Phishing gilt als eine der ältesten Betrugsmethoden, seit es das Internet gibt. Cyberkriminelle versuchen hierbei durch Social Engineering, Phishing-E-Mails oder Malware sensible Kennwörter, Bank- und Bezahldaten abzufangen. Während klassisches Phishing Links und Anhänge mit bösartigen Weiterleitungen oder Malware-Downloads nutzte, sind moderne Phishing-Methoden nicht mehr zwingend auf die unfreiwillige Herausgabe wichtiger Daten angewiesen.

Was bedeutet Phishing?

Denken Sie an Rotkäppchen und den bösen Wolf: Der böse Wolf fragt Rotkäppchen, wo sie wohnt, wie ihre Großmutter heißt und was sie im Körbchen trägt. Unbescholten wie Rotkäppchen ist, teilt sie wichtige Informationen mit dem höflichen Wolf. Nur wenig später befindet sich der Wolf im Haus und gibt sich als Rotkäppchens Großmutter aus. Nun stellen Sie sich den bösen Wolf als Phishing-E-Mail vor.

Phishing leitet sich vom englischen Wort „fishing“ ab, da Phishing-Opfer wie Fische angelockt werden. Als lockende Würmer am Haken fungieren gefälschte E-Mails von Banken, Abo- und Bezahldiensten oder von vermeintlichen Freundinnen und Freunden bzw. Kolleginnen und Kollegen. Viel zu spät merken Betroffene, dass sie bereits am gefährlichen Phishing-Haken hängen.

Bereits vor der Ankunft des Internets zählte der listige Datenklau zum festen Repertoire von Kriminellen. Meist wurden hierbei durch Shoulder Surfing wichtige Daten wie PIN-Nummern, Adressen, Bankdaten oder Telefonnummern über die Schulter ausgespäht. Phishing präsentiert sich als die Weiterentwicklung des Datenklaus für die Generation Internet. Vermutlich hatten Sie selbst schon E-Mails im Postfach, in denen Ihre vermeintliche Bank ein dringendes Anliegen hatte, Amazon Ihnen ein nie bestelltes Paket zustellen möchte oder Ihnen ein unbekannter Onkel ein Millionenerbe vermacht. Die Liste der Phishing-Methoden ist lang und wird mit jedem Jahr länger.

Welches Ziel verfolgt Phishing?

Ziel des Phishings sind immer Ihre Daten: Bankdaten, Kreditkartendaten, Kennwörter für Onlinebanking, Onlineshops, E-Mail-Accounts oder Website-Backends. Je persönlicher und sensibler die Daten, desto begehrter. Der Datendiebstahl erfolgt, indem Phishing-Betrüger ihre Opfer auf gefälschten Seiten zur Eingabe persönlicher Informationen bewegen. Mit den gestohlenen Daten können Phishing-Betrügerinnen und -Betrüger Ihnen finanzielle Schäden zufügen, Ihre Identität stehlen, weitere Phishing-Angriffe auf Ihre Kontakte ausführen oder Unternehmensdaten korrumpieren.

Phishing dient zudem oftmals als Vorstufe für weitere Attacken mit Schadsoftware, Ransomware, Spyware und Scareware. Auch Phishing-E-Mailanhänge mit Makros oder Schadcode kommen zum Einsatz, um Malware auf Rechnern installieren.

Diese Arten von Phishing gibt es

Genau wie Technologien und digitale Kompetenz unterliegen auch die Vorgehensweisen und Methoden von Phishing-Betrügern einem steten Wandel. Klassisches Phishing erforderte noch die unfreiwillige „Hilfe“ der Phishing-Opfer durch eine Eingabe persönlicher Daten oder einen Klick auf Links und Anhänge. Neue Phishing-Methoden sind jedoch nicht mehr zwingend auf diese Aktionen angewiesen.

Typische Arten von Phishing sind:

  • E-Mail-Phishing: Gefälschte E-Mails, die meist Links zu schädlichen Websites, Downloads oder Malware in Dateianhängen enthalten
  • Website-Phishing: Gefälschte Websites, die zur Eingabe wichtiger Daten verleiten oder Malware installieren; auch als Spoofing bekannt
  • Vishing: Die Methode namens Vishing steht für Betrugsanrufe, die Telefon- oder Voice-Phishing betreiben.
  • Smishing: Beim Smishing kommen gefälschte SMS oder auch Messenger-Nachrichten zum Einsatz. Diese sollen zum Klicken auf Links, zum Download von Malware oder zur Preisgabe von Daten verleiten.
  • Social-Media-Phishing: In sozialen Medien zeigt sich Phishing u. a. als das Hijacking von Social-Media-Accounts oder das Erstellen täuschend echter Kopien von Social-Media-Profilen. Über diese lassen sich sensible Daten Betroffenen sowie von Kontakten stehlen.

Die zwei häufigsten Phishing-Strategien

Gängige Vorgehensweisen beim Phishing lassen sich in gezieltes Spear-Phishing mit intensivem Social Engineering und breit angelegtes Massen-Phishing unterscheiden.

Spear-Phishing

Beim Spear-Phishing spionieren Cyberkriminelle eine kleine Zielgruppe oder ein einzelnes Opfer aus. Hierzu werden mittels Social Engineering öffentliche Informationen wie E-Mail-Adressen, Freundeslisten, Karrierewege und Berufsbezeichnungen auf sozialen Medien, Firmenwebsites oder Karriereseiten gesammelt. Anschließend generieren Kriminelle täuschend echte E-Mails von Kontakten, Firmen, Banken oder Bekannten. In diesen befindet sich ein Link zu einer professionell gefälschten Website, die Sie zur Eingabe Ihrer Kennwörter, Bankdaten oder anderer Informationen auffordert. Alternativ soll die gefälschte Mail zum Klick auf bösartige Dateianhänge verleiten. Spear-Phishing kann durch das Ausspionieren von CEO-Daten großangelegte Angriffe auf Unternehmen oder den Diebstahl von Firmenvermögen vorbereiten.

Massen-Phishing

Während ausgeklügeltes Spear-Phishing auf die Qualität der Fälschung setzt, konzentrieren sich breit angelegte Phishing-Kampagnen auf die Quantität der Opfer. Oft erkennen Sie Massen-Phishing an offensichtlich falschen E-Mail-Adressen, Weiterleitungen auf verdächtige, unverschlüsselte http-Websites und URLs oder schlechte Grammatik. Es kann sich zudem um E-Mails von Paket- oder Bestelldiensten handeln, obwohl Sie nichts bestellt haben, oder um Nachrichten von Amazon und PayPal, obwohl Sie gar keinen Account besitzen. Derartiges Phishing zielt darauf ab, durch möglichst viele potenzielle Opfer möglichst viele sensible Daten zu stehlen.

Weitere Phishing-Taktiken

Neuere Phishing-Techniken sind nicht mehr auf die Interaktion von Opfern angewiesen. Das Klicken auf gefährliche Links oder die Eingabe von Daten sind somit in neuen Taktiken nicht unbedingt fester Bestandteil des Phishings. Es genügt bereits, durch das Öffnen einer mit Schadcode infizierten Website oder E-Mail eine Man-in-the-Middle-Attack einzuleiten. Bei dieser schalten sich Cyberkriminelle zwischen Ihren Rechner und das Internet, um Ihre Internetkommunikation inklusive sensibler Daten abzufangen. Das Perfide: Bei einer Man-in-the-Middle-Attacke ist oft nur schwer zu erkennen, dass sich stille Angreifende zwischen Ihnen und angesteuerten Servern im World Wide Web befinden.

Phishing schnell erkennen: 5 typische Merkmale

Auf folgende typische Merkmale sollten Sie achten, um Phishing-Taktiken und Phishing-Mails zu erkennen:

  1. E-Mails oder Websites, die offensichtlich falsche Grammatik oder gebrochenes Deutsch verwenden
  2. E-Mails oder Websites von Banken oder anderen Diensten, die Sie zur Eingabe persönlicher Daten oder zur Verifizierung Ihrer Account- oder Bezahldaten auffordern
  3. E-Mail-Adressen von angeblich offiziellen Sendern, die nicht mit dem Firmennamen oder dem Sender-Namen übereinstimmen
  4. Weiterleitungen zu http-Websites oder zu verdächtigen URLs sowie Verwendung von verkürzten Links durch URL-Shortener wie bit.ly
  5. E-Mails mit verdächtigen Absenderadressen oder Aufforderungen zum schnellen Handeln, die verdächtige Dateianhänge wie .exe.docx.xlsx oder ZIP- und RAR-Archivdateien enthalten

Quelle: https://www.ionos.at/digitalguide/server/sicherheit/phishing/