Bei Phishing-Angriffen gibt sich ein Angreifer als jemand anderes aus und nutzt betrügerische Nachrichten, um das Opfer dazu zu verleiten, sensible Daten preiszugeben oder Malware herunterzuladen.
Inhalt
Was ist Phishing?
Unter Phishing versteht man den Versuch eines Diebstahls über vernetzte Geräte. Die Aktion kann manuell erfolgen oder mithilfe eines Tools, das den Vorgang automatisiert. Es kann auch eine Kombination sein, die als skriptbasiertes Tool beginnt, das dem Hacker die Tür öffnet, damit er den Angriff manuell vervollständigen kann.
Die erste Verwendung des Begriffs „Phishing“ reicht zurück ins Jahr 1994, als eine Gruppe Teenager eine Methode erarbeitete, um manuell Kreditkartennummern von ahnungslosen Anwendern auf AOL abzugreifen. Bis 1995 erschufen sie ein Programm namens AOHell, das diese Arbeit für sie automatisierte.
Seitdem entwickeln Hacker immer wieder neue Methoden, um an die Daten von Internetnutzern zu gelangen. Diese Betrüger haben eine Reihe von Programmen und Arten von Schadsoftware entwickelt, die auch heute noch im Einsatz sind. Einige dieser Tools wurden ausschließlich für Penetrationstests oder zum „Hacken mit Erlaubnis“ entwickelt. Sobald ein Tool jedoch existiert, können Kriminelle einen Weg finden, es zu missbrauchen.
Im Laufe der Jahre ist es Hackern gelungen, Schadsoftware speziell für Phishing-Anwendungen zu entwickeln. Ein Beispiel dafür ist PhishX. Dieses Tool wurde entwickelt, um Bankinformationen zu stehlen. Mit PhishX können Angreifer eine gefälschte Website erstellen, die der einer realen Bank nachempfunden ist, bei der Sie möglicherweise ein Konto haben. Dazu personalisieren sie die Seite mit ihrer eigenen Telefonnummer und E-Mail-Adresse. Wenn Sie dann beispielsweise auf die Schaltfläche „Kontakt“ klicken, kommunizieren Sie direkt mit den Hackern.
Phishing Frenzy ist ein E-Mail-Phishing-Tool, das ursprünglich für Penetrationstests entwickelt wurde. Phishing Frenzy erwies sich als benutzerfreundlich, weshalb es viele Hacker einsetzen.
Ein weiteres Phishing-Tool ist Swetabhsuman8. Es dient dazu, Instagram-Konten zu hacken, indem die Angreifer gefälschte Anmeldeseiten erstellen. Wenn Sie versuchen, sich anzumelden, fangen die Hacker Ihren Anwendernamen und Ihr Passwort ab.
Zusätzlich zu gefälschten Websites, E-Mail-Phishing-Tools und schädlichen Anmeldeseiten zum Abgreifen Ihrer Daten richten Hacker Callcenter mit einer Telefonnummer ein, die Sie über eine der E-Mails, gefälschten Websites oder SMS erhalten.
Moderne Ransomware-Erpresser haben es in der Regel auf größere Unternehmen abgesehen, um maximalen Gewinn zu erzielen. In der Regel verbringen sie viel Zeit damit, jeden Bereich des Netzwerks des Opfers zu infiltrieren, bevor sie ihren Ransomware-Angriff starten. Diese Art des mehrstufigen Angriffs beginnt oft mit einer einzigen Phishing-E-Mail.
Beispiele für Phishing-Angriffe
Obwohl es eine Reihe verschiedener Phishing-Angriffe gibt, ist E-Mail-Phishing die am weitesten verbreitete und am besten erkennbare Form. Diese Angriffsart ist durch Spear Phishing, Whaling und lasergesteuerte Angriffe immer raffinierter geworden. Phishing-Angriffe haben sich auch von E-Mail-Programmen auf Kommunikationsplattformen wie SMS und Social Media ausgebreitet.
Beispiele für Phishing-Angriffe:
- E-Mail-Phishing – Ein Hacker sendet eine E-Mail-Nachricht mit einem Link, um Sie zu verunsichern, zu beunruhigen oder neugierig zu machen. Zweck der E-Mail ist es, dass Sie den Link anklicken.
- Vishing – Ein Angreifer ruft über ein Festnetz-, Mobil- oder VoIP-Telefon an, um Sie in ein Gespräch zu verwickeln.
- Smishing – Ein Betrüger fordert Sie via SMS auf, einen Link anzuklicken oder den Absender anzurufen.
- Pharming – Da sich immer mehr Benutzer der Gefahren bewusst sind, die mit dem Anklicken unbekannter E-Mail-Links verbunden sind, haben Betrüger das Pharming entwickelt. Bei einem Pharming-Angriff erhalten Sie eine bösartige URL in der Hoffnung, dass Sie die Webadresse kopieren, in Ihren Browser einfügen und direkt auf die Website zugreifen. Pharming kompromittiert den lokalen Cache von Informationen des Domain Name System (DNS), die das Opfer zum richtigen Ziel führen. Wenn Sie dem bösartigen Link folgen, gelangen Sie auf eine gefälschte Internetseite.
- Spear Phishing – Ein Hacker sendet eine individuell zugeschnittene, gezielte E-Mail an ein Unternehmen oder eine Einzelperson. Spear Phishing-E-Mails zielen in der Regel auf Führungskräfte oder Mitarbeiter in Finanzabteilungen ab.
- Whaling – Whaling ähnelt dem Spear Phishing, zielt aber häufig auf die Führungsebene eines Unternehmens ab.
Phishing-Angriffe im Internet
Hacker lieben es, die Onlinewelt zu missbrauchen. Dazu erstellen sie gefälschte Websites oder Anmeldeseiten, um vertrauliche Daten abzugreifen. Angreifer versuchen nicht nur, sich Zugang zu Kreditkartennummern, Bankkonten und Anmeldedaten für Social Media zu verschaffen, sondern auch, die Social-Media-Kanäle Ihrer Freunde oder Mitarbeiter auszuspähen. Dies geschieht, wenn sich ein Betrüger Zugang zu Ihrem Konto verschafft und Phishing-Angriffe per Direktnachricht an Ihre Abonnenten, Freunde oder Mitarbeiter sendet. Durch die große Beliebtheit von Social Media hat sich diese Methode in den letzten zehn Jahren immer mehr durchgesetzt.
Phishing-Angriffe verhindern
Es gibt viele Dinge, die Sie tun können, um sich zu schützen. Die erste und mit Abstand wichtigste Maßnahme ist, stets wachsam zu sein.
- Prüfen Sie E-Mails sorgfältig, bevor Sie sie anklicken. Fahren Sie mit dem Mauszeiger über die Absender-E-Mail-Adresse oder den Link, auf den Sie klicken sollen. So erhalten Sie möglicherweise Informationen, die darauf hindeuten, dass es sich um eine Phishing-E-Mail handelt.
- Bevor Sie vertrauliche Daten auf einer Website eingeben, sehen Sie sich die URL oben auf der Seite zweimal an. Handelt es sich um die echte Website? Enthält die E-Mail-Adresse zusätzliche Buchstaben? Wurden Buchstaben durch Zahlen ersetzt, zum Beispiel ein O durch eine 0? Es kann schwierig sein, den Unterschied zu erkennen.
- Denken Sie nach, bevor Sie auf Beiträge von Freunden klicken. Wenn es so aussieht, als wäre das Angebot zu schön, um wahr zu sein, dann ist es das wahrscheinlich auch.
- Denken Sie nach, bevor Sie auf einen Beitrag antworten, in dem es heißt, dass Ihr Freund in Schwierigkeiten steckt und Geld braucht. Würde er Sie wirklich auf diese Weise kontaktieren?
- Denken Sie nach, bevor Sie auf ein Pop-up oder Pop-under klicken.
- Denken Sie nach, bevor Sie einen E-Mail-Anhang öffnen. Haben Sie einen Anhang von dieser Person erwartet? Wenn nicht, fragen Sie nach.
- Denken Sie nach, bevor Sie auf eine SMS antworten. Ihre Telefongesellschaft, Bank etc. kontaktiert Sie vermutlich nicht per SMS.
- Geben Sie Ihre personenbezogenen Daten nicht weiter, es sei denn, Sie sind ganz sicher, dass Sie mit einer vertrauenswürdigen Person sprechen.
Die zweite Maßnahme besteht darin, Ihre Konten zu schützen. Passwörter sollten mindestens 20 Zeichen haben. Sie müssen nicht alle vier Optionen verwenden, also Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen. Zwei oder drei reichen aus, aber Sie sollten die Vorgehensweise variieren, wenn Sie neue erstellen. Viele Nutzer haben Probleme, sich Passwörter zu merken. Erstellen Sie ein einziges langes Passwort, das Sie sich merken können. Verwahren Sie den Rest in einem Passwortmanager wie LastPass oder Password Safe.
Das Wichtigste ist, die Zwei-Faktor-Authentifizierung (2FA) für Ihre Konten zu aktivieren. Wenn die Website nur vorsieht, dass Sie eine SMS mit einem Einmalpasswort per Telefon erhalten, ist dies besser, als nur ein Passwort für den Zugang zu benutzen.
Das National Institute of Standards and Technology (NIST) bezeichnet seine Unterstützung für einmalige Passwörter per SMS als veraltet. Eine bessere Lösung ist es, ein Tool zur Erstellung eines Einmalpassworts zu verwenden, etwa Google Authenticator, Microsoft Authenticator oder LastPass Authenticator. Sie finden diese Optionen in den Einstellungen Ihrer Konten.
Verwenden Sie Softwaretools, um nach Dingen Ausschau zu halten, die Sie leicht übersehen. Verwenden Sie eine Firewall, einen Malware-Schutz, Anti-Malware und Anti-Phishing-Tools. Wählen Sie den Browser, den Sie verwenden, mit Bedacht aus. Schützt Sie der verwendete Browser, indem er auf Dinge wie Phishing-Angriffe achtet? Ist es möglich, ein Plug-in zu ergänzen? Wenn nicht, wählen Sie einen anderen Browser.
Als Unternehmen sollten Sie zusätzlich zu den oben genannten Empfehlungen für Ihre Mitarbeiter folgende Maßnahmen ergreifen:
- Verwenden Sie ein E-Mail-Gateway, um Spam-E-Mails zu blockieren und E-Mails zu entfernen, die verdächtige Links oder Anhänge enthalten.
- Installieren Sie einen Spam-Phishing-Filter, um E-Mails von unbekannten Absendern und E-Mails mit verdächtigem Inhalt zu entfernen.
- Verwenden Sie ein DMARC-Tool (Domain-based Message Authentication, Reporting, and Conformance) zur E-Mail-Authentifizierung, um Betrüger daran zu hindern, eine Absenderadresse in einer E-Mail zu fälschen.
- Verwenden Sie Filtermethoden auf Basis von künstlicher Intelligenz (AI), um BEC-Mails (Business Email Compromise) zu erkennen. BEC-Mails werden von Betrügern verschickt, die sich als Mitglieder der Geschäftsführung eines Unternehmens ausgeben und die Mitarbeiter in der Regel auffordern, Geld von einem Geschäftskonto auf das gefälschte Konto des Hackers zu überweisen.
- Verwenden Sie eine dienstintegrierte Sicherheitslösung zum Schutz vor Phishing-Angriffen, die von innerhalb Ihres Unternehmens ausgehen.
- Machen Sie Ihre Mitarbeiter auf die Gefahren von Phishing-Angriffen aufmerksam, indem Sie regelmäßig entsprechende Simulationen und Schulungen abhalten.
Häufig gestellte Fragen (FAQs)
Was sind Phishing‑Angriffe?
Phishing‑Angriffe täuschen Nutzer durch gefälschte E‑Mails, Nachrichten oder Websites, um sensible Informationen zu stehlen oder Zugangsdaten abzugreifen.
Wirken sich Phishing-Angriffe auf kleine Betriebe anders aus als auf große Unternehmen?
Phishing-Angriffe führen bei kleinen Betrieben oft zu höheren finanziellen Verlusten, Betriebsausfällen und Reputationsschäden, da ihnen nicht dieselben Ressourcen für die Cybersicherheit zur Verfügung stehen.
Wie unterscheiden sich Phishing und Pharming?
Phishing verleitet Opfer dazu, sensible Informationen weiterzugeben. Pharming leitet einen Benutzer heimlich von einer echten Website zu einer betrügerischen Website weiter.
Können Phishing-Angriffe die Zwei-Faktor-Authentifizierung (2FA) umgehen?
Ja. Ein Phishing-Kit kann einen Einmalcode abfangen oder mithilfe eines Reverse-Proxys eine Anmeldesitzung hacken und so die Zwei-Faktor-Authentifizierung im Grunde umgehen.
Was ist ein Beispiel für eine echte Phishing-E-Mail?
Eine gefälschte E-Mail von Amazon, in der behauptet wird, Ihr Konto sei gesperrt worden, und in der Sie aufgefordert werden, auf einen Link zu klicken, um Ihr Konto zu bestätigen, wäre ein Beispiel für Phishing.
Wie nutzen Cyberkriminelle KI oder Deepfakes beim Phishing?
Bedrohungsakteure nutzen KI, um gezielte, glaubwürdige Nachrichten zu verfassen oder Deepfake-Stimmen und -Videos zu erstellen, die wie eine dem Empfänger bekannte Person aussehen und klingen.
Welche Branchen sind am meisten von Phishing-Angriffen betroffen?
Zu den Branchen, die am stärksten von Phishing-Angriffen betroffen sind, gehören Finanzdienstleister, das Gesundheitswesen und der Einzelhandel, da sie große Mengen an Kundendaten und Zahlungsinformationen speichern.
Wie können sich Nutzer mobiler Geräte vor Phishing schützen?
Nutzer mobiler Geräte sollten die Absender von Nachrichten überprüfen, Sicherheits-Apps für Mobilgeräte verwenden, ihre Geräte und Browser auf dem neuesten Stand halten und das Anklicken verdächtiger Links vermeiden.
Wie lange dauert es, bis Unternehmen einen Phishing-Angriff erkennen?
Es kann Wochen oder Monate dauern, bis ein Phishing-Angriff entdeckt wird, da Phishing oft erst dann auffällt, wenn Zugangsdaten missbraucht wurden oder verdächtige Aktivitäten bemerkt werden.
Welche rechtlichen Konsequenzen gibt es für Phishing-Angreifer?
Zu den rechtlichen Konsequenzen für Phishing-Angreifer zählen Geldstrafen, Freiheitsstrafen, die Beschlagnahme von Vermögenswerten und sogar die Auslieferung.
Welche Rolle spielt DNS-Sicherheit bei der Verhinderung von Phishing?
DNS-Sicherheit verhindert, dass Benutzer auf bekannte bösartige Domains oder gefälschte Websites zugreifen, und unterstützt Authentifizierungsprotokolle wie DMARC, SPF und DKIM zur Überprüfung von Absendern.