Wie aus einer seriös erscheinenden Studie des bekannten Marktforschungsinstituts Gartner hervorgeht, dürften Phisher bei ihren Attacken im laufenden Jahr allein in den USA rund 3,2 Milliarden Dollar eingeheimst haben. 3,3 Prozent aller Leute, die Phishing-Mails erhielten, also rund jeder dreissigste User, sollen auch zumindest auf eines davon hereingefallen sein, und einen Schaden erlitten haben.
Erhebliche Schadenssummen
Gartner stützt seine Schätzungen auf die Befragung einer repräsentativen Gruppe von 4500 Amerikanern, die das Internet benutzen. Die verglichen mit der Gesamtbevölkerung geringe Zahl sollte einen nicht dazu verleiten, die Studie gering zu schätzen. Falls die Methoden zur Auswahl der repräsentativen Testgruppe stimmen, sind die Ergebnisse statistisch trotz aller neu eingeführten Gegenmassnahmen stieg gemäss Gartner im letzten Jahr auch der Schaden verglichen mit früheren Jahren. Für 2006 schätzt Gartner die Gesamtbeute der Phisher auf rund 2,85 Milliarden Dollar. Letztes Jahr hätten 2,3 Millionen US-Bürger Geld an die Phisher verloren, dieses Jahr sollen es sogar 3,6 Millionen sein. Die Beute setzt sich mehrheitlich aus kleinen Beträgen zusammen – 50 Prozent aller Schadensbeträge sind tiefer als 200 Dollar. Aber angesichts des Gesamtschadens dürfte es doch erhebliche Schadenssummen gegeben haben.
Mehr Umsatz als Adobe
Um die Grössenordnung einmal mit einem wirtschaftlichen Vergleich zu illustrieren: Die Phisher hätten damit in diesem Jahr mehr «Umsatz» gemacht, als der Softwareriese Adobe in der ganzen Welt. Und unter dem Strich? Wir haben die düstere Ahnung, dass bei den Cyberkriminellen die Kosten kaum ins Gewicht fallen und eine Grossteil der eingestrichenen Milliarden als «Reingewinn» übrig bliebt.
Bei diesem handfesten finanziellen Antrieb ist es nicht anzunehmen, dass die Phisher in den kommenden Jahren ihre Versuche, auf kriminelle Weise an das Geld der Internet-User heranzukommen, einfach so aufgeben werden.
Wettrüsten
Zwischen ihnen und den betroffenen Firmen und Usern spielt sich ein technologisches Wettrennen ab. Inzwischen sind gute Sicherheitslösungen zur Entdeckung und Abwehr von Phishing-Versuchen eigentlich erhältlich, aber wie Gartner-Analystin Avivah Litan anmerkt, sind sie noch zu wenig verbreitet, um den Gesamtschaden zu reduzieren. Ausserdem ändern die Angreifer immer wieder ihre Methoden. Immer noch seien zwar zum beispiel das Online-Bezahlsystem PayPal und das Auktionshaus eBay die bevorzugten Angriffsziele für gefälschte Mails, aber zunehmend würden auch zum Beispiel Anbieter von elektronischen Grusskarten oder ausländische Unternehmen imitiert.
Auch neue technologische Gegenmassnahmen werden von den Phisher zügig durch neue Methoden oder Ausweichen auf neue Opfer ausgehebelt. Dazu Litan: «Die Kriminellen haben ihre Angriffe auf Debit-Karten und Online-Bankkonten verstärkt, bei denen die Back-end-Systeme zur Betrugserkennung traditionell schwächer sind, als bei Kredikartenkonten.» (Mit Betrugserkennung sind hier auf Data Mining basierende Systeme gemeint, die unter anderem von früheren Verhaltensmustern eines Users abweichende Transaktionen als möglichen Betrug anzeigen.) Ausserdem fügt Litan an: «Die Security-Systeme, die im Online-Banking gerade auf breiter Front eingeführt werden…. .sind schon wieder einen Schritt hinter den neusten Techniken der Betrüger zurück, und müssen erneuert werden, um auch ‹Browser Hijacking›-, ‹Man-in-the-middle›- und andere, auf eingeschleuster Malware basierende Angriffe abwehren zu können.» (inside-it/mc)