Die 10 gängigsten Phishing Attacken

Phishing erkennen und verhindern: So gelingt wirksamer Schutz

Phishing: So können Sie sich schützen

Hybride Arbeitsumfelder haben sich durchgesetzt: Immer mehr Arbeitnehmer:innen arbeiten im Homeoffice und greifen von wo sie gerade arbeiten auf Systeme und Datenbanken ihres Arbeitgebers zurück. Das ist für Unternehmen und deren Mitarbeitende oftmals sehr praktisch. Leider schafft diese dezentrale Arbeitsstruktur zahlreiche neue Einfallstore für cyberkriminelle Angriffe auf Unternehmen und ihre Daten.

Eine Studie des IT-Sicherheitsdiensleisters BeyondTrust ergab, dass innerhalb des Jahres 2021 die Zahl der sogenannten Phishing-Angriffe auf Unternehmen um 200 Prozent gestiegen sei. Diese Zahlen alarmieren – und viele Unternehmen sind unsicher, ob sie ausreichend gegen kriminelle Angriffe auf ihre IT geschützt sind. Kleinere Unternehmen gehen davon aus, dass sie keine lohnenden Ziele für Kriminelle seien – doch das ist ein Irrtum.

Was Phishing ist, wie Phishing-Angriffe funktionieren, wieso häufig Mitarbeiter:innen Einfallstore für Attacken sind und wie Sie Ihr Unternehmen dagegen schützen können, lesen Sie in diesem Beitrag.

Links in Phishing-Mails niemals anklicken Auch Vodafone ist hin und wieder von Phishing-Versuchen betroffen. Neben Banken und Zahlungsdienstleistern geraten auch wir immer wieder ins Visier von Fake-Mail-Versendern, die vorgeben, im Auftrag von Vodafone oder anderen Anbietern zu handeln. Hier hilft nur eins: Die entsprechenden Mails löschen und keinesfalls auf enthaltene Links klicken. Zu unseren Sicherheitslösungen

Was ist Phishing?

Bei einem Phishing-Angriff (vom englischen Begriff für Angeln: fishing) „ködern“ Kriminelle potenzielle Opfer mit E-Mails, die auf den ersten Blick von einem vertrauenswürdigen Absender stammen. Mithilfe dieser E-Mails wollen die Übeltäter an sensible Informationen gelangen. Die „Maschen“ der Kriminellen werden immer ausgeklügelter. Häufig erkennen Opfer eine Phishing-E-Mail erst, wenn es zu spät ist.

Phishing-E-Mails fordern zum Beispiel dazu auf, Passwörter, der andere vertrauliche Daten in eine Maske einzugeben. Diese Daten landen dann direkt bei den Kriminellen, die sie etwa im Darknet verkaufen oder für eigene Zwecke nutzen. Dass Phishing jedoch auch über andere Kanäle erfolgen kann, lesen Sie im weiteren Verlauf dieses Artikels.

Phishing-Angriffe erfolgen in den meisten Fällen über E-Mail-Anhänge, die – sofern sie angeklickt werden – Schadsoftware auf einen Rechner einschleusen sollen. Manchmal enthalten Phishing-Mails auch Links zu einer Website, auf vermeintlich seriöse Apps heruntergeladen werden können. Kriminelle haben diese Apps jedoch mit Schadsoftware ausgestattet.

Phishing ist immer Bestandteil einer sogenannten Social-Engineering-Strategie. Im Folgenden Abschnitt lesen Sie, wie Kriminelle die „Schwachstelle Mensch“ immer wieder für Ihre Zwecke ausnutzen.

Secure Enterprise Messaging Unternehmen, die DSGVO-konforme Kommunikation gewährleisten wollen, kommen um eine Secure Enterprise Messaging-Lösung nicht herum. Mit Vodafone CorporateDataAccess 5.0 erhalten Sie eine schlüsselfertige Lösung, um mobile Endgeräte wie Smartphones, Laptops und Tablets via Mobilfunknetz mit Ihrem Unternehmen zu verbinden. Und das alles ohne zusätzliche Software oder Apps. Jezt informieren

Wie funktioniert ein Phishing-Angriff?

Das Vorgaukeln einer falschen Identität ist Bestandteil vieler Phishing-Angriffe. Zuvor versuchen Kriminelle häufig, Vertrauen zu ihren Opfern aufzubauen. Dieses Vergehen bezeichnen Sicherheitsexpert:innen auch als Social Engineering (Englisch für: Soziale Manipulation). Im folgenden Abschnitt lesen Sie anhand eines Beispiels, wie ein Phishing-Angriff ablaufen kann, welche Kommunikationskanäle dafür genutzt werden und wie Phishing-Angreifer menschliche Unachtsamkeit gezielt ausnutzen.

Social Engineering: Der Mensch als Schwachstelle

Ein:e Anrufer:in gibt sich als Mitarbeiter:in einer Bank oder eines Telekommunikationsunternehmens aus und fordert sein Opfer zur Preisgabe von Anmelde- oder Kontoinformationen auf. Häufig nennen die kriminellen Anrufer:innen bestimmte Internetseiten, die ihre Opfer umgehend besuchen sollen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) berichtet etwa von einem angeblichen Systemadministrator, der Mitarbeitende eines Unternehmens anruft. Damit die Angerufenen ein angebliches Problem beheben können, sollen sie auf einen bestimmten Link klicken. Nach diesem Anruf erhalten die Opfer eine E-Mail. Klicken sie auf den angekündigten Link, nimmt das Unheil seinen Lauf: In vielen Fällen lauern hinter diesen in Phishing-Mails enthaltenen Links korrumpierte Webseiten. Diese installieren beim Anklicken eine Schadsoftware auf den Computer des Opfers.

Diese Schadsoftware kann Ihr Unternehmen auf vielfältige Art schädigen: Sogenannte Erpresser-Trojaner (Ransomware) verschlüsseln beispielsweise Ihre Unternehmensdaten. Die Kriminellen fordern ein Lösegeld und geben an, nur nach Zahlung die Daten wieder zu entschlüsseln.

Durch den zeitweisen oder endgültigen Verlust wichtiger Unternehmensdaten wird Ihr operatives Geschäft geschädigt. Die Wiederherstellung beschädigter Daten dauert und kostet viel Geld. Kommt es darüber hinaus zu einem Datendiebstahl, kann Ihr Unternehmen das Vertrauen Ihrer Kunden verlieren.

Warum ist Social Engineering erfolgreich?

Obwohl sich Unternehmen der Gefahr bewusst sind, die von Social-Engineering- und Phishing-Angriffen ausgeht, kommt es immer wieder zu erfolgreichen Attacken. Der Grund: Die Opfer handeln in dem Glauben, das Richtige zu tun.

Die kriminellen Anrufer:innen agieren häufig sehr sprachgewandt und täuschen ihr Opfer in einer realen Gesprächssituation. Auch soziale Netzwerke bieten Kriminellen gute Möglichkeiten, mit potenziellen Opfern in Kontakt zu treten. Dort können sie außerdem im Voraus viele Informationen über Namen und Strukturen in einem Unternehmen sammeln.

Infografik anzeigen

Phishing gehört zu den häufigsten Formen von Cyberkriminalität.

Welche Arten von Phishing gibt es?

In den vergangenen Jahren haben Cyberkriminelle ihr Vorgehen immer weiter professionalisiert. Viele Hackergruppen bieten ihre Dienste als sogenannte Ransomware-as-a-Service-Leistungen beispielsweise im Darknet professionell zur Verfügung. Mit dem Siegeszug der mobilen Telekommunikation haben sich die Kriminelle außerdem immer neue Kanäle gesucht, über die sie ihre Opfer erreichen können. Die wichtigsten stellen wir im Folgenden vor:

E-Mail-Phishing: Kriminelle nutzen diese Phishing-Variante sehr häufig. Diese E-Mails ködern Opfer mit Links zu schädlichen Websites oder enthalten Malware in ihren Anhängen. Teilweise gehen diesen E-Mails persönliche Anrufe voraus, in denen die kriminellen Anrufer die Mail unter einem falschem Vorwand ankündigen.

Smishing: Das sogenannte Smishing ist Phishing mithilfe von SMS. Kriminelle versenden eine SMS an zuvor erbeutete Mobilfunknummern. Die Empfänger:innen sollen auf einen Link klicken oder eine bestimmte App herunterladen. Wenn sie dieser Aufforderung folgen, laden sie unter Umständen eine Schadsoftware auf das Handy. Viele dieser Programme leiten dann unbemerkt persönliche Daten aus dem Adressbuch an die Angreifer weiter.

Social-Media-Phishing: Kriminelle kommen an Zugangsdaten von Social-Media-Konten und verschaffen sich Zugang zu den Freundeslisten der Kontobesitzer:innen. Dann senden sie Links zu einer von ihnen erstellten Phishing-Webseite an alle Personen in der Kontaktliste.

Vishing: Vishing ist die Abkürzung für Voice Phishing. Kriminelle rufen potenzielle Opfer an und geben sich beispielsweise als Mitarbeiter:innen eines Telekommunikationsunternehmens aus. Sie versprechen am Telefon bessere Bedingungen bei einem Mobilfunkvertrag. Willigt das Opfer ein, fordern die Anrufer zur Herausgabe persönlicher Daten auf.

Website-Phishing: Phishing-Websites sind häufig gefälschte Kopien von seriösen Websites wie Amazon, Ebay oder PayPal und sind den Originalen teilweise sehr ähnlich. Doch die Websites stammen von Cyberkriminellen, die warten, bis arglose Nutzer:innen ihre Zugangsdaten in die Anmeldemasken eingeben. Die Angreifer:innen lesen die Daten aus und missbrauchen sie anschließend – zum Beispiel zum Einkauf teurer Waren bei echten Online-Shoppingportalen auf Kosten des oder der eigentlichen Kontoinhaber:in.

ARVE Error: src mismatch

url:

src in:

src gen: comparison

url:

src in:

src gen:

Video: YouTube / Vodafone Deutschland

Diese Phishing-Strategien gibt es

Mithilfe der oben genannten Phishing-Kanäle erreichen Cyberkriminelle ihre Opfer und verleiten sie mit einer Vielzahl unterschiedlicher Methoden zu schädlichen Handlungen. Im Folgenden stellen wir Ihnen exemplarisch sieben Phishing-Strategien vor.

CEO-Phishing: Kriminelle gaukeln ihren Opfern in E-Mails oder Kurzmitteilungen vor, sie seien das Vorstandsmitglied eines Unternehmens. Häufig haben die Angreifer:innen zuvor mithilfe eines Whaling-Angriffs (siehe unten) Zugangsdaten eines/r hochrangigen Mitarbeiter:in erbeutet.

Cloud-Phishing: Auch beliebte Cloud-Dienste sind häufig Phishing-Ziele. Kriminelle erstellen gefälschte Versionen des Anmeldebildschirms und stehlen dann die Anmeldedaten ihrer Opfer. Mit diesen Daten loggen sich die Cyberkriminellen in die Cloud-Konten der Geschädigten ein und stehlen Daten.

Deceptive Phishing: Bei dieser Art der „Irreführung” (Englisch: Deception) geben sich Kriminelle als echte Unternehmen oder Personen aus, um Ihr Vertrauen zu gewinnen.

Klon-Phishing: Angreifende klonen eine echte E-Mail und leiten sie an alle früheren Empfänger weiter. Doch vorher haben die Angreifer die Mail manipuliert und Links ausgetauscht – gegen Links, die direkt auf gefälschte Phishing-Webseiten führen.

Pharming: Der Begriff Pharming setzt sich aus den Wörtern „Phishing“ und „Farming“ (Deutsch: Ackerbau) zusammen und meint die Manipulation einer Webseite. Die Opfer dieser Phishing-Variation werden nach dem Anklicken einer vermeintlich seriösen Webseite direkt auf eine manipulierte Seite des Angreifers weitergeleitet. Die Fälschung ist häufig täuschend echt und die Opfer bemerken zu spät, dass sie auf Kriminelle hereingefallen sind. Beispielsweise, wenn von ihnen eingegebene Bankkontodaten missbraucht werden und Geld von ihrem Konto verschwindet.

Spear-Phishing: Dagegen zielt Spear-Phishing auf einzelne Personen. Cyberkriminelle suchen aktuell verstärkt in Online-Karrierenetzwerken nach neuen Opfern, da hier alle nötigen Informationen über den Status einer Person innerhalb eines Unternehmens zu finden sind.

Whaling: Beim Whaling (Deutsch: Walfang) suchen sich Angreifer:innen die sprichwörtlichen „dicken Fische“ innerhalb einer Unternehmensstruktur aus. Die Kriminellen sprechen Führungskräfte und Vorstandsmitglieder dann direkt mit Phishing-Mails oder SMS an.

So erkennen Sie eine Phishing-Mail

Das Aussehen von Phishing-Mails variiert stark. Dennoch können Sie anhand einiger Besonderheiten erkennen, ob eventuell Kriminelle die an Sie gerichtete Mail erstellt oder manipuliert haben:

Ungenaue Adressierung : Viele Phishing-Angriffe sind breit gefächert und daher nicht mit dem genauen Namen des jeweiligen Opfers versehen. Im Anschreiben nutzen die Verfasser:innen lediglich eine vage Begrüßung, wie beispielsweise Ihren E-Mail-Benutzernamen (Beispiel: „Sehr geehrte musterperson@musterfirma.de…“).

: Viele Phishing-Angriffe sind breit gefächert und daher nicht mit dem genauen Namen des jeweiligen Opfers versehen. Im Anschreiben nutzen die Verfasser:innen lediglich eine vage Begrüßung, wie beispielsweise Ihren E-Mail-Benutzernamen (Beispiel: „Sehr geehrte musterperson@musterfirma.de…“). Es wird Druck aufgebaut : Phishing-Betrüger:innen wollen Sie häufig unter Druck setzen. Lassen Sie sich unter keinen Umständen Angst machen und ignorieren Sie auf jeden Fall „einmalige Angebote“. Seriöse Unternehmen und Institutionen bieten Ihnen immer alternative Angebote oder Möglichkeiten zur Nachfrage.

: Phishing-Betrüger:innen wollen Sie häufig unter Druck setzen. Lassen Sie sich unter keinen Umständen Angst machen und ignorieren Sie auf jeden Fall „einmalige Angebote“. Seriöse Unternehmen und Institutionen bieten Ihnen immer alternative Angebote oder Möglichkeiten zur Nachfrage. Kurze Links : Seien Sie bei abgekürzten Links besondere vorsichtig. Kriminelle verschleiern die URL einer Phishing-Webseite häufig mithilfe von Kurzlinks, die nicht den Namen des Unternehmens beinhalten.

: Seien Sie bei abgekürzten Links besondere vorsichtig. Kriminelle verschleiern die URL einer Phishing-Webseite häufig mithilfe von Kurzlinks, die nicht den Namen des Unternehmens beinhalten. Viele Tippfehler : Banken und Unternehmen versenden für gewöhnlich in tadelloser Sprache verfasste E-Mails an ihre Kund:innen. Gibt es dagegen zahlreiche Grammatik- und Rechtschreibfehler, können Sie ziemlich sicher sein, dass die E-Mail gefälscht ist.

: Banken und Unternehmen versenden für gewöhnlich in tadelloser Sprache verfasste E-Mails an ihre Kund:innen. Gibt es dagegen zahlreiche Grammatik- und Rechtschreibfehler, können Sie ziemlich sicher sein, dass die E-Mail gefälscht ist. Vorsicht bei Anhängen : Unangeforderte Anhänge in E-Mails sollten Sie niemals einfach anklicken. Teilweise verbirgt sich Malware hinter Text- oder Bilddateien. Am besten löschen Sie diese Mails umgehend.

: Unangeforderte Anhänge in E-Mails sollten Sie niemals einfach anklicken. Teilweise verbirgt sich Malware hinter Text- oder Bilddateien. Am besten löschen Sie diese Mails umgehend. Aufruf zur Datenpreisgabe : Wenn eine Mail Sie zur Herausgabe persönlicher Daten oder Passwörter auffordert, sollten Sie misstrauisch werden. Gleiches gilt im Übrigen auch bei betrügerischen Anrufen.

: Wenn eine Mail Sie zur Herausgabe persönlicher Daten oder Passwörter auffordert, sollten Sie misstrauisch werden. Gleiches gilt im Übrigen auch bei betrügerischen Anrufen. Unbekanntes Unternehmen: Phishing-Betrüger:innen senden ihre E-Mails wahllos an möglichst viele Empfänger:innen. Wenn Sie eine E-Mail von einer Firma erhalten, die Sie nicht kennen und deren Dienste Sie nicht nutzen, handelt es sich in den meisten Fällen um Phishing.

Vorsicht bei verdächtigen Betreffzeilen

Häufig versehen Kriminelle die Betreffzeilen der Phishing-Mails mit alarmierenden und erschreckenden Botschaften, die Ihre Opfer zu einer sofortigen (und unbedachten) Handlung verführen sollen. Darunter gibt es einige wiederkehrende „Klassiker“:

Falsche Rechnung : Sie werden aufgefordert, auf einen Link zu klicken. Angeblich führt dieser Link zu einer Seite eines Online-Versandhandels. Dort habe es ein Problem mit der Abrechnung gegeben, die Sie erklären sollen.

: Sie werden aufgefordert, auf einen Link zu klicken. Angeblich führt dieser Link zu einer Seite eines Online-Versandhandels. Dort habe es ein Problem mit der Abrechnung gegeben, die Sie erklären sollen. Das Geldgeschenk : Eine Bank, eine Privatperson oder eine Lotteriegesellschaft möchte Ihnen einen Geldbetrag schenken. Um diesen zu erhalten, müssen Sie zuvor auf einer von den Angreifer:innen erstellten Webseite vertrauliche Daten eingeben oder auf einen schädlichen Link klicken.

: Eine Bank, eine Privatperson oder eine Lotteriegesellschaft möchte Ihnen einen Geldbetrag schenken. Um diesen zu erhalten, müssen Sie zuvor auf einer von den Angreifer:innen erstellten Webseite vertrauliche Daten eingeben oder auf einen schädlichen Link klicken. Der Gewinn : In einer Mail wird Ihnen berichtet, ein Zufallsgenerator habe sie zum Preisträger einer Gewinnspiels ernannt.

: In einer Mail wird Ihnen berichtet, ein Zufallsgenerator habe sie zum Preisträger einer Gewinnspiels ernannt. Die Drohung: Die Phishing-Mail suggeriert, die Regierung eines bestimmten Staates wolle Sie strafrechtlich belangen. Über eine Eingabemaske sollen Sie vertrauliche Daten eingeben. Ansonsten drohe Ihnen eine Gefängnisstrafe.

Lookout: Die Sicherheitslösung für mobile Endgeräte Schützen Sie Ihre gemeinschaftlich genutzten mobilen Endgeräte ganz einfach mit der Lookout-App vor Cyber-Angriffen. Installieren Sie einfach die Lookout-App auf allen mobilen Geräten Ihres Unternehmens. Oder integrierten Sie Lookout Advanced in Ihre bestehende Mobile Device Management Lösungen (EMM) und steuern somit den einfache Roll-Out in Ihre mobile Flotte. Mehr zu Lookout

Phishing-Verdacht: So verhalten Sie sich richtig

Wenn Sie oder Ihre Mitarbeiter Verdacht schöpfen, dass ankommende E-Mails oder Anrufe Teile einer Phishing-Attacke sein könnten, sollten Sie zunächst unter keinen Umständen die verdächtigen E-Mails öffnen.

Wurden die E-Mails bereits geöffnet, sollten Sie unter keinen Umständen darin enthaltene Links anklicken. Stattdessen: Versuchen Sie, die im E-Mail-Text genannte Seite über die Startseite der betreffenden Organisation zu erreichen. Auf keinen Fall sollten Sie den angegebenen Link in die Adresszeile des Browsers einzutippen.

Fragt eine E-Mail nach vertraulichen Daten, fragen Sie am besten telefonisch bei dem genannten Anbieter nach.

Anhänge an E-Mails mit unbekannten Quellen sollten Sie nicht öffnen.

Wichtig: Achten Sie stets darauf, dass die Antivirus-Software Ihres Unternehmens aktuell sind und dass die Firewall aktiv ist.

In den IT-Sicherheitsrichtlinien Ihres Unternehmen sollte aufgeführt sein, an wen sich Ihre Mitarbeiter:innen umgehend wenden sollen, wenn sie verdächtige Mails erhalten.

Unterschiede zwischen Phishing und Spam?

Spam sind massenhaft verschickte unerwünschte Nachrichten, die ihre potenziellen Leser:innen zum Beispiel per E-Mail oder Messenger erreichen. Spam wird häufig zwar als lästig, aber harmlos wahrgenommen. Im Gegensatz zu gefährlichen Phishing-Mails. Doch diese Unterscheidung ist nicht mehr zeitgemäß.

Häufig sind Phishing-Mails Teil einer großangelegten Spam-Kampagne. Kriminelle versenden massenhaft gefälschte Mails im Namen eines Kreditinstituts an zuvor erbeutete E-Mail-Adressen. Teil dieser Mails können typische Phishing-Werkzeuge sein. Zum Beispiel eine Eingabemaske für vertrauliche Nutzerdaten; oder ein auf den ersten Blick harmloser Link, der jedoch zu einer gefälschten Webseite führt.

Sicher mobil arbeiten: mit Lookout

Nicht nur Unkonzentriertheit, Hektik oder fehlende Verschlüsselung können zum Problem für Ihre Mitarbeiter:innen werden: Laut Recherche des Sicherheits-Lösungsanbieters Lookout klicken Nutzer:innen auf einem mobilen Endgerät dreimal so häufig auf einen Phishing-Link, da die Phishing-Versuche auf einem kleinen Bildschirm viel schlechter zu erkennen sind.

Künstliche Intelligenz kann dabei helfen, Phishing-Angriffe auf diesen Applikationen zu erkennen und zu blockieren – und Angestellte daran hindern, Phishing-Seiten überhaupt erst aufzurufen. Mit über 4,5 Milliarden analysierten Webseiten, mehr als 160 Millionen untersuchten Apps und über 200 Millionen geprüften Endgeräten hat beispielsweise Lookout mehr als 500 Millionen Phishing-Seiten und mehr als 10.000 schädliche Apps im Visier – und das täglich.

Integrierte Virenscanner wie bei Windows oder auf dem Mac sind auf den meisten mobilen Endgeräten eher Fehlanzeige. Daher ist es sinnvoll, sowohl Dienst– als auch Privathandys und –tablets mit der Lookout-Security-Lösung zu schützen.

Das Lookout-System wird über eine zentrale Verwaltungskonsole gesteuert und ist sofort einsatzbereit. Die Inhalte von E-Mails, der Browserverlauf oder persönliche und private Nachrichten werden dabei weder mitgelesen noch irgendwo gespeichert. Die Gerätelaufzeit wird ebenfalls nicht beeinträchtigt.

Phishing: das Wichtigste in Kürze

Mit Phishing-Mails wollen Kriminelle persönliche Informationen abgreifen oder ihre Opfer zu einer bestimmten Handlung verleiten.

Phishing ist Teil einer sogenannten Social-Engineering-Strategie. Kriminelle erschleichen sich das Vertrauen von Firmenmitarbeiter:innen oder Führungskräften.

Phishing erfolgt über viele Kanäle: unter anderem per E-Mail, SMS, Messenger oder am Telefon.

Phishing-Attacken können wahllos oder gezielt auf bestimmte Personen erfolgen.

Phishing-Mails erkennen Sie an verdächtigen Betreffzeilen oder bestimmten Merkmalen im Text.

Wie schützt sich Ihr Unternehmen gegen Phishing-Versuche? Über Ihre Erfahrungen in den Kommentaren freuen wir uns.

Schutz vor Phishing-Attacken

Wichtig ist gesundes Misstrauen beim Öffnen von E-Mails

Verlinkung mit imitierter URL

Als URL bezeichnet man die Adresse einer Internetseite. Die Verlinkung in der Mail nutzt diese Adresse und führt so zur gefälschten Login-Seite. Neben dem Aussehen der Seite ist oft auch die URL an das Original angepasst. Bei großflächigen Angriffen wird nur der Subdomänen-Name, also der erste Teil der Adresse, angeglichen. Hier hofft der Angreifer darauf, dass der hintere Teil der Adresse nicht wahrgenommen wird.

Verschleiern der URL durch "URL-Spoofing“

Oft greifen die Datensammler auf das sogenannte "URL Spoofing" zurück. Der Hyperlink zur gefälschten Seite wird hierbei hinter einem frei gewählten Text oder einem Bild verschleiert. Der vermeindliche Link zur Startseite der THM führt, wenn Sie ihn anklicken, zur Seite Dies funktioniert nur, wenn das Mail-Programm die Benutzung von HTML-Elementen zulässt. Manche E-Mail-Clients zeigen das wahre Ziel des Hyperlinks an, wenn man den Mauszeiger über den Link bewegt. Alternativ können Sie den Link markieren und per Rechtsklick das Options-Menu öffnen. Hier finden sie die Funktion "Verknüpfung kopieren". Fügen Sie den Link dann in ein Textdokument ein, um ihn zu betrachten.

Mutmaßlicher Mailabsender

Oft werden große Anbieter von Onlinediensten (Online-Banking, Online-Händler, E-Mail-Anbieter oder Internet Access Provider) imitiert. Auf diese Weise steigt die Wahrscheinlichkeit, dass ein Betroffener den imitierten Service nutzt und beim Öffnen der Mail keinen Verdacht schöpft.

Fehlende persönliche Anrede

Statt des Namens des Empfängers wird oftmals auf Bezeichnungen der Form „Sehr geehrte Kundin, Sehr geehrter Kunde“ ausgewichen.

Dringlichkeit für die Herausgabe von Login-Daten wird vorgetäuscht.

Phishing-Mails werden mit dem Ziel verfasst, den Empfänger durch Täuschung zur Weitergabe seiner persönlichen Daten zu bringen. Je nachdem wie gezielt der Angriff geplant wurde, können sich die Fake-E-Mail und das Original stark ähneln. Formale Aspekte wie Schriftart und auch einzelne Textblöcke mit Verlinkungen auf reale Seiten können imitiert werden. Doch auch detailliere Fake-E-Mails lassen sich an einzelnen Punkten („URL-Spoofing“, siehe unten) klar als Fälschung erkennen.Bevor Sie also Links einer Mail öffnen, überprüfen Sie diese unbedingt zunächst im Hinblick auf die hier aufgelisteten

Die 10 gängigsten Phishing Attacken

Phishing ist die häufigste Methode für Cyberangriffe und wird immer beliebter, weil dabei mit relativ wenig Aufwand großer Schaden angerichtet werden kann. Phishing Attacken setzen in der Cyberwelt auf die Schwachstelle „Mensch“ und agieren äußerst erfolgreich. Laut Bundesamt für Sicherheit in der Informationstechnik stehen dabei in Deutschland neben Mitarbeitern in Unternehmen, insbesondere auch Kunden von Banken, Bezahlsystemen und Online-Händlern im Fokus.

Was ist eine Phishing Attacke?

Zunächst ist es eine prominente Form des Identitätsdiebstahls mit Hilfe der Kommunikationswege E-Mail, Websites, SMS oder Telefon. Die Angreifer versuchen anhand von hoch entwickelten Techniken der sozialen Manipulation (Social Engineering), ihre Opfer zur Herausgabe sensibler Informationen zu bewegen. Dabei orientieren sich die Täter mit ihren Phishing Kampagnen häufig an gesellschaftlichen Ereignissen und aktuellen Themen. Populäre sind Themen, die bei der Bevölkerung mit Unsicherheit belastet sind, wie zum Beispiel Geldanalage oder Steuerangelegenheiten.

Die gängigsten Phishing Attacken – Wissen schützt

Es gibt eine große Vielfalt an ausgefeilten Techniken und Cyberkriminelle sind sehr erfinderisch, wenn es darum geht, diese zu verbessern. Zu Ihrem Schutz ist es wichtig, die gängigsten Vorgehensweisen zu studieren. Wenn Sie damit vertraut sind, werden Sie eine Grundsensibilität entwickeln, mit der Sie auch neue Formen von Phishing Attacken leichter erkennen.

Deceptive Phishing

Deceptive Phishing funktioniert mithilfe des Domain Spoofing. Dabei wird die Domain eines Unternehmens oder einer Organisation vorgetäuscht. Um die User auf diese Domain zu bringen, werden E-Mails versandt – entweder mit dem Absender der Domain oder Fake-Adressen Ihrer Freunde, Kollegen oder sonstiger vertrauter Kontakte. Der Inhalt der E-Mail kann einen glaubwürdigen Text mit einem Link enthalten oder nur einen Link. Der ist entweder anklickbar oder nicht aktiv, so dass ihn der Empfänger in die Webadressleiste kopieren muss. In diesem Fall ist es sogar für Sicherheitsfilter schwer, den Phishing Versuch zu erkennen. Auf der Website angelangt, wird der Besucher nun dazu verleitet, persönliche Daten preiszugeben. Zu beachten ist dabei, dass Links, die auf HTTPS gesicherte Domains verweisen, genauso gefährlich sein können. Heute werden fast zwei Drittel aller Phishing Websites über HTTPS Verschlüsselung bereitgestellt. Gängige Beispiele für Domain Spoofing sind Datenschutzanfragen, Gewinnspiele, Sicherheitsüberprüfungen, Datenupdate und Kontoeinschränkungen. Auch Datei-Sharing-Anbieter oder Dienstleister zur Internet-Datenübertragung werden für Phishing-Zwecke gefaked. Die Cyberkriminellen setzen hier darauf, dass Menschen bekannte Unternehmen, Kollegen, Freunde oder sonstige wichtige Kontakte, weniger hinterfragen und deren Aufforderungen grundsätzlich gerne Folge leisten.

Dagegen hilft nur: Folgen Sie grundsätzlich keinen Links, die Sie per Mail erhalten. Gehen Sie immer separat auf die Website.

Pharming

Angenommen, Sie haben aufgepasst und die erhaltene E-Mail überprüft. Sie haben die Absender-Adresse und den Link auf seine Vertrauenswürdigkeit gecheckt und somit zunächst alles richtig gemacht. Allerdings sind Sie dann noch lange nicht vor einer Phishing Attacke geschützt, denn die Cyberkriminellen wissen, dass die Benutzer dazulernen und greifen zu immer perfideren Methoden, wie eben das Pharming. Dabei schicken sie betrügerische E-Mails von authentischen Quellen und fordern Sie beispielsweise auf, eine Passwortänderung auf Ihrem Konto durchzuführen. Das Tückische daran ist, dass der Link auf den Sie klicken sollen, dieselbe Webadresse wie das Original verwendet, Sie aber auf eine gefälschte Website weitergeleitet werden. Das geschieht entweder durch Infektion Ihres Computers, womit Sie sich durch Security Software, wie Kaspersky sie anbietet, schützen können. Oder durch Manipulation eines DNS-Servers, so dass die vom Benutzer eingegebene, korrekte Internetadresse in eine falsche IP-Adresse umgewandelt wird. So landet das Opfer auf einer Fake Website und gibt unbedarft seine Daten Preis.

Hier können Sie nur eines tun: die Website selbst auf ihre Vertrauenswürdigkeit prüfen, bevor Sie sensible Daten eingeben.

Spear Phishing

Beim Spear Phishing greifen die Täter nicht mit Spam ähnlichen E-Mails Massen von Usern an, sondern richten sich an ganz bestimmte Personen innerhalb eines Unternehmens. Sie verwenden Social-Engineering Techniken, um ihre E-Mails auf ihre Opfer maßzuschneidern. Beispielsweise gestalten sie die Texte der Betreffzeilen in den E-Mails so, dass sie für das Opfer interessante Themen enthalten. Viele lassen sich dadurch leicht verleiten, die Mail zu öffnen und anschließend auf Links und Anhänge zu klicken. Das Ziel ist, Daten zu stehlen oder den Computer des Empfängers mit Malware zu infizieren. Damit können die Angreifer Zugang zum Netzwerk und zu den Accounts der Empfänger bekommen.

Diese Attacken sind so sehr an den Adressaten angepasst, dass traditionelle Spamfilter sie in der Regel nicht erkennen. Deshalb ist es besonders wichtig, dass Sie Ihre Mails prüfen und stets gesundes Misstrauen walten lassen.

CEO Fraud oder Business Email Compromise

Die beiden Begriffe werden dafür verwendet, wenn die Phishing Attacke vortäuscht, dass der Geschäftsführer oder Vorstand eine streng vertrauliche Sache mit einem Mitarbeiter per E-Mail anbahnen will. Dazu schicken die Cyberkriminellen eine E-Mail an einen untergeordneten Mitarbeiter, der in der Buchhaltungs- oder Finanzabteilung arbeitet und geben sich dabei als CEO der Firma aus. In der Hoffnung, dass der Mitarbeiter arglos genug ist, fordern Sie ihn auf, Geld auf ein gefälschtes Konto zu überweisen. Die Täter setzen dabei darauf, dass Mitarbeiter E-Mails von „oben“ generell mit wenig Misstrauen begegnen. Es kann sich dabei natürlich auch um leitende Angestellte oder Handelspartner handeln, deren Anweisungen der Betroffene Folge leisten würde.

Damit es nicht soweit kommt, sollten Sie erhaltene E-Mails auf jeden Fall prüfen, wenn Vorgesetzte Ihnen darin Anweisungen geben, die nicht dem üblichen Gebaren entsprechen oder Geldtransfers betreffen. Checken Sie die Richtigkeit des Mail-Absenders und der Signatur. Prüfen Sie, ob der Text, der üblichen Art Ihres CEOs entspricht und rufen Sie ihn im Zweifel direkt an.

Whaling

Beim Whaling haben die Täter jeweils eine ausgewählte, hochrangige Führungskraft, wie einen CEO, CFO oder COO im Visier. Diese Person wird sorgfältig danach ausgewählt, an welche Daten die Täter kommen wollen. Zunächst generieren die Cyberkriminellen perfekt zugeschnittene E-Mails mit Informationen aus Suchmaschinen und Social Media. Sie benutzen die korrekte Anrede mit Titel, Namen, Berufsbezeichnung und Details, die die Nachricht vertrauenswürdig erscheinen lassen. Das weitere Vorgehen entspricht dem Spear Phishing, aber die Auswahl der hochrangigen Adressaten samt deren Befugnisse hat eine extrem hohe Dimension der Schäden zur Folge.

Führungskräfte sollten deshalb so wenig persönliche Informationen wie möglich auf den Sozialen Medien preisgeben. Als Unternehmer sollten Sie über die Mitarbeiterschulung hinaus, auch genügend in Datensicherheit und Verifizierungsprozesse investieren.

Clone Phishing

Bei einer Clone Phishing Attacke erstellen die Täter auf der Basis einer echten, rechtmäßigen E-Mail mit Anhang, die das Opfer bereits bekommen hat, eine fast identische E-Mail. Diese wird dann von einer E-Mail-Adresse, die legitim wirkt, abgeschickt. Alle Links und Anhänge der ursprünglichen E-Mail werden durch böswillige ausgetauscht. Die Kriminellen verwenden dabei oft die Ausrede, dass es in der vorhergehenden Mail Probleme mit den Links und Anhängen gab – womit Sie die User verleiten wollen, auf diese zu klicken. Die Täter setzen darauf, dass sich ihre Opfer leicht verleiten lassen, weil sie mit dem Inhalt der Mail bereits vertraut sind.

Seien Sie also zunächst misstrauisch, wenn Sie eine E-Mail vermeintlich zum zweiten Mal erhalten. Es kann sich um eine Phishing Attacke handeln.

Watering Hole Phishing

Die Angreifer verhalten sich dabei als würden sie wie ein Krokodil den Tieren an einer Wasserstelle auflauern: Wer sich zu weit vorwagt, wird ihr Opfer. In der Cyberwelt machen die Täter dazu die Websites ausfindig, die Ihr Unternehmen oder Ihre Mitarbeiter am häufigsten besuchen. Das kann die Website eines Lieferanten sein, den Ihre Firma regelmäßig beauftragt. Die Täter infizieren diese Websites so, dass bei einem Besuch automatisch Malware auf Ihrem Computer hochgeladen wird. Diese Schadsoftware wiederum beliefert die Angreifer mit dem Zugang zu Ihrem Netzwerk, den Servern und zu sensiblen Informationen wie persönliche und finanzielle Daten.

Der Nutzer kann leider nicht erkennen, ob die von ihm besuchte Website Cyberkriminelle zu einem Watering Hole umfunktioniert haben. Da hilft lediglich ein hohes Niveau an generellen IT-Sicherheitsmaßnahmen im Unternehmen.

Evil Twin

Dabei tarnt sich ein betrügerischer drahtloser Wi-Fi Zugangspunkt als legitimer Zugangspunkt. Der Angreifer kann damit, ohne Wissen des Benutzers, Informationen sammeln. Dazu muss er sich in der Nähe eines Hot-Spots aufhalten und per geeigneter Software dessen Funkfrequenz und den SSID (Service Set Identifier) herausfinden. Anschließend sendet er sein eigenes Funksignal mit gleicher SSID. Wenn der Benutzer dann eine Verbindung herstellt, kann der Angreifer den Netzwerk-Verkehr mitlesen.

Wenn Sie beruflich über Wi-Fi surfen, sollten Sie Ihre Internetverbindung nur über ein virtuelles privates Netzwerk (VPN) aufbauen. Privat gehen Sie auf Nummer sicher, wenn Sie in öffentlichen Hot-Spots finanzielle Transaktionen vermeiden.

Smishing

Der Begriff Smishing ist eine Kurzform von SMS-Phishing. Dabei scheinen die SMS von vertrauenswürdigen Quellen zu kommen und enthalten gefährliche URLs auf die Sie klicken sollen. Häufig werden angebliche Gutscheincodes für Rabattaktionen, Freikarten für Veranstaltungen oder sonstige Vorteile versprochen. Die eigene Nummer ersetzen die Täter dabei in der Regel mit einer fünfstelligen Kurzwahlnummer. Damit kann der Benutzer nicht sofort erkennen, ob der Anbieter echt ist.

Um die Seriosität des Anbieters zu überprüfen, müssen Sie dieser sogenannten Premium Kurzwahlnummer nachgehen. Das können Sie auf den Datenbanken oder Dokumenten der Mobilfunkanbieter oder per Suchmaschine im Internet. Dort finden Sie gute Hinweise, ob eine Kurzwahlnummer von Betrügern benutzt wird.

Vishing

Mit Vishing ist eigentlich Voice Phishing gemeint. Dazu werden Sie von den Tätern zu einem Telefonat verleitet und gebeten, persönliche oder finanzielle Informationen herauszugeben. In der Regel werden Sie dabei im Erstkontakt nicht direkt für ein Gespräch angerufen, sondern zu einem Rückruf animiert. Ein Computer wählt Sie an und legt sofort wieder auf. Wenn Sie zurückrufen, haben Sie den Täter am Apparat. Um Sie zu täuschen, gibt sich Ihr Gegenüber gerne als vertrauenswürdige Person aus - beispielsweise als Mitarbeiter Ihrer Hausbank. Wenn diese Ihnen mitteilt, dass Ihr Konto missbraucht wurde und mit Ihren persönlichen Daten verifiziert werden muss, werden Ängste geweckt, die Ihr natürliches Misstrauen blockieren können.

Rufen Sie also keine unbekannten Nummern zurück und wenn Sie es unbedingt trotzdem ton wollen, sollten Sie die Rufnummer im Internet checken. Legen Sie sofort auf, wenn die Person etwas Verdächtiges von Ihnen verlangt.

Fazit

Bei Phishing Attacken versuchen Cyberkriminelle, Sie auf verschiedenen Kommunikationswegen, sei es per E-Mail, Websites, SMS oder Telefonanruf zur Herausgabe von sensiblen Daten zu bewegen, um Sie damit finanziell schädigen zu können. Prüfen Sie also, ob eine E-Mail auch von der Person stammt, von der sie vorgibt zu sein. Checken Sie die Vertrauenswürdigkeit einer Website, bevor Sie sensible Dateien eingeben. Hüten Sie sich bei SMS-Kurzwahlnummern unvorsichtig zu reagieren und seien Sie stets auf der Hut, wenn Sie mit Unbekannten telefonieren.

Welche Sicherheitslösungen schützen vor Phishing?

Kaspersky Internet Security for Android

Kaspersky Internet Security

Kaspersky Total Security

Kaspersky Security Cloud

Weitere Artikel zum Thema Phishing

Wie wirkt sich Phishing auf E-Mail-Benutzer aus?

Die Gefahren von Spam-SMS

So lassen sich Phishing-E-Mails erkennen und vermeiden

Tracey is the Contributing Editor for Foodies100, Tots100, Hibs100 and Trips100. She also blogs at PackThePJs. Tracey writes mainly about family travel; from days out to road trips with her pet dogs, to cruises and long-haul tropical destinations. Her family consists of her husband Huw, a medical writer, Millie-Mae (14), Toby (12) and Izzy and Jack the spaniels