Phishing

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

Unter Phishing versteht man Versuche, über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten eines Internet-Benutzers zu gelangen und damit Identitätsdiebstahl zu begehen. Ziel des Betrugs ist es, mit den erhaltenen Daten beispielsweise Kontoplünderung zu begehen und den entsprechenden Personen zu schaden. Es handelt sich dabei um eine Form des Social Engineering, bei dem die Gutgläubigkeit des Opfers ausgenutzt wird. Der Begriff ist ein englisches Kunstwort, das sich an fishing (Angeln, Fischen),[1] bildlich das Angeln nach Passwörtern mit Ködern,[2] anlehnt. Die Schreibweise mit -ph entstammt dem Hacker-Jargon (vgl. Phreaking).[3][4]

Phishing-Webseite: Sie sieht aus wie die Seite einer Sparkasse, ist jedoch eine vom Phisher präparierte Webseite. Der Klick auf die Schaltfläche in der Mitte würde den nichts ahnenden Besucher auffordern, persönliche Daten einzugeben, die der Phisher dann abfängt.

Typisch ist dabei die Nachahmung des Internetauftritts einer vertrauenswürdigen Stelle, etwa der Internetseite einer Bank. Um keinen Verdacht zu erregen, wird das Corporate Design der betroffenen Stelle nachgeahmt, so werden etwa dieselben Firmenlogos, Schriftarten und Layouts verwendet. Der Benutzer wird dann auf einer solchen gefälschten Seite etwa dazu aufgefordert, in ein Formular die Login-Daten oder auch Transaktionsnummern für sein Onlinebanking einzugeben. Diese Daten werden dann an den Betrüger weitergeleitet und dazu missbraucht, das Konto zu plündern.

Es handelt sich meist um kriminelle Handlungen, die Techniken des Social Engineering verwenden.[5] Phisher geben sich als vertrauenswürdige Personen aus und versuchen, durch gefälschte elektronische Nachrichten an sensible Daten wie Benutzernamen und Passwörter für Online-Banking oder Kreditkarteninformationen zu gelangen. Phishing-Nachrichten werden meist per E-Mail oder Instant-Messaging versandt[6] und fordern den Empfänger auf, auf einer präparierten Webseite oder am Telefon[7] geheime Zugangsdaten preiszugeben. Versuche, der wachsenden Anzahl an Phishing-Versuchen Herr zu werden, setzen unter anderem auf geänderte Rechtsprechung, Anwendertraining und technische Hilfsmittel.

Der erste dokumentierte Phishing-Versuch fand am 2. Januar 1996 in der Usenet-Newsgroup alt.online-service.america-online statt,[8] der Begriff Phishing tauchte jedoch möglicherweise bereits zuvor in der Druckausgabe des Hacker-Magazins 2600 auf.[9] Die verbreitete Theorie, nach der Phishing ein Kofferwort aus password harvesting[10] ist, ist ein Beispiel für Volksetymologie.

Geschichte[Bearbeiten]

Phishing ist keine neue Erscheinung. Tatsächlich gab es unter dem Begriff Social Engineering ähnliche Betrugsversuche bereits lange, bevor E-Mail und Internet zum alltäglichen Kommunikationsmittel wurden. Dabei versuchten Betrüger beispielsweise auf telefonischem Weg, sich das Vertrauen der Opfer zu erschleichen und ihnen vertrauliche Informationen zu entlocken. Durch die Verbreitung von kostengünstiger VoIP-Telefonie wird dieses nun Vishing genannte Vorgehen wieder lohnend für Betrüger. Ein aktuelles Beispiel für verwendete Trickbetrügereien ist der Enkeltrick. Neu sind beim Phishing lediglich die Werkzeuge, die eine weitaus größere Verbreitung ermöglichen.

Die Anfänge des Phishings im Internet reichen bis zum Ende der 90er Jahre des 20. Jahrhunderts zurück. Damals wurden Nutzer von Instant-Messengern wie z. B. ICQ per E-Mail aufgefordert, ihre Zugangsdaten in ein in der E-Mail enthaltenes Formular einzutragen. Mit den so erhaltenen Zugangsdaten konnten die Betrüger die Chat-Zugänge ihrer Opfer unter deren Identität nutzen.

Die ersten Phishing-Angriffe im Bereich des Online-Banking begannen damit, dass der Urheber einer Phishing-Attacke seinem Opfer offiziell wirkende Schreiben als E-Mail schickte, die ihn dazu verleiten sollen, vertrauliche Informationen, vor allem Benutzernamen und Passwörter oder PIN und TAN von Online-Banking-Zugängen, dem Täter im guten Glauben preiszugeben. Übergibt der Besucher korrekte Daten, kann der Betrüger mit der abgefangenen PIN und TAN eine Geldüberweisung zu Lasten des Opfers tätigen. Diese relativ simple Methode, Kontozugangsdaten abzufangen, wird heute nur noch vergleichsweise selten angewendet, nachdem die meisten Banken ihre TAN-Systeme verbessert haben.

Neuere Methoden[Bearbeiten]

In der Gegenwart gelingt es Phishing-Betrügern vor allem mit Hilfe von Malware (sog. trojanische Pferde), sich in dem Kommunikationsweg zwischen Bankkunde und Bank zwischenzuschalten und Daten abzugreifen, die dann nie bei der Bank ankommen. Der Umweg, den Bankkunden über das Versenden einer E-Mail zur Preisgabe seiner Zugangsdaten zu verleiten, ist damit nicht mehr notwendig. Diese moderne Form des Abgreifens von Kontozugangsdaten ermöglichte es den Tätern, auch vergleichsweise moderne Systeme wie das i-TAN-Verfahren (sog. indizierte TAN-Verfahren) zu überlisten.

Phishing-Angriffsziele sind dabei Zugangsdaten, z. B. für Banken (Onlinebanking) oder Bezahlsysteme (z. B. PayPal), Versandhäuser, Internet-Auktionshäuser, webbasierende Onlineberatungen, Packstationen oder Singlebörsen. Mit den gestohlenen Zugangsdaten kann der Urheber der Phishing-Attacke die Identität seines Opfers übernehmen (Identitätsdiebstahl) und in dessen Namen Handlungen ausführen. Durch den Missbrauch der persönlichen Daten entstehen beträchtliche Schäden in Form von Vermögensschäden (z. B. Überweisung von Geldbeträgen fremder Konten), Rufschädigung (z. B. Versteigerung gestohlener Waren unter fremdem Namen bei Online-Auktionen) oder Schäden durch Aufwendungen für Aufklärung und Wiedergutmachung. Über die Höhe der Schäden gibt es nur Schätzungen, die zwischen mehreren hundert Millionen Dollar und Milliarden-Beträgen variieren. Wie Sicherheitsexperten des auf IT-Sicherheit spezialisierten Unternehmens RSA herausfanden, gab es allein in den USA im Jahr 2011 etwa 280.000 Phishing-Attacken und damit einen Anstieg um 37 Prozent gegenüber dem Vorjahr. Im Schnitt konnten die Täter mit jedem Angriff ungefähr 4.500 Dollar erbeuten.[11]

Eine neuere Variante des Phishing wird als Spear-Phishing bezeichnet (abgeleitet von der englischen Übersetzung des Begriffs Speer), worunter ein gezielter Angriff zu verstehen ist. Hierbei beschafft sich der Angreifer z. B. über die Studentenvertretung einer Hochschule die Mailadressen der dort eingeschriebenen Studenten, um an diese gezielt eine Phishing-Mail einer lokal ansässigen Bank oder Sparkasse zu übersenden. Die „Trefferquote“ bei dieser Art von Phishing-Attacken ist höher als bei normalen Angriffen, da die Wahrscheinlichkeit, dass ein Student seine Bankverbindung bei diesem Institut unterhält, sehr groß ist. Weiter spricht man in Fachkreisen von Whaling, wenn sich die gezielte Attacke gegen hohe Führungskräfte richtet.

Eine weiterentwickelte Form des klassischen Phishings ist das Pharming, welche auf einer Manipulation der DNS-Anfragen von Webbrowsern basiert.

Methoden der Datenbeschaffung[Bearbeiten]

Im Allgemeinen beginnt eine Phishing-Attacke mit einer persönlich gehaltenen, offiziell anmutenden E-Mail oder einem Massenversand von E-Mails, wobei der Empfänger stets mit „Sehr geehrter Kunde“ angesprochen wird anstatt mit dem eigentlichen Namen, welcher normalerweise der Bank bekannt ist – eine weitere Möglichkeit, Phishingmails zu erkennen. Der Empfänger soll eine betrügerische Webseite besuchen, die täuschend echt aussieht und unter einem Vorwand zur Eingabe seiner Zugangsdaten auffordert. Meistens wird das Opfer zusätzlich in falsche Sicherheit gewiegt, indem im Text das Problem des Datendiebstahls thematisiert wird und das Ausfüllen des Formulars nötig sei, damit ein „neuartiges Sicherheitskonzept“ wirksam werden kann. Folgt er dieser Aufforderung, gelangen seine Zugangsdaten in die Hände der Urheber der Phishing-Attacke. Was dann folgt, soll nur noch nachträgliches Misstrauen des Opfers zerstreuen – eine kurze Bestätigung oder eine falsche Fehlermeldung.

In den gefährlicheren Angriffsformen befindet sich die Malware auf einer infizierten Webseite. Diese wird dann allein durch den Besuch der Website auf dem Computer des Internetnutzers installiert. Hierbei ist es möglich, dass auch eine seriöse Internetseite ohne Kenntnis des Betreibers infiziert wurde. In diesem Fall ist das Versenden einer E-Mail entbehrlich.

Eine andere Variante bindet ein Formular direkt innerhalb einer HTML-E-Mail ein, das zur Eingabe der vertraulichen Daten auffordert und diese an die Urheber sendet. Auf eine Phishing-Webseite wird hierbei verzichtet.

Die Frankfurter Allgemeine Zeitung berichtete 2009 von einem Man-in-the-Middle-Angriff von Tätern aus St. Petersburg, die im Jahre 2008 430 Internetknotenrechner scannten und auf diese Weise 25 Mio. € erbeutet hatten.[12]

Methoden der Verschleierung[Bearbeiten]

E-Mail[Bearbeiten]

Beispiel einer Phishing-Mail

Die E-Mail wird als HTML-E-Mail, eine E-Mail mit den grafischen Möglichkeiten von Webseiten, verfasst. Der Verweistext zeigt die Originaladresse an, während das unsichtbare Verweisziel auf die Adresse der gefälschten Webseite verweist (Link-Spoofing).

Mit der Einbindung von HTML kann der im E-Mail-Programm sichtbare Verweis tatsächlich auf eine ganz andere Webseite verweisen. Zwar lässt sich ersehen, dass das Ziel des Verweises auf eine andere Webseite verweist, allerdings können auch diese Angaben über Skripttechniken verfälscht werden, sofern das E-Mail-Programm solche Skripte ausführt. In anderen Fällen wird der Verweis als Grafik dargestellt, um die Text-Erkennung durch automatische Filtersysteme zu erschweren. Auf dem Bildschirm des Anwenders erscheint dann zwar Text, dieser ist allerdings eine Grafik.

Bei Phishing wird meistens auch die E-Mail-Adresse des Absenders gefälscht, um die Mail echter aussehen zu lassen. Es wird auch beobachtet, dass Phishing-Mails Wörter enthalten, die bayessche Spamfilter ansprechen lassen.

Webpräsenz[Bearbeiten]

Phishing-Webseite

Die gefälschten Zielseiten haben meistens gefälschte Namen oder Bezeichnungen, die ähnlich klingen wie die offiziellen Seiten oder Firmen. Die Zielseiten mit dem Webformular haben das gleiche Aussehen wie die Originalseiten. Sie sind also nur sehr schwer als Fälschungen identifizierbar.

Mit der Möglichkeit, internationalisierte Domainnamen in URLs zu verwenden, entstanden neue Möglichkeiten zum URL-Spoofing. Beispielsweise könnte eine Originaladresse lauten http://www.oe-bank.example.com/ und als Fälschung http://www.ö-bank.example.com/. Die beiden Namen sind sachlich identisch, allerdings technisch unterschiedlich, denn sie werden im Hintergrund zu unterschiedlichen Adressen aufgelöst und können zu völlig unterschiedlichen Webseiten führen.

Noch schwerer zu erkennen ist die Verwendung von ähnlich aussehenden Buchstaben aus anderen Alphabeten (Homographischer Angriff). So unterscheidet sich z. B. das kyrillische „а“ bei den üblicherweise verwendeten Schriftarten optisch in keiner Weise vom lateinischen „a“. Falls das „a“ in „http://www.bank.example.com/“ kyrillisch dargestellt wird, ist die Adresse unterschiedlich und somit falsch. Allerdings zeigt die Adresszeile des Browsers keinen sichtbaren Unterschied zur Original-Bankadresse.

Als generisches Schutzprotokoll vor Phishing-Attacken auf Basis von IDNs wurde das Protokoll IDN Char Collision Detection (IdnCCD) entwickelt.

Es wurden Trojaner entdeckt, die gezielt Manipulationen an der Hosts-Datei des Betriebssystems vornahmen. In der Hosts-Datei können rechnerindividuelle Umsetzungen hinterlegt werden. Eine Manipulation dieser Datei kann bewirken, dass anstatt der Original-Seite nur noch die gefälschte Seite aufgerufen werden kann, obwohl die korrekte Adresse eingegeben wurde.

Eine Studie der Universität Cambridge (The Impact of Incentives on Notice and Take-down, s. Literatur) hat gezeigt, dass Banken es im Durchschnitt innerhalb von vier bis acht Stunden schaffen, zur Kenntnis gelangte Phishing Websites weltweit löschen zu lassen.

SMS (SMiShing)[Bearbeiten]

Hierbei wird per SMS z. B. eine „Abobestätigung“ verschickt. Darin wird eine Internet-Adresse zur Abmeldung genannt, bei Besuch dieser Seite wird z. B. ein Trojaner eingeschleust.[13]

Schutz[Bearbeiten]

Da die HTML-Darstellung und der Einsatz von Scripten bei den meisten Phishing-E-Mails eingesetzt werden, kann man bei seinem E-Mail-Programm die HTML-Darstellung sowie Java-Script deaktivieren. Auch sollten eigene E-Mails zumindest auch als reiner Text versendet werden, damit der Empfänger in seinem E-Mail-Programm die HTML-Darstellung deaktivieren und sich so vor Phishing-E-Mails schützen kann.

Phishing-Warnung unter Firefox 2.0
Warnung bei Mozilla Thunderbird

Die E-Mail-Filter einiger Antivirenprogramme können Phishing-E-Mails unter günstigen Umständen erkennen und eliminieren. Voraussetzung dafür ist es, das Antivirenprogramm stets auf aktuellem Stand zu halten. Auch E-Mail-Programme wie z. B. Mozilla Thunderbird und Browser wie der Internet Explorer 8, Mozilla Firefox 3.6 oder Opera 9.xx warnen vor Phishingseiten. Der Phishingschutz basiert dabei entweder auf einer Blacklist, welche über das Internet aktualisiert wird, oder es werden typische Merkmale von Phishing-E-Mails wie z. B. Verweise auf IP-Adressen oder Verweise mit einem anderen Hostnamen als im Verweistext überprüft.

Seit einiger Zeit nutzen immer mehr Kreditinstitute im Internetbanking Extended Validation-SSL-Zertifikate (EV-SSL-Zertifikate). In der Adresszeile aktueller Browser (bspw. Internet Explorer 9, Mozilla Firefox 7.0.1) wird hierbei zusätzlich ein Feld angezeigt, in dem Zertifikats- und Domaininhaber im Wechsel mit der Zertifizierungsstelle eingeblendet werden. Zudem wird je nach verwendetem Browser die Adresszeile grün eingefärbt. Internetnutzer sollen so noch schneller erkennen, ob die besuchte Webseite echt ist, und damit besser vor Phishingversuchen geschützt sein.

Auch für Microsoft Outlook gibt es eine Möglichkeit, sich vor gefährlichem Phishing zu schützen. Dabei wird eine Symbolleiste in Outlook eingebunden, und jede eingehende E-Mail kann auf gefährliche Verweise und verdächtige Header hin überprüft werden.

Symbolleisten und E-Mail-Filter, die auf schwarzen Listen beruhen, sind prinzipbedingt auf deren Aktualität angewiesen. Dies schränkt ihre Wirksamkeit bei neuen Phishingattacken deutlich ein.

Eine phishingresistente Möglichkeit, Onlinebankingtransaktionen durchzuführen, besteht darin, das signaturgestützte HBCI-Verfahren mit Chipkarte zu nutzen. Diese Variante des Onlinebankings ist darüber hinaus sehr komfortabel, da die Eingabe von TANs entfällt. Als weiterer Sicherheitsgewinn ist die sichere PIN-Eingabe (entsprechender Chipkartenleser mit eigenem PIN-Pad vorausgesetzt) zu nennen, bei der ein Belauschen der PIN-Eingabe mit einem Keylogger oder Trojaner nicht möglich ist. Demgegenüber stehen die Nachteile einer Softwareinstallation für HBCI, die notwendigen Installationen für den Kartenleser im Betriebssystem und damit die mangelnde Mobilität gegenüber. Auch wenn bisher keine massiven Angriffe gegen HBCI beobachtet wurden, bietet das Verfahren naturgemäß nur dann einen hohen Schutz, wenn das unterliegende Betriebssystem frei von Schadsoftware wie trojanischen Pferden ist.

Einen guten Schutz gegen Phishing bietet auch das iTAN-Verfahren. Es gibt allerdings (von Phishing zu unterscheidende) Man-in-the-middle-Angriffe, gegen welche die iTAN wirkungslos ist.

Ein gesundes Misstrauen gegenüber dem unsicheren Medium E-Mail sowie das aufmerksame Lesen der Phishing-E-Mails ist ebenfalls hilfreich. Kein seriöses deutsches Kreditinstitut verlangt von seinen Kunden, „ein Form auszufüllen“ oder „TAN einzutasten“. Mangelhafte Grammatik und Orthographie sind zwar kein sicheres Kennzeichen für Phishing, aber auf jeden Fall höchst verdächtig.

Weitere Merkmale, die häufig in Phishing-Mails anzutreffen sind, sind namenlose Anreden („Sehr geehrter Kunde“ – bei „echten“ Newslettern ist die Anrede meistens direkt an den Adressaten, also z. B. „Sehr geehrter Herr XYZ“) und eine vorgebliche besondere Dringlichkeit („Wenn Sie nicht innerhalb der nächsten zwei Tage eine Verifikation durchführen, wird ihr Konto / ihre Kreditkarte gesperrt“). Kein Unternehmen erwartet derart kurze Reaktionszeiten, und die meisten Banken und Sparkassen haben sowieso keine E-Maildaten von ihren Kunden, so dass bei wichtigen Mitteilungen meistens der Postweg gewählt wird.

Die meisten Phishing-Mails sind in einem ungewöhnlich holprigen, schlechten Deutsch geschrieben. Durch aufmerksames, kritisches Lesen des Textes fällt bei vielen Mails sofort auf, dass diese nicht von einem seriösen Absender stammen können.

Im Zweifel kann man (bei Thunderbird oder Firefox einfach mit Strg-U) den Quelltext der Phishing-E-Mail anzeigen und untersuchen. Meist erkennt man darin relativ schnell den eigentlichen Absender oder einen URL aus dem Ausland, der mit dem vorgetäuschten Absender nichts zu tun hat.

Es empfiehlt sich, für jede Anwendung ein anderes Kennwort zu vergeben. Wird das Kennwort einer Anwendung durch einen Angreifer ermittelt, bleibt für den Angreifer der Zugriff auf eine andere Anwendung weiterhin verwehrt.

Beispiele[Bearbeiten]

Anfang 2005 wurde eine Spam-E-Mail mit folgendem Wortlaut verschickt:

Sehr geehrter Kunde!
Wir sind erfreut, Ihnen mitzuteilen, dass Internet – Ueberweisungen
ueber unsere Bank noch sicherer geworden sind!
Leider wurde von uns in der letzten Zeit, trotz der Anwendung von
den TAN-Codes, eine ganze Reihe der Mitteldiebstaehle von den Konten
unserer Kunden durch den Internetzugriff festgestellt.
Zur Zeit kennen wir die Methodik nicht, die die Missetaeter für
die Entwendung der Angaben aus den TAN – Tabellen verwenden.
Um die Missetaeter zu ermitteln und die Geldmittel von unseren
Kunden unversehrt zu erhalten, haben wir entschieden, aus den
TAN – Tabellen von unseren Kunden zwei aufeinanderfolgenden
Codes zu entfernen.
Dafuer muessen Sie unsere Seite besuchen, wo Ihnen angeboten
wird, eine spezielle Form auszufuellen. In dieser Form werden
Sie ZWEI FOLGENDE TAN – CODEs, DIE SIE NOCH NICHT VERWENDET
HABEN,EINGEBEN.
 
Achtung! Verwenden Sie diese zwei Codes in der Zukunft nicht mehr!
Wenn bei der Mittelüberweisung von Ihrem Konto gerade diese
TAN – Codes verwendet werden, so wird es fuer uns bedeuten,
dass von Ihrem Konto eine nicht genehmigte Transitaktion ablaeuft
und Ihr Konto wird unverzueglich bis zur Klaerung der
Zahlungsumstaende gesperrt.
 
Diese Massnahme dient Ihnen und Ihrem Geld zum Schutze! Wir
bitten um Entschuldigung, wenn wir Ihnen die
Unannehmlichkeiten bereitet haben.
 
Mit freundlichen Gruessen,
Bankverwaltung

Sie forderte den Empfänger auf, einem Verweis zu folgen, der angeblich auf die Seiten der Postbank führen sollte, tatsächlich aber auf eine Phishingseite verwies. Diese fragte in fehlerhaftem Deutsch nach der PIN sowie zwei TANs. Nach Eingabe der Ziffern in die Formularfelder wurden die Eingabedaten zum Abruf durch den Betrüger abgespeichert. Der Besucher wurde an die öffentliche Postbank-Webadresse weitergeleitet.

Haftung[Bearbeiten]

Das Landgericht Nürnberg-Fürth warf im Jahre 2008 die Frage auf, ob Banken im Jahre 2005 verpflichtet gewesen wären, das ältere PIN/TAN-Verfahren durch das modernere iTAN-Verfahren abzulösen.[14] Diese Frage blieb im konkreten Streitfall damals offen, da sie nicht streitentscheidend war. Im Jahre 2010 entschied dann erstmals ein Oberlandesgericht in Deutschland, dass Banken zur Bereithaltung sicherer Systeme verpflichtet sind, die es entsprechend dem Stand der Technik den Straftätern erschweren, Bankzugangsdaten abzugreifen. Das Gericht sah eine Sorgfaltspflichtverletzung der Bank dann als gegeben an, wenn die Bank ein System verwendet, das bei der Mehrzahl der Kreditinstitute nicht mehr im Einsatz ist und hinter den Sicherheitsstandards von neueren Systemen zurückbleibt.[15]

Siehe auch[Bearbeiten]

Literatur[Bearbeiten]

  • Ulrich Schulte am Hülse, Sebastian Klabunde: Das Abgreifen von Bankzugangsdaten im Onlinebanking - Vorgehensweise der Täter und neue zivilrechtliche Haftungsfragen des BGB. In: MultiMedia und Recht (MMR), 13. Jg., 2010, Nr. 2, ISSN 1434-5960, S. 84-90.
  • Paul H. Dienstbach, Tobias Mühlenbrock: Haftungsfragen bei Phishing-Angriffen. Zugleich Kommentar zu LG Köln, K&R 2008, 118 ff. (Heft 2). In: Kommunikation & Recht (K&R). Betriebs-Berater für Medien, Telekommunikation, Multimedia, 11. Jg., 2008, Nr. 3, ISSN 1434-6354, S. 151–155.
  • Markus Gisin: Phishing. In: Kriminalistik (Krim). Unabhängige Zeitschrift für die gesamte kriminalistische Wissenschaft und Praxis, 62. Jg., 2008, H. 3, ISSN 0023-4699, S. 197–200.
  • Ingke Goeckenjan: Phishing von Zugangsdaten für Online Bankdienste und deren Verwertung. In: wistra. Zeitschrift für Wirtschafts- und Steuerstrafrecht, 27. Jg., 2008, H. 4, ISSN 0721-6890, S. 128–136.
  • Jürgen-Peter Graf: Zur Strafbarkeit des „Phishing". In: Mathis Hoffmann, Stefan Leible, Olaf Sosnitza (Hrsg.): Geistiges Eigentum im virtuellen Raum. Richard Boorberg Verlag, Stuttgart, München, Berlin, Hannover, Dresden, Weimar 2007, S. 173–184, ISBN 978-3-415-03881-3.
  • David Hansen: Strafbarkeit des Phishing nach Internetbanking-Legitimationsdaten. Verlag Dr. Kovač, Hamburg 2007, ISBN 978-3-8300-3210-6.
  • Michael Heighmanns: Die Strafbarkeit des „Phishing" von Bankkontendaten und ihrer Verwertung. In: wistra. Zeitschrift für Wirtschafts- und Steuerstrafrecht, 26. Jg., 2007, ISSN 0721-6890, S. 167–170.
  • Tobias Mühlenbrock, Paul H. Dienstbach: Anmerkung zu AG Wiesloch, Urt. v. 20. Juni 2008 – 4 C 57/08. In: MultiMedia und Recht (MMR), 11. Jg., 2008, Nr. 9, ISSN 1434-5960, S. 630–631.
  • Carl-Friedrich Stuckenberg: Zur Strafbarkeit von „Phishing". In: Zeitschrift für die gesamte Strafrechtswissenschaft (ZStW). 118. Bd., 2006, ISSN 0084-5310, S. 878–912.
  • Tyler Moore und Richard Clayton: The Impact of Incentives on Notice and Take-down. 13. Juni 2008. (PDF-Datei; 344 KB)
  • Alexander Seidl und Katharina Fuchs: Die Strafbarkeit des Phishing nach Inkrafttreten des 41. Strafrechtsänderungsgesetzes. HRRS (Höchstrichterliche Rechtsprechung im Strafrecht) Heft 2/2010.

Weblinks[Bearbeiten]

 Wiktionary: phishing – Bedeutungserklärungen, Wortherkunft, Synonyme, Übersetzungen

Einzelnachweise[Bearbeiten]

  1. Spam Slayer: Do You Speak Spam? PCWorld.com. Ausgewertet am 16. August 2006
  2. A. Mitchell: A Leet Primer. In: TechNewsWorld, 12. Juli 2005
  3.  Collins English Dictionary - Complete & Unabridged. 10 Auflage. HarperCollins, 2009 (Online-Zitat auf Dictionary.com).
  4. Duden-Artikel zu Phishing. Bibliographisches Institut GmbH, abgerufen am 27. Juni 2014.
  5. M. Jakobsson: The Human Factor of Phishing. Privacy & Security of Consumer Information '07 Ausgewertet am 2. Februar 2007
  6. K. Tan: Phishing and Spamming via IM (SPIM). Internet Storm Center Ausgewertet am 5. Dezember 2006
  7. E. Skoudis: Phone phishing: The role of VoIP in phishing attacks. In: searchSecurity, 13. Juni 2006
  8. phish, v., OED Online, March 2006, Oxford University Press. Oxford English Dictionary Online Ausgewertet am 9. August 2006
  9. G. Ollmann: The Phishing Guide: Understanding and Preventing Phishing Attacks. Technical Info. Ausgewertet am 10. Juli 2006
  10. Know your Enemy: Phishing. The Honeynet Project & Research Alliance. 8. Juli 2006
  11. So schützt du dich vor Phishing-E-Mails, t3n, 12. April 2012. Abgerufen am 17. April 2012.
  12. P. Welchering: In: FAZ Nr. 196 vom 25. August 2009, Motor und Technik, S. T1
  13. McAfee warnt vor "SMiShing"-Attacken. In: Heise online, 27. August 2006.
  14. [LG Nürnberg-Fürth, Urteil vom 28. April 2008, 10 O 11391/07], Ausgewertet am 21. Dezember 2010
  15. KG, Urteil vom 29. November 2010 - 26 U 159/09 (PDF-Datei; 100 kB), Ausgewertet am 21. Dezember 2010