Es sollte inzwischen keine Neuigkeit mehr sein, dass sich Phishing zu einem beliebten Mittel entwickelt hat, um an die Authentifizierungsdaten – und letztendlich an die Geldmittel – ahnungsloser Internet-Nutzer zu gelangen. Das tatsächliche Ausmaß der kriminellen Aktivitäten sowie die Höhe der erbeuteten Beträge sind dagegen weitaus schwieriger zu ermitteln. Dies liegt zum einen daran, dass es sich bei Phishing um eine relativ neue Erscheinung handelt und erst wenige Statistiken zur zahlenmäßigen Erfassung der Auswirkungen vorliegen. Zudem dürften Phishing-Attacken in vielen Fällen nicht als solche erkannt werden, da die Sensibilisierung der Nutzer im Hinblick auf diese Bedrohung fehlt.
Die rein quantitative Zunahme von Phishing-Angriffen ist allerdings nicht der einzige erkennbare Trend. Auch die Vorgehensweise der Phisher wird effektiver. Neben einer professionellen Gestaltung der nachgemachten Webportale von Banken oder anderen Online-Dienstleistern findet vermehrt Schadcode Verwendung, um die Chancen eines erfolgreichen Angriffs zu erhöhen. Zur Anwendung gelangen dabei größtenteils Trojaner, welche die Sicherheitsvorkehrungen des infizierten Systems umgehen und geheime Daten, wie beispielsweise Passwörter oder PIN/TAN Nummern ausspähen sollen. Anzahl und Gefährlichkeit dieser Schädlinge haben in den letzten Jahren rapide zugenommen. In dieses Bild passt eine Pressemitteilung des AntiViren Spezialisten KasperskyLab. Danach ist die Anzahl von Viren und Würmern, die sich ungezielt verbreiten leicht rückläufig, während Trojaner, die zu einem bestimmten Zweck geschrieben und gezielt versendet werden, auf dem Vormarsch sind. Dies lässt sich vor allem darauf zurückführen, dass mit diesem neuen Typ von Schädlingen wirtschaftliche Interessen verbunden sind, während einfache Viren zwar Schaden anrichten, dem Autor aber grundsätzlich keinen Nutzen bringen.
Durch den Einsatz solcher Malware lassen sich unter Umständen auch gerade die Sicherheitsvorkehrungen beseitigen, die Banken zur Abwehr von Phishing-Angriffen neu eingeführt haben. So lässt sich beispielsweise das iTAN-Verfahren durch Verwendung eines Trojaners möglicherweise umgehen. Bei diesem Verfahren wird eine spezifische TAN von einer beim Bankkunden befindlichen Liste nach dem Zufallsprinzip abgefragt. Erlangt der Phisher nach dem herkömmlichen Angriffsmuster eine oder mehrere TAN-Nummern, so ist die Wahrscheinlichkeit gering, dass sich die von der Bank angeforderte Nummer darunter befindet. Gelingt es dem Phisher dagegen, mithilfe eines Trojaners den Datenaustausch zwischen Kunden und Bank über seinen Rechner umzuleiten, so könnte er in den Besitz der angeforderten TAN gelangen.
Mit der quantitativen und qualitativen Zunahme von Phishing-Angriffen korrespondiert die große Anzahl der Betroffenen sowie die Höhe der eingetretenen Schäden . Nach einer Visa-Studie vom März 2005 glauben etwa 57 Millionen US-Bürger bereits eine Phishing-Mail erhalten zu haben. Etwa 1,8 Millionen gaben an, vertrauliche Informationen an Phishing-Websites übermittelt zu haben. Die Hälfte dieser Gruppe war von irgendeiner Form des Identitätsmissbrauchs betroffen. Die im Rahmen der CERT Studie befragten Mitarbeiter größerer Unternehmen berichteten ebenfalls von teilweise erheblichen finanziellen Verlusten aufgrund computerbasierter Straftaten. In 3% der Fälle lagen die eingetretenen Schäden bei über $10 Mio.
In Deutschland ist Phishing derzeit noch nicht derart verbreitet. Dennoch nimmt auch die Anzahl deutschsprachiger Phishing-Mails sprunghaft zu. Zu Beginn des Jahres 2005 wurde ein monatlicher Anstieg der Anzahl von Phishing-Mails um etwa 20% ermittelt. Genaue Zahlen bezüglich der Auswirkungen dieser Entwicklung sind allerdings schwer zu erhalten. Die Kriminalstatistik des BKA (PKS) weist Phishing nicht eigenständig aus. Auffallend ist aber, daß die bekannt gewordenen Fälle von Computerbetrug (§263a StGB)von 2003 auf 2004 um beinahe 25% gestiegen sind. Die Aufklärungsquote lag mit 46,4 % weit unter den Werten der übrigen Vermögensdelikte. Auch daraus erklärt sich der sprunghafte Anstieg von Phishing-Angriffen.
Im Zusammenhang mit der statistischen Erfassung soll ebenfalls noch einmal auf die Ergebnisse der AI3 – Umfrage verwiesen werden, welche auf der Homepage abrufbar sind.
Weitere statistische Details zu den Phishing-Trends des Jahres 2004
befinden sich im Bericht der Anti-Phishing Working Group vom Juli 2005.