Zurück
Artikel
17 Min. Lesezeit

Wie man Phishing-Attacken erkennt und abwehrt

  • Jannik Christ
  • Autor Jannik Christ
  • Veröffentlicht am 3. September 2023


Phishing bezeichnet eine der am häufigsten angewandten Methoden für Cyberangriffe. Phishing ist bei Cyberkriminellen wie Hackern und IT-affinen deshalb so begehrt, weil diese mit einem überschaubaren Aufwand ziemlich großen Schaden anrichten können. In der Cyberwelt zielen Phishing Attacken vor allem auf den Menschen als Schwachstelle ab und sind damit sehr erfolgreich. Laut Aussagen vom Bundesamt für Sicherheit in der Informationstechnik (BSI) rücken in Deutschland folgende Zielgruppen in den Fokus:

  • Mitarbeiter in Unternehmen
  • Homeoffice-Mitarbeiter von Unternehmen
  • Bankkunden
  • Bezahlsysteme 
  • Online-Händler und Marketplaces

Was konkret bezeichnet eine Phishing Attacke?

Bei einer Phishing-Attacke geht es dem Cyberkriminellen darum, einen Identitäts- oder Datendiebstahl zu begehen. Dabei bedient sich diese Kommunikationstechnologien wie E-Mails, Sozialen Medien, Websites, SMS oder Telefon. Anhand von ausgefeilten Techniken wird über soziale Manipulation (Social Engineering) versucht, das jeweilige Opfer zur Herausgabe seiner Zugangsinformationen oder Daten zu bringen. Nicht selten geht es um Daten wie Adresse, Details zur Lebens- und Vermögenssituation, sowie von Bank- und Kreditkartendaten. Die Täter orientieren sich im Zuge ihrer Phishing Kampagnen zumeist an aktuellen Themen, die die Bevölkerung bewegen (z.B. Inflation, Geldanlagen oder Steuern, aktuelle Unruhen oder die vergangene Pandemie).

Rückblick

Der Ursprung der Bezeichnung „Phishing“ ist auf den Fischfang zurückzuführen. Der Modus Operandi des Phishing-Betrugs ähnelt de facto dem des Fischens. Die Betrüger legen einige Köder zur Irreführung ihrer Opfer durch verschiedene Kommunikationskanäle aus. Dabei hoffen sie, dass einige Opfer anbeißen. In den 70er Jahren hat sich eine Subkultur in dieser Szene gebildet. Das Ziel dabei war es, durch Low-Tech-Hackerangriffe das Telefonsystem zu kapern. Die historischen Hacker von damals wurden umgangssprachlich „Phreaks“ genannt. Dies war eine Kombination aus „phone“ für Telefon und „freaks“ für Eigenbrötler oder Nerds. In den 70er Jahren gab es noch nicht sonderlich viele vernetzte Rechner, die die Kriminellen hacken konnten. Deshalb war das Phreaking eine beliebte Methode, um ohne jegliche Kosten teure Ferngespräche zu führen oder nicht erfasste Telefonanschlüsse anzurufen.

Die Bezeichnung „Phishing“ wurde zum ersten Mal im Zusammenhang mit einem Spammer und Hacker in den 90er-Jahren erwähnt.

Dies sind die populärsten Phishing Attacken

Wer sich umfangreich über die geläufigsten Phishing-Attacken informiert, kann rechtzeitige Vorkehrungen treffen und sich und seine Endgeräte vor Cyberangriffen schützen. Durch das aufmerksame Studium der 10 folgenden Angriffstypen ist es möglich eine gewisse Grundsensibilität zu entwickeln und auch auf neue Varianten von Phishing-Attacken proaktiv und adäquat zu reagieren.

Nr. 1: Deceptive Phishing

Hierbei bedienen sich Internetkriminelle dem sogenannten „Domain Spoofing“. Sie täuschen ihren Opfern (Mitarbeiter eines Unternehmens oder Kunden einer Organisation) täuschend echte Domains vor. Mittels E-Mail-Versand versuchen die Cyberkriminellen, ihre Opfer auf diese gefakten Domains zu locken. Dies kann mittels Absender der falschen Domain oder Fake-Adressen von Freunden oder Kollegen der Opfer geschehen. Zumeist enthält der Inhalt der E-Mail einen plausiblen Text mit einem Link zur falschen Domain. Auf der Domain angekommen wird versucht, dem potenziellen Opfer sensible Daten zu entlocken. Zumeist dreht es sich um

  • Datenschutzanfragen
  • Sicherheitsüberprüfungen
  • Gewinnspiele
  • Datenupdate
  • Kontoeinschränkungen

Die Stärke der Cyberkriminellen bei diesem Phishing-Angriff liegt im Vertrauen, welches die Menschen in scheinbar vertrauenswürdige Domains setzen. Die Opfer hinterfragen weniger, was von ihnen gefordert wird und kommen Aufforderungen gerne nach.

Nr. 2: Pharming Attacken

Selbst, wenn User akribisch aufpassen und erhaltene E-Mails überprüfen, sowie enthaltene Links auf deren Vertrauenswürdigkeit checken, ist noch lange nicht gesagt, dass die User vor einer Phishing Attacke geschützt sind. Auch Cyberkriminelle informieren sich und passen das neue Sicherheitsbewusstsein ihrer potenziellen Opfer an deren perfide Machenschaften an. Beim „Pharming“ erhalten Opfer eine betrügerische E-Mail, die aus authentischer Quelle stammt. Sie werden beispielsweise dazu aufgefordert, eine Passwortänderung ihres Kontos vorzunehmen. Das Betrügerische an der Sache ist, dass der Link, auf den man klicken soll, zu einer gefälschten Website führt. Wie kann das passieren? Beispielsweise indem die lokale hosts.-Datei manipuliert wurde oder der DNS-Server gehackt wurde. Gibt man nun eine korrekte Webadresse in den Browser ein, wird diese automatisch in eine falsche IP-Adresse transformiert. Als Fazit landet das Opfer auf der gefälschten Webadresse und gibt unbehelligt seine Daten zum Besten.

Nr. 3: Spear Phishing

Das Spear Phishing richtet sich nicht an einen großen Opferkreis, sondern zielt seine Angriffe auf eine bestimmte Person ab. Meist geschieht das innerhalb eines Unternehmens. Mithilfe von Social-Engineering werden die E-Mails auf das Opfer individuell zugeschnitten. Die Betreffzeile der E-Mails sind meist so konzipiert, dass sie das Interesse des ausgewählten Opfers wecken. Auf diese Weise schnappt die Falle schnell zu und das Opfer öffnet die Mail/s und klickt auf enthaltene Links. Das Ziel von Spear Phishing ist der Datenklau oder den PC des Opfers mit Malware zu kontaminieren. Auf diese Weise erhalten die Angreifer Zugriff zum Netzwerk und den Accounts ihrer Opfer.

Nr. 4: CEO Fraud oder Business E-Mail Compromise

Wenn der vermeintliche CEO oder Geschäftsführer eine strikt vertrauliche Sache mit einem Mitarbeiter per E-Mail besprechen oder planen will, dies jedoch eine Phishing Attacke ist, spricht man von CEO Fraud oder Business E-Mail Compromise. Internetkriminelle schicken eine E-Mail an einen Mitarbeiter der Finanzabteilung und geben sich als CEO der Firma zu erkennen. Nicht selten kommt es zu Aufforderungen, Geldsummen an ein gefälschtes „Firmenkonto“ zu überweisen. Der Trumpf der Cyberkriminellen ist, dass Mitarbeiter gegenüber hochrangigen Führungskräften wenig misstrauisch sind. Eine Rücksprache mit dem CEO am Telefon mit der Bitte um Bestätigung gibt schnell Aufschluss darüber, ob die E-Mail-Aufforderung echt oder ein Phishing Versuch ist.

Nr. 5: Whaling

Cyberkriminelle haben beim Whaling immer eine hochrangige Führungsperson im Visier. Das kann entweder der CEO, der CFO oder COO sein. Cyberkriminelle erstellen ein akribisches Profil und Vita der Führungskraft (über Google und Social Medias) und zielen ihre Mails maßgeschneidert auf die Führungsperson ab. Der Modus Operandi ähnelt dem Spear Phishing – der Unterschied ist, das die wirtschaftlichen und persönlichen Schäden weit höhere Dimensionen annehmen können.

Deshalb sollten Führungskräfte so wenige Informationen über ihre Funktion im Unternehmen und ihrem Privatleben auf Social Medias preisgeben. Regelmäßige Mitarbeiterschulungen bezüglich Datensicherheit und Datenschutz sollten durchgeführt werden.

Nr. 6: Clone Phishing

Wer zweimal dieselbe E-Mail mit den identischen Angaben und Links erhält, sollte skeptisch und misstrauisch werden. Cyberkriminelle erstellen im Zuge einer Clone Phishing Attacke basierend auf einer echten E-Mail eine zweite, gefakte E-Mail und tauschen alle Links und Anlagen der ursprünglichen, legitimen Mail gegen böswilligen Content und Malware aus. Als „Entschuldigung“ wird häufig angegeben, dass die Links in der ersten E-Mail nicht funktionieren oder nicht optimal eingestellt waren, es zu temporären Problemen kam und aufgrund dessen jetzt eine zweite E-Mail mit der Bitte um Nutzung dieser Links und Anhänge erfolgt ist. Vorsicht!

Nr. 7: Watering Hole Phishing

Bei diesem Angriff lauern die Cyberkriminellen ihren Opfern wie eine Boa Konstriktor anderen Wildtieren auf. Wer sich zu weit ans Wasser, bzw. in die Welt des Internets vorwagt, fällt den Angreifern zum Opfer. Im Internet eruieren die Täter jene Websites, die ihre Opfer am häufigsten besuchen. Das kann Unternehmen, CEOs und Mitarbeiter treffen. Beispielsweise können das Websites von Lieferanten sein, mit denen das Unternehmen regelmäßige Geschäftsbeziehungen pflegt oder aber auch Kundenwebsites. Cyberkriminelle infizieren die betroffene Website auf eine Art und Weise, dass ein Klick auf die Website automatisch eine Malware auf den Firmen-PC downloadet. Die Schadsoftware versorgt die Angreifer mit den Zugangsdaten zum Firmennetzwerk, der Cloud, allen Servern und sensiblen Mitarbeiterdaten. Auch finanzielle Daten werden dadurch publik.

Nr. 8: Evil Twin

Bei diesem Szenario tarnt sich ein krimineller drahtloser WI-FI Zugangspunkt als legitimer Zugangspunkt. Ohne jegliches Wissens seines Opfers hat der Betrüger die Möglichkeit, Informationen auszukundschaften. Der Angreifer muss sich lediglich in der Nähe eines WLAN-Hotspots aufhalten und mittels einer geeigneten Software die Funkfrequenz, sowie den SSID (Service Set Identifier) seines Opfers eruieren. Im Anschluss sendet er sein eigenes Funksignal mit identischer SSID und kann somit bei aktiver Verbindung den Netzwerk-Verkehr seines Opfers mitlesen und Bankdaten abfangen.

Nr. 9: Smishing

Der Begriff „Smishing“ ist eine Kombination aus „SMS“ und „Phishing“. Es geht also um SMS-Phishing. Dabei werden SMS von vermeintlich vertrauensvollen Quellen versendet, die gefährliche und kompromittierende URLs enthalten. Das Ziel der Angreifer ist, dass ihre Opfer auf die URLs klicken. Gelockt wird mit Gutscheincodes für Rabattkampagnen, Freikarten für Konzerte oder Veranstaltungen oder das Opfer hat plötzlich einen unglaublichen Gewinn zugute und soll auf den Link klicken. Es können auch eine Reihe an weiteren Vorteilen versprochen werden. Die eigene Nummer wird von den Betrügern häufig und gerne durch 5-stellige Kurzwahlnummern ersetzt, was ein sofortiges Identifizieren des „Anbieters“ unmöglich macht.

Nr. 10: Vishing

Unter Vishing versteht man Voice Phishing. Der oder die Täter verleiten ihre Opfer zu einem Telefonat, in welchem persönliche und / oder finanzielle Informationen herausgekitzelt werden sollen. Im Erstkontakt findet noch kein Telefonat statt. Man soll die Täter zurückrufen. Der Computer des Täters ruft beim Opfer an und legt sofort wieder auf. Ruft man zurück, hat man den Täter direkt in der Leitung, der sich als extrem vertrauenswürdiger Gesprächspartner (z.B. Mitarbeiter der Hausbank) ausgibt. Die Masche sieht vor, dem Opfer vorzulügen, dass sein Konto gehackt wurde und alle Daten abgeglichen werden müssen. Die Angst und die Panik lässt die Hemmschwelle und die Skepsis schnell verschwinden.

Auf keinen Fall sollten unbekannte Nummern zurückgerufen werden. Falls die Person etwas Ungewöhnliches fordert, sollte man auflegen und die Nummer blockieren.

Kostenloses Awareness-Poster zum Schutz vor Phishing-Mails

Fazit

Phishing Attacken nutzen die Gutgläubigkeit und das Vertrauen ihrer Opfer aus, um diese per Telefon, per E-Mail, oder per SMS dazu zu bringen, persönliche und sensible Daten preiszugeben. Das Ziel ist Rufmord, Identitäts- und Datenklau und finanzielle Schädigung. Durch Maßnahmen im Bereich der Awareness lässt sich das Risiko, das von den zunehmenden Phishing-Attacken ausgeht, deutlich eindämmen. CISOs und IT-Sicherheitsverantwortliche sollten daher dem Risiko durch Phishing-Kampagnen durch angemessene Awareness-Konzepte Rechnung tragen. Unser kostenloses Awareness-Poster (Download) kann hierzu einen ersten Ansatz liefern.

Markiert mit:
Jannik Christ
Jannik Christ
Als praxiserfahrener und zertifizierter Berater unterstütze ich Unternehmen durch Consulting und Audit im Bereich der Informationssicherheit. Zudem stehe ich kleinen und mittelständischen Unternehmen als externer CISO zur Verfügung. Gerne können wir auch ihr Anliegen besprechen.
Nächster
Aufnahme in den Bundesverband IT-Mittelstand e.V. (BITMi)