Falsche Eingabe von Webadressen: Das Abzock-Geschäft mit Vertippern
Wer die Seite whitehous.com statt whitehouse.org aufruft, bekommt dubiose Anzeigen angezeigt.
Foto: WirtschaftsWocheWohl jeder hat schon einmal eine Webadresse falsch eingetippt und ist auf der Seite eines unseriösen Anbieters gelandet. Will man zum Beispiel die Seite der amerikanischen Regierung ansteuern und tippt statt www.whitehouse.gov in das Browserfenster www.whitehouse.com, werden einem statt politischer Inhalte „hübsche ukrainische Frauen“ oder „sexy brazilian women“ angeboten.
Und schreibt man zum Beispiel statt www.wikipedia.org die Adresse www.wiipedia.org, www.eikipedia.org oder www.wilipedia.org gelangt auf Webseiten, die Pop-ups, Späh-Software oder Werbesuchmaschinen enthalten. „Manche Seiten enthalten ein Exloit-Kit, eine Art Werkzeugkasten mit verschiedenen Angriffswerkzeugen“, erklärt Dirk Kollberg, Viren-Analyst bei dem IT-Sicherheitsunternehmen Kaspersky Lab. „Sobald jemand die Seite ansteuert, wird der eigene Rechner über den Browser nach Schwachstellen abgesucht und mit Schädlingen infiziert.“ Ist dann zum Beispiel ein Java-Update nicht aufgespielt, nutzt die Software das Einfallstor und platziert zum Beispiel einen Trojaner.
Das Geschäft der Trittbrettfahrer ärgert viele Unternehmen so sehr, dass sie gleich mehrere Domains anmelden und diese auf die jeweilige Hauptseite umleiten. Wer also www.goolge.de oder www.gogle.de eingibt, landet trotzdem auf der gewünschten Startseite der Suchmaschine. Die Zahl der Adresse, die sich ein Unternehmen sichern darf ist unbegrenzt. Lediglich Städte- und Gemeindenamen sind geschützt und dürfen nicht von der Wirtschaft belagert werden.
Während große Konzern diesen Weg grundsätzlich gehen, ist die Problematik bei kleinen und mittelständischen Unternehmen bisher kaum bekannt, heißt es bei Kaspersky. Privatpersonen und Unternehmen können sich gegen die Angriffe in der Regel mit eine Virensoftware schützen, die natürlich regelmäßig ein Update erhalten muss. Sie sperrt automatisch Seiten, die verdächtig erscheinen. Allerdings werden die Schadprogramme immer raffinierter. „Heute wird eine so starke Kryptografie verwendet, dass sie kaum noch zu entschlüsseln ist“, sagt Dirk Kollberg.
Manch falsche Domain wird auch über E-Mails, Newsletter oder Soziale Netzwerke bewusst gestreut. Während eine Adresse angezeigt wird, führt der dahinter liegende Link jedoch auf eine komplett andere.
Den Schaden durch Cyberkriminalität allein in Deutschland schätzten Internetfirmen insgesamt für das vergangene Jahr auf gut drei Milliarden Euro.
Je mehr Smartphones es gibt, desto mehr Schadprogramme für deren Software gibt es auch. Das IT-Sicherheitsunternehmen Kaspersky Lab hat mitgezählt: In der Unternehmenseigenen Datenbank sind mehr als 6.700 Schadprogramme für Smartphones gelistet. Im Juli 2011 waren es nur knapp über 200, im Dezember dann schon 1200.
Foto: dpaHauptopfer der Attacken ist das Betriebssystem Android von Google. Für diese Software gibt es die meisten Schadprogramme. 67 Prozent aller der ausgemachten Malware sind auf Android abgerichtet.
Foto: dapdErst neulich ist ein Trojaner für Android-Smartphones entdeckt worden, der sich als Sport-App tarnt. Einmal auf dem Handy, verschickt er teure SMS. Außerdem bestünde die Möglichkeit, dass die vermeintliche App ein Botnet aufbaut. Das bedeutet, dass sich mehrere der infizierten Geräte zu einem Netz zusammenschließen und Spam verschicken oder andere Geräte angreifen können.
Foto: ap.Auf Platz zwei rangiert die Java Platform (Java 2 Micro Edition) - das ist eine Umwandlung der wichtigen Programmiersprache für Mobilgeräte. Sie wird für viele Anwendungen genutzt und läuft auf fast allen Geräte- und Herstellertypen. Auf Java-Nutzer sind 25 Prozent der Schadprogramme abgerichtet.
Foto: dapdNeben dem Android-Trojaner ist noch ein weiterer entdeckt worden, der mit gefälschten Anti-Viren-Lösungen andere Smartphones infiziert. Nachdem der Trojaner - verkleidet als Virenschutz-Software - installiert ist, steckt er andere Geräte via SMS an und verbreitet sich so. Bei der Programmierung haben die Hacker nicht einmal sonderlich viel Arbeit. "Smartphones nähern sich immer mehr der Funktionalität klassischer PCs an", sagt Virus Analyst Marco Preuß von Kaspersky Lab. "Die Malware-Schreiber mobiler Schädlinge übernehmen einfach Methoden klassischer PC-Malware."
Foto: REUTERSDen dritten Platz unter den Lieblingen der Hacker belegt Nokias Symbian. Auf dieses Betriebssystem sind mehr als fünf Prozent der Programme spezialisiert. Da sich Nokia inzwischen davon verabschiedet und auf Windows Phone setzte, ist es allerdings ein Auslaufmodell.
Ein großes Problem sehen die Spezialisten von Kaspersky darin, dass Smartphone-Nutzer noch nicht für die Gefahren sensibilisiert sind. Jeder PC hat eine entsprechende Firewall und Anti-Virensoftware. Bei den Mini-Computern herrscht immer noch Vertrauensseligkeit.
Foto: dpaAndere Smartphones wie das iPhone, das Windows Mobile und das Blackberry würden nur punktuell attackiert, sagen die Experten. Damit die Angriffe allgemein nicht mehr werden, empfehlen sie Smartphone-Besitzern
fünf grundlegende Sicherheitstipps:
Foto: dpa
Nutzer sollten keine Apps von nicht vertrauenswürdigen Quellen installieren. "Auf den meisten Smartphones und Tablets ist diese Möglichkeit aus gutem Grund von vornherein deaktiviert", heißt es seitens der Experten.
Neue Apps sollten nur über die regulären Anbieter bezogen werden.
Foto: dpaAußerdem sollten Besitzer von Smartphones die Sicherheitseinstellungen der Herstellernutzen. Beispielsweise die PIN-Eingabe, wenn das Smartphone im Standby-Modus ist.
Foto: dapdGenau wie beim PC auch halten vernünftige Anti-Viren-Programme Würmer und Trojaner draußen. Die Software sollten regelmäßig aktualisieren.
Foto: gms
Allgemein sollten Nutzer ihre Betriebssystem - und nicht nur die Anti-Viren-Software - auf dem neuesten Stand halten. Bei den Aktualisierungen einzelner Apps sollte der Nutzer darauf achten, ob sich das Kleingedruckte geändert hat und nun neue Berechtigungen eingefordert werden.
Foto: REUTERSUnd last but not least empfiehlt sich ein bisschen gesunder Menschenverstand - und dass man nicht auf jeden Link klickt.
Foto: dpaNeben dem sogenannten „Typosquatting“, also dem Vertippen bei der Eingabe der Webadresse, wird auch mit „gefälschten Seiten“ versucht empfindliche Daten abzufragen. Dafür sichern sich Kriminelle Domainnamen, die zum Beispiel so ähnlich klingen, wie die Webseite einer Bank. Lediglich ein kleiner Adressschnipsel am Ende der Adresse unterscheidet sie vom Original. In einer Google-Suche wird nur selten die ganze Domain angezeigt. „Die falschen Webseiten sind genauso gebaut wie die Originalseiten. So geben Nutzer Bankdaten dann auch schon mal bereitwillig ihre Daten an Kriminelle weiter“, sagt Kollberg. Meist sind solche Seiten nur zwei bis drei Wochen online, ehe der Schwindel auffällt. Doch um Gelder abzuzweigen oder wichtige Daten und Informationen abzusaugen, reicht die Zeit.
Bankkunden wird daher geraten, sich auch die Domainadresse genau anzuschauen, ehe die eigenen Kontoinformationen angerufen oder Überweisungen getätigt werden.
Trojaner und Co.
Viren, Würmer und Trojaner können erhebliche Schäden auf dem PC anrichten. Beliebt bei Abzockern sind vor allem die Trojanischen Pferde, die vom Nutzer meist unbemerkt auf dem Rechner lauern und sensible Daten wie Passwörter abfangen, mit denen dann Schindluder getrieben werden kann.
Wie kann man sich schützen?
Bei allen Downloads aus dem Internet ist Vorsicht geboten. Das BSI warnt davor, dass sich in der Flut von Gratis-Programmen und Dateien unzählige Schadprogramme verstecken, die dann den Rechner infizieren. Manche davon verbreiten sich auch über USB-Sticks, weshalb man diese am besten nicht mit anderen austauschen sollte.
Bemerkt man die Infektion, sollte man an einem "sauberen" PC umgehend alle wichtigen Passwörter, besonders von Online-Händlern oder Auktionshäusern, ändern. Die Kontoauszüge sollte man in der nächsten Zeit stets kritisch prüfen, da Betrüger an Kontodaten gelangt sein könnten und nun im Namen des Geschädigten Geschäfte tätigen.
Phishing
Das Wort, das wie "Fischen" klingt, ist in aller Munde. Im Prinzip geht es auch genau darum: Abzocker werfen die Angelrute nach Passwörtern aus. Auf gefälschten Internetseiten, die etwa denen von sozialen Netzwerken oder Banken täuschend ähnlich sind, geben ahnungslose Nutzer ihre Daten ein - und sind sie auch schon los. Die Betrüger sind auf Passwörter, persönliche Daten oder Kreditkartennummern aus.
Wie kann man sich schützen?
Grundsätzlich sollte man bei E-Mails, die etwa scheinbar von der Bank oder einer Firma kommen und die den Empfänger dazu auffordern, seine Daten zu aktualisieren, misstrauisch sein. Diese Mails werden massenhaft verschickt und die Angreifer spekulieren darauf, dass einige der Adressaten tatsächlich Kunde bei dem vorgegebenen Unternehmen ist. Um so einen gefälschten Link zu enttarnen, muss man mit der rechten Maustaste auf den angegebenen Link in der E-Mail klicken und dann "Quelltext anzeigen" auswählen, rät das Bundesamt für Sicherheit in der Informationstechnik (BSI). So kann man erkennen, was sich tatsächlich hinter dem "offiziellen" Link verbirgt.
Foto: dpa/dpawebSpam, Spam, Spam
Spam- oder auch Junk-Mails sind nicht nur ärgerlich, weil sie den Posteingang zumüllen. Lädt man die Massen-Mails herunter, können dem Nutzer je nach Internet-Anbieter Kosten für den Datenverkehr entstehen. Laut BSI entstehen jedes Jahr Kosten in Milliardenhöhe für Versand, den Zeitverlust fürs Lesen, das Entfernen oder sogar Beantworten des elektronischen Schrotts.
Wie kann man sich schützen?
Egal wie sehr man sich ärgert, man sollte niemals auf ungewollte Newsletter oder Werbepost antworten - denn die Nachrichten werden oft vollautomatisch an Hunderttausende per Zufallsprinzip erstellte Mailadressen versandt. Reagiert der Adressat auf die unerwünschte Müllpost, zeigt er nur, dass ein realer Nutzer erreicht wurde, und erhält noch mehr Spam. Wird man immer vom gleichen Absender belästigt, kann ein Filter im Mail-Programm helfen, der den Spammer blockiert. Bei extremer Belästigung hilft oft nur noch die Aufgabe der Mail-Adresse und das Erstellen einer neuen - bei der man dann wesentlich vorsichtiger damit umgehen sollte, wo und wem man sie weitergibt.
Foto: APGeschenke und Gewinnspiele
Wenn beim Surfen plötzlich ein Browserfenster aufgeht, dass man ein Handy oder gar eine tolle Kamera gewonnen hat, kann man sich doch freuen - oder?
Mitnichten! Die Verbraucherzentralen warnen vor solchen vermeintlichen Geschenken, denn es sind nur fiese Köder, die zum Beispiel von den Kosten für das Gewinnspiel ablenken sollen. Oft sind die Betrüger aber auch hier einfach auf die intimen Nutzerdaten aus.
Wie kann man sich schützen?
Vorsicht bei verlockenden Gewinnspielen und angeblichen Präsenten von Anbietern zweifelhafter Seriosität - denn wer hat schon etwas zu verschenken? Die persönlichen Daten wie Name, Alter, Anschrift, Telefonnummer oder E-Mail-Adresse landen meist nur bei Adressensammlern, die diese dann in Paketen weiterverkaufen und sich so die Taschen füllen. Das einzige, was sich beim Opfer füllt, ist dann der Anrufbeantworter oder das Mail-Postfach, und zwar mit nerviger, ungewollter Werbung. Im Zweifelsfall also lieber: Finger weg!
Foto: dpaBetrug per App
Smartphones sind ja sehr praktisch. Auch unterwegs hat man nicht nur ein Telefon, sondern eben auch immer einen Zugang zum Internet dabei. Doch auch bei dieser neuen Spielerei finden natürlich Betrüger Mittel und Wege, um Nutzern das Geld aus der Tasche zu ziehen. Die Abzocke per App, also einem kleinen Programm auf dem Handy, nimmt laut Verbraucherzentrale zu. In Spielen oder anderen Anwendungen, die erstmal gratis heruntergeladen werden können, verbergen sich meist kleine Werbebanner, etwa mit Hinweisen auf eine Erweiterung (zum Beispiel: "Hier gibt's neue Level" oder ähnliches). Berührt man die Stelle auch nur aus Versehen, kann das teuer werden, denn oftmals werden so über die Handynummer Käufe oder sogar Abos getätigt, die bis zu 60 Euro pro Monat kosten können.
Wie kann man sich schützen?
Die Verbraucherzentrale stuft einen Vertrag, der über das bloße Antippen eines Banners zustande kam, als ungültig ein. Die Bundesnetzagentur prüft derzeit einen Gesetzesverstoß. Geschädigte müssen sich selbst kümmern. Die Verbraucherzentrale rät dazu, den Vertragsabschluss gegenüber dem Mobilfunkprovider und der App-Firma zu bestreiten, und es zu kündigen. Vorbeugend können Smartphone-Nutzer eine sogenannte Drittanbieter-Sperre verhängen, die verhindert, dass dubiose Geschäftemacher über die Handyrechnung Geld einziehen können.
Foto: dapdLösegeld-Erpressung
Lösegeld-Erpressung? Ja, das gibt es auch im digitalen Bereich. Mit sogenannter Ransomeware wird der Rechner infiziert (zum Beispiel per E-Mail-Anhang oder auch per Facebook-Link), und der Nutzer kann auf einmal nicht mehr auf einzelne Dateien, Ordner oder gleich seine ganze Festplatte zugreifen. Für die Freigabe der Daten-Geiseln fordern die Schadprogramme Geld, das per anonymer Überweisung ins Ausland gehen soll. Berühmtheit erlangte der Bundespolizei-Trojaner, der Betroffenen vorgaukelte, eine offizielle Polizeibehörde habe den Rechner verschlüsselt, weil ungesetzliches Material (etwa Kinderpornografie) darauf gefunden worden sei.
Wie kann man sich schützen?
Alle Programme inklusive Antivirensoftware sollte immer auf dem neusten Stand gehalten werden. Vor allem gegenüber E-Mails von unbekannten Absendern, die Links oder Anhänge enthalten, sollte man misstrauisch sein. Ein beliebter Verbreitungsweg ist auch das soziale Online-Netzwerk Facebook: Hier verbreiten sich die Schadprogramme über Links in automatisch geposteten Videos oder Fragen, die zum draufklicken animieren (zum Beispiel: "Bist du das auf dem Foto?" oder "Total krasses Video!"). Hier heißt es wachsam sein, nachdenken und erst dann klicken. Hat man sich infiziert, sollte man auf keinen Fall zahlen und zudem Anzeige bei der Polizei erstellen.
Foto: dpaberTeure Abofallen
Eigentlich wollte man doch nur über eine Website ein paar Gratis-SMS verschicken. Und nun flattert eine astronomische Rechnung ins Haus. Angeblich kostenfrei zu versendende Kurznachrichten oder Spiele, Logos und Klingeltöne, die man sich zu sagenhaft günstigen Preisen herunterladen kann, sind eine beliebte Abofalle. Nutzer übersehen das Kleingedruckte und schließen nichts ahnend ein teures Abonnement ab.
Wie kann man sich schützen?
Auch wenn es lästig ist: Man sollte auch bei scheinbar kleinen Beträgen für ein Onlinespiel oder vermeintlichen Gratis-Angeboten sehr genau darauf achten, was sich im Kleingedruckten versteckt. Man sollte sich genau durchlesen, welche Leistung verkauft wird und auf Schlagworte wie "wiederkehrende Leistung" achten - denn das ist nichts anderes als ein Abonnement, das richtig teuer werden kann.
Foto: gmsEinschüchterung per Rechtsanwalt
Angeblich soll man mit nur einem Mausklick einen Vertrag abgeschlossen haben - immer wieder sind auch Minderjährige betroffen, die arglos im Internet gesurft haben. Mit fingierten Schreiben von Inkassobüros oder Rechtsanwälten versuchen Betrüger jetzt, Druck aufzubauen. Oft genug sind Betroffene so erschrocken und eingeschüchtert, dass sie die Rechnungen bezahlen. Obwohl sie es nicht müssen.
Wie kann man sich schützen?
Wenn man sich sicher ist, dass es sich um einen Internetabzocker handelt, der auf irgendeinem Wege an die Adressdaten gekommen ist, kann man alle Drohungen und Mahnungen getrost ignorieren. Im Zweifelsfall rät die Verbraucherzentrale dazu, sich erst Rat zu holen, bevor betrügerische Rechnungen bezahlt werden. Erst, wenn ein Mahnbescheid vom Gericht eintrifft, muss man reagieren; und zwar innerhalb von 14 Tagen.
Foto: dpaGefälschte Viren-Warnungen
Da hat man sich auf einer scheinbar harmlosen Internetseite durchgeklickt, und plötzlich springt ein Fenster mit einer Virenwarnung auf. Der vermeintlich mit einem Schadprogramm infizierte Internetnutzer reagiert, und klickt auf das angebliche Antivirenprogramm - und hat erst jetzt den wirklichen Ärger. Gefälschte Antivirensoftware grassiert zunehmend im Netz. Sind die Programme einmal auf den Rechner heruntergeladen, lassen sie immer wieder Fenster mit falschen Virenwarnungen erscheinen, die zum Kauf des (nutzlosen) Programms oder einer Lizenz auffordern. Manchmal dienen sie auch dazu, an die Kreditkarten-Daten des Nutzers zu gelangen.
Wie kann man sich schützen?
Antivirensoftware ist für jeden, der mit seinem PC im Internet surft, unerlässlich. Dabei sollte man aber nur auf namhafte Hersteller vertrauen und bei unaufgeforderten Software-Angeboten grundsätzlich sehr misstrauisch reagieren. Ein seriöses und kostenloses Antivirenprogramm gibt es etwa vom Hersteller Avira.
Foto: dpa/dpawebDie Flirt-Masche
Eigentlich hat man doch nur eine nette Nachricht von einem unbekannten Absender beantwortet. Oder ein bisschen mit der Dame geplaudert, die man angeblich von früher kennt und die man aufgrund einer Nachricht auf dem Anrufbeantworter zurückgerufen hat. Das böse Erwachen kommt dann in Form unerwarteter Rechnungen.
Wie kann man sich schützen?
Was ist passiert? Das BSI warnt davor, auf E-Mails, SMS oder Nachrichten auf dem Anrufbeantworter zu reagieren, deren Absender man nicht kennt. Bei SMS können sich demnach in den Nummern unsichtbare Codes verbergen, die unbemerkt zur Bestellung von Leistungen führen. Auch Flirtlines per SMS oder Telefon sind professionell darauf getrimmt, das Opfer lange in der Leitung zu halten oder es zum Versand möglichst vieler teurer Nachrichten zu bewegen. Sexuell verlockende E-Mails können auf Seiten leiten, die dann wiederum Nutzerdaten ausspähen oder auf denen man sich mit Schadsoftware infiziert. Also besser: Nicht antworten, sondern löschen oder einfach auflegen. Wer Opfer einer solchen Betrugsmasche geworden ist, sollte sich an die Bundesnetzagentur wenden und Strafanzeige erstatten, rät das BSI.
Foto: gms
Auf den ersten Blick sieht die Webseite aus wie die Seite einer Sparkasse. Wer genauer hinschaut und den Text auch liest, findet jedoch einige schräge Formulierungen. Da ist zum Beispiel die Rede davon, dass "nach Abschluss der Anweisungen zum Konto zu aktualisieren" der Online-Zugang wiederhergestellt werde. Rechtschreibfehler oder grammatikalische Ungenauigkeiten sind typisch für eine Phishing-Seite. Unter Phishing versteht der Bankenverband eine Methode, "bei der ein krimineller Angreifer die E-Mail-Adresse oder die Internetseite einer Bank und eines Dienstleisters vortäuscht". Betrüger bauen dabei Internetseiten von Banken oder auch Versandhändlern täuschend echt nach. Einziges Ziel: Die Kontodaten samt Geheimnummer (PIN), Code für eine Überweisung (Tan-Nummer) und Passwort abzusahnen (phishen). Statt an ihren Händler oder die Bank senden Kunden ihre Zugangsdaten dann an die Kriminellen. Und noch bevor der Kunde es merkt, ist sein Bankkonto geplündert. Wer zum Beispiel bei dieser nachgebauten Sparkassen-Seite oben auf den roten Kasten mit dem Pfeil klickt, landet auf einer Internetseite in Polen.
Foto: Screenshot
Dieses Formular ist dann zu sehen. Dort sollen Sparkassenkunden ihre PIN-Nummer eintippen. Keine Bank würde jedoch etwa per Email nach der PIN-Nummer fragen. Einen zusätzlichen Hinweis auf eine Phishing-Seite liefern in diesem Beispiel die Links. Wer auf das Impressum oder die Sicherheitshinweise klickt, kommt nicht weiter. Die Links funktionieren schlich nicht.
Foto: ScreenshotDie Daten von Kreditkarten sind für Betrüger besonders interessant. Um schneller zum Ziel zu gelangen, üben die Bösewichte Druck aus. Diese VISA-Betrüger etwa geben den Empfängern gerade mal zwei Tage Zeit. Am liebsten aber wäre es ihnen natürlich, wenn die Opfer ihre Karte sofort verifizieren (im Screenshot markiert).
Foto: ScreenshotDie Sparkasse Bielefeld warnt ganz aktuell in ihrem Blog vor Betrügern.
Foto: ScreenshotDie erkennt man dabei manchmal ganz einfach. Es fehlen schlicht Dinge, die auf einer echte Webseite vorhanden wären. Wie eine korrekte Seite ausschaut, macht eine Sparkasse auf ihrer Internetseite deutlich: Wichtig ist etwa das kleine Schloss-Symbol im Browser (siehe Screenshot). Mehr Sicherheit biete außerdem das Verschlüsselungsmerkmal der URL https:// statt http://.
Foto: ScreenshotDie Sparkassen versuchen nun, die Sicherheit zu steigern, indem sie neue Technik einsetzen. So tauschten Sparkassen vor einigen Monaten die alten Tan-Listen auf Papier gegen das Chip-Tan-System aus. Eine Tan-Nummer ist der Sicherheitscode, mit dem ein Bankkunde eine Überweisung tätigen kann. Früher bekamen Kunden eine Liste mit Dutzenden Tan-Nummern zugeschickt. Heute wird dem Kunden die aktuelle Tan-Nummer für einen Überweisungsauftrag immer erst dann zur Verfügung gestellt, wenn er sie tatsächlich benötigt. Das Chip-Tan-System generiert immer wieder eine neue Tan-Nummer. Betrüger konnten Tan-Nummern früher einfacher abfangen und für eine Überweisung auf das eigene Konto nutzen. Mit dem neuen System soll es für sie nun schwieriger sein, Tan-Nummern abzufangen.
Foto: dpaGeht es doch mal schief, müssen die Kunden mitunter haften. Der Bundesgerichtshof hat 2012 entschieden, dass ein Kunde, der auf einer gefälschten Webseiten seine Tan-Codes preisgibt, für den Schaden selbst aufkommen muss. Eine seit Herbst 2009 geltende Vorschrift, welche die Haftung von Bankkunden auf grobe Fahrlässigkeit und Vorsatz beschränkt, war zur Zeit der Überweisung noch nicht in Kraft. Doch auch heute dürfte es als fahrlässig gewertet werden, wenn jemand bedenkenlos mehrere Tan-Nummern auf einer fremden Webseite preisgibt. Die neue EU-Gesetzgebung vor, dass Kunden mit 150 Euro haften, wenn ein Betrüger seine Zahlungskarte missbraucht. Der Verband der Sparkassen teilte auf Anfrage mit, dass die Sparkassen über das gesetzliche Niveau hinaus gingen und ihren Kunden den vollen Schaden ersetzten, wenn der Kunde sorgfältig mit der Karte und der Geheimzahl (PIN) umgegangen ist. Beim Phishing, wo keine Bankkarte im Spiel ist, gilt laut Sparkassenverband folgendes: "Sobald ein Kunde sein Online-Banking gesperrt hat, haftet er nicht für eventuelle Schäden durch missbräuchliche Nutzung. Vor der Sperranzeige ist die Haftung auf 150 Euro begrenzt, sofern der Kunde seinen Sorgfaltspflichten entsprochen hat." Viele Karten kann man über den zentralen Sperrnotruf 116 116 sperren.
Foto: FotoliaNicht nur für Banken ist Phishing ein Problem auch die Kundendaten des Online-Versandhändlers Amazon sind für Betrüger interessant. Sie können sich mit den Zugangsdaten ins Kundenkonto einloggen. Denkbar ist, dass ein Betrüger damit auf Shopping-Tour im Internet geht und er sich die Ware etwa an eine neue Adresse schicken lässt. Wer eine Phishing-Mail mit dem vermeintlichen Absender Amazon bekommt, kann sie an stop-spoofing@amazon.com weiterleiten. Auf seiner Webseite erklärt Amazon, wie Kunden gefälschte Emails von einer echte unterscheiden können:
www.amazon.de/gp/help/customer/display.html/?nodeId=15344101
Wer sich unsicher ist, ob eine Email echt oder gefälscht ist, schaut am besten auf der Internetseite seines Anbieters nach dem Stichwort "Phishing". Fast alle Anbieter haben dazu eine Passage mit Informationen veröffentlicht.
Foto: REUTERS
Neben Viren- und Phishing-Attacken, die strafrechtlich verfolgt werden können, leidet auch die Werbewirtschaft. „Rein wirtschaftlich betrachtet sind die Verluste, die die Werbewirtschaft erleidet, noch viel größer“, sagt Siegfried Exner, der seit 2007 als Rechtsanwalt für unter anderem Internet-Recht in Kiel tätig ist. Er vertritt häufig Unternehmen, die gegen dieses Vorgehen klagen.
Das Konzept basiert auf den Prinzipien von Werbeeinnahmen über Webseiten. Entweder werden diese per Klick oder per verkauftes Produkt generiert. Im ersten Fall erhält der Domaingeber pro angeklickte Werbung geringe Beträge von weniger als einem Cent. Sobald also eine falsche Webadresse aufgrund eines Tippfehlers aufgerufen wird, kann es sein, dass jede Menge Werbefenster aufpoppen. Wenn der Nutzer diese schnell wegklickt, verdient der Domainbesitzer damit Geld. Über die Masse werden hier beträchtliche Summe im bis zu fünfstelligen Bereich verdient.
Die „Pay per Sale“-Variante funktioniert so, dass sich beim Aufrufen der falschen Domain ein äußerst hartnäckiger Cookie auf dem eigenen Rechner speichert. Kauft man dann zu einem späteren Zeitpunkt ein Produkt bei dem Unternehmen, dessen Werbung auf der falschen Domain aufgepoppt ist, fließen wieder Gelder.
In beiden Varianten profitiert der Domaingeber von der Werbung, die nie gezielt an einen Kunden ausgespielt wurde und so dem zahlenden Unternehmen auch nur wenig bringt. Wie das überhaupt möglich ist, erklärt Dirk Kollberg: „In der Regel haben Werbekunde und Unternehmen keinen direkten Kontakt mehr miteinander, sondern schließen kleinere Verträge über Webformulare ab.“ Weil die zivilrechtliche Verfolgung in solchen Fällen immer schwieriger wird, kalkulieren laut Kaspersky Lab viele Unternehmen diese uneffektiven Werbeausgaben sogar schon mit ein.
Um sich vor "Pseudoseiten" zu schützen, fordern Konzerne wie zum Beispiel Amazon, dass ein Mindestprozentsatz der Surfenden auch wirklich auf der Werbung landen muss. Ist das nicht gewährleistet, wird die Domain genauer überprüft.