Als Phishing bezeichnet man das Erschleichen von personenbezogenen Daten, wie Name und Anschrift sowie Kontodaten und Kreditkartendaten, um damit Straftaten begehen zu können. Über Phishing werden auch Zugangdaten für Bankkonten, Kundenzugänge bei Zahlungsdienstleistern wie Paypal oder Accounts der zozialen Netzwerke oder Online Shops erbeutet.
- Dynamit-Phishing: Angriff mit Spam an zehntausende Empfänger gleichzeitig, auch durch Schadsoftware, kein gezielter Angriff gegen Einzelnen, sondern über Masse, es reicht, wenn Erfolsquote für Angreifer bei 0,2 % liegt
- Spear-Phishing: Menschliche Schwäche ausnutzen, Zugangsdaten entlocken: Der Angriff ist gegen ein Opfer persönlich gerichtet. Es werden individuell auf das Opfer abgestimmte, präparierte Dateien oder Dokumente verwendet.
Zu einer Phishing Attacke gehören mehrere Komponenten, eine Spam Mail, eine präparierte Webseite und Menschen, die auf den Schwindel reinfallen.
Der Versand der Spam Mails erfolgt mittels entsprechender Tools zum Versand von Massenmails mit Funktionen zur Manipulation von Absender und technischen Daten. Grundlage sind in der Regel erbeutete Daten, mindestens von E-Mail Adressen. Oft werden auch noch Anreden sowie Name und bei gut vorbereiteten Attacken Anschriften verwendet. Oft sind die Spamwellen von mehreren 10.000 Mails jedoch auch unpersönlich ohne spezifische Anrede in der Spam.
Dabei wird mit einer präparierten Mail vorgestäuscht, dass bei einem Kundenkonto einer Bank, eines Zahlungsdienstleisters oder sonstigen Anbieters ein kritisches Sicherheitsproblem besteht.
Die Mail im Beispiel wurde von einem Spamfilter als unerwünschte Massenmail bereits aussortiert und in den Spam Ordner eines Postfaches eingeordnet. Die Mail enthält einen Link auf eine präparierte Webseite. Interessant ist der Inhalt und Verhalten der präparierten Webseite.
Die präparierte Webseite besteht aus mehreren Unterseiten. Als erstes wird eine Log In Seite aufgerufen. Hier - für Paypal ungewöhnlich - werden Nutzername und Passwort untereinander abgefragt. Bei Paypal wird mittels Script erst der Nutzername abgefragt und kontrolliert. Erst einem zweiten Schritt wird auf der selben Seite das Passwort vom Nutzer verlangt. Im Beispiel fehlte dieser Prozess. Auffallend war hier, dass man jeden Stuß eingeben konnte und immer auf die nächste Unterseite weitergeleitet wurde. Es gabe keinerlei Fehlermeldungen.
Phishing erfüllt mehrere Straftatbestände, unter anderem wegen des
- Versands der Spam-Mails § 269 StGB,
- Erstellen der Phishing-Website § 269 StGB, §§ 143, 143a MarkenG bzw. §§ 106 ff. UrhG, wenn markenrechtlich bzw. urheberrechtlich geschützte Kennzeichen oder Bezeichnungen verwendet.
- anschließende Datenverwendung § 202a StGB strafbar, Zugang zu den Konto- und Depotinformationen
- Verwendung der Daten für Onlineüberweisung nach § 263a StGB und §§ 269, 270 StGB