"Phishing-Industrie" macht mehr als drei Milliarden Dollar "Umsatz" – allein in den USA

19. Dezember 2007, 16:23
  • security
  • trends
  • studie
  • gartner
  • usa
image

Phisher haben die Gelegenheit, die Mittel und ein verdammt gutes Motiv.

Phisher haben die Gelegenheit, die Mittel und ein verdammt gutes Motiv.
Obwohl die betroffenen Finanzinstitute und andere Unternehmen nach Phishing-Attacken meist melden, dass gar kein oder zumindest wenig Schaden entstanden sei, scheint Phishing für die dahinter steckenden Cyberkriminellen keineswegs ein karges Handwerk zu sein. Im Gegenteil. Wie aus einer seriös erscheinenden Studie des bekannten Marktforschungsinstituts Gartner hervorgeht, dürften Phisher bei ihren Attacken im laufenden Jahr allein in den USA rund 3,2 Milliarden Dollar eingeheimst haben. 3,3 Prozent aller Leute, die Phishing-Mails erhielten, also rund jeder dreissigste User, sollen auch zumindest auf eines davon hereingefallen sein, und einen Schaden erlitten haben.
Gartner stützt seine Schätzungen auf die Befragung einer repräsentativen Gruppe von 4500 Amerikanern, die das Internet benutzen. (Die verglichen mit der Gesamtbevölkerung geringe Zahl sollte einen nicht dazu verleiten, die Studie gering zu schätzen. Falls die Methoden zur Auswahl der repräsentativen Testgruppe stimmten, sind die Ergebnisse statistisch recht robust.)
Trotz aller neu eingeführten Gegenmassnahmen stieg gemäss Gartner im letzten Jahr auch der Schaden verglichen mit früheren Jahren. Für 2006 schätzt Gartner die Gesamtbeute der Phisher auf rund 2,85 Milliarden Dollar. Letztes Jahr hätten 2,3 Millionen US-Bürger Geld an die Phisher verloren, dieses Jahr sollen es sogar 3,6 Millionen sein. Die Beute setzt sich mehrheitlich aus kleinen Beträgen zusammen – 50 Prozent aller Schadensbeträge sind tiefer als 200 Dollar. Aber angesichts des Gesamtschadens dürfte es doch erhebliche Schadenssummen gegeben haben.
Mehr Umsatz als Adobe
Um die Grössenordnung einmal mit einem wirtschaftlichen Vergleich zu illustrieren: Die Phisher hätten damit in diesem Jahr mehr "Umsatz" gemacht, als der Softwareriese Adobe in der ganzen Welt. Und unter dem Strich? Wir haben die düstere Ahnung, dass bei den Cyberkriminellen die Kosten kaum ins Gewicht fallen und eine Grossteil der eingestrichenen Milliarden als "Reingewinn" übrig bliebt.
Bei diesem handfesten finanziellen Antrieb ist es nicht anzunehmen, dass die Phisher in den kommenden Jahren ihre Versuche, auf kriminelle Weise an das Geld der Internet-User heranzukommen, einfach so aufgeben werden.
Wettrüsten
Zwischen ihnen und den betroffenen Firmen und Usern spielt sich ein technologisches Wettrennen ab. Inzwischen sind gute Sicherheitslösungen zur Entdeckung und Abwehr von Phishing-versuchen eigentlich erhältlich, aber wie Gartner-Analystin Avivah Litan anmerkt, seien sie noch zu wenig verbreitet, um den Gesamtschaden zu reduzieren. Ausserdem ändern die Angreifer immer wieder ihre Methoden. Immer noch seien zwar zum beispiel das Online-Bezahlsystem PayPal und das Auktionshaus eBay die bevorzugten Angriffsziele für gefälschte Mails, aber zunehmend würden auch zum Beispiel Anbieter von elektronischen Grusskarten oder ausländische Unternehmen imitiert.
Auch neue technologische Gegenmassnahmen werden von den Phisher zügig durch neue Methoden oder Ausweichen auf neue Opfer ausgehebelt. Dazu Litan: "Die Kriminellen haben ihre Angriffe auf Debit-Karten und Online-Bankkonten verstärkt, bei denen die Back-end-Systeme zur Betrugserkennung traditionell schwächer sind, als bei Kredikartenkonten." (Mit Betrugserkennung sind hier auf Data Mining basierende Systeme gemeint, die unter anderem von früheren Verhaltensmustern eines Users abweichende Transaktionen als möglichen Betrug anzeigen.) Ausserdem fügt Litan an: "Die Security-Systeme, die im Online-Banking gerade auf breiter Front eingeführt werden.... .sind schon wieder einen Schritt hinter den neusten Techniken der Betrüger zurück, und müssen erneuert werden, um auch 'Browser Hijacking'-, 'Man-in-the-middle'- und andere, auf eingeschleuster Malware basierende Angriffe abwehren zu können." (Hans Jörg Maron)

Loading

Mehr zum Thema

image

Wilken nach Cyberangriff wiederhergestellt

Der ERP-Anbieter kann sein volles Portfolio wieder liefern. Kunden­daten sollen bei dem Hack keine abhandengekommen sein.

publiziert am 8.12.2022
image

Glutz nach Cyberangriff wieder im eingeschränkten Betrieb

Die Solothurner Firma wurde zum Ziel eines Ransomware-Angriffes. Spezialisten sowie IT-Forensiker arbeiten noch immer daran, die Systeme gänzlich wiederherzustellen.

publiziert am 8.12.2022
image

Apple riegelt seine Cloud ab und wirft den Schlüssel weg

Der Konzern plant ein rigides Verschlüsselungssystem für den hauseigenen Cloudspeicher. Usern gefällt das, den US-Straf­verfolgungs­behörden hingegen nicht.

publiziert am 8.12.2022
image

San Francisco: Vorerst doch keine Roboter zum Töten

In einer zweiten Abstimmung hat sich das kommunale Gremium doch noch gegen die Richtlinie entschieden.

publiziert am 7.12.2022