Bots, Botnetze, Phishing, Trojaner, DoS-Angriffe, Identitätsdiebstahl: Online-Banking ist keineswegs so sicher, wie viele glauben

Millionen von Menschenprüfen ihren Kontostand und zahlen ihre Rechnungen über das Internet, und alles scheint reibungslos zu funktionieren. Dennoch passieren jedes Jahr unzählige Betrügereien, wobei immer raffiniertere Methoden zur Anwendung gelangen, die sich alle ein Phänomen zunutze machen: die Gutgläubigkeit der Menschen.

„Online-Kriminalität ist risikoarm und einträglich. Die Wahrscheinlichkeit, dass die Verbrecher gefasst werden, ist ziemlich gering“, sagt Kelly Martin, Redakteurin von Symantecs Online-Magazin Security Focus. Symantec mit Sitz im kalifornischen Cupertino gehört zu den weltweit führenden Anbietern von Software und sonstigen Systemen zur Gewährleistung der Datensicherheit bei Unternehmen.

Hinter jedem Phishing-Versuch, bei dem ein Betrüger etwa als seriöse Bank getarnt per E-Mail die Empfänger um die Eingabe vertraulicher Daten wie das Passwort bittet, oder jede E-Mail von einem afrikanischen Herrscher mit der Aufforderung, ihm beim Transfer von 45 Millionen Dollar in den Westen zu helfen, steht die eiskalte Berechnung, dass immer irgendjemand darauf hereinfällt.

Nach einem Bericht der Zeitschrift Consumer Reports verloren Verbraucher 2005 allein in den USA über acht Milliarden Dollar (knapp sechs Milliarden Euro) durch Virusangriffe, Spyware und Online-Betrügereien.

Laut Pressemeldungen handeln Cyberkriminelle in Internet-Foren und auf Online-Basaren mit gestohlenen Kreditkartennummern oder dem erschlichenen Zugang zu fremden Bankkonten und persönlichen Daten wie Sozialversicherungsnummern, PIN-Codes und Passwörtern. Die meisten solcher Websites wie zum Beispiel carderplanet.com werden zwar sofort geschlossen, wenn man ihnen auf die Spur kommt, sie tauchen jedoch schon bald unter neuem Namen wieder auf.

Die Informationen werden durch immer raffiniertere Methoden zusammengetragen, etwa mit Hilfe einer Software, die alles, was jemand auf seinem Computer schreibt – Kontonummern, Passwörter oder ähnliches – registriert. Die Hacker durchsuchen anschließend die Daten auf relevante Angaben.

Die New York Timesberichtete im Juli 2006, wie Shiva Brent Sharma gestohlene Kreditkartendaten im Internet kaufte, die Daten der Kartenbesitzer änderte und dann Geld an sich selbst überwies. Sharma benutzte dabei jeweils eine falsche Identität, die er mit einem scheinbar echten Führerschein nachwies.

Sharma, nur 22 Jahre alt, verbüßt zurzeit eine vier-jährige Haftstrafe in Rome im US-Bundesstaat New York. Nach eigener Aussage konnte er mit dieser Vor-gehensweise bis zu 20.000 US-Dollar pro Tag verdienen.

„Die Jagd auf diese Kartenbetrüger ist wie die Jagd auf Terroristen in Afghanistan“, meint Yohai Einav, Leiter des in Tel Aviv ansässigen Betrugsermittlungsteams von RSA Security, einem amerikanischen
Anbieter von Sicherheitslösungen für Unternehmen. „Man weiß, sie sind da draußen irgendwo, aber ihre Höhlen, ihre unterirdischen Verstecke zu finden, ist nahezu unmöglich.“

Obgleich es einige gut dokumentierte Verhaftungen von Cyberdieben gegeben hat, weisen die meisten Quellen darauf hin, dass es sich dabei nur um die Spitze des Eisbergs handele.

Es gibt allerdings auch einige erfreuliche Nachrichten. Der „2007 Identity Fraud Survey Report“ des Marktforschungsunternehmens Javelin Strategy
& Reasearch hat herausgefunden, dass der Identitätsdiebstahl in den USA im vergangenen Jahr um zwölf Prozent zurückgegangen ist. Das Zulegen einer falschen Identität ist bekanntlich einer der ersten Schritte bei jeder Art von Cyberkriminalität.

„Bei Identitätsbetrug gab es 2006 in den USA ungefähr 500.000 Fälle weniger als 2005″, heißt es in dem Bericht. „Die durch Identitätsbetrug erschwindelte Summe ging insgesamt um circa zwölf Prozent gegen-über dem Vorjahr zurück – von 55,7 Milliarden (41,5 Milliarden Euro) auf 49,3 Milliarden US-Dollar (36,7 Milliarden Euro).“

James Van Dyke, Javelins Geschäftsführer und Gründer, meint dazu: „Obgleich Identitätsbetrug immer noch eine ernsthafte Bedrohung in den USA darstellt, weist unsere neue Studie auf einen beträchtlichen Rückgang dieser Art von Kriminalität infolge eines veränderten Industrie- und Verbraucherverhaltens hin. Dem umfassenden Datenschutz, der Betrugsüberwachung und der Vielzahl von Verbraucherinformationen ist es teilweise zu verdanken, dass wir heute wirkungsvollere Methoden haben, um Betrugsdelikte aufzudecken oder zu verhindern.“

Glossar:

• Bot ist ein infizierter Computer, der von außen gesteuert wird.
• Ein Botnetz ist eine Ansammlung von Tausenden oder sogar Millionen infizierter Computer. Schätzungen zufolge soll das größte Botnetz 1,5 Millionen Computer umfassen. Nahezu die gesamte Cyberkriminalität basiert auf solchen Botnetzen.
• DoS ist die Abkürzung von ‚Denial of Service’. Bei einer DoS-Attacke wird eine Website über ein Botnetz mit einer solchen Menge von Datenverkehr überschwemmt, dass sie praktisch außer Betrieb gesetzt wird. Wie bei einer Erpressung lautet die Botschaft normalerweise: „Entweder Sie zahlen oder Sie werden Opfer einer DoS-Attacke.“
• Der Ausdruck Phishing ist fast schon zu einem alltäglichen Begriff geworden. Gemeint ist damit, sich Bankinformationen zu beschaffen, indem man ahnungslosen Menschen eine E-Mail schickt, die einen Link zu einer gefälschten Bank-Website enthält. Mit den gestohlenen Empfängerdaten leeren die Betrüger die Bankkonten ihrer Opfer. Im Februar 2007 veröffentlichte die Antiphishing-Arbeitsgruppe ihren Bericht Phishing Activity Trends Report, demzufolge im Laufe dieses Monats 23.610 Phishing-Websites verzeichnet worden waren. Studenten der Harvard University und der University of California in Berkeley stellen in ihrer Untersuchung mit dem Titel Why Phishing Works? (eine der ersten wissenschaftlichen Studien zu diesem Thema) fest, dass 90 Prozent der Internet-Benutzer auf gute Phishing-Websites hereinfallen.
• Ein Trojaner ist, wie der Name aus der griechischen Mythologie schon vermuten lässt, eine Software, die auf einem Computer ohne Wissen des Benutzers installiert wird und den vorhandenen Virenschutz umgeht.
• Keystroke-Logging oder Keylogging ist eine Software, die Tastatureingaben registriert. Es kann von Nutzen sein, um eine Fehlerquelle in einem Rechnersystem zu ermitteln. Es wird aber auch verwendet, um die Rech-nerbenutzung anderer auszuspionieren. Keystroke-Logging lässt sich sowohl über Hardware- als auch über Software-Funktionen realisieren.