Was ist Phishing: Wie kann man es erkennen und sich davor schützen?

Was ist Phishing einfach erklärt? Phishing ist die am häufigsten vorkommende Art von Cyberkriminalität, bei der gefälschte E-Mails versendet werden. Dabei soll dem Empfänger weiß gemacht werden, dass es sich um eine wichtige Nachricht handelt, bei der dringend gehandelt werden muss. Dies kann die Hausbank oder andere Zahlungsmittel wie PayPal sein oder gar eine vorgetäuschte interne E-Mail des eigenen Unternehmens. Meist geht es darum, auf einen gefälschten Link zu klicken oder einen schadhaften Dateianhang herunterzuladen.

Manche Phishing-E-Mails sind so gut gestaltet, dass sie nur schwer als solche zu identifizieren sind. Die Nachricht klingt vertrauenswürdig und gibt einen Absender vor, der dem Empfänger bekannt ist. Bereits in den 90-er Jahren tauchten die ersten Versuche auf, private Daten oder Zugang zu bestimmten Onlinekonten zu erhalten.

Laut einer Auswertung des Bundeskriminalamtes (BKA) betrug der finanzielle Schaden, welcher 2020 durch Phishing in Deutschland entstanden ist, 8,7 Millionen Euro. Der Anteil von Phishingattacken liegt laut dem Verizon Data Breach Investigationsreport weltweit sogar bei fast einem Drittel aller Datenschutzverletzungen.

Die weltweit bekanntesten und schädlichsten Phishingattacken betrafen zwar hauptsächlich große Unternehmen, jedoch kann jeder davon betroffen sein. Dies macht diese Art von Cyberkriminalität so gefährlich. Die bekanntesten Fälle sind:

  • Sony Pictures

Bei diesem Angriff wurden die an Sony-Mitarbeiter Phishing-E-Mails gesendet, wobei die Angreifer die Namen und Positionen vorab auf LinkedIn recherchiert hatten. Sie gaben sich in den Nachrichten als Kollegen aus und brachte so einige dazu, insgesamt 100 TB Unternehmensdaten preiszugeben. Darunter befanden sich Kundendaten, Finanzunterlagen und andere sensible firmeninterne Dokumente. Der Schaden für Sony Pictures durch diesen Phishing-Angriff verlief sich auf über 100 Millionen US-Dollar.

  • Google und Facebook

Hier handelte es sich um den bekanntesten und schwerwiegendsten Angriff von Cyberkriminellen, welche es auf die Giganten Google und Facebook abgesehen hatten. Dabei gaben sich die Angreifer als Verkäufer von Computerteilen aus und verschickten dabei zwischen 2013 und 2015 eine hohe Anzahl von gefälschten Rechnungen, welche auch von den Konzernen bezahlt wurden. Der Gesamtschaden in beiden Unternehmen belief sich auf mehr als 100 Millionen US-Dollar.

  • Angriff auf das ukrainische Stromnetz

Im Dezember 2015 konnten Hacker aufgrund einer Phishing-E-Mail, die an einen Kraftwerksmitarbeiter gesendet wurde, den ukrainischen Energieversorger angreifen und somit einen Stromausfall erzwingen. Am besorgniserregendsten an dieser Sicherheitsverletzung war die Tatsache, dass die Malware, die dabei verschickt wurde, das Stromnetz komplett automatisiert steuern konnte.

Oft sind die Phishing-E-Mails überhaupt nicht zielgerichtet und werden an Millionen potenzieller Opfer geschickt in der Hoffnung, dass einige darauf hereinfallen. Besonders häufig betroffen sind große Unternehmen, die weltweit eine sehr viele Kunden haben.

Laut einem Bericht des Internet-Sicherheits-Unternehmens Ironscales existieren mehr als 50.000 gefälschte Log-in-Seiten, welche hauptsächlich die folgenden Marken betreffen:

  • PayPal: 22 %
  • Microsoft: 19 %
  • Facebook: 15 %
  • eBay: 6 %
  • Amazon: 3 %
Sicheres Surfen im Internet: Welche Gründe gibt es für die Verwendung von Tor oder VPN? Anonym Surfen: Die besten Methoden

Arten von Phishing: Wie man einen Angriff erkennen kann

phishing picture

Alle Phishing-Angriffe haben eines gemeinsam: Sie geben vor, jemand anderes zu sein. Dabei wird die E-Mail-Adresse gefälscht, damit es so aussieht, als würde sie von einem vertrauenswürdigen Unternehmen oder einer bekannten Person kommen und sie richten gefälschte Webseiten ein, welche täuschend echt wirken.

Doch die Vorgehensweise beim Phishing ist nicht immer gleich. Es gibt einige unterschiedliche Techniken, die von den Cyberkriminellen verwendet werden. Üblicherweise versucht eine Phishing-Kampagne, das Opfer dazu zu bringen, eines von zwei Dingen zu tun:

  • Preisgeben von sensiblen Informationen

Diese Nachrichten zielen darauf ab, den Benutzer dazu zu bringen, wichtige Daten preiszugeben. Dies sind meist ein Benutzername und Passwort, die der Angreifer verwenden kann, um in ein System oder Konto einzudringen. Die klassische Version dieses Betrugs besteht darin, eine E-Mail zu versenden, die so gestaltet ist, dass sie wie eine Nachricht von einer großen Bank aussieht.

Damit die Kampagne Erfolg hat, wird die Phishing-E-Mail für gewöhnlich an Millionen von Kontakten gesendet, um sicherzugehen, dass zumindest einige darauf hereinfallen. Und es funktioniert üblicherweise auch. Dabei klickt der Geschädigte auf einen Link in der Nachricht, welcher ihn zu einer schadhaften Webseite führt. Dort muss er seine Zugangsdaten und weitere persönliche Daten eingeben. Die Informationen werden abgefangen und so haben die Betrüger Zugriff auf das Bankkonto der Opfer.

  • Download von Malware

Wie viele Spammails zielen auch diese Arten von Phishing-E-Mails darauf ab, das Opfer dazu zu bringen, den Computer mit einer Malware zu infizieren. Dabei sind der Fantasie der Angreifer keine Grenzen gesetzt. Sei es, dass sie eine vorgetäuschte Rechnung eines bekannten Unternehmens im Anhang verschicken, einen Lebenslauf eines Arbeitssuchenden oder gar firmeninterne Dokumente von sogenannten Kollegen.

Diese Dokumente beinhalten einen schädlichen Code, welcher beim Öffnen der Datei oder Extrahieren einer ZIP-Datei eine Schadsoftware auf dem Computer des Betroffenen installiert. Diese kann dann die Aktivitäten, die das Opfer ausführt, abfangen. Doch tatsächlich enthalten 93 % aller Phishing-E-Mails eine sogenannte Ransomware, durch die da Computersystem lahmgelegt werden kann und der Geschädigte ein Lösegeld bezahlen muss, um wieder Zugriff zu erhalten.

Die verschiedenen Arten von Phishing und wie man sie erkennt

Was ist eine Phishing-E-Mail und wann spricht man von Spear-Phishing? Wir haben die Antworten für dich:

E-Mail-Phishing

E-Mail-Phishing, auch „Deception-Phishing“ genannt, ist eine der am weitesten verbreiteten Angriffsarten. Dabei geben sich die Angreifer als eine bekannte Marke aus und senden E-Mails an Benutzer. Sie versuchen vertrauenswürdig und professionell zu klingen, sodass der Empfänger dem Absender vertraut.

Die Links führen dann zu schadhaften Websites, die entweder Anmeldeinformationen stehlen oder Malware auf dem Gerät eines Anwenders installieren. Die Downloads, normalerweise PDFs, enthalten schädliche Inhalte, die die Malware öffnet, sobald der Benutzer auf das Dokument klickt.

So erkennt man E-Mail-Phishing

  • Suche nach Kontaktinformationen oder anderen legitimen Informationen über die Organisation, von der die E-Mail kommt und suche dann nach Rechtschreibfehlern oder einer Absender-E-Mail-Adresse mit der falschen Domäne.
  • Klicke niemals auf die angegebenen Links in der E-Mail, sondern rufe beispielsweise deine Bankseite manuell auf.
  • Überprüfe die Nachricht auf Logos, die echt aussehen, da sie möglicherweise gefälschte böswillige HTML-Attribute enthalten.
  • Ignoriere E-Mails, die nur ein Bild und sehr wenig Text enthalten, da das Foto möglicherweise einen bösartigen Code verbirgt.

Spear Phishing

Obwohl Spear-Phishing E-Mails verwendet, verfolgt es einen gezielteren Ansatz. Cyberkriminelle beginnen mit der Verwendung von Open Source Intelligence (OSINT), um Informationen aus veröffentlichten oder öffentlich zugänglichen Quellen wie sozialen Medien oder der Website eines Unternehmens zu sammeln. Dann zielen sie auf bestimmte Personen innerhalb der Organisation ab, indem sie echte Namen, Stellenfunktionen oder Telefonnummern verwenden, um den Empfänger glauben zu machen, dass die E-Mail von jemand anderem innerhalb der Organisation stammt.

So erkennt man Spear-Phishing

  • Achte auf interne Anfragen, die von Personen aus anderen Abteilungen kommen oder in Anbetracht der Jobfunktion ungewöhnlich erscheinen.
  • Sei vorsichtig bei Links zu Dokumenten, die auf freigegebenen Laufwerken wie Google Suite, O365 und Dropbox gespeichert sind, da diese auf eine gefälschte, bösartige Website leiten können.
  • Alle Dokumente, die eine Benutzer-Log-in-ID und ein Passwort erfordern, können ein Versuch sein, Anmeldeinformationen zu stehlen.

Whaling

Eine weitere Art von Unternehmens-Phishing, die OSINT anwendet, ist das Whale-Phishing. Dabei nutzen die Angreifer soziale Medien oder die Unternehmenswebsite, um den Namen des CEO oder eines anderen hochrangigen Führungsmitglieds zu finden. Sie geben sich dann mit einer ähnlichen E-Mail-Adresse als diese aus. Die E-Mail kann um eine Geldüberweisung bitten oder den Empfänger auffordern, ein Dokument zu überprüfen.

So erkennt man Whaling

  • Wenn ein hochrangiges Führungsmitglied noch nie zuvor Kontakt zu dir aufgenommen hat, sei vorsichtig, wenn du die angeforderte Aktion ausführst.
  • Achte darauf, dass die E-Mails von hohen Führungsmitgliedern tatsächlich von einer firmeninternen E-Mail-Adresse versendet wurden und nicht durch eine private.

Smishing

Beim Smishing werden SMS-Nachrichten verschickt, die eine Person auffordern, eine Aktion durchzuführen. Häufig enthält der Text einen Link, der beim Anklicken Malware auf dem Gerät des Benutzers installiert.

Ein gängiges Beispiel für einen Smishing-Angriff ist eine SMS-Nachricht, die aussieht, als käme sie von deiner Bank. Dabei wird dir üblicherweise mitgeteilt, dass dein Konto gesperrt wurde und du sofort handeln musst. Der Angreifer fordert dich dann auf, Ihre Bankkontonummer und deine Zugangsdaten zu bestätigen. Sobald er die Informationen erhält, hat er Kontrolle über dein Bankkonto.

So erkennt man Smishing

  • Eine SMS enthält einen Link, auf den der Empfänger klicken muss. Überprüfe vorab, ob du ebenso eine E-Mail erhalten hast und besuche die Webseite deiner Bank, indem du manuell den Link im Browser eingibst.
  • Überprüfe die Telefonnummer, von der die SMS geschickt wurde, bevor du Maßnahmen ergreifst. Rufe im Zweifel bei deiner Bank an, ob es sich um eine legitime Anfrage handelt. Dies ist üblicherweise niemals der Fall

Angler-Phishing

Angler-Phishing wird hauptsächlich in den sozialen Medien betrieben. Dabei wird vom Angreifer eine Direktnachricht in einer Social-Media-Anwendung wie Facebook verschickt, in der ein schadhafter Link enthalten ist.

So erkennt man Angler-Phishing

  • Sei vorsichtig bei Benachrichtigungen, die darauf hinweisen, dass du zu einem Beitrag hinzugefügt wurdest, da diese Links enthalten können, die Empfänger zu bösartigen Websites führen.
  • Halte Ausschau nach Direktnachrichten von Personen, die die Funktion selten verwenden, da das Konto möglicherweise gehackt wurde.
  • Klicke niemals auf einen Link in einer Direktnachricht, auch wenn er legitim aussieht, es sei denn, der Absender teilt auf diese Weise regelmäßig interessante Links.

So schützt man sich vor Phishing: Die wichtigsten 4 Schritte

Zwar werden die Methoden der Cyberkriminellen beim Phishing stets ausgefeilter, dennoch kannst du einige Schritte unternehmen, um dich davor zu schützen. Grundsätzlich solltest du immer achtsam sein, wenn du eine Nachricht von einem Absender erhältst, der dir nicht bekannt ist oder es um sensible Daten wie Finanzen geht.

Schütze deinen Computer mit Sicherheitssoftware

Stelle die Software auf deinem Computer so ein, dass sie automatisch aktualisiert wird, damit sie mit neuen Sicherheitsbedrohungen fertig werden kann. Zusätzlich kannst du durch die Verwendung eines VPNs (Virtual Private Networks) davor schützen, dass Angreifer deinen wahren Standort sehen und so persönliche Informationen abfangen können. Viele VPN-Anbieter wie ExpressVPN beinhalten zudem einen Malware-Schutz, welcher dich davor warnt, dass Links oder Anhänge schädlich sind.

VPN-Statistiken: Was du über VPNs im Jahr 2022 wissen solltest So testet man die VPN-Leistung

Software-Updates auf dem Smartphone

Schütze Mobiltelefon, indem du die Software so einstellst, dass sie automatisch aktualisiert wird. Diese Updates könnten dir einen entscheidenden Schutz vor Sicherheitsbedrohungen offerieren. Viele VPN-Dienste wie ExpressVPN, NordVPN, CyberGhost oder VeePN bieten zudem auch Apps für die Verwendung eines VPNs auf dem Handy an. Damit hast du einen zusätzlichen Schutz vor potenziellen Angreifern.

VPN iPhone: Top 5 VPN-Dienste 2022 VPN für Android (2022) – Top-Anbieter im Überblick

Schütze Konten mit Multi-Faktor-Authentifizierung

Einige Konten bieten zusätzliche Sicherheit, indem du für den Zugriff zwei oder mehr Anmeldeinformationen benötigst. Dies wird als Multi-Faktor-Authentifizierung bezeichnet. Die zusätzlichen Anmeldeinformationen, die du zum Anmelden auf deinem Konto benötigest, können sein:

  • Ein zusätzlicher Passcode, welchen du über eine Authentifizierungsapp oder einen Sicherheitsschlüssel erhältst.
  • Der Scan deines Fingerabdrucks, der Netzhaut deines Auges oder dein Gesicht.

Schütze deine Daten, indem du sie sicherst

Sichere deine Daten und stellen jederzeit sicher, dass diese Back-ups nicht mit deinem Heimnetzwerk verbunden sind. Dies bedeutet, dass du stets eine Sicherheitskopie auf einer externen Festplatte oder einem Cloud-Speicher haben solltest. Dies gilt sowohl für den Computer als auch für das Smartphone.

Was tun, wenn man auf Phishing reingefallen ist?

Wenn du festgestellt hast, dass du das Opfer eines Phishing-Angriffs geworden bist, musst du schnell handeln:

  • Identifiziere eine unbekannte Abbuchung von deinem Bankkonto, PayPal, eBay etc. und benachrichtige sofort deine Bank oder den betroffenen Anbieter und lasse dein Konto sperren.
  • Führe einen Virenscan auf deinem Computer durch.
  • Ändere direkt auf den Webseiten der Anbieter dein Passwort, indem du es durch ein sicheres ersetzt.
  • Aktiviere eine Multi-Faktor-Authentifizierung für alle deine Konten.
  • Wirst du das Opfer einer Lösegeldforderung, informiere sofort die Polizei.
  • Erstatte Anzeige bei der Polizei.

Fazit

Die Angreifer werden stets klüger und damit ist es nicht immer leicht, Phishing-Versuche als solche zu identifizieren. Daher solltest du immer achtsam bei unbekannten Absendern sein und niemals auf Links klicken, wenn es sich um eine Bank oder andere geldbezogenen Nachrichten handelt. Auch auf sozialen Medien solltest du das Anklicken von Links in Direktnachrichten vermeiden oder beim Versender nachfragen, sofern er dir bekannt ist, ob er dir einen Link geschickt hat.

Bemerkungen

Kommentar schreiben

Deine E-Mail-Adresse wird nicht veröffentlicht.