Beim Phishing versuchen Angreifer Privat- oder Geschäftspersonen dazu zu verleiten, vertrauliche Informationen preiszugeben.
Bei einem Phishing-Angriff erhältst du beispielsweise einen Telefonanruf, eine Textnachricht oder eine E-Mail aus einer scheinbar seriösen, vertrauenswürdigen Quelle. Ziel ist es, sensible Daten wie Anmelde- und Kreditkarteninformationen zu stehlen oder Malware auf dem Computer des Opfers zu installieren. Die Angriffe können auch über E-Mail-Anhänge (Attachments) erfolgen, über die Schadsoftware auf den Rechner der angegriffenen Personen gelangt. Eine weitere Angriffsmöglichkeit sind Links (Hyperlinks) zu einer Website, die die Opfer dazu bewegen sollen, Schadsoftware herunterzuladen oder persönliche Informationen preiszugeben. Angreifer verwenden die Informationen beispielsweise, um Geld zu stehlen oder weitere Angriffe zu starten.
Welche Gefahren gehen von einem Phishing-Angriff aus?
Manchmal geben sich Angreifer damit zufrieden, Kreditkarteninformationen oder andere persönliche Daten eines Opfers zu erhaschen, um sich einen finanziellen Vorteil zu verschaffen. In anderen Fällen werden Phishing-E-Mails versendet, um Mitarbeiter-Login-Daten oder andere Details für einen weiterführenden Angriff (Ransomware) auf ein bestimmtes Unternehmen zu erhalten.
Welche Arten von Phishing gibt es?
Office 365-Phishing
Office 365-Phishing ist eine Methode, um Zugriff auf ein Office 365-E-Mail-Konto zu erhalten. Dabei erhält die angegriffene Person eine gefälschten E-Mail von Microsoft. Die E-Mail enthält eine Anmeldeaufforderung und den dringlichen Hinweis, dass der Benutzer sein Passwort zurücksetzen muss, da er sich seit langer Zeit nicht mehr angemeldet hat oder weil es ein Problem mit dem Konto gibt. In der Mail ist eine URL enthalten, die den Benutzer dazu verleiten soll, darauf zu klicken, um das Problem zu beheben.
Pharming
Ähnlich wie beim Phishing leitet Pharming Benutzer auf eine betrügerische Website, die seriös erscheint. In diesem Fall müssen die Opfer jedoch nicht einmal auf einen schädlichen Link klicken, um auf die gefälschte Website weitergeleitet zu werden. Angreifer können entweder den Computer des Benutzers oder den DNS-Server der Website infizieren und den Benutzer auf eine gefälschte Website umleiten, selbst wenn die richtige URL eingegeben wird.
Smishing
Smishing bringt das Phishing auf mobile Geräte, indem es mobile Benutzer mit speziell gestalteten Textnachrichten anspricht. Benutzer sind oft vertrauensseliger gegenüber Textnachrichten. Beim Smishing werden deshalb überzeugende Phishing-SMS/Textnachrichten versendet, um ein potenzielles Opfer dazu zu bewegen, auf einen Link zu klicken, private Informationen preiszugegen oder Malware auf das Handy zu laden.
Spear-Phishing
Beim Spear-Phishing handelt es sich um gezielte Phishing-Attacken auf bestimmte Personen oder Unternehmen. Angreifer recherchieren ihre Opfer häufig in den Sozialen Medien und auf Websites. Sie befassen sich im Vorfeld gründlich mit ihren Opfern, so dass die Kommunikation vertrauenswürdig, individuell gestaltet und authentisch wirkt. Spear-Phishing-Angriffe lassen sich deshalb oft nur schwer erkennen.
Spear-Phishing ist oft der erste Schritt, um die Abwehrmaßnahmen eines Unternehmens zu durchdringen und einen gezielten Angriff durchzuführen. Laut dem aktuellen Bericht von Barracuda (Spear Phishing: Top-Bedrohungen und Trends, Vol. 7 März 2022) sind 51 % der Social Engineering-Angriffe Phishing.
Eine relativ simple Methode für einen Spear-Phishing-Angriff ist das sogenannte E-Mail-Spoofing. Dabei werden die Absender-Informationen der E-Mail gefälscht. Der Empfänger glaubt, den Absender zu kennen bzw. ihm vertrauen zu können.
Vishing
Vishing ähnelt dem Smishing, aber anstatt Textnachrichten zu verwenden, basieren die Angriffe auf Sprachanrufen.
Whaling
Whaling ähnelt dem Spear-Phishing, es richtet sich jedoch speziell an Führungspersönlichkeiten in Unternehmen. Der Angreifer hat es beim Whaling (Walfang) auf einen „großen Fisch“, wie zum Beispiel einen CEO abgesehen. Das Ziel ist dasselbe wie beim Spear-Phishing.
Typische Merkmale, die Phishing-E-Mails gemeinsam haben:
1
Der E-Mail-Name bzw. die Adresse des Absenders wird als vertrauenswürdige Quelle getarnt.
2
Die E-Mail-Betreffzeile und/oder der Text ist mit einem Gefühl der Dringlichkeit geschrieben oder verwendet bestimmte Schlüsselwörter wie Rechnung, Gesperrt usw.
3
Der E-Mail-Text ist so konzipiert, dass er mit einer vertrauenswürdige Quelle (z. B. Amazon oder eine Bank) übereinstimmt.
4
Der E-Mail-Text ist fehlerhaft und schlecht formatiert oder geschrieben.
5
Für die enthaltenen Hyperlinks werden häufig URL-Kürzungsdienste verwendet, um den wahren Ursprung der URL zu verbergen.
6
Die E-Mail enthält einen bösartigen Anhang, der sich als legitimes, vertrauenswürdiges Dokument ausgibt.