Mit der Wortschöpfung Phishing, das sich aus Passwort und Fishing zusammensetzt. Es ist eine Technik mit denen Betrüger nach Passwörtern angeln. Die Angreifer heißen Phisher und versuchen vertrauliche Bankdaten - wie die persönliche Identifikationsnummer ( PIN), Transaktionsnummern ( TAN) oder Kreditkartennummern - vom Bankkunden über das Internet abzufragen und damit Finanztransaktionen durchzuführen. Die Banken haben darauf mit verbesserten Transaktionsverfahren wie der elektronischen Transaktionsnummer ( eTAN) und dem ChipTAN-Verfahren reagiert.
Beim Phishing agieren die Phisher mit gefälschten Bank-Homepages über die sie die vertraulichen Informationen abfragen. Zu diesem Zweck wird eine nachgemachte Homepage eines Geldinstituts ins Internet gestellt. Nach dem Zufallsprinzip werden E-Mails mit einem Link auf die gefälschte Homepage versandt. In diesen E-Mails werden Sicherheitsaspekte oder bankrelevante Themen behandelt mit dem Hinweis eine bestimmte Aktion durchzuführen, die dem Angreifer zugute kommt. Der Phisher will den Betroffenen dazu bringen, auf einen bösartigen Link zu klicken, einen infizierten Anhang zu öffnen, einen Geldtransfer zu autorisieren oder eine bestimmte Webseite aufzurufen. Angaben, die der Betroffene in eine nachgebildete Homepage einträgt, wie persönliche Identifikationsnummern und Transaktionsnummern, werden ausgefiltert und stehen den Angreifern unmittelbar für unberechtigte Finanztransaktionen auf der richtigen Homepage zur Verfügung.
Weitere Phishing-Verfahren
Da das Phishing wegen verbesserter Transaktionsverfahren nicht mehr den erhofften Erfolg zeitigt, wurde es verfeinert zum Spear-Phishing. Bei dieser Methode werden die Opfer ganz gezielt angegangen in dem sich die Phisher als alte Bekannte ausgeben und dazu harmlose Informationen aus Social Networks benutzen. Das darüber aufgebaute Vertrauen nutzen die Phisher um über Formulare einen Link anzuklicken über den eine ominöse Software geladen wird.
Eine andere Technik der Phisher ist der Einsatz von Malware, die als Trojaner in die Kommunikationsverbindung zwischen Bank und Bankkunde eingeschleust wird und dort die Daten abgreift. Die Technik des Phishing wird häufig in Attacken über das Social Engineering angewandt.