Was ist Phishing?

Die Definition und 5 Hauptarten

Phishing

Genau wie Fischer zum Fangen der Fische Netze ins Wasser werfen, werfen Phisher gefälschte E-Mails in das “Meer des Internets”, um Ihre persönlichen Informationen einzufangen. Während Fischer Köder verwenden, um Fische anzulocken, verwenden Phisher Falschmeldungen und Manipulation, um dasselbe mit Ihnen zu tun. Wenn Sie ein Opfer von Phishing werden, können Sie Ihre Privatsphäre, Ihren Lebensunterhalt und sogar Ihre Identität verlieren.

Zusammenfassung: Phishing ist der Versuch, die persönlichen Daten anderer Personen auf betrügerische Weise zu erfassen. Phishing wird über E-Mails und gefälschte Websites geleitet und ermöglicht Hackern Zugriff auf Ihre Anmeldeinformationen, Bank- und Kreditkarten-informationen oder Ihre Sozialversicherungsnummer. Lesen Sie weiter, um mehr über die häufigsten Arten von Phishing-Angriffen erfahren und lernen Sie die Möglichkeiten kennen, wie Sie im Internet zukünftig sicher bleiben.

Phishing

Was ist Phishing?

Unter Phishing versteht man den Versuch, persönliche Daten oder andere private Informationen einer anderen Person auf betrügerische Weise zu erhalten. Bei Phishing handelt es sich wahrscheinlich um die häufigste Form des Internet-Betrugs. In der Regel handelt es sich dabei um betrügerische E-Mails oder Webseiten, die potenzielle Opfer dazu verleiten sollen, ihre sensiblen Informationen mit dem Betrüger zu teilen. Anstatt die Informationen, die die Täter verlangen selbst zu verwenden, verkaufen viele Betrüger sie im dunklen Netz, hauptsächlich an Hacker und Cyberkriminelle, die auf Identitätsdiebstahl spezialisiert sind.

Mit den Fortschritten in der Cybersicherheit sind viele Cyberbedrohungen gekommen und verschwunden, aber das Phishing ist nach wie vor stark. Der Hauptgrund, warum Phishing-Angriffe so häufig sind, ist der Einsatz von Fälschungs-, Manipulations- und Social-Engineering-Methoden, um potenzielle Opfer zu täuschen. In der Regel werden Phishing-E-Mails als dringende (wenn auch gefälschte) Benachrichtigungen von Internetanbietern, digitalen Geldbörsen, Finanzinstituten und anderen Organisationen geschrieben. Darüber hinaus enthalten viele von ihnen Logos und andere offizielle Bilder.

Die Betrüger, die für diese Angriffe verantwortlich sind, fordern die potenziellen Opfer dazu auf, wichtige Informationen zur Verfügung zu stellen – sei es die Sozialversicherungsnummer, die Kreditkartendaten oder die Anmeldedaten. Um ihrer Botschaft ein Gefühl der Dringlichkeit zu verleihen, bieten sie einen wichtigen Grund, warum das Opfer dies tun sollte. Zum Beispiel könnten sie den Zugriff auf ihr Bankkonto verlieren oder sie werden von einem ihrer Social-Media-Profilen gesperrt, wenn sie die
angeforderten Informationen nicht innerhalb des angegebenen Zeitraums bereitstellen.

Um die Informationen zu sammeln, die sie benötigen, erstellen Phisher gefälschte Webseiten, die genau wie die echten aussehen. Außerdem haben sie sehr ähnliche URLs, die es den Opfern noch schwerer machen, die Fälschung zu erkennen. Jüngsten Statistiken zufolge werden jeden Monat mehr als 1,5 Millionen neue Phishing-Seiten mit einer durchschnittlichen Lebensdauer von drei bis fünf Tagen pro Seite erstellt. Das sind täglich fast 50.000 neue Seiten. Daher ist es keine Überraschung, dass Phishing die Hauptursache für Datenverletzungen auf der ganzen Welt ist.

Welche Arten von Phishing gibt es?

Es gibt verschiedene Arten von Phishing-Betrügereien, von denen einige nur per Telefon (d. H. Voice Phishing oder Vishing) oder Textnachrichten (d. H. SMS Phishing oder SMiShing) möglich sind. Zu den fünf häufigsten Arten von Online-Phishing-Betrug gehören:

1. Spray-and-Pray-Phishing

Im Allgemeinen ist dies als täuschendes Phishing bekannt und wird als Spray und Pray bezeichnet. Es ist die älteste und primitivste Art des Online-Phishing. Phisher verwenden diese Technik, um eine Reihe von E-Mails mit dem Betreff “dringend” zu versenden, in denen sie das potenzielle Opfer auffordern, sein PayPal-Passwort zu aktualisieren oder seine Daten einzugeben, um seinen Lottogewinn zu erlangen. Diese E-Mails enthalten normalerweise Links zu gefälschten Anmeldeseiten. Wenn ein Opfer seine persönlichen Daten in diese gefälschten Formulare eingibt, werden diese sofort auf einem Remote-Server gespeichert, auf den der Phisher Zugriff hat.

2. Spear-Phishing

Spear-Phishing ist aus weitaus komplexer und raffinierter gestaltet, da es personalisierter ist. Anstatt eine allgemeine Nachricht zu senden, richten sich Phisher an bestimmte Organisationen, Gruppen oder sogar an Einzelpersonen mit dem Ziel, ihre persönlichen Informationen zu erhalten. Sie sammeln Namen, E-Mail-Adressen und andere persönliche Informationen von Netzwerkseiten wie LinkedIn oder gehackten E-Mail-Einträgen.
Diese Art von Phishing richtet sich in erster Linie an Unternehmen und Organisationen. Daher unterscheiden sich Spear-Phishing-E-Mails von täuschenden E-Mails. Obwohl sie ein ähnliches Layout aufweisen, enthalten Spear-Phishing-E-Mails in der Regel falsche Rückfragen oder Rechnungen von Geschäftspartnern. Phisher behaupten, dass sie ein wichtiges Dokument angehängt haben und fordern das Opfer auf, es auf ihrem Computer herunterzuladen. Wenn dies der Fall ist, wird schädliche Software installiert, die ihre Aktivitäten ausspioniert und ihre persönlichen Informationen sammelt.

3. CEO-Phishing

CEO-Phishing ist eine sehr ausgefeilte Form des Online-Betrugs, die für den dahintersteckenden Phisher sehr zeitaufwändig sein kann. Dabei handelt es sich um Cyberkriminelle, die auf Mitarbeiter in Personalabteilungen oder in Finanzabteilungen einer Organisation abzielen und entweder als CEO des Unternehmens oder einer anderen Führungskraft auf hoher Ebene agieren. Sie tauschen mehrere Nachrichten mit dem Opfer aus, um Vertrauen aufzubauen.
Nach einiger Zeit fragt der Phisher plötzlich sein Ziel, ihm die persönlichen Informationen der Mitarbeiter zu übermitteln oder öfter Geld auf ein von ihnen angegebenes Konto zu überweisen. In den meisten Fällen werden sie sagen, dass sie die Mittel für einen neuen Vertrag benötigen und behaupten, dass die Überweisung sehr dringend ist. So unerhört sich das auch anhört, so haben Unternehmen auf der ganzen Welt bis zu fünf Milliarden Dollar durch das Phishing von CEOs verloren.

4. File-Hosting-Phishing

Viele Leute nutzen Online-Hosting-Dienste wie Dropbox und Google Drive, um ihre Dateien zu sichern, um sie leicht zugänglich zu machen und zu teilen. Phisher sind sich dessen bewusst, weshalb es unzählige Versuche gab, die Zugangsdaten ihrer Opfer zu beeinträchtigen. Das Layout des Betrugs gleicht im Wesentlichen dem täuschenden Phishing, da es sich um gefälschte Anmeldeseiten handelt. Anstatt nach etwas Bestimmtem zu suchen, möchten Hacker jedoch auf den Online-Dateispeicherplatz ihrer Opfer zugreifen, um wertvolle Informationen zu sammeln, die sie dort finden können.

5. Cryptocurrency-Phishing

Phishing für Kryptowährung ist eine relativ neue Form des Online-Betrugs. Um dies in Gang zu setzen, erstellen Hacker gefälschte Anmeldeseiten für Cryptocurrency-Webseiten. Wenn ahnungslose Benutzer ihre Anmeldeinformationen über diese gefälschten Seiten eingeben, erhalten die Hacker sofort Zugriff auf die digitalen Konten ihrer Opfer und können innerhalb weniger Sekunden Geld abheben. Bisher gab es nur einen einzigen großen Phishing-Angriff auf die Kryptowährung. Da die digitale Währung jedoch zunimmt, ist davon auszugehen, dass es in Zukunft mehr davon geben wird.

Beispiele für Phishing-Angriffe

Zu den schlimmsten Phishing-Angriffen der letzten Jahre gehören Folgende:

Ende 2014 nutzten Hacker Spear-Phishing-E-Mails, um die Apple-IDs zahlreicher Mitarbeiter von Sony Pictures zu sammeln. Unter der Annahme, dass die meisten Mitarbeiter dasselbe Kennwort für mehrere Online-Konten verwendeten, verwendeten die Hacker diese Anmeldeinformationen, um sich bei ihren geschäftlichen E-Mails anzumelden. Es gelang ihnen bei ihrer Mission, Tausende von persönlichen E-Mails und anderen vertraulichen Dokumenten freizugeben, was zu einem großen Mediensturm in Hollywood führte.

In den Jahren 2014 und 2015 haben es Hacker auf Anthem abgezielt, eine US-amerikanische Krankenversicherung. Sie haben Phishing-E-Mails verwendet, um die Computer von fünf Mitarbeitern mit Keyloggern zu infizieren, einer Art von Spyware, die ihre Tastatureingaben aufzeichnet. Dies ermöglichte es Hackern, fast 80 Millionen medizinische Aufzeichnungen von Anthem-Servern zu stehlen, die alle die Sozialversicherungsnummern der Patienten enthielten.

Im Jahr 2017 schickte eine Gruppe von Hackern Phishing-E-Mails an die Angestellten von drei großen Restaurantketten in den USA – Chipotle, Arby’s und Chili’s. An die E-Mails wurde schädliche Software angehängt, die auf den Zielcomputern installiert wurden und den Hackern Zugriff auf die internen Netzwerke dieser Unternehmen gewährte. Mit dieser Software gelang es den Hackern, mehr als 15 Millionen Kreditkartenaufzeichnungen von Kunden dieser drei Ketten zu stehlen.

So schützen Sie sich vor Phishing

Wie bei allen anderen Arten von Cyber-Bedrohungen ist der beste Weg, um sicher zu bleiben sich verantwortungsbewusste Surfgewohnheiten anzugewöhnen und die beste Antivirensoftware zu verwenden. Gute Gewohnheiten beim Surfen im Internet sind besonders wichtig, da einige Arten von Phishing-E-Mails Ihre Daten stehlen und Ihre bevorzugte Cybersecurity-Software umgehen können.

Sie sollten niemals persönliche Informationen (z. B. Kreditkarteninformationen, Anmeldedaten oder Sozialversicherungsnummern) in E-Mails oder Sofortnachrichten preisgeben. Wenn Ihre E-Mail-, Online-Banking-, Digital-Wallet- oder Web-Shopping-Anmeldeseite anders aussieht als zuvor, überprüfen Sie den Text auf der Seite auf Rechtschreib- und Grammatikfehler, die in der Regel das Zeichen einer gefälschten Website sind. Suchen Sie immer nach einem “https” -Präfix in der Adressleiste und dem Vorhängeschlosssymbol daneben, um sicherzustellen, dass die von Ihnen eingegebenen Informationen sicher sind.

Öffnen Sie keine E-Mails, die von unbekannten E-Mail-Adressen gesendet wurden und klicken Sie nicht auf die darin enthaltenen Links oder Anhänge. Wenn Sie darauf klicken, wird möglicherweise Spyware auf Ihrem Computer installiert, durch die die Hacker auf Ihre persönlichen Informationen zugreifen können. Glücklicherweise erkennt die beste Antivirensoftware schädliche Software auf Ihrem Computer sofort und entfernt sie von Ihrer Festplatte. Darüber hinaus prüfen diese Programme die Sicherheitszertifikate aller Adressen, die Sie besuchen und verhindern das Betreten von Phishing-Webseiten.

Quellen (auf Englisch)

 

Sind Sie geschützt?

Da täglich Millionen von Phishing-E-Mails gesendet und tausende neue Phishing-Websites erstellt werden, sollten Sie Ihre Online-Sicherheit nicht auf die leichte Schulter nehmen.