dadurch Geld, weil die diversen Schutzmaßnahmen rechtzeitig greifen. Unterm Strich erwirtschaftet die Phishing-Industrie nur 60 Millionen US-Dollar jährlich, das ist ein Fünfzigstel der von anderen Studien veranschlagten Summe.
Das bedeutet nicht, dass Phishing eine, wenn auch überschätzte, wenigstens verlässliche Einnahmequelle wäre. Neulinge verdienten so gut wie nichts, während das Geld nur einige wenige machen. Diese alten Hasen phishen nicht mehr direkt, sondern beschäftigten sich mit Malware-Entwicklung und Bot-Netz-Verwaltung, um diese teuer an die Neueinsteiger zu vermieten.
In der gesamten Szene sind Phisher nur die letzten, unqualifiziertesten Zuarbeiter, die allerdings die Masse stellen. Die eigentlichen Absahner sind so wenige, dass der Begriff „Schattenwirtschaft“ kaum gerechtfertigt ist, und sie sind so qualifiziert, dass sich der Mythos vom schnellen Geld in Luft auflöst: Wer Malware produziert und Netze verwaltet, könnte das Geld auch auf legale Weise machen.