Phishing beschreibt üblicherweise Social-Engineering-Techniken, die Hacker verwenden, um per E-Mail Nutzer- oder Unternehmensinformationen zu stehlen. Phishing-Angriffe sind besonders wirksam, wenn Nutzer sie nicht bemerken.
Phishing ist eine Angriffsmethode, die es bereits seit Mitte der 1990er-Jahre gibt. Alles begann damit, dass eine Gruppe Jugendlicher beschloss, die Chatroom-Funktion von AOL zu nutzen, um sich als AOL-Administratoren auszugeben. Sie stahlen Kreditkartennummern, um sich stets kostenlosen AOL-Zugang sichern zu können.
Im AOL-Chatroom für neue Mitglieder sollten Nutzer Hilfe beim Zugriff auf die Seite erhalten. Die Hacker erstellten Namen, die wirkten wie die von AOL-Administratoren, etwa „AbrechnungBuchhaltung“, und erklärten Benutzern, es gebe ein Problem mit ihrem Konto.
Die Nutzer wurden aufgefordert, eine Kreditkartennummer einzugeben, damit das Problem gelöste werden könne. Die Verbrecher nutzten die Kartennummern dann, um ihre eigenen Konten zu bezahlen. Der Begriff „Phishing“ wurde für diesen und ähnliche Angriffe ins Leben gerufen, wird aber mittlerweile vor allem mit E-Mail-Angriffen in Verbindung gebracht. Phishing-Angriffe gibt es auch heute noch zuhauf. Laut dem Verizon 2021 Data Breach Investigations Report (DBIR), handelte es sich bei 36 % aller Vorfälle um Phishing.
Phishing beruht in erster Linie auf Social Engineering. Deshalb ist es sehr wichtig, dass alle Benutzer verstehen, wie die Angreifer vorgehen, um gewisse menschliche Eigenschaften auszunutzen. Zunächst ist Social Engineering ein Schwindel, mit dem Hacker Benutzer dazu bringen, etwas zu tun, das sie normalerweise nie täten.
Social Engineering kann so einfach sein: als würde eine Person mit vollen Händen eine andere bitten, ihr die Tür zu öffnen. Ein Social-Engineering-Angriff kann auch mit einem USB-Stick mit der Aufschrift „Familienfotos“, den jemand auf einem Parkplatz fallen lässt. Dieser USB-Stick könnte Malware enthalten, die die Sicherheit beeinträchtigt, sobald sie auf einem Computer installiert wird. Dies wird als Ködern bezeichnet.
Als Phishing werden vor allem generische E-Mail-Angriffe bezeichnet. Dabei versendet der Angreifer E-Mails an möglichst viele Adressen, wobei häufig verwendete Dienste wie PayPal oder Bank of America genutzt werden.
In der E-Mail wird behauptet, es gebe ein Problem mit dem Konto. Der Empfänger wird aufgefordert, auf einen Link zu klicken, um zu bestätigen, dass das Konto korrekt ist. Der Link hat in der Regel mindestens eine der folgenden Funktionen:
Phishing hat sich im Laufe der Jahre weiterentwickelt und umfasst Angriffe auf verschiedene Arten von Daten. Neben Geld können Angriffe auch auf vertrauliche Daten oder Fotos abzielen.
Als Phishing-Angriff bezeichnet man eine Aktion oder eine Reihe von Aktionen, die ein Hacker durchführt, um einen Benutzer zu betrügen. E-Mail-Phishing ist oft leicht anhand von Grammatik- und Rechtschreibfehlern zu erkennen. Die Angriffe werden jedoch ausgefeilter. Neue Attacken haben zum Ziel, menschliche Emotionen auszunutzen, etwa Angst, Entrüstung und Neugier.
Der Angriff auf RSA im Jahr 2011 richtete sich gegen nur vier Personen innerhalb des Unternehmens. Die E-Mail war nicht sehr raffiniert, hatte aber Erfolg, weil sie an die richtigen Personen gerichtet war. Die E-Mail mit dem Titel „Einstellungsplan 2011.xls“ sollte die Neugier der Zielpersonen wecken und wäre nicht notwendigerweise interessant für andere Personen in der Firma.
Es gibt viele verschiedene Arten von Phishing-Angriffen. Dazu gehören der klassische E-Mail-Angriff, Social Media-Angriffe und Angriffe mit seltsam anmutenden Namen wie Smishing und Vishing.
Angriffe über internes Phishing werden zunehmend zum Problem. Solche Angriffe erfolgen, wenn ein als vertrauenswürdig eingestufter Benutzer eine Phishing-E-Mail an einen anderen im selben Unternehmen sendet. Da der Absender Vertrauen genießt, ist es wahrscheinlicher, dass der Empfänger auf einen Link klickt, einen Anhang öffnet oder mit den geforderten Informationen antwortet.
Um interne Phishing-E-Mails zu senden, kontrolliert der Angreifer das E-Mail-Konto eines Benutzers über kompromittierte Anmeldeinformationen. Ein Angreifer kann auch das Gerät eines Benutzers kontrollieren, entweder physisch nach Verlust oder Diebstahl des Geräts oder über Malware auf dem Gerät. Interne Phishing-E-Mails sind Teil eines mehrstufigen Angriffs mit dem Ziel, die Adressaten mittels Ransomware zu erpressen oder finanzielle oder geistige Vermögenswerte zu stehlen.
Smishing ist ein Angriff auf Mobilgeräte. Heute werden mehr Mobilgeräte verkauft als PCs, wodurch sie zum Ziel von Hackern wurden, die persönliche Daten stehlen wollen. Bei Smishing-Angriffen senden Angreifer in der Regel eine Textnachricht an eine Telefonnummer und informieren den Empfänger, dass es ein Problem mit einem Benutzerkonto gebe. Sie führen auch ein Rückrufnummer an, über die das Problem angeblich gelöst werden kann. Der Rückruf führt oft zum Hacker selbst oder zu einem Mitarbeiter, den der Drahtzieher angeheuert hat, um den Betrug fortzusetzen.
Ruft man die Nummer nicht an, melden sich die Hacker eventuell ihrerseits und informieren die Zielperson, dass ihr Konto „Ziel eines Angriffs war und eine Angabe der Kontoinformationen für die Lösung des Problems erforderlich ist“. Hacker setzen oft auf eine möglichst große Anzahl ausgehender Anrufe. Dies wird als Vishing bezeichnet.
Erfahren Sie mehr über Smishing.
Social Media sind ein bedeutender Teil unserer Onlinewelt geworden – so bedeutend, dass Hacker sie mit Leichtigkeit für Phishing ausnutzen können. Eine häufige Phishing-Masche auf Facebook besteht aus dem Posten von „Deals“ oder „Angeboten“ über die Konten von „Freunden“, durch die man sich angeleitet durchklicken soll. Damit den Hackern dies gelingt, müssen sie Zugang zum Nutzerkonto erhalten.
Dies ist bei vielen Konten häufig einfach, wenn aufgrund von Sicherheitslücken bei anderen Firmen Passwörter veröffentlicht wurden. Die Hacker probieren dieselben Kombinationen von E-Mail-Adresse und Passwort bei gängigen Plattformen wie Facebook oder LinkedIn aus.
Erfahren Sie mehr über Phishing in Social Media.
Angesichts des steigenden Bewusstseins der Nutzer für Phishing-Angriffe entwickelten Hacker neue Angriffsmethoden. Beim Pharming wird der Cache des DNS (Domain Name System) auf dem Computer des Benutzers kompromittiert. Dazu werden Drive-by-Downloads eingesetzt.
Während ein Benutzer im Internet surft und sich von einer Site zur nächsten klickt, nutzt der Angreifer die mangelnde Sicherheit vieler Websites aus. Es ist relativ einfach, den HTML-Text auf einer Website so zu verändern, dass er den Download von Informationen beinhaltet, wenn jemand die Seite aufruft oder sich zu ihr durchklickt.
Klickt man nicht auf die E-Mail, wartet der Angreifer einfach darauf, dass man sich bei der Bank anmeldet. Die geänderten DNS-Cache-Informationen leiten den Benutzer auf die Hackerversion der Website seiner Bank. Gibt man seine Nutzerkennung und sein Passwort ein, erhält der Angreifer über die Anmeldeinformationen Zugriff auf das Bankkonto und kann so Geld stehlen.
Es gibt einige Maßnahmen, die Einzelpersonen ergreifen können, um sich zu schützen:
Als Unternehmen sollten Sie zusätzlich zu den oben genannten Empfehlungen folgende Maßnahmen ergreifen:
Weiterführende Artikel
Weiterführende Forschung