Microsoft-Studie: Phishing lohnt sich nicht

Mit Phishing lässt sich mit wenig Aufwand viel Geld verdienen – sieht man den nicht abreißenden Strom von einschlägigen Mails im Postfach, die versuchen, einen auf gefälschte Bank- oder E-Commerce-Sites zu locken, um dort Zugangsdaten abzufangen, scheinen offenbar viele dieser Meinung zu sein. Und auch etliche Studien, etwa von Meinungsforschungsunternehmen, kommen zu ähnlichen Ergebnissen.

Cormac Herley und Dinei Florencio, Wissenschaftler, bei Microsoft Research, zeichnen in ihrer Arbeit "A Profitless Endeavor: Phishing as Tragedy of the Commons" (PDF-Datei) ein völlig anderes Bild. Sie untersucht den Phishing-Markt mit ökonomischen Modellen, die auch bei anderen Pools mit für jedermann zugänglichen Ressourcen (open access resource pools) angewendet werden – etwa dem Fischen, also dem "echten Fischen, bei dem Männer mit Booten zu See fahren".

Die Geschäftswelten von Fischen und Phishing haben, so die Forscher, viele Gemeinsamkeiten. Hier wie dort gebe es eine Jäger-Beute-Beziehung, beim Fischen zwischen den Fischern und dem Fisch, beim Phishing zwischen den Phishern und dem im Markt vorhandenen Geld. In beiden Fällen habe die Beute nur eingeschränkte Möglichkeiten, nachzuwachsen. Da jeder mit einfachem Aufwand zu einem Phisher werden könne, kommt es, einfach zusammengefasst, auf dem Phishing-"Markt" zu einer Art "Überphishung". Statt als einen einfachen Weg zum Reichtum, sehen sie Phishing als Tätigkeit für Geringqualifizierte, die auch wenig Einkommen abwirft. (Jo Bager) / (jo/c't)