Was ist unter Phishing zu verstehen?

Hinter Phishing verbirgt sich ein kreativer Cyberangriff, dem schon seit vielen Jahren regelmäßig Menschen auf den Leim gehen. Bei einem erfolgreichen Phishing-Angriff können ihre Daten und ihr Geld in die Hände von Kriminellen gelangen und ihre Geräte mit Malware und Viren verseucht werden.

Hier finden Sie alles, was Sie wissen müssen, um Phishing zu erkennen und sich vor derartigen Angriffen zu schützen.

Was ist Phishing?

Wahrscheinlich haben Sie schon eine Ahnung, woher der Name stammt. Das Wort „Phishing“ spielt auf die Art und Weise an, wie der Betrug vollzogen wird: das Opfer wird geködert, hängt dann am Haken und wird schließlich aus dem Wasser geangelt. Der Kriminelle hält dabei die Rute, und ja, Sie haben es erraten – Sie sind hier der Fisch.

Es gibt verschiedene Phishing-Techniken. Die meisten Phishing-Angriffe erfolgen über E-Mail, auch wenn diese E-Mail bei umfangreicheren Attacken bisweilen nur den ersten Schritt darstellt.

Phishing-E-Mails sind auf eine gute Tarnung angewiesen. Dabei gibt sich der Kriminelle als vertrauenswürdiger Kontakt, als guter Freund oder als seriöses Unternehmen aus. Entsprechend tarnt er auch seine Nachricht: mit einer Betreffzeile, die Ihnen ins Auge fallen, und all den Fallstricken einer authentischen E-Mail.

Phishing-Arten

Hier finden Sie drei der häufigsten Phishing-Arten.

Unmittelbare Erpressung

Das vielleicht bekannteste Beispiel einer unmittelbaren Erpressung im Rahmen des Phishings ist der ominöse „nigerianische Prinz“. Dabei geht es darum, dass der Kriminelle mit dem Opfer Kontakt aufnimmt und es schließlich zu einer Geldüberweisung überredet. In diesem Rahmen verspricht der Angreifer, getarnt als vermeintlich wohlhabender Ausländer, dem Opfer oftmals eine enorme Geldsumme als Gegenleistung für eine „kleine“ Vorabinvestition.

In den letzten Jahren haben manche Kriminelle damit begonnen, ihre Opfer über Dating-Apps zu kontaktieren. Wenn sie Vertrauen gewonnen und das Opfer überzeugt haben, dass ihr Anliegen echt ist, können die Phisher ein falsches Szenario schaffen, in dem sie dringend Geld benötigen.

Zugegeben: Diese Betrugsmaschen sind in den letzten Jahren stärker ins allgemeine Bewusstsein gerückt, sodass ihnen weniger Menschen zum Opfer fallen.

Fake-Websites

Bei manchen Phishing-Formen stellt die erste E-Mail nur den Startschuss für ein deutlich umfangreicheres Verbrechen dar.

Die Masche funktioniert genauso wie bei einer E-Mail mit einem gefährlichen Link. Doch in diesem Fall führt der entsprechende Link die potenziellen Opfer auf eine Website, die zielgenau von dem Verbrecher gestaltet wurde. Diese Seite nutzt dabei dieselbe Tarnung und die gleiche Aufmachung wie die jeweilige E-Mail. Wenn sich jemand als ihre Bank ausgibt und sich auffordert, ihre Anmeldedaten zurückzusetzen, ahmt diese Seite die Farben und das Layout des Webauftritts ihrer Bank nach.

Wenn Sie dann die geforderten Daten – die Passwörter und Kartendaten – eingeben, werden diese Daten entschlüsselt und für den Verbrecher sichtbar.

Arten von Phishing-Angriffen

Phishing-Angriffe finden in einer Vielzahl unterschiedlicher Formen statt. Der Hauptunterschied zwischen den meisten Arten von Phishing-Angriffen liegt im Medium, über das sie ausgeführt werden. Hier finden Sie einige der häufigsten Methoden.

E-Mail-Phishing

E-Mail-Phishing ist wohl die häufigste Art von Phishing. Wie der Name schon sagt, wird der Angriff per E-Mail durchgeführt. Normalerweise ahmen E-Mails, die von Kriminellen erstellt wurden, dabei legitime Quellen nach, um ahnungslose Nutzer dazu zu bringen, ihre sensiblen Daten preiszugeben.

Spear-Phishing

Der wesentliche Unterschied zwischen Spear-Phishing und andere Arten von Phishing-Angriffen ist, dass sich die Kriminellen bei einem Spear-Phishing-Angriff mit hoher Präzision auf ein einziges Ziel konzentrieren. In den meisten Fällen handelt es sich bei den Zielen um bestimmte Personen oder Organisationen.

Whaling

Whaling, manchmal auch als CEO Betrug bezeichnet, ist eine Art von Angriff, der sich – ähnlich wie bei Speerphishing-Instanzen – auf ein einziges Ziel konzentriert. Whaling-Angriffe zielen jedoch in der Regel auf hochrangige Beamte oder andere leitende Mitglieder einer Organisation ab, über die der Cyberkriminelle unbefugten Zugang zu sensiblen Finanzdaten oder Computersystemen erhalten möchte.

Vishing und Smishing

Was Vishing und Smishing von anderen Arten von Phishing-Angriffen unterscheidet, dass beide auf das Telefon eines potenziellen Opfers beschränkt sind. Unter Vishing ist Voicephishing zu verstehen. Denken Sie an Betrugsanrufe, bei denen sich die Anrufer als Bankmitarbeiter ausgeben oder lukrative Investitionsmöglichkeiten anbieten. Smishing hingegen ist auf Textnachrichten beschränkt, aber das Ziel des Angriffs und die Art und Weise, wie er konzipiert ist, sind dem regulären E-Mail-Phishing sehr ähnlich.

Phishing-Statistiken

Heute gehören Phishing-Angriffe zu den häufigsten und gefährlichsten Formen der Cyberkriminalität, mit denen Unternehmen und Privatpersonen gleichermaßen jeden Tag aufs Neue konfrontiert werden.

Eine aktuelle ESET-Studie stellte zwischen Mai und August 2021 einen Anstieg der E-Mail-basierten Phishing-Angriffe um 7,3 % fest. Eine weitere Studie von IBM ergab einen Anstieg der Phishing-Angriffe um 2 % zwischen 2019 und 2020. Der Verizon Data Breach Report aus dem Jahr 2021 stellte fest, dass Phishing-Angriffe in etwa 36 % aller Datenpannen auf die eine oder andere Weise involviert sind.

Im Laufe der Jahre nahmen Phishing-Angriffe nicht nur an Häufigkeit, sondern auch an Raffinesse zu. Während Untersuchungen von Tessian ergaben, dass 76 % der Phishing-E-Mails keine schädlichen Anhänge enthielten, entdeckte der Cyber-Threat-Bericht von SonicWall aus dem Jahr 2021 einen steilen Anstieg der Anzahl gefährlicher PDF-Dateien und Microsoft Office-Dateien zwischen 2018 und 2020. Die Zunahme entspricht wahrscheinlich der Tatsache, dass die meisten Menschen eine Tendenz haben, PDFs und MS Office-Dokumente zu vertrauen. Dieses Vertrauen spiegelt sich in der Tatsache wider, dass Microsoft eine der am häufigsten imitierten Marken ist, laut Check Point,, die herausfand, dass sich bis zu 43 % der gefälschten E-Mails als der Tech-Riese ausgaben. Andere häufig imitierte Organisationen sind DHL, Amazon und LinkedIn.

Der Verizon-Bericht stellt fest, dass in den meisten Fällen eines Phishing-Angriffs die am häufigsten kompromittierten Datentypen folgende sind: Anmeldedaten wie Passwörter, PIN-Nummern und Benutzernamen sowie persönliche Informationen wie vollständige Namen und E-Mail-Adressen sowie medizinische Informationen, zu denen Versicherungsansprüche und Sozialversicherungsnummern gehören. Gleichsam unterstreicht der Bericht, dass der mittlere Schaden im Zusammenhang mit einer kompromittierten geschäftlichen E-Mail-Adresse bei 30.000 US-Dollar liegt.

In den Berichten von Cisco über die Trends bei den Cybersicherheitsbedrohungen im Jahr 2021 wurden die am stärksten betroffenen Branchen untersucht und festgestellt, dass die Finanzdienstleistungsbranche ganz oben auf der Zielliste der Phisher steht. Andere häufig betroffene Branchen sind Einzelhandel, Fertigung, Lebensmittel und Getränke, Forschung und Entwicklung sowie Technologie.

Welche Anzeichen deuten auf einen Phishing-Versuch hin?

Bei einem großen Teil der Phishing-Betrugsmaschen soll primär die Angst der Opfer ausgenutzt werden. Häufig informiert eine Phishing-E-Mail den Benutzer darüber, dass es ein Problem bei seinem Konto gebe. Um dieses vorgetäuschte Problem zu lösen, wird der Benutzer in der Regel aufgefordert, auf einen bösartigen Link zu klicken oder einen Anhang herunterzuladen. Infolgedessen ist es nicht überraschend, dass in der Betreffzeile der meisten Phishing-E-Mails eine gewisse Dringlichkeit betont wird.

Ebenso richtet sich der Fokus der Angreifer auf die Erstellung von Domains, die der Domain einer verlässlichen Brand zum Verwechseln ähnlich aussehen können. Kriminelle binden deshalb Markenlogos in ihre E-Mails und Webauftritte ein, um ahnungslose Benutzer noch stärker hinters Licht zu führen.

So geht Ihnen ein Phisher an den Haken

Die meisten Phishing-E-Mails enthalten ein paar typische Warnsignale, auf die Sie achten solltest.

Zuerst sollten Sie nachsehen, ob in der E-Mail ihr echter Name erwähnt wird oder nicht. Wenn Sie mit „Lieber Kunde“ oder „Sehr geehrte Damen und Herren“ angesprochen werden, sollten Sie auf der Hut sein.

Phishing-Betrüger versenden ein und dieselbe E-Mail oftmals in riesigen Mengen, ohne dabei bestimmte Personen anzusprechen. Wenn ein legitimes Unternehmen sich kontaktiert, kennt es dabei jedoch fast immer ihren Namen.

Auch die Sprache, in der Phishing-E-Mails verfasst sind, kann ein deutlicher Hinweis sein. Achten Sie auf seltsame Formulierungen, schlechte Grammatik oder offensichtliche Rechtschreibfehler. Eine echte E-Mail von Ihrer Bank wird diese Art von Fehlern nicht enthalten.

Natürlich ist auch die Adresse des Absenders wichtig. Überprüfen Sie, ob alles legitim aussieht. Wenn Sie Zweifel haben, vergleichen Sie diese am besten mit anderen E-Mails, die Sie von der jeweiligen Organisation erhalten haben.

Zu guter Letzt: Seien Sie besonders auf der Hut, wenn in der E-Mail eine besondere Dringlichkeit betont wird. Wenn jemand Geld fordert oder Sie bedrängt, auf einen Link zu klicken, „bevor es zu spät ist“, ist das kein gutes Zeichen. Verbrecher versuchen oftmals, ihre Opfer in Panik zu versetzen oder zum Handeln zu drängen, ohne vorher kurz innezuhalten, um sich die E-Mail selbst etwas näher anzusehen.

Was passiert, wenn Sie auf einen Phishing-Link klicken oder einen bösartigen Anhang herunterladen?

Wenn Sie Opfer eines Phishing-Betrugs werden, können Sie sich fast sicher sein, dass die Angreifer andere Betrüger darüber informieren, dass ihr Angriff auf Sie erfolgreich war. Infolgedessen werden in Zukunft höchstwahrscheinlich noch mehr Phishing-Angriffe auf Sie zukommen.

Wirst Sie Opfer eines Phishing-Betrugs kann dies ferner dazu führen, dass sich ihre personenbezogenen Daten wie ihr Name, ihre Adresse, ihre Telefonnummer oder andere Daten, mit denen Sie identifiziert werden kannst, in den Händen von Verbrechern befinden, was zu immer mehr Problemen wie Identitätsdiebstahl führen kann.

Ein erfolgreicher Phishing-Angriff auf ein Unternehmen könnte zu einer umfassenden Datenpanne führen, was heutzutage sehr wohl das Ende des gesamten Unternehmens bedeuten könnte.

So schützen Sie sich vor Phishing

• Lassen Sie sich Zeit und denken Sie nach.

  Das ist ganz wichtig. E-Mails sollten nie schnell überflogen und deren Anweisungen einfach befolgt werden. Drängt Sie jemand, sofort auf einen Link zu klicken, um das große Preisgeld abzuräumen? Werden Sie aufgefordert, so schnell wie möglich eine Website aufzurufen und dort ihre Passwörter zu ändern? Halten Sie einen Moment inne und vergewisseren Sie sich zuerst, dass die E-Mail auch wirklich von einem authentischen Absender stammt.

• Folgen Sie nicht blind irgendwelchen Links.

  In den meisten Phishing-E-Mails werden Sie aufgefordert, auf einen Link zu klicken. Damit könnten Sie jedoch Malware, Viren und Ransomware Tür und Tor öffnen. Dieses Problem können Sie ganz vermeiden, indem Sie niemals auf E-Mail-Links klicken, es sei denn, sie stammen von einem vertrauenswürdigen, verifizierten Absender.

  Wenn Sie Zweifel haben, können Sie eine neue Registerkarte öffnen und dort manuell die Website des tatsächlichen Unternehmens aufrufen. Um sicherzugehen, können Sie die Organisation auch direkt per E-Mail oder Telefon kontaktieren und fragen, ob sie kürzlich mit Ihnen Kontakt aufgenommen hat.

• Vertrauen Sie nicht blind auf Ihre Spam-Filter.

  Ihr E-Mail-Konto filtert Spam und Junk-Mail in einen eigenen Ordner, wo die entsprechenden Nachrichten später gelöscht werden. Doch Spam-Filter können nicht jeden Betrugsversuch abfangen. Gehen Sie nicht davon aus, dass etwas automatisch sicher ist, nur weil es nicht von den Filtern erfasst wurde. Solche Fehler passieren ständig, also seien Sie vorsichtig.

• Fragen Sie sich, ob Sie bereits Kontakt mit dem Absender hatten.

  Wenn eine Bank, bei der Sie kein Kunde sind, Sie per E-Mail auffordert, sich über ihre E-Mail-Nachricht in Ihr Konto einzuloggen, ist das ein sicheres Zeichen dafür, dass Sie ins Visier genommen werden. Die meisten Phishing-E-Mails werden in der Hoffnung versendet, dass Sie unüberlegt auf den Link klicken. Fragen Sie sich, ob Sie tatsächlich ein Konto oder eine Beziehung zu dem Unternehmen haben, das der Absender angeblich vertritt. Wenn die Antwort auf diese Frage „nein“ lautet, dann ignorieren oder löschen Sie die Nachricht.

Fazit

Phishing-E-Mails können sehr effektiv sein, und sie zählen zu einer der ältesten Betrugsmaschen im Internet überhaupt. Mit der beste Verteidigung dagegen sind Aufmerksamkeit und gesunder Menschenverstand.