Generic selectors
Exact matches only
Search in title
Search in content
post
page
Warenkorb
×
Der Warenkorb ist leer.
einmalig monatlich
{{position.qty}} {{position.title}} {{position.total_fix|price_ndash}} leihweise geschenkt {{position.total_rec|price_ndash}}

Total CHF {{$store.getters.total_price_fix|price_ndash}} {{$store.getters.total_price_rec|price_ndash}}

Jetzt bestellen Warenkorb bearbeiten

Phishing, Spear-Phishing & Social Engineering

Cyberkriminalität ist leider ein omnipräsentes Thema. Die gängige Meinung, Hacker würden vor allem Schwachstellen in IT-Systemen ausnutzen, um ihr Unwesen zu treiben, ist nur bedingt richtig.

Das konkrete Eindringen durch «Löcher» in Systemen ist und bleibt zwar eine grosse Bedrohung. Am Anfang vieler erfolgreicher Hacks steht aber meist Phishing – und bei gezielten Angriffen sogenanntes Spear-Phishing.

Phishing – ein Netz auswerfen

Phishing ist eine Hacking-Technik, die das digitale Äquivalent zum Auswerfen eines Fischernetzes darstellt. Warum es «Phishing» und nicht «Fishing» heisst, ist umstritten. Es könnte ein Kunstwort, zusammengesetzt aus «Password Harvesting» (engl. für Passwörter ernten) und fishing (engl. für fischen) sein. Oder vielleicht ist es ganz einfach der Originalität der Hacker-Pioniere geschuldet, die als «Phreaks» bekannt waren und die gerne «ph» statt «f» verwendeten.

Was bedeutet Phishing genau?

Konkret bedeutet Phishing das Versenden von E-Mails, die Benutzer dazu verleiten sollen, auf eine URL zu klicken, die zu einem Webformular auf einer Webseite führt, die eine bekannte Marke (z. B. Microsoft) vortäuscht. Der Zweck: persönliche Informationen wie Anmeldedaten in einem gefälschten Anmeldeformular zu sammeln.

Typische Phishing-E-Mails beginnen etwa mit «Ihr Konto ist gesperrt», «Bitte aktualisieren Sie Ihr Passwort» oder «Bitte aktualisieren Sie Ihre Bankdaten». Wie Sie Phishing E-Mails im Detail erkennen, erklären wir Ihnen in diesem Artikel.

Vorsicht vor gefälschten Webformularen

Häufig sind die gefälschten Webformulare kaum vom Original zu unterscheiden. Die Webadresse selbst kann jedoch einen Hinweis darauf geben, was sich hinter der Maske verbirgt. Eine Phishing-URL, die vorgibt, von iWay zu stammen, könnte beispielsweise auf eine Website mit dem Domänennamen “www.iwaiy.com” leiten. Häufig werden also Webadressen verwendet, die sich in der Schreibweise ähneln und bei denen man den Unterschied nur bei genauem Hinsehen bemerkt.

Missbrauch von Anmeldedaten

Phishing wird auch häufig eingesetzt, um Anmeldedaten für Cloud-Anwendungen wie etwa Microsoft 365 zu stehlen. Ein Phisher sendet eine E-Mail mit der Aufforderung an den Benutzer, sich bei seinem Konto anzumelden, um den Zugriff auf die Plattform wiederherzustellen, eine freigegebene Datei abzurufen oder seine Kontodaten zu aktualisieren.

Klickt der Empfänger der E-Mail auf die URL, die zu einer vorgeblichen Microsoft-Webseite führt, ist das Unglück passiert: Seine Anmeldedaten werden abgefangen und der «Phisher» kann jetzt in aller Seelenruhe auf das echte Konto zugreifen und dort sein Unwesen treiben – Daten absaugen, verändern und missbrauchen.

Spear-Phishing – mit dem Speer fischen

Phishing-Kampagnen zielen nicht konkret auf einzelne Opfer ab, sondern werden an Hunderte, manchmal Tausende von Empfängern gesendet. Spear-Phishing (von spear, engl. für Speer) hingegen ist gezielt auf einzelne Personen oder Unternehmen ausgerichtet. Ein Spear-Phishing-Angreifer ist nämlich auf etwas ganz Bestimmtes aus.

Wie Betrüger das Vertrauen erschleichen

Eine gängige Methode ist die Kompromittierung von Geschäfts-E-Mails. Zum Beispiel gibt sich der Bösewicht als leitender Angestellter aus, um Zahlungsüberweisungen (an betrügerische Unternehmen) oder Änderungen von Direktüberweisungen zu veranlassen oder an andere Informationen zu gelangen.

Um auf überzeugende Weise in Kontakt zu treten, wendet der Angreifer besonders ausgeklügelte, gezielte Social-Engineering-Methoden an: Mit zwischenmenschlicher Beeinflussung werden ganz bestimmte Personen zu Verhaltensweisen bewogen. Der Angreifer gibt sich zum Beispiel als dem Empfänger der E-Mail persönlich bekannte Personen aus, also etwa als Geschäftskollege oder Geschäftspartner. Die Hintergrundinformationen dafür können teilweise leicht im Internet und insbesondere in sozialen Medien recherchiert werden oder aus Datenpannen stammen.

Realistisches Spear-Phishing-Szenario

Man stelle sich das folgende, durchaus realistische Spear-Phishing-Szenario vor: Hans arbeitet in einem Unternehmen mit Felix Muster als CEO. Der Angreifer erstellt ein E-Mail-Konto unter dem Namen felixmuster23@gmail.com. Während der echte Felix im Urlaub ist (ist bei vielen auf Social Media ersichtlich), schickt der falsche Felix eine E-Mail, in der es heisst: «Hans… Ich bin in den Ferien, aber ich brauche eine Überweisung von 100’000 Franken an einen Auftragnehmer in China für unser Projekt. Bitte kümmere dich sofort darum. Hier sind die Kontoinformationen für die Überweisung

Wenn Hans nicht genau aufpasst, kann es sein, dass er die Überweisung ausführt. Dies ist eine Form der Kompromittierung von Geschäfts-E-Mails, die häufiger vorkommt, als man vielleicht vermutet. Denn selbst Personen, die speziell geschult werden, eben genau so etwas nicht zu tun, können nervös werden, wenn der CEO sie zu etwas drängt. In ihren Augen handelt es sich schliesslich um den Chef und nicht um irgendeinen einen Fremden.

Was ist Social Engineering?

Unter Social Engineering versteht man ganz allgemein die Beeinflussung von Personen zu bestimmten Verhaltensweisen. Bei Phishing werden wahllos sehr viele, bei Spear Phishing ganz gezielt einzelne Personen hinters Licht geführt.

Solche betrügerischen Verhaltensweisen waren aber schon vor dem Durchbruch von E-Mail und Internet in der breiten Bevölkerung gang und gäbe: Bösewichte gaben sich bereits in den Achtzigerjahren des 20. Jahrhunderts mit Telefonanrufen bei Unternehmen als Techniker aus und ergaunerten so vertrauliche Informationen oder Zugangsdaten – meistens unter dem Vorwand, man müsse noch wichtige Arbeiten im Betrieb zu Ende bringen.

Die Informationen stammten schon damals aus öffentlich zugänglichen Quellen, etwa Organigrammen von Geschäftsberichten, um dann der Person bei Nichtbefolgung zu drohen, ihren Chef stören zu müssen (wer will das schon?). Bekannt sind auch so simple Methoden wie Dumpster Diving, bei dem durch Durchwühlen von Abfallsäcken nach Informationen gesucht wird (zum Beispiel aus weggeworfenen Briefen oder Notizzetteln), mit denen das Vertrauen des Opfers gewonnen werden kann.

Was kann man dagegen tun? E-Mails kritisch prüfen!

Zu Hause und am Arbeitsplatz bietet die beste Abwehr von Phishing-Attacken deshalb ständige Wachsamkeit und insbesondere das kritische Prüfen aller E-Mails. Beachtet man folgende Regeln, ist man schon ein gutes Stück sicherer.

  • Zeit nehmen für den 3-Sekunden-Sicherheits-Check des Bundesamtes für Sicherheit (D) in der Informationstechnik: Absender, Betreff und Anhang vor dem Anklicken prüfen.
  • Immer sehr misstrauisch sein, auch unter Stress.
  • Bei E-Mails von externen Kontakten, aber ebenso so von Kollegen und Kolleginnen sowie der Führungsebene vorsichtig sein, da Urheber von Phishing seriöse Absender immer besser nachahmen. Besonders wenn zu einem ungewöhnlichen Handeln aufgefordert wird, ist es ratsam, vorsichtig zu sein und beim «Absender» nachzufragen.
  • Niemals Links oder Attachments unbekannter oder verdächtiger Absender öffnen.
  • Nicht auf E-Mails antworten, in denen zur Kontaktaufnahme oder der Preisgabe persönlicher Daten aufgefordert wird. Im Zweifelsfall beim Absender nachfragen.
  • Besonders vorsichtig sollte man sein mit allen E-Mails, die sich auf das Corona-Virus oder aktuelle Krisen beziehen.
  • Vermeintliche E-Mails von Postdiensten (die Post, DPD, etc.) oder Zollbehörden sind fast immer Phishing E-Mails.

Zurück zum Blog