Studiendaten der Anti Phishing Working Group (APWG) zeigen, dass mehr als 70 Unternehmen im Juli 2005 ins Visier dieser Art von Angriff geraten sind. 85 Prozent von ihnen waren im Finanzbereich ansässig. Trotz der Bemühungen die Intensität dieser betrügerischen Webseiten zu stoppen waren sie rund 6 Tage lang online.
Phishing kann Bankdaten auf zwei Wegen stehlen: Durch die Nutzung von Social Engineering Techniken oder mit Hilfe von entsprechenden Technologien.
Im ersten Falle wird eine eMail versendet, die den Empfänger zu einer Webseite lotsen soll. Diese besagte Webseite ist eine Fälschung von z.B. einer populären Bankseite auf der nun der User seine Daten hinterlassen soll.
Die zweite Phishing Technik ist wesentlich komplexer und fordert das Einschleusen eines Trojaners, der wiederum in der Lage ist einen Keylogger in das System schleust. Keylogger sind in der Lage Tastaturanschläge mitzuprotokollieren.
Dieses Programm aktiviert sich wenn der User die Webseite der Bank besucht. Von diesem Moment an zeichnet es jeden Tastaturanschlag auf. Username, Passwort oder Account Nummern, alles wird mitgeschrieben.
Laut PandaLabs Quartals Report für 2005 ist die Nutzung solcher Trojaner zwischen dem ersten und dritten Quartal dieses Jahres um 113% gestiegen.
Laut einem Report der Radicati Group sind Phishing Angriffe von 2004 auf 2005 um 115% gestiegen. Diese Zahlen stiegen von durchschnittlich 51 Angriffen täglich im Jahr 2004 auf 110 in 2005 aus. Der Forecast für 2008 beläuft sich auf 404 Attacken pro Tag.
Das Risiko dieser Angriffe ist klar, denn der Diebstahl von sensiblen Daten kann die betroffenen Unternehmen extrem schädigen. Nicht nur ihr Ruf dürfte Schaden nehmen auch finanziell können empfindliche Einbußen entstehen.
Der finanzielle Verlust ist nicht das einzige Risiko dem die Unternehmen ausgesetzt sind. Das Vertrauen der Nutzer in E-Commerce kann nachhaltig geschädigt werden. Hieraus können dramatische Einbußen in diesem Geschäftsbereich entstehen. Eine Studie der Ponemon Institute zeigt, dass 59% der User ihre Onlinetransaktionen aufgrund der aktuellen Phishingbedrohung reduziert haben.
Um sich vor derartigen Angriffen wirkungsvoll zu schützen ist die Kombination aus traditionellen, reaktiven und proaktiven Lösungen, die ohne Signaturupdate arbeiten können, nötig. Panda´s TruPrevent Technologien schließen das gefährliche Zeitfenster von der Entstehung eines neuen Virus bis zur Bereitstellung eines neuen Updates. Die Chance Opfer eines Phishing Angriffs zu werden wird durch die Kombination beider Schutzmechanismen minimiert.
TruPrevent ist in den Einzelplatzlösungen des Herstellers integriert und kann bei den Corporatelösungen optional mitgeliefert werden. Weitere Informationen findet man unter
www.panda-software.de