Hurraaaaaaa! Ich habe ein Wort erfunden! Bishing. Wie schön das klingt. Bishing. Das ist zwar ein Dorf in Arunachal Pradesh im oberen Siang Distrikt in Indien. Aber bisher kein Wort. Bis jetzt.
Sicherlich kennen Sie Phishing. Das ist ein Kunstwort aus dem P von Passwort und fishing, dem englischen Wort für „Angeln“ – hat seinen Ursprung mit „Ph“ aber von „Phreaking„. So werden E-Mails bezeichnet, die einem Passwörter abfischen. Sie gaukeln vor, von einer Firma oder Bank zu kommen, bei der Sie Kunde sind, und die dann ein Märchen aus Tausend und einer Nacht erzählen, warum Sie bitte auf einer echt aussehenden, aber gefälschten Webseite Ihre Zugangsdaten und Ihr Passwort eingeben sollen.
Um nicht auf Phishing E-Mails hereinzufallen, trainieren viele Firmen ihre Mitarbeiter und erklären, wie man diese Mails erkennt. Das geht von der Überprüfung der Absender-Adresse bis hin zu den typischen Merkmalen einer Phishing Mail: es gibt ein Problem mit dem Konto/Account, alles wurde eingeschränkt oder gesperrt, Zeitdruck (man muss sofort handeln) und das Problem können Sie nur lösen, indem Sie z.B. auf einen Link klicken. So weit, so gut.
Dann gibt es auch noch Vishing, das man zwar ähnlich ausspricht, aber etwas anderes meint. Hier geht es nicht um E-Mails, hier geht es um gefälschte Sprache, also Voice, deshalb auch Vishing. Ich selbst nutze den Begriff (fälschlicherweise) auch für gefälschte Videos. Mittels DeepFake-Technologie werden dabei Gesichter in ein Video geschnitten. So sollen wir angeleitet werden, Daten preiszugeben oder Passwörter. Oder – und das ist noch schlimmer – wir sollen Dinge glauben, die niemals so gesagt wurden. Wenn das mit Politikern gemacht wird, dann kann das verheerende Folgen für eine Demokratie haben.
Was aber bitte ist nun Bishing? Tja, das B steht für Brief. Kürzlich berichtete Michael Wiesner, ein Kollege aus der IT-Sicherheit, auf Twitter von zwei Rechnungen, die er erhielt. Auf beiden prangte das Wappen Nordrhein-Westfalens und beide sahen verdammt noch einmal hoch offiziell aus. Wiesner sollte nach einer Gewerbeanmeldung 820 Euro für einen Eintrag ins Handelsregister bezahlen. Einmal auf ein irisches Konto, ein anderes Mal auf eines in Belgien. Die Rechnungen sind gefälscht und kommen sogar schneller an, als die Meldung des Handelsregisters. Eine offiziell wirkende Rechnung eines Amtes nach einem Amtsgang wird bestimmt den ein oder anderen unerfahrenen Behördengänger zu einer Zahlung animieren. Die Masche ist auch nicht neu. Schon vor über zehn Jahren habe ich ähnliche Briefe aus Brüssel bekommen, als ich die Wortmarke „Comedyhacker“ europaweit schützen ließ.
Bishing scheint sich offensichtlich zu lohnen, obwohl die Täter im Gegensatz zu einer kostenlosen Phishing-Mail durch das Briefporto erst einmal mit 85 Cent in Vorkasse gehen.
31.10.22 Zweiter Absatz mit „Vishing“ wegen Fehler sowie Phishing bei der Wortherkunft korrigiert. (siehe Kommentar)
aber im Gegensatz zu Phishing u.ä. wo meist mit Bitcons agiert wird, sollte es in diesem Fällen über die IBAN doch reicht einfach sein den Kontoinhaber und über diesen die Akteure zu finden. Irgendwer will ja das Geld haben und dem sollte man doch ein paar Fallen stellen können.
Nun, dazu hat man doch Money Mules. Die akquiriert man wiederum mit dem guten klassischen Spam „Verdiene Unsummen als Finanzagent von zu Hause aus!“.
Diese Money Mules sind in dem ganzen Spiel übrigens die wirklich Gekniffenen: Wenn das Bishing-Opfer klagt, muss das Money Mule das Geld zurückzahlen. Er kann es dann natürlich von Bisher (Tobi, schreibt man das so?) zurück verlangen, aber der sitzt halt nun wirklich da, wo juristisch nicht mehr viel geht.
Ganz klar: das ist ein „Bisher“ :-)
Hier wird ja niemand erpresst. Es wird nur das Angebot gemacht, in ein Verzeichnis aufgenommen zu werden, wie in „falsche Gelbe Seiten“. Das Angebot nimmt man durch Zahlung der Rechnung an, die praktischerweise gleich beiliegt. Deswegen geht die Zahlung nicht an ein anonymes Konto. Der „Betrug“ ist hier die Täuschung, dass es ein verstecktes Angebot ist, das durch eine „offiziell aussehende“ Rechnung gemacht wird und manche das Angebot durch Bezahlen annehmen, weil sie glauben, das gehört zur Anmeldung der Marke bzw. des Gewerbes.
Die Wortherkunft bei Phishing ist so nicht richtig – das Wort geht eher auf das ältere „Phreaking“ und eine Zusammensetzung daraus zurück. Vishing ist auch etwas anderes als oben beschrieben (Voice Phishing).
Ansonsten noch ein kleiner Tipp am Rande, wenn man ein neues Wort an andere anlehnt, dann besser basierend auf der gleichen Sprache – Zwei englische Wörter. Wäre in diesem Fall dann eher „Lishing“ für Letter+Phishing.
Oje … das mit Vishing ist natürlich peinlich. Ich nutze den Begriff tatsächlich falsch und habe das im Text nun korrigiert. Lishing klingt auch gut, aber dem fehlt ein wenig die Absurdität der dem Beitrag innewohnen soll, daher bleibe ich lieber bei Bishing :-)