Die 10 verbreitetsten Arten von Phishing
Blog| 28. Mai 2024 | Lesezeit: 6 Minuten
Phishing-Angriffe gehören mittlerweile zu unserem digitalen Alltag. Leider sind diese nicht immer leicht zu erkennen. Damit Sie sich besser davor schützen können, erklären wir die 10 häufigsten Arten von Phishing.
Mit Phishing versuchen Cyberkriminelle, vertrauliche Informationen wie Benutzernamen, Passwörter oder Kreditkartendaten zu stehlen oder auf einem Endgerät Schadsoftware einzuschleusen.
Typischerweise geschieht das über gefälschte E-Mails, Textnachrichten, Anrufe oder Websites. Diese sind teilweise täuschend echt gemachten Kopien. Sie wirken so, als kämen sie von vertrauenswürdigen Quellen wie Banken, Online-Shops, Postdiensten, Behörden oder anderen Organisationen.
Die Opfer werden durch die Betrüger dazu verleitet, auf Links zu klicken und auf den gefälschten Websites ihre persönlichen Informationen preiszugeben.
Die Herkunft des Wortes «Phishing» ist übrigens nicht restlos geklärt. Es handelt sich wahrscheinlich um ein englisches Kunstwort aus den Begriffen «password harvesting» (engl. für «Passwort ernten») und fishing (engl. für «fischen»).
Wie kann ich mich vor Phishing schützen?
Egal, wie dramatisch und dringend die Situation in Nachrichten oder E-Mails erscheinen mag, beachten Sie immer die folgenden Regeln:
- Seien Sie immer misstrauisch, auch unter Stress
- Nehmen Sie sich Zeit für den 3-Sekunden-Sicherheits-Check des deutschen Bundesamtes für Sicherheit in der Informationstechnik: Absender, Betreff und Anhang vor dem Anklicken prüfen
- Achten Sie auf die Rechtschreibung: Ein verräterisches ß, wie in «freundliche Grüße», das in der Schweiz nicht üblich ist, macht eine Mitteilung verdächtig!
- Seien Sie auch bei E-Mails von bekannten externen Kontakten, aber ebenso so von Mitarbeitenden sowie der Führungsebene vorsichtig. Denn Urheber von Phishing können seriöse Absender immer besser nachahmen
- Seien Sie besonders vorsichtig, wenn Sie zu einer ungewöhnlichen Handlung aufgefordert werden. Fragen Sie zuerst bei Ihrem echten Kontakt nach
- Öffnen Sie niemals Links oder Attachments unbekannter oder verdächtiger Absender
- Antworten Sie nicht auf E-Mails, in denen Sie zur Kontaktaufnahme oder zur Preisgabe persönlicher Daten aufgefordert werden. Fragen Sie auch hier im Zweifelsfall direkt beim Absender nach
- Phishing-Betrüger geben sich häufig in ihren E-Mails als vermeintliche Postdienste (Die Schweizerische Post, DPD, etc.) oder Zollbehörden aus. Wenn Sie keine Lieferung erwarten, lassen Sie unbedingt die Finger davon und löschen Sie das E-Mail umgehend. Und wenn Sie tatsächlich ein Sendung erwarten, prüfen Sie das E-Mail oder die Textnachricht besonders sorgfältig
- Lassen Sie sich nicht in ein Gespräch verwickeln und gewähren Sie niemals fremden Personen Zugriff auf Ihren Computer, auch nicht über eine Fernwartungs-Software
- Verwenden Sie aktuelle Sicherheits-Software und halten Sie Betriebssystem und Anwendungen durch regelmässige Updates aktuell
Informieren Sie sich regelmässig auf folgenden Websites über aktuelle Bedrohungen:
1 E-Mail-Phishing
Der Klassiker und eine der verbreitetsten Arten von Phishing ist die Kontaktaufnahme per E-Mail. In Phishing-Mails täuschen Betrüger vor, eine vertrauenswürdige Person oder ein bekanntes Unternehmen zu sein.
In diesen E-Mails werden Sie beispielsweise aufgefordert, auf einen Link zu klicken. Der Link führt dann aber nicht auf die vorgebliche, sondern auf eine gefälschte Website. Die Betrüger versuchen so, an persönliche Daten heranzukommen oder schädliche Software zu verbreiten.
Phishing-Mails wirken heute oft täuschend echt und sind deshalb oft nicht leicht als solche zu erkennen. Sie sollten daher bei jedem E-Mail den Absender und die E-Mail-Adresse genau prüfen. Klicken Sie nicht auf Links und öffnen Sie keine Anhänge, wenn Sie nicht zu 100 Prozent sicher sind, dass es sich um ein echtes E-Mail handelt. Insbesondere, wenn ein gewisser Druck aufgebaut wird und es scheinbar pressiert, ist äusserste Vorsicht geboten.
2 Smishing
Smishing, also Phishing via SMS, WhatsApp und anderen Messaging Diensten wird immer häufiger. Wie Phishing-Mails fordern Smishing-Nachrichten meistens dazu auf, auf einen Link zu klicken. Dieser führt dann auf eine gefälschte Website, mit der die Betrüger persönliche Daten abfragen oder Schaftsoftware verbreiten.
Bei dieser Masche ist besondere Vorsicht angezeigt. Denn gemäss Untersuchungen klicken Menschen rund zehnmal häufiger auf Links in Textnachrichten als in E-Mails. Am wichtigsten ist es also, Smishing-Nachrichten als solche zu erkennen.
Seien Sie deshalb besonders vorsichtig, wenn Nachrichten von unbekannten oder ungewöhnlichen Telefonnummern stammen oder verdächtig aussehende Links enthalten. Ausserdem erfragen seriöse Anbieter nie Passwörter oder Kreditkartendaten per SMS (oder E-Mail). Besonders verbreitet sind Textnachrichten von angeblichen Kurierunternehmen.
3 Vishing
Vishing, eine Kombination aus «Voice» (Anruf) und «Phishing», ist eine Methode, bei der Cyberkriminelle Telefonanrufe nutzen, um an persönliche Daten zu gelangen oder Geräte mit schädlicher Software zu infizieren.
Sie geben sich dabei oft als vertrauenswürdige Institutionen aus, um ihre Opfer zur Preisgabe sensibler Informationen zu bewegen. Warnzeichen für Vishing sind die Aufforderung zur Herausgabe persönlicher Daten, verdächtige Dringlichkeit oder kurze und abrupt endende Anrufe. Auch Schockanrufe und der Enkeltrick-Betrug sind Arten von Vishing.
4 Spear Phishing
Phishing-Kampagnen zielen im Allgemeinen nicht auf einzelne Opfer ab, sondern werden an Tausende, manchmal Millionen von Personen gesendet. Spear-Phishing (von spear, engl. für Speer) hingegen ist sehr gezielt auf einzelne Personen oder Unternehmen ausgerichtet. Ein Spear-Phishing-Angreifer ist also auf etwas Bestimmtes aus.
Eine gängige Methode ist die Kompromittierung von Geschäfts-E-Mails, bei der sich ein Cyberkrimineller als leitender Angestellter ausgibt, um Überweisungen, Änderungen von Direktüberweisungen oder andere Informationen zu verlangen oder Schad-Software zu verbreiten.
Um auf überzeugende Weise in Kontakt zu treten, kann der Angreifer Social Engineering anwenden, um sich als bekannte Personen auszugeben, z. B. als Mitarbeitender oder Geschäftspartnerin. Heutzutage kommen sogar KI-Techniken zum Einsatz, um eine überzeugende Täuschung aufzubauen.
5 Domain Phishing und Domain Spoofing
Domain Spoofing und Domain Phishing zählen ebenfalls zu den häufigen Arten von Cyberangriffen.
Beim Domain Spoofing nutzen Angreifer gefälschte Domains, die echten Domains stark ähneln. Sie geben sich als vertrauenswürdige Quellen aus, um uns zu täuschen. Ein Beispiel wäre «amaz0n.com» statt «amazon.com». Ziel ist es, unser Vertrauen zu gewinnen und uns dazu zu bringen, die gefälschte Website zu besuchen.
Domain Phishing ist eine spezielle Form des Spoofings. Hierbei verwenden die Angreifer die gefälschten Domains, um uns zur Preisgabe sensibler Informationen wie Passwörter, Kreditkartendaten oder anderer persönlicher Daten zu verleiten.
Beide Methoden sind schwer zu erkennen und erfordern viel Vorsicht. Massnahmen wie die Überprüfung von URLs und Domain-Authentifizierung können helfen, sich zu schützen.
6 Clone Phishing
Beim Clone Phishing kopiert der Angreifer den Inhalt eines echten E-Mails, welches das Opfer zuvor erhalten hat. Die legitimen Links oder Anhänge des früheren E-Mails werden durch bösartige Versionen ersetzt. Das gefälschte E-Mail wird dem Opfer geschickt, oft mit der Behauptung, es handle sich um eine aktualisierte Version der ursprünglichen Nachricht. Wenn das Opfer auf den bösartigen Link klickt oder den Anhang öffnet, können Schad-Software installiert oder persönliche Daten gestohlen werden.
7 Watering Hole Phishing
Watering Hole Phishing ist eine Methode, bei der Hacker gezielt beliebte Websites infizieren, die von einer bestimmten Zielgruppe häufig besucht wird. Das Ziel besteht darin, Besucherinnen und Besucher dieser Seiten mit Schad-Software zu infizieren oder ihre Daten zu stehlen.
Die Angreifer analysieren zunächst, welche Websites ihre Zielgruppe regelmässig nutzt. Anschliessend manipulieren sie diese Seiten durch Sicherheitslücken und platzieren dort Schad-Software. Sobald jemand die Website besucht, wird das Gerät infiziert.
Diese Methode ist besonders gefährlich, da sie schwer zu erkennen ist und vertrauenswürdige Websites als Angriffsplattformen genutzt werden.
Sie möchten keine Beiträge mehr verpassen? Dann abonnieren Sie unseren monatlichen Newsletter!
8 Pharming
Beim Pharming werden Internetnutzerinnen und -nutzer auf gefälschte Websites umgeleitet, ohne dass sie es bemerken. Angreifer manipulieren dabei entweder die Hosts-Datei auf dem Computer des Nutzers oder die DNS-Server (Domain Name System). Ziel ist es, persönliche Daten wie Passwörter oder Kreditkarteninformationen zu stehlen.
Pharming ist ebenfalls besonders gefährlich, weil selbst sicherheitsbewusste Nutzerinnen und Nutzer betroffen sein können. Denn die gefälschten Websites sehen oft täuschend echt aus.
9 Social Engineering
In Zusammenhang mit Phishing ist immer wieder von Social Engineering und Social-Engineering-Methoden zu hören. Beim Social Engineering spielt die zwischenmenschliche Beeinflussung mit dem Ziel, bei Personen bestimmte Verhaltensweisen hervorzurufen. Das können die Preisgabe von vertraulichen Informationen, der Kauf eines Produktes oder die Freigabe von Finanzmitteln sein.
Social Engineers spionieren das persönliche Umfeld ihres Opfers aus, täuschen Identitäten vor oder nutzen Verhaltensweisen wie Autoritätshörigkeit aus, um schutzwürdige Informationen oder unbezahlte Dienstleistungen zu erlangen. Die hier erwähnten Phishing-Arten, aber auch die berüchtigten Enkeltricks oder Schreckanrufe sind alles Social-Engineering-Methoden.
10 Whaling
Whaling ist eine spezielle Form des Social Engineerings, bei der gezielt hochrangige Führungskräfte und Personen in leitenden Positionen eines Unternehmens angegriffen werden. Der Begriff «Whaling» leitet sich vom englischen Wort «whale» (Wal) ab und spielt darauf an, dass diese Personen oft grosse Fische im Unternehmenskontext sind.
Whaling-Angriffe sind sehr spezifisch und richten sich gegen Führungskräfte wie CEOs, CFOs oder andere hochrangige Manager. Die Angreifer verwenden oft personalisierte und gut recherchierte Nachrichten, um das Vertrauen des Opfers zu gewinnen. Das kann E-Mails, gefälschte Rechnungen oder andere offizielle Dokumente umfassen.
Da die Zielpersonen oft Zugang zu sensiblen Informationen und wichtigen Ressourcen haben, können erfolgreiche Whaling-Angriffe erhebliche finanzielle und sicherheitstechnische Schäden verursachen. Whaling nutzt häufig Techniken der sozialen Manipulation, um das Opfer dazu zu bringen, vertrauliche Informationen preiszugeben oder schädliche Aktionen wie etwa die Überweisung grosser Geldbeträge durchzuführen.
Seien Sie stets wachsam
Um sich zu Hause und am Arbeitsplatz vor Phishing-Attacken aller Art zu schützen, sollten Sie stets wachsam sein. Hinterfragen Sie insbesondere alle E-Mails und Kurznachrichten aber auch Telefonanrufe kritisch.
Besonderes Misstrauen ist angezeigt, wenn Sie dringend eine Handlung vornehmen, einem Link folgen oder einen Anhang öffnen sollen. Wenn Sie gar Geld oder Wertsachen aushändigen oder Zugangscodes, Passwörter oder Kreditkartendaten bekanntgeben sollen, handelt es sich ganz sicher Betrug.
Henry Salzmann ist CISO und seit 2018 bei iWay. Der diplomierte Elektroingenieur begeistert sich für WLAN, TV, Telefonie und Sicherheit. Seine Steckenpferde sind Smart Home, Amateurfunk und Making.