Eine kurze Geschichte des Phishing

Back

Produkte

DigiCert PKI Platform

Schützen Sie sich vor unberechtigtem Zugriff, infizierter E-Mail und manipulierten Dokumenten mit unserer in Unternehmen bewährten cloudbasierten PKI.

DigiCert CertCentral

Entdecken und verwalten Sie jedes Zertifikat in Ihrem Ökosystem - alles auf einer Glasscheibe.

Auswahl Ihres TLS/SSL-Zertifikats

Finden Sie genau das richtige Zertifikat für Ihre Bedürfnisse.

Über Verschlüsselung hinaus

Schützen Sie Ihre Websites mit durchgängigen Automatisierungslösungen.

Code Signing Certificates für Desktops und Mobilgeräte

Support über den Verkauf hinaus

Bekommen Sie Hilfe um sicherzustellen, dass Sie Zertifikate ausgewählt haben, die Ihren Anforderungen entsprechen, ordnungsgemäß implementiert und gültig sind. 24/7.

Zertifikatmissbrauch melden
Code Signing-Missbrauch melden

Back

Kaufen/Verlängern

TLS/SSL-Zertifikate VERLÄNGERN

Secure SiteKAUFEN
Secure Site ProKAUFEN
Secure Site with EVKAUFEN
Secure Site Pro with EVKAUFEN
Secure Site WildcardKAUFEN

Managementtools

DigiCert CertCentralDemo ansehen

Code Signing Certificates VERLÄNGERN

Extended ValidationKAUFEN
Microsoft AuthenticodeKAUFEN
JavaKAUFEN
Microsoft Office & VBAKAUFEN
Adobe AIRKAUFEN
Windows PhoneREGISTRIEREN
AndroidKAUFEN
Authentic Document IDs for BrewREGISTRIEREN

Schicken Sie uns eine Anfrage

Zertifikat abgelaufen? Jetzt verlängern.

Wenn Sie über Zertifikate verfügen, die vor dem 1. Dezember 2017 ausgestellt wurden, besteht Handlungsbedarf Ihrerseits.

Support

Support kontaktieren

TLS/SSL & Code Signing: +49 800 6273077

Back

Security-Themen

Symantec Connect: Website Security-Community

Eine Community aus Kunden, Partnern und Mitarbeitern.

Weitere Informationen

Back

Partners

Sonstiges

Verwalten Sie Ihre Zertifikate in DigiCert® CertCentral

Alle älteren Symantec-Kontoportale wurden auf CertCentral verschoben. Melden Sie sich unten an, wenn Sie Ihr CertCentral-Konto bereits aktiviert haben. Wenn nicht, wenden Sie sich an unsere Verkaufs- oder Supportteams hier. Sie senden Ihnen eine E-Mail mit einem eindeutigen Link, um auf Ihr Konto zuzugreifen. Einloggen

SECURITY-THEMEN

Eine kurze Geschichte des Phishing

Phishing ist eine Bedrohung, bei der Angreifer soziale Manipulationsmechanismen ("Social Engineering") einsetzen, die relativ automatisiert ablaufen, um Opfer zur Preisgabe sensibler Daten zu verleiten, die später dazu genutzt werden können, die Identitätsdaten des Opfers auf einer Online-Website oder für Finanztransaktionen zu missbrauchen.

Phishing: Ein Blick zurück

2007 feierte DigiCert 25 Jahre als ein weltweiter Marktführer beim Schutz und bei der Absicherung seiner Kunden vor den ständig neuen Bedrohungen, die sich bis in die heutige Zeit fortsetzen. Tatsache ist, dass viele der Bedrohungen, die DigiCert heute routinemäßig abwehrt, in der Anfangszeit praktisch unbekannt waren.

Damals konzentrierten sich die meisten Aktivitäten auf Viren und andere Formen von bösartigem Code, die darauf ausgerichtet waren, Schäden auf den PCs von Kunden anzurichten. Seitdem sind jedoch neue Bedrohungen auf der Bildfläche erschienen, die Unheil im Privatleben von Kunden anrichten können, indem sie ihr Geld und sogar ihre Identität stehlen. Phishing ist eine dieser Bedrohungen.

Während soziale Manipulationsmechanismen ("Social Engineering") seit langem zu den typischen Werkzeugen von Angreifern gehören, trat Phishing in seiner heutigen Form erstmals Mitte der 1990er Jahre auf und richtete sich gegen America Online (AOL). Die Angreifer nutzten in der Regel entweder Sofortnachrichten oder E-Mail, um Benutzer dazu zu verleiten, ihre AOL-Passwörter preiszugeben. Die Opfer gaben diese Informationen an die Angreifer weiter, die diese wiederum dazu nutzten, sich des AOL-Kontos des Betroffenen zu bemächtigen. Über das Konto konnte dann beispielsweise Spam oder Ähnliches versendet werden.

Phishing-Tricks breiten sich aus

Phishing wird zur Geldquelle

AOL nahm das Phishing-Problem ernst und setzte zahlreiche effektive Maßnahmen um. Zwar gibt es immer noch Phishing-Angriffe auf AOL, doch ihre Zahl ist relativ gering. Zur selben Zeit erkannten Angreifer, dass ihre Methoden Potenzial hatten, und begannen, sie auf andere Unternehmen auszudehnen.

Mit der nächsten Phishing-Welle erreichte das Problem die breite Masse. Doch glücklicherweise gingen die Phisher noch dilettantisch vor. Die Fülle von Grammatikfehlern in ihren E-Mails und Websites waren ein eindeutiges Zeichen dafür, dass man es nicht mit einer legitimen E-Mail oder Website zu tun hatte und daher vorsichtig sein sollte.

Leider ignorierten viele Opfer die Warnsignale und gaben weiterhin ihre Passwärter, Kreditkartennummern und ähnliche Informationen preis. Schlecht gestaltete Phishing-E-Mails und -Websites waren irgendwann so weit verbreitet, dass Benutzer automatisch auf Rechtschreibfehler und sonstige Grammatikfehler achteten, um Phishing-Websites von rechtmäßigen Websites zu unterscheiden. Rückblickend betrachtet entstand dadurch möglicherweise bei vielen Benutzern ein falsches Gefühl der Sicherheit.

Phisher werden professionell

Während Rechtschreibfehler und ähnliche Fehler ein verräterisches Anzeichen dafür waren, dass man es mit einem Phisher zu tun hatte, machte sich bei Nutzern die fälschliche Annahme breit, dass Websites mit korrekter Grammatik und Rechtschreibung seriös sein müssten. Diese Annahme war jedoch meilenweit von der Realität entfernt.

Viele Phishing-Kampagnen werden heutzutage professionell aufgezogen. Phisher arbeiten in der Regel mit vorgefertigten Kits, die Muster für Webseiten und E-Mails sowie die meisten anderen Tools enthalten, die für einen Phishing-Angriff benötigt werden.

Die Webseiten sind häufig fast exakte Kopien von Seiten auf den Websites, die gefälscht werden. Zudem sind die entsprechenden Phishing-E-Mails nicht nur gut geschrieben, sondern enthalten eine Fülle von Mechanismen, um Spam-Filter zu umgehen.

Eines ist inzwischen deutlich geworden: Das Profil eines typischen Phishers hat sich gewandelt. Während der stereotype Phisher in den Anfangsjahren der sprichwörtliche Teenager im Keller seines Elternhauses sein konnte, der um zwei Uhr morgens Unheil anrichtete, gehören moderne Phisher gut organisierten, geschäftsorientierten Gruppen an, die finanzielle Interessen verfolgen.

Wer sind sie?

Wie herkömmliche Unternehmen suchen sie aktiv nach Möglichkeiten, um ihren Profit zu steigern. Und genau wie andere Mitarbeiter in Unternehmen scheinen Phisher heutzutage hauptsächlich an Wochentagen aktiv zu sein. (DigiCert beobachtete, dass an Wochenenden 20 % weniger spezifische Phishing-Nachrichten versendet werden.) Für Phishing wird inzwischen kein technisches Fachwissen mehr benötigt. Stattdessen können die meisten Komponenten einer Phishing-Operation ausgelagert werden.

Auf Online-Schwarzmärkten kann ein Phisher einen kompromittierten Web-Server auch "mieten", um darauf seine Phishing-Seiten zu hosten. Er kann den Prozess noch stärker auslagern, indem er ein weiteres kompromittiertes Gerät mietet, von dem Phishing-E-Mails versendet werden können. Die Gerätemieten kosten in der Regel nur wenige Euro. Sollte der Phisher zusätzlich eine Liste mit E-Mail-Adressen potenzieller Opfer benötigen, kann er auch diese erwerben. Zirka dreißigtausend dieser E-Mail-Adressen kosten in der Regel ungefähr 5 Euro.

Wie gehen sie vor?

Sobald ein Phisher Kreditkartennummern und andere Zugangsdaten von seinen Opfern erbeutet hat, muss er sich keine Gedanken darum machen, wie er sie zu Geld machen kann. Diese Informationen können ebenfalls auf Online-Schwarzmärkten verkauft werden.

Diese Untergrundmärkte gibt es zweifellos schon seit einiger Zeit, wie aus der Weiterentwicklung spezifischer Terminologie hervorgeht, die in Konversationen zwischen Kriminellen, die ein Geschäft abwickeln möchten, verwendet wird. Es gibt sogar genau festgelegte Konventionen und Protokolle für die Abwicklung von Transaktionen. Einige Akteure in diesen Untergrundkanälen haben sich einen soliden Ruf erworben und man kann sicher sein, dass man bei Geschäften mit ihnen fair behandelt wird – worin eine gewisse Ironie besteht, da es sich bei allen Beteiligten um Kriminelle handelt.

Schutz vor Phishing

Secure Site Pro mit EV

Schützen Sie Ihre Kunden mit bis zu 256-Bit-Verschlüsselung und drei Algorithmen – mit dem visuellen Nachweis, dass sie sich tatsächlich auf Ihrer Website befinden.

Höhere Website-Sicherheit durch Algorithmusflexibilität

MEHR ERFAHREN