In Phase I kommt das mittlerweile hinlänglich bekannte "Prinzip Schrotflinte" zum Einsatz. Es werden massenhaft und ungezielt Phishing-Mails versandt. Dabei versuchen die Täter mehr oder weniger geschickt den Eindruck zu erwecken, die Mails kämen von einer Bank. Die Empfänger sind meist gar nicht Kunde bei der jeweiligen Bank und so ist die Trefferquote vorhersehbar gering - wenn auch offenbar nicht Null.
 |
|
| In Kooperation mit |  |
In Phase II werden nur noch diejenigen angeschrieben, von denen man über die nachgeahmten Online-Formulare von Banken Informationen wie die Kontonummer und weitere Zugangsdaten zum Online-Banking ergaunern konnte. Mit der Kenntnis dieser Daten können sich die Täter gezielter und auch überzeugender als die Bank des Angeschriebenen ausgeben. Sie fragen unter einem Vorwand wie etwa eine angebliche Sicherheitsüberprüfung nach weiteren Informationen, zum Beispiel nach der PIN für die ec-Karte.
Gelingt die Täuschung erneut, können die Täter mit den erhaltenen Informationen gefälschte Karten erstellen, mit denen sie dann am Geldautomaten das Konto plündern können. Sie können auch in Ladengeschäften mit der nachgemachten Kredit- oder ec-Karte bezahlen oder mit den Kreditkartendaten in Online-Shops einkaufen.
Derartige Fälle von personalisiertem Phishing sind zwar in Deutschland bislang noch nicht üblich, es ist jedoch zu erwarten, dass sich dies in absehbarer Zeit ändern wird.