Was ist Phishing?

Phishing ist der Diebstahl von Benutzer- oder Unternehmensdaten durch raffiniert gestaltete E-Mails, die auf Methoden des Social Engineerings beruhen. Je geschickter der Angriff, desto unwahrscheinlicher ist es, dass der Benutzer den Betrug bemerkt.

Phishing

Phishing ist eine Angriffsmethode, die es bereits seit Mitte der 1990er-Jahre gibt. Alles begann damit, dass eine Gruppe Jugendlicher beschloss, die Chatroom-Funktion von AOL zu nutzen, um sich als AOL-Administratoren auszugeben. Die jungen Leute wollten sicherstellen, dass sie stets kostenlosen AOL-Zugang hatten, und benötigten daher Kreditkartennummern. 

Bei AOL gab es einen „Chatroom für neue Mitglieder“, in dem sich Benutzer Hilfe beim Zugang holen konnten. Der Hacker Da Chronic und seine Freunde erstellten scheinbar gültige Namen von AOL-Administrator-Screens, wie „AbrechnungBuchhaltung“, und informierten Benutzer darüber, dass es ein Problem mit ihren Konten gebe. 

In der Hoffnung, das Problem so zu beheben, gaben Benutzer eine Kartennummer an. Die Hacker hatten somit Kartennummern, über die sie ihren Auftrag abrechnen konnten. Zu dieser Zeit wurde der Begriff „Phishing“ geprägt. Mittlerweile wird er vor allem mit E-Mail-Angriffen in Verbindung gebracht. Phishing-Angriffe gibt es auch heute noch zuhauf. Etwa 90 % der erfolgreichen Datenschutzverletzungen beginnen damit.

Phishing beruht in erster Linie auf Social Engineering. Deshalb ist es sehr wichtig, dass alle Benutzer verstehen, wie die Angreifer vorgehen, um gewisse menschliche Eigenschaften auszunutzen. Zum einen ist Social Engineering ein Schwindel, mit dem Hacker Benutzer dazu bringen, etwas zu tun, das sie normalerweise nie täten.

Social Engineering kann so einfach sein: als würde eine Person mit vollen Händen eine andere bitten, ihr die Tür zu öffnen. Ein anderer Social-Engineering-Trick ist es, einen USB-Stick mit der Aufschrift „Familienfotos“ auf dem Parkplatz eines Unternehmens zu hinterlassen.

Der USB-Stick kann eine Malware enthalten, die auf dem Computer installiert wird, wo sie die Sicherheit beeinträchtigt. Dies wird als Ködern bezeichnet.

Phishing wird hauptsächlich in Bezug auf generische E-Mail-Angriffe verwendet, bei denen der Angreifer E-Mails an möglichst viele Adressen versendet. Dabei werden häufig verwendete Dienste wie PayPal oder Bank of America genutzt.

Laut der E-Mail besteht ein Problem mit dem Konto. Der Empfänger wird aufgefordert, auf einen Link zu klicken, um zu bestätigen, dass alles in Ordnung ist. Der Link hat in der Regel eine der folgenden beiden Funktionen (oder beide):

  1. Er leitet den Benutzer auf eine bösartige Internetseite weiter, die der echten sehr ähnlich sieht, z. B. www.PayPals.com anstelle der echten Seite www.PayPal.com. Beachten Sie das zusätzliche „s“ in der ersten URL. Wenn der Link den Benutzer auf eine bösartige Internetseite führt, können die ID und das Passwort abgefangen werden, sobald der Benutzer versucht, sich bei seinem Konto anzumelden.

    Der Hacker hätte in diesem Fall Zugriff auf das Bankkonto und könnte Geld auf ein beliebiges anderes Konto überweisen. Es gibt aber noch einen Nebeneffekt. Der Hacker besitzt nun möglicherweise genau das Passwort, das diese Person für alle Konten verwendet, z. B. für Amazon oder eBay.
  2. Er infiziert den Computer des Benutzers mit heruntergeladener Malware (bösartiger Software). Nach der Installation kann sie für zukünftige Angriffe verwendet werden. Die Malware könnte ein Tastenaufzeichner sein, der die Anmeldeinformationen oder Kreditkartennummern erfasst. Es könnte sich aber auch um Ransomware handeln, die Festplatteninhalte verschlüsselt und dann verwendet, um ein Lösegeld zu fordern, üblicherweise in Form von Bitcoins.

    Eine sehr gängige Methode ist es, den infizierten Computer des Benutzers zu verwenden, um Bitcoins zu schürfen. Dies findet statt, wenn der Benutzer nicht an seinem Computer ist, oder indem dem Benutzer ein Teil der CPU-Leistung vorenthalten wird. Der Hacker kann schürfen, und der Benutzer hat einen Computer, der langsamer läuft.

Phishing hat sich im Lauf der Jahre weiterentwickelt und umfasst Angriffe aus vielen verschiedenen Perspektiven. Hacker tun alles Mögliche, um an etwas zu kommen; in der Regel geht es um Geld.

Phishing-Angriffe

Als Phishing-Angriff bezeichnet man die Aktion oder eine Reihe von Aktionen, die der Hacker durchführt, um einen Benutzer zu betrügen. Oft sind E-Mails für eine klassische E-Mail-Phishing-Masche leicht an schlechter Grammatik oder Rechtschreibfehlern zu erkennen.

Die Angreifer werden immer besser und technisch ausgefeilter in Bezug auf ihre Angriffe. Viele einfache Angriffe funktionieren nach wie vor sehr gut. Häufig werden dabei menschliche Emotionen ausgenutzt, etwa der Wunsch nach Kontrolle, Empörung oder einfache Neugierde.

Der Angriff auf RSA im Jahr 2011 richtete sich gegen nur vier Personen innerhalb des Unternehmens. Die E-Mail an sich war nicht sehr anspruchsvoll, hatte aber Erfolg, weil sie an bestimmte Personen gerichtet war. Sie wirkte, als wäre sie für die betreffenden Personen interessant, für andere aber nicht so sehr. Sie enthielt einen Anhang mit dem Titel „2011 Recruitment plan.xls“.

Weitere Informationen

Arten von Phishing

Es gibt viele verschiedene Arten von Phishing-Angriffen. Dazu gehören der klassische E-Mail-Angriff, Social Media-Angriffe und Angriffe mit seltsam anmutenden Namen wie Smishing und Vishing. Im Prinzip beruht Phishing auf der Leichtgläubigkeit von Menschen.

  • Phishing – erfolgt in der Regel per E-Mail
  • Spear Phishing – gezielte E-Mail
  • Whaling – sehr gezielte E-Mail, meist an Führungskräfte
  • Internes Phishing – Phishing-Angriffe, die innerhalb eines Unternehmen verschickt werden
  • Vishing – erfolgt durch Telefonanrufe
  • Smishing – erfolgt per SMS
  • Phishing in Social Media – Beiträge auf Facebook oder in anderen Social Media
  • Pharming – kompromittiert einen DNS-Cache
     

Weitere Informationen

Internes Phishing

Angriffe über internes Phishing werden zunehmend zum Problem. Solche Angriffe erfolgen, wenn ein als vertrauenswürdig eingestufter Benutzer eine Phishing-E-Mail an einen anderen im selben Unternehmen sendet. Da der Absender Vertrauen genießt, ist es wahrscheinlicher, dass der Empfänger auf einen Link klickt, einen Anhang öffnet oder mit den geforderten Informationen antwortet. 

Um interne Phishing-E-Mails zu senden, kontrolliert ein Angreifer das E-Mail-Konto des Benutzers über kompromittierte Anmeldeinformationen. Ein Angreifer kann auch das Gerät eines Benutzers kontrollieren, entweder physisch nach Verlust oder Diebstahl des Geräts oder über Malware auf dem Gerät. Interne Phishing-E-Mails sind Teil eines mehrstufigen Angriffs mit dem Ziel, die Adressaten mittels Ransomware zu erpressen oder finanzielle oder geistige Vermögenswerte zu stehlen.

Smishing

Smishing ist eine besondere Form des Angriffs auf Mobilgeräte. Heute werden mehr Mobilgeräte verkauft als PCs. Hacker machen sich dies zunutze, um persönliche Daten zu stehlen. Sie senden eine SMS an Telefonnummern, die den Benutzern mitteilt, es gebe ein Problem mit ihrem Konto und sie müssten anrufen, um die Angelegenheit zu klären. 

Erstaunlich ist, dass die Hacker den Anruf entgegennehmen, wenn diese Nummer gewählt wird. Der Anrufer muss keine zahllosen Optionen durchlaufen, nur um in einer Warteschleife zu landen, bevor er mit jemandem sprechen kann. Hacker haben effektiv Unternehmen aufgebaut, die ihre Mitarbeiter pünktlich für ihre Arbeit bezahlen. Dazu gehört auch das Telefonieren.

Fallen die Benutzer nicht auf die SMS-Nachricht herein, können die Hacker sie einfach anrufen und behaupten: ,„Ihr Konto wurde angegriffen. Sie müssen Ihre Kontodaten bestätigen, um die Angelegenheit zu klären.” Wenn die Hacker nur genug Nummern wählen, wird früher oder später jemand seine Daten preisgeben. Dies wird als Vishing bezeichnet.

Erfahren Sie mehr über Smishing.

Phishing in Social Media

Social Media sind ein so wichtiger Teil der Onlinewelt, dass Hacker sie gezielt einsetzen. Heutzutage gibt es so viele Möglichkeiten, von Facebook über LinkedIn bis hin zu Instagram und anderen. Hacker sind auch auf diesen Plattformen unterwegs und sorgen für jede Menge Ärger. 

Ein häufiger Angriff bei Facebook besteht aus Beiträgen über die Konten von Freunden. Sie weisen Sie auf ein Sonderangebot hin, etwa eine hochwertige Sonnenbrille, und erklären, dass Sie es in Anspruch nehmen können, wenn Sie auf einen Link klicken. 

Dazu muss sich der Hacker zunächst in ein Facebook-Konto hacken. Dies ist bei vielen Konten häufig einfach. Sobald es eine Sicherheitslücke auf den Onlineservern eines Unternehmens gibt, bei der Passwörter abgegriffen werden, testen Hacker dieselben E-Mail- und Passwortkombinationen auf anderen gängigen Plattformen wie Facebook oder LinkedIn.

Erfahren Sie mehr über Phishing in Social Media.

Pharming

Da Benutzer immer seltener auf Phishing-Angriffe hereinfallen, haben Angreifer neue Methoden entwickelt. Beim Pharming wird der Cache des DNS (Domain Name System) auf dem Computer des Benutzers kompromittiert. Dazu werden Drive-by-Downloads eingesetzt. 

Während ein Benutzer im Internet surft und sich von einer Seite zur nächsten klickt, nutzt der Angreifer die mangelnde Sicherheit vieler Internetseiten aus. Es ist relativ einfach, den HTML-Text auf einer Internetseite so zu verändern, dass er den Download von Informationen beinhaltet, wenn jemand auf der Seite landet oder sich zu ihr durchklickt.

Wenn der Benutzer nicht auf eine E-Mail klickt, in der z. B. mitgeteilt wird, dass sein Bankkonto angegriffen wurde, wartet der Angreifer einfach darauf, dass der Benutzer eine Verbindung zu seiner Bank herstellt. Die geänderten DNS-Cache-Informationen leiten den Anwender auf die Hackerversion der Internetseite der Bank des Benutzers. Das Opfer gibt seine Benutzerkennung und sein Passwort ein, und schon ist der Angreifer im Besitz der Anmeldedaten und kann auf das Bankkonto zugreifen, um es leerzuräumen.

Wie kann Phishing verhindert werden?

Es gibt ein paar spezielle Maßnahmen, die wir als Einzelpersonen ergreifen können, um uns zu schützen:

  • Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA) bei jedem Konto, das diese Möglichkeit bietet.
  • Verwenden Sie Anti-Malware-Programme.
  • Verwenden Sie Firewalls.
  • Seien Sie misstrauisch gegenüber Pop-ups und Pop-unders.
  • Seien Sie misstrauisch gegenüber E-Mail-Anhängen von bekannten und unbekannten Absendern.
  • Seien Sie misstrauisch gegenüber SMS- oder Sofortnachrichten von bekannten und unbekannten Absendern, in denen Sie dazu aufgefordert werden, sich zu irgendeinem Ziel durchzuklicken oder Ihre persönlichen Daten anzugeben.
  • Geben Sie Ihre persönlichen Daten NICHT heraus. Punkt. Es sei denn, es gibt einen sehr guten Grund dafür, dass jemand Ihre Daten benötigt

Als Unternehmen sollten Sie zusätzlich zu den oben genannten Empfehlungen für Ihre Mitarbeiter folgende Maßnahmen ergreifen:

  • Filtern Sie am Gateway nach Phishing-E-Mails und bösartigem Webverkehr.
  • Authentifizieren Sie E-Mail-Absender mit DMARC.
  • Filtern Sie nach Phishing-E-Mails auf Basis von Absender und Inhalt, und analysieren Sie URLs und Anhänge mit statischen und dynamischen Methoden auf schädliche Attribute.
  • Nutzen Sie fortschrittliche Filtermethoden, die KI verwenden, um BEC-E-Mails und Angriffe zum Diebstahl von Zugangsdaten zu erkennen.
  • Verhindern Sie interne Phishing-Angriffe mit einer integrierten Sicherheitslösung, die Ihre Cloud- oder On-Premises-E-Mail-Plattform über APIs schützt. Diese sind für Microsoft Office 365, Google G Suite, Microsoft Exchange Server und IBM Domino Server verfügbar

Phishing-Themen