Phishing

Lesedauer: 5 Minuten

Lesedauer: 5 Minuten

Beim Phishing handelt es sich um Social Engineering, bei dem sich Kriminelle als vertrauenswürdige Person ausgeben und das Opfer so dazu bringen, sensible Informationen preiszugeben.

Was ist Phishing?

Durch Phishing gelangen Cyberkriminelle an wertvolle Daten, welche sie wiederum verkaufen oder für weitere Angriffe missbrauchen, z.B. Erpressung, Diebstahl oder Identitätsbetrug. .


Sie kennen das sicher: Immer wieder erhält man E-Mails, vorgeblich von einer Bank oder einem anderen Dienstleister, die den Empfänger auffordert, Account-Daten, Kreditkartennummern oder andere sensible Informationen zu „bestätigen“. Hierbei handelt es sich um eine typische Phishing-Mail. ;

Origin of the term

Das Wort „Phishing“ geht zurück auf eine Veröffentlichung von Jerry Felix und Chris Hauck aus dem Jahr 1987: „System Security: A Hacker`s Perspective“ (1987 Interex Proceedings 1:6). Darin beschreiben die Autoren eine Technik, bei der sich ein Angreifer als vertrauenswürdige Person oder Organisation ausgibt. Die Ähnlichkeit mit dem englischen Wort „fishing“ (angeln) kommt nicht von ungefähr: Wie Angler werfen „Phisher“ einen Köder aus und hoffen, dass die Beute nicht widerstehen kann. Das „ph-“ wiederum ist eine Referenz an die „Phreaks“, eine Gruppe von Hackern, die in den 1990er Jahren mehr oder weniger legal die Grenzen von Telekommunikationssystemen austesteten.

Spread the word and share online

Wie funktioniert Phishing?

Seit es Phishing gibt – und das sind nun schon mehrere Jahrzehnte – haben die Angreifer immer wieder neue Methoden entwickelt, ihre Opfer zu ködern.

Weiterhin typisch ist jedoch, dass sich die Angreifer per Mail als Bank oder Finanzdienstleister ausgeben. Sie versuchen, das Opfer dazu zu bringen, ein Formular in der Mail oder ihrem Anhang auszufüllen oder eine Website zu besuchen und dort Zugangsdaten zu Accounts oder Bankkonten einzugeben.

Weiterlesen

Die gestohlenen Daten werden entweder von den Angreifern selbst verwendet, um die Konten der Opfer leerzuräumen – oder gewinnbringend im Darknet verkauft.

Dabei laufen die Angriffe nicht immer per Mail ab: Vergleichbare Betrugsversuche wurden auch schon per VoIP („Vishing“) bzw. SMS („Smishing“) beobachtet.

Spearphishing

Bei dieser besonderen Phishing-Methode werden gezielt Gruppen, Organisationen oder sogar Einzelpersonen kontaktiert. Die Phishing-Mails sind oftmals sehr detailliert auf das Opfer zugeschnitten, sodass es teils sehr schwer ist, den Betrug zu erkennen.

Zielen die Angriffe auf besonders hochrangige und „wertvolle“ Einzelpersonen ab – wie Topmanager oder Unternehmenseigner – spricht man wegen des potentiell sehr hohen Gewinns für die Phisher auch vom „Whaling“ (Walfang).

Wie erkenne ich Phishing?

Frühere Phishing-Mails waren oft noch leicht an verdächtig aussehenden Links oder ähnlichen Fehlern zu erkennen. Heute bedienen sich die Angreifer oft wesentlich weiter entwickelter Methoden, sodass die Links und Fake-Websites, auf die sie führen, oft selbst für Experten nur schwer erkennbar sind.

Die Mails selbst enthalten mittlerweile nicht selten offizielle Logos oder andere Elemente, die sie täuschend echt wirken lassen. Einige Hinweise helfen dennoch, Phishing-Versuche zu erkennen.

Hinweise auf Phishing

  1. Generische oder informelle Anrede: Ist die Anrede nicht personalisiert (z.B. „Lieber Kunde“) und wirkt die Sprache dem Anlass nicht angemessen, sollten Sie hellhörig werden. Dasselbe gilt für Pseudo-Personalisierung mit angeblichen Referenznummern.
  2. Bitte um personenbezogene Daten: Kriminelle fragen danach, Banken, Finanzdienstleister und andere Onlinedienste eher nicht.
  3. Schlechte Rechtschreibung/Grammatik: Tipp- und Rechtschreibfehler oder seltsame Formulierungen sind ein Hinweis auf Phishing. Eine Mail in korrektem Deutsch/Englisch ist jedoch kein eindeutiger Hinweis auf einen legitimen Absender!
  4. Die Mail kommt unerwartet: Ihre Bank oder andere Dienstleister werden Sie nur in seltenen Fällen direkt kontaktieren, ohne dass Sie dies in irgendeiner Form veranlasst hätten.
  5. Dringlichkeit: Phishing-Mails versuchen oft, ihre potentiellen Opfer durch ein Gefühl von Dringlichkeit zu unbedachtem Verhalten zu verleiten.
  6. Zu gut um wahr zu sein? Klingt das Angebot/die Chance in der Mail zu gut, um wahr zu sein? Dann handelt es sich vermutlich um einen Phishing-Versuch.
  7. Verdächtige Domain: Würde eine deutsche oder US-amerikanische Bank wirklich eine Mail über eine chinesische Domain versenden?

Wie schütze ich mich vor Phishing?

Beherzigen Sie die Hinweise oben, um Phishing-Mails schnell zu erkennen und nicht auf den „Köder“ hereinzufallen. Schutz bieten folgende Maßnahmen:

Bleiben Sie up-to-date über neue Phishing-Trends

Informieren Sie sich über entsprechende Medien (Blogs, Webseiten etc.) über neuartige Methoden der Angreifer, ihre Opfer zu manipulieren.

Behalten Sie sensible Informationen für sich

Selbst wenn der Absender scheinbar vertrauenswürdig ist: Geben Sie keine Zugangsdaten oder andere sensible Daten preis.

Erst denken, dann klicken

Eine Mail kommt Ihnen komisch oder verdächtig vor? Laden Sie die enhaltenen Anhänge nicht herunter und folgen Sie keinen Links in der Mail. So vermeiden Sie, Malware herunterzuladen oder auf gefährliche Webseiten zu gelangen.

Prüfen Sie Vorgänge auf Ihren Accounts regelmäßig

Sehen Sie regelmäßig nach, was sich auf Ihren Bank- oder anderen Accounts tut – auch wenn Sie keinen konkreten Verdacht haben, dass etwas faul ist. Sicher ist sicher.

Und nicht zuletzt: Verwenden Sie einen zuverlässigen Phishing-Schutz.

Wenn Sie all diese Tipps befolgen, steht Ihrem sicheren Online-Erlebnis nichts mehr im Wege.

Phishing - die Anfänge

Erste systematische Phishing-Kampagnen gab es schon 1995. Ziel war der Internetdienstleister AOL. Die Opfer erhielten Nachrichten per AOL Instant Messenger (AIM) und wurden aufgefordert, angeblichen AOL-Mitarbeitern Passwörter zu „bestätigen“. Im Zusammenhang mit diesen Angriffen wurde auch der Begriff „Phishing“ geläufig: Er tauchte in einer Usenet-Newsgroup auf, die sich mit einem Tool namens AOHell beschäftigte – ein Tool, mit dem die eben erläuterte Methode automatisiert umgesetzt werden konnte. Das Tool selbst verlor nach erfolgreichen Gegenmaßnahmen durch AOL 1997 an Bedeutung, der Begriff blieb. Doch auch die Methode hatte sich als sehr lukrativ für die Angreifer herausgestellt und tauchte entsprechend oft an vielen anderen Stellen im Netz auf. Vor allem Fälle, bei denen sich die Kriminellen als Banken oder andere Finanzdienstleister ausgaben, nahmen schnell dramatisch zu.

Weitere Beispiele aus der Vergangenheit

Eine der frühesten großen – und glücklicherweise nicht erfolgreichen – solcher Phishing-Kampagnen wurde 2001 nach den Terroranschlägen vom 11. September beobachtet. Potentielle Opfer erhielten Mails, die sie aufforderten, ihre Personalausweisnummer zu bestätigen. Damit wollten die Kriminellen wiederum Kontoinformationen vom Zahlungsdienstleister e-gold stehlen und für ihre Zwecke missbrauchen.

Innerhalb der kommenden Jahre gewann Phishing zunehmend an Fahrt und verursachte im Jahr 2005 bereits Kosten von mehr als 900 Millionen US-Dollar.

Der Global Phishing Survey von APWG zufolge wurden allein 2016 mehr als 250.000 Phishing-Kampagnen beobachtet. Dabei kamen mehr als 95.000 Domains zum Einsatz. Im Verlauf konzentrierten sich die Kriminellen immer mehr darauf, sich als Banken oder andere Finanzdienstleister auszugeben, Kunden von Online-Händlern und sozialen Netzwerken ins Visier zu nehmen und vor allem Zugangsdaten zu E-Mail-Konten zu stehlen – bis heute.

ESET protects you against phishing

ESET HOME Security Premium

Powerful, multilayered protection to encrypt sensitive data, manage passwords easily, secure online transactions and more. A user-friendly solution for enhanced privacy online. Secures Windows, macOS, Android, and iOS devices.

 

Ultimate digital security for business

Protect your company endpoints, business data and users with ESET's
multilayered technology.

Ultimate digital security for business

Protect your company endpoints, business data and users with ESET's multilayered technology.

Want to know more?

Follow us for all the latest tips and news

Follow us for all the latest tips and news