Phishing zum Beispiel, das Fischen nach Passwörtern, werde immer ausgefeilter, warnt Matthias Gärtner, Sprecher des Bundesamts für Sicherheit in der Informationstechnik (BSI) in Bonn. Die klassische Form des Passwortklaus mit einer E-Mail, die einen Link auf eine gefälschte Bankseite enthält, werde durch neue Methoden abgelöst.

Der Bundesverband deutscher Banken in Berlin rät Kunden in seinen Sicherheitsregeln daher zur Wachsamkeit. Wer online seine Bank besucht, sollte jedes Mal in der Adresszeile des Browsers kontrollieren, ob die Internetadresse der Bank korrekt wiedergegeben ist. Bereits minimale Abweichungen könnten auf eine gefälschte Website hinweisen. Niemals sollte die Bankseite über einen Link besucht werden. Besser ist es, die Web-Adresse der Bank per Hand einzugeben oder beim eigenen Rechner als Lesezeichen zu speichern.

Die Einschätzung von Matthias Gärtner wird durch eine Nachricht bestärkt, die Ende Juli die Runde machte: Computerexperten der Firma AAX Business Solutions aus Graz fanden eine neuartige Phishing-Methode: Hat sich der Anwender ein Trojanisches Pferd ein Schadprogramm, das sich unbemerkt auf dem Rechner einschleicht eingefangen, kann er anhand der Internet-Adresse der Bank nicht mehr erkennen, ob er auf einer sicheren Internet-Seite ist, die mit "https://" beginnt.

Weil die Software Sicherheitshinweise unterdrückt, sei das SSL-Zertifikat der Bankseite echt, teilten die Entdecker mit. Die Software leite Nutzer nicht auf eine gefälschte Seite um. Sie fälsche das Eingabefenster der eigentlich richtigen Internetseite auf dem Rechner des Anwenders. Nach der Eingabe werden die PIN- und TAN-Nummern an die Betrüger gesendet. Die in Graz entdeckte Schadsoftware funktioniert nur bei österreichischen Banken.